Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Resumen
En la
última década, las tecnologías digitales han transformado la economía y la
sociedad, afectando todos los sectores de actividad y la vida
cotidiana. Los datos son elementos centrales de esa transformación: es más, la
innovación basada en los datos reportará enormes beneficios tanto a los
ciudadanos de la Unión como a la economía Con el fin de hacer partícipes a
todos los ciudadanos de la Unión en la economía basada en los datos, debe
prestarse especial atención a reducir la brecha digital, impulsar la
participación de las mujeres en la economía de los datos y a promover los
conocimientos técnicos europeos de vanguardia en el sector tecnológico.
El presente Reglamento establece:
a) las condiciones para la reutilización, dentro de la Unión, de
determinadas categorías de datos que obren en poder de organismos del sector
público;
b) un marco de notificación y
supervisión para la prestación de servicios de intermediación de datos;
c) un marco para la inscripción
voluntaria en un registro de las entidades que recojan y traten datos cedidos
con fines altruistas, y
d) un marco para la creación de un
Comité Europeo de Innovación en materia de Datos.
Para mayor
información o análisis sobre la Gobernanza Europea de Datos y por el que se
modifica el Reglamento (UE) N° 1724 de 2018; las referencias legislativas,
perspectivas de investigación así como sus implicancias y efectos en América Latina,
consúltenos al correo electrónico cferreyros@hotmail.com
____________________________________________________________________
REGLAMENTO (UE) 2022/868 DEL PARLAMENTO EUROPEO Y DEL
CONSEJO
de 30 de mayo de 2022
relativo a la gobernanza europea de datos y por el que
se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos)
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN
EUROPEA,
Visto el Tratado de Funcionamiento de la Unión
Europea, y en particular su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a
los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social
Europeo (1),
Previa consulta al Comité de las Regiones,
De conformidad con el procedimiento legislativo
ordinario (2),
Considerando
lo siguiente:
(1) |
El Tratado de Funcionamiento de la Unión Europea (TFUE) prevé la creación
de un mercado interior y la instauración de un sistema que garantice que no
se falsee la competencia en dicho mercado. La introducción de normas y
prácticas comunes en los Estados miembros en relación con la creación de un
marco para la gobernanza de datos debe contribuir a la consecución de estos
objetivos, respetando plenamente los derechos fundamentales. También debe
garantizar el fortalecimiento de la autonomía estratégica abierta de la Unión
y promover, al mismo tiempo, la libre circulación internacional de datos. |
(2) |
A lo largo de la última década, las tecnologías digitales han
transformado la economía y la sociedad, lo que ha tenido efectos en todos los
sectores de actividad y la vida cotidiana. Los datos son elementos centrales
de esa transformación: la innovación basada en los datos reportará enormes
beneficios tanto a los ciudadanos de la Unión como a la economía, por
ejemplo, mejorando y personalizando la medicina, proporcionando una nueva
movilidad y contribuyendo a la Comunicación de la Comisión, de 11 de diciembre
de 2019, sobre el Pacto Verde Europeo. Con el fin de hacer partícipes a todos
los ciudadanos de la Unión en la economía basada en los datos, debe prestarse
especial atención a reducir la brecha digital, a impulsar la participación de
las mujeres en la economía de los datos y a promover los conocimientos
técnicos europeos de vanguardia en el sector tecnológico. La economía de los
datos se tiene que desarrollar de manera que permita prosperar a las
empresas, especialmente las microempresas y las pequeñas y medianas empresas
(pymes), tal como se definen en el anexo de la Recomendación 2003/361/CE de
la Comisión (3), y a las empresas emergentes, garantizando la neutralidad en el acceso a
los datos y su portabilidad e interoperabilidad, y evitando los efectos de
dependencia. En su Comunicación de 19 de febrero de 2020 sobre una Estrategia
Europea de Datos (en lo sucesivo, «Estrategia Europea de Datos»), la Comisión
describía la visión de un espacio común europeo de datos, como un mercado
interior de datos en el que estos pudieran utilizarse independientemente de
su ubicación física de almacenamiento en la Unión de conformidad con el
Derecho aplicable, lo que, entre otras cosas, podría resultar fundamental
para el rápido desarrollo de las tecnologías de inteligencia artificial. Además, la Comisión instaba al flujo libre y seguro de datos con terceros
países, con sujeción a las excepciones y restricciones en materia de
seguridad pública, orden público y otros objetivos legítimos de política
pública de la Unión, en consonancia con sus obligaciones internacionales,
también en materia de derechos fundamentales. A fin de hacer realidad esta
visión, la Comisión propuso crear espacios comunes europeos de datos en
ámbitos específicos para el intercambio de datos y su puesta en común. Tal
como se propone en la Estrategia Europea de Datos, esos espacios comunes
europeos de datos pueden abarcar ámbitos como la salud, la movilidad, la
producción industrial, los servicios financieros, la energía o la agricultura,
o una combinación de esos ámbitos, como, por ejemplo, la energía y el clima,
así como áreas temáticas como el Pacto Verde Europeo, los espacios europeos
de datos para la administración pública o las capacidades. Los espacios
comunes europeos de datos deben hacer que los datos sean fáciles de
encontrar, accesibles, interoperables y reutilizables («principios FAIR»), y
garantizar, al mismo tiempo, un alto nivel de ciberseguridad. Cuando existen
unas condiciones de competencia equitativas en la economía de los datos, las
empresas compiten en la calidad de los servicios que ofrecen y no en la
cantidad de datos que controlan. Para poder concebir, establecer y mantener
unas condiciones de competencia equitativas en la economía de los datos es
necesario contar con unas buenas bases de gobernanza, en la que las partes
interesadas de un espacio común europeo de datos participen y estén
representadas. |
(3) |
Resulta necesario mejorar las condiciones para el intercambio de datos en
el mercado interior, mediante la creación de un marco armonizado para los
intercambios de datos y el establecimiento de ciertos requisitos básicos para
la gobernanza de datos, prestando especial atención a facilitar la
cooperación entre los Estados miembros. El presente Reglamento debe tener
como objetivo desarrollar en mayor medida el mercado interior digital sin
fronteras y una sociedad y economía de los datos centradas en el ser humano,
fiables y seguras. La normativa sectorial de la Unión puede crear, adaptar y
proponer elementos nuevos y complementarios, dependiendo de las
particularidades de cada sector, como sucede con la normativa de la Unión
prevista en torno a un espacio europeo de datos sobre la salud o el acceso a
los datos integrados en los vehículos. Además, algunos sectores de la
economía ya están regulados por normativa sectorial de la Unión que incluye
normas relativas al intercambio de datos o al acceso a estos con carácter
transfronterizo o en toda la Unión, por ejemplo, la Directiva 2011/24/UE del
Parlamento Europeo y del Consejo (4) en el contexto del espacio europeo de datos sanitarios, y
los actos legislativos pertinentes en materia de transporte, como los
Reglamentos (UE) 2019/1239 (5) y (UE) 2020/1056 (6) y la Directiva 2010/40/UE (7) del Parlamento Europeo y del Consejo en el contexto del
espacio común europeo de datos sobre movilidad. El presente Reglamento debe entenderse, por lo tanto, sin perjuicio de
los Reglamentos (CE) n.o 223/2009 (8), (UE) 2018/858 (9) y (UE) 2018/1807 (10), así como de las Directivas 2000/31/CE (11), 2001/29/CE (12), 2004/48/CE (13), 2007/2/CE (14), 2010/40/UE, (UE) 2015/849 (15), (UE) 2016/943 (16), (UE) 2017/1132 (17), (UE) 2019/790 (18) y (UE) 2019/1024 (19) del Parlamento Europeo y del Consejo, y de cualquier otra
normativa sectorial de la Unión que regule el acceso a los datos y su
reutilización. El presente Reglamento debe entenderse sin perjuicio del
Derecho de la Unión y nacional sobre el acceso a los datos y su utilización
con fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales o la ejecución de sanciones penales, así como de la
cooperación internacional en ese contexto. El presente Reglamento debe entenderse sin perjuicio de las competencias
de los Estados miembros respecto de las actividades que efectúen en materia
de seguridad pública, defensa y seguridad nacional. No debe incluirse en el
presente Reglamento la reutilización de datos protegidos por tales motivos y
que obren en poder de organismos del sector público, incluidos los datos
obtenidos en procedimientos de contratación pública que entren dentro del
ámbito de aplicación de la Directiva 2009/81/CE del Parlamento Europeo y del
Consejo (20). Debe crearse un régimen horizontal para la reutilización de
determinadas categorías de datos protegidos en poder de organismos del sector
público, y la prestación de servicios de intermediación de datos y de
servicios basados en la cesión altruista de datos en la Unión. Puede que las
características específicas de los distintos sectores requieran la concepción
de sistemas sectoriales de datos, que se fundamenten al mismo tiempo en los
requisitos establecidos en el presente Reglamento. Los proveedores de
servicios de intermediación de datos que cumplan los requisitos del presente
Reglamento deben poder utilizar la denominación «proveedor de servicios de
intermediación de datos reconocido en la Unión». Cualquier persona jurídica
que trate de apoyar objetivos de interés general mediante la cesión con fines
altruistas de datos pertinentes a gran escala y que cumpla los requisitos
exigidos en el presente Reglamento debe poder registrarse como «organización
de gestión de datos con fines altruistas reconocida en la Unión» y debe poder
emplear dicha denominación. Cuando la normativa sectorial de la Unión o
nacional exija a los organismos del sector público, a ese tipo de servicios
de intermediación de datos o a esas personas jurídicas (organizaciones
reconocidas de gestión de datos con fines altruistas) el cumplimiento de
determinados requisitos específicos adicionales de carácter técnico,
administrativo u organizativo, entre otros modos, mediante un régimen de
autorización o certificación, también deben aplicarse las disposiciones de
dicha normativa sectorial de la Unión o nacional. |
(4) |
El presente Reglamento se entiende sin perjuicio de lo dispuesto en los
Reglamentos (UE) 2016/679 (21) y (UE) 2018/1725 (22) del Parlamento Europeo y del Consejo, así como en las
Directivas 2002/58/CE (23) y (UE) 2016/680 (24) del Parlamento Europeo y del Consejo y las
correspondientes disposiciones del Derecho nacional, incluyendo los datos
personales y los no personales de un conjunto de datos que estén
inextricablemente ligados. En particular, el presente Reglamento no debe
interpretarse en el sentido de que establezca una nueva base jurídica para el
tratamiento de los datos personales para cualquiera de las actividades
reguladas o que modifique los requisitos de información dispuestos en el
Reglamento (UE) 2016/679. La aplicación del presente Reglamento no debe
impedir las transferencias transfronterizas de datos de conformidad con lo
dispuesto en el capítulo V del Reglamento (UE) 2016/679. En caso de conflicto
entre lo dispuesto en el presente Reglamento y el Derecho de la Unión en
materia de protección de datos personales o el Derecho nacional adoptado de
conformidad con el Derecho de la Unión en la materia, debe prevalecer el
Derecho de la Unión o nacional que sea aplicable en la materia. Debe ser
posible considerar a las autoridades responsables de la protección de datos
como autoridades competentes con arreglo al presente Reglamento. Cuando otras
autoridades actúen como autoridades competentes con arreglo al presente
Reglamento, lo deben hacer sin perjuicio de las facultades y competencias de
supervisión de las autoridades responsables de la protección de datos con
arreglo al Reglamento (UE) 2016/679. |
(5) |
Se requieren medidas de la Unión para incrementar la confianza en el
intercambio de datos mediante el establecimiento de mecanismos adecuados que
permitan a los interesados y los titulares de datos ejercer control sobre los
datos que les conciernen y para abordar otros obstáculos al buen
funcionamiento y la competitividad de la economía basada en los datos. Esta
acción debe entenderse sin perjuicio de las obligaciones y los compromisos
establecidos en los acuerdos comerciales internacionales celebrados por la
Unión. Un marco de gobernanza de la Unión debe tener como objetivo generar
confianza entre los particulares y las empresas en relación con el acceso a
los datos, su control, intercambio, utilización y reutilización,
especialmente mediante el establecimiento de mecanismos adecuados que
permitan a los interesados conocer y ejercer de forma significativa sus
derechos y, en lo relativo a la reutilización de determinados tipos de datos
que obren en poder de organismos del sector público, la prestación de servicios
a los interesados, a los titulares de datos y a los usuarios de datos, por
parte de los proveedores de servicios de intermediación de datos, así como la
recogida y el tratamiento de datos cedidos con fines altruistas por personas
físicas y jurídicas. En particular, una mayor transparencia en cuanto a la
finalidad de la utilización de los datos y las condiciones en que las
empresas los almacenan puede contribuir a aumentar la confianza. |
(6) |
La idea de que los datos que hayan sido generados o recogidos por
organismos del sector público u otras entidades con cargo a los presupuestos
públicos deban beneficiar a la sociedad ha formado parte de las estrategias
de la Unión durante mucho tiempo. La Directiva (UE) 2019/1024 y la normativa
sectorial de la Unión garantizan que los organismos del sector público hagan
que una mayor cantidad de los datos que generan estén fácilmente disponibles
para su utilización y reutilización. No obstante, las bases de datos públicas
contienen determinadas categorías de datos (como los datos comerciales
confidenciales, las informaciones amparadas por el secreto estadístico y los
datos protegidos por derechos de propiedad intelectual de terceros, incluidos
los secretos comerciales y los datos personales) que a menudo no están
disponibles, ni siquiera para actividades de investigación o innovación de
interés público, a pesar de que podrían estarlo con arreglo al Derecho de la
Unión aplicable, en concreto, con arreglo al Reglamento (UE) 2016/679 y las
Directivas 2002/58/CE y (UE) 2016/680. Dado el carácter sensible de esos
datos, antes de facilitarlos deben cumplirse algunos requisitos de
procedimiento técnicos y jurídicos, en particular, a fin de garantizar el
respeto de los derechos de terceros en torno a ellos o de limitar los efectos
negativos sobre los derechos fundamentales, el principio de no discriminación
y la protección de datos. En general, el cumplimiento de tales requisitos
necesita mucho tiempo y conocimientos amplios. Esto ha supuesto una
utilización insuficiente de este tipo de datos. Mientras que algunos Estados
miembros están creando estructuras, estableciendo procedimientos o legislando
para facilitar la mencionada reutilización, esta situación no se da en toda
la Unión. Con el fin de facilitar la utilización de los datos para la
investigación y la innovación europeas por entidades privadas y públicas, se
necesitan condiciones claras para el acceso a tales datos y su utilización en
toda la Unión. |
(7) |
Existen técnicas que permiten realizar análisis en las bases de datos que
contienen datos personales, como la anonimización, la privacidad diferencial,
la generalización, la supresión y la aleatorización, el uso de datos
sintéticos o de métodos similares, y otros métodos punteros de protección de
la privacidad que pueden contribuir a un tratamiento de datos más respetuoso
de la privacidad. Los Estados miembros deben prestar apoyo a los organismos
del sector público con el fin de hacer un uso óptimo de dichas técnicas y, de
este modo, facilitar el mayor número posible de datos para su intercambio. La
aplicación de estas técnicas, junto con evaluaciones de impacto globales de
protección de datos y otras salvaguardias, puede contribuir a una mayor
seguridad en la utilización y reutilización de los datos personales y debe
garantizar la reutilización segura de los datos comerciales confidenciales
con fines de investigación, innovación y estadísticos. En muchos casos, la
aplicación de dichas técnicas, evaluaciones de impacto y otras salvaguardias
implica que los datos pueden usarse y reutilizarse solo en un entorno de
tratamiento seguro creado o supervisado por el organismo del sector público.
A nivel de la Unión, existe experiencia con estos entornos de tratamiento
seguros que se utilizan para la investigación sobre microdatos estadísticos
al amparo del Reglamento (UE) n.o 557/2013 de la
Comisión (25). En general, en la medida en que se trate de datos personales, su
tratamiento debe basarse en una o varias de las bases jurídicas de
tratamiento previstas en los artículos 6 y 9 del Reglamento (UE) 2016/679. |
(8) |
De conformidad con el Reglamento (UE) 2016/679, los principios de
protección de datos no deben aplicarse a la información anónima, es decir, a
la información que no guarda relación con una persona física identificada o
identificable ni a los datos convertidos en anónimos de forma que el
interesado no sea identificable o deje de serlo. Debe prohibirse la
reidentificación de los interesados a partir de conjuntos de datos
anonimizados. Ello no debe afectar a la posibilidad de realizar
investigaciones sobre técnicas de anonimización, en particular, para
garantizar la seguridad de la información, mejorar las técnicas de
anonimización existentes y contribuir a la solidez general de la
anonimización, emprendida de conformidad con lo dispuesto en el Reglamento (UE)
2016/679. |
(9) |
Con el fin de facilitar la protección de los datos personales y
confidenciales, y de agilizar el proceso de proporcionar tales datos para su
reutilización con arreglo al presente Reglamento, los Estados miembros deben
animar a los organismos del sector público a crear y poner a disposición
datos de conformidad con el principio de «documentos abiertos desde el diseño
y por defecto» mencionado en el artículo 5, apartado 2, de la Directiva (UE) 2019/1024
y promover la creación y la adquisición de datos en formatos y con
estructuras que faciliten una rápida anonimización en ese sentido. |
(10) |
Las categorías de datos que obren en poder de los organismos del sector
público que deben ser reutilizadas con arreglo al presente Reglamento quedan
fuera del ámbito de aplicación de la Directiva (UE) 2019/1024, que excluye
los datos que no sean accesibles por razones de confidencialidad comercial o
estadística, y los datos incluidos en obras o en otros materiales protegidos
por derechos de propiedad intelectual de terceros. Los datos comerciales
confidenciales incluyen datos protegidos por secretos comerciales,
conocimientos técnicos protegidos y cualquier otra información cuya
divulgación indebida afectaría a la posición en el mercado o la solvencia
financiera de la empresa. El presente Reglamento debe aplicarse a los datos
personales que no estén sujetos a la Directiva (UE) 2019/1024 en la medida en
que el régimen de acceso excluya o restrinja el acceso a ellos por razones de
protección de datos, privacidad e integridad de la persona, en particular de
conformidad con las normas de protección de datos. La reutilización de datos
que puedan contener secretos comerciales debe llevarse a cabo sin perjuicio
de lo dispuesto en la Directiva (UE) 2016/943, que establece el marco para la
obtención, la utilización o la revelación lícitas de secretos comerciales. |
(11) |
El presente Reglamento no debe crear la obligación de permitir la
reutilización de los datos que obren en poder de organismos del sector
público. En concreto, cada Estado miembro debe poder decidir, por lo tanto,
si se proporciona acceso a los datos para su reutilización, así como sobre
los fines y el alcance de dicho acceso. El presente Reglamento debe completar
las obligaciones más específicas de los organismos del sector público de
permitir la reutilización de datos establecidas en la normativa sectorial de
la Unión o nacional, y debe entenderse sin perjuicio de estas obligaciones.
El acceso del público a documentos oficiales puede considerarse de interés
público. Teniendo en cuenta la función del acceso público a los documentos
oficiales y la transparencia en una sociedad democrática, el presente
Reglamento también debe entenderse sin perjuicio del Derecho de la Unión o
nacional sobre la concesión de acceso a documentos oficiales y su
divulgación. El acceso a documentos oficiales puede concederse, en concreto,
de conformidad con el Derecho nacional sin imponer condiciones específicas o
imponiendo condiciones específicas no previstas en el presente Reglamento. |
(12) |
El régimen de reutilización que regula el presente Reglamento ha de
aplicarse a los datos cuyo suministro forme parte de la misión de servicio
público de los organismos del sector público de que se trate con arreglo a la
legislación u otras normas vinculantes de los Estados miembros. En defecto de
tales normas, la misión de servicio público debe definirse de conformidad con
la práctica administrativa común de los Estados miembros, siempre y cuando el
ámbito de la misión de servicio público sea transparente y se someta a
revisión. La misión de servicio público puede definirse con carácter general
o caso por caso para cada organismo del sector público. Puesto que las
empresas públicas no se incluyen en la definición de organismo del sector
público, el presente Reglamento no debe ser aplicable a los datos que obren
en poder de empresas públicas. El presente Reglamento no debe ser aplicable a
los datos que obren en poder de centros culturales, como bibliotecas,
archivos, museos, orquestas, óperas, ballets y teatros, o por centros de
enseñanza, ya que las obras y otros documentos que obren en su poder están
protegidos principalmente por derechos de propiedad intelectual de terceros.
Las organizaciones que realizan actividades de investigación y las
organizaciones que financian la investigación también se pueden constituir
como organismos del sector público o como organismos de Derecho público. El presente Reglamento debe ser aplicable a dichas organizaciones
híbridas únicamente en su condición de organizaciones que realizan
actividades de investigación. Si una organización que realiza actividades de
investigación posee datos como parte de una asociación público-privada
específica con organizaciones del sector privado u otros organismos del
sector público, organismos de Derecho público u organismos híbridos que
realizan actividades de investigación (es decir, organizados como organismos
del sector público o como empresas públicas) con el objetivo principal de
realizar investigaciones, esos datos tampoco deben estar incluidos en el
ámbito de aplicación del presente Reglamento. Cuando proceda, los Estados
miembros deben poder aplicar el presente Reglamento a las empresas públicas o
a las empresas privadas que ejerzan funciones del sector público o presten
servicios de interés general. El intercambio de datos entre organismos del
sector público en la Unión exclusivamente con el fin de cumplir su misión de
servicio público, o entre organismos del sector público en la Unión y
organismos del sector público en terceros países u organizaciones
internacionales, así como el intercambio de datos entre investigadores con
fines de investigación científica no comercial, no debe estar sujeto a las
disposiciones del presente Reglamento relativas a la reutilización de
determinadas categorías de datos protegidos que obren en poder de organismos
del sector público. |
(13) |
Los organismos del sector público deben respetar el Derecho de la
competencia cuando determinen los principios para la reutilización de los
datos en su poder y han de evitar la celebración de acuerdos que puedan tener
por objeto o como efecto la creación de derechos exclusivos para la
reutilización de determinados datos. Este tipo de acuerdos debe ser posible
solamente cuando esté justificado y sea necesario para prestar servicios de
interés general o para suministrar productos de interés general. Este puede
ser el caso cuando la utilización exclusiva de los datos sea el único modo de
optimizar sus ventajas sociales, por ejemplo, cuando solo haya una entidad
(especializada en el tratamiento de un conjunto de datos específico) capaz de
prestar el servicio o de suministrar el producto que permita al organismo del
sector público prestar un servicio de interés general o suministrar un
producto de interés general. No obstante, es preciso que tales acuerdos se
celebren de conformidad con el Derecho aplicable de la Unión o nacional y
sean objeto de una revisión periódica basada en un análisis del mercado a fin
de determinar si dicha exclusividad sigue siendo necesaria. Además, los
acuerdos deben respetar las normas pertinentes sobre ayudas estatales, cuando
proceda, y deben ser de duración limitada, como máximo de doce meses. A fin
de garantizar la transparencia, tales acuerdos exclusivos deben publicarse en
línea, en una forma acorde con el Derecho de la Unión aplicable en materia de
contratación pública. Cuando un derecho exclusivo de reutilización de datos no
cumpla el presente Reglamento, dicho derecho exclusivo debe ser nulo. |
(14) |
Los acuerdos exclusivos prohibidos y otras prácticas o acuerdos relativos
a la reutilización de datos que obren en poder de organismos del sector
público que no concedan de forma expresa derechos exclusivos, pero de los que
quepa esperar razonablemente que restrinjan la disponibilidad de datos para
su reutilización, que se hayan celebrado o ya existieran con anterioridad a
la fecha de entrada en vigor del presente Reglamento, no deben renovarse tras
la expiración de su período de vigencia. Los acuerdos indefinidos o a más
largo plazo deben resolverse en un máximo de treinta meses a partir de la
fecha de entrada en vigor del presente Reglamento. |
(15) |
El presente Reglamento debe establecer las condiciones de reutilización
de datos protegidos aplicables a los organismos del sector público designados
como competentes con arreglo al Derecho nacional para autorizar o denegar el
acceso para la reutilización, y que deben entenderse sin perjuicio de los
derechos u obligaciones relativos al acceso a tales datos. Estas condiciones
no deben ser discriminatorias, deben ser transparentes y proporcionadas y
estar justificadas objetivamente, y no deben restringir la competencia, con
especial énfasis en promover el acceso de las pymes y las empresas emergentes
a dichos datos. Las condiciones para la reutilización deben concebirse de
forma que promuevan la investigación científica para que, por ejemplo, no se
considere discriminatorio, por regla general, dar prioridad a la
investigación científica. Los organismos del sector público que permitan la
reutilización han de disponer de los medios técnicos necesarios para
garantizar la protección de los derechos y los intereses de terceros y deben
estar facultados para solicitar al reutilizador la información necesaria. Las
condiciones asociadas a la reutilización de datos deben limitarse a lo
necesario para proteger los derechos e intereses de terceros en relación con
los datos y la integridad de las tecnologías de la información y los sistemas
de comunicación de los organismos del sector público. Es preciso que los
organismos del sector público apliquen las condiciones que mejor sirvan a los
intereses del reutilizador, sin que ello suponga una carga desproporcionada
para los organismos del sector público. Deben determinarse las condiciones
ligadas a la reutilización de los datos para garantizar de forma efectiva la
protección de los datos personales. Antes de su transmisión, los datos
personales deben anonimizarse, con el fin de que la identificación de los
interesados sea imposible, y los datos que contengan información comercial
confidencial deben modificarse para que esta no se divulgue. Cuando el
suministro de datos anonimizados o modificados no responda a las necesidades
del reutilizador, siempre que se hayan cumplido los posibles requisitos de
realizar una evaluación de impacto relativa a la protección de datos y de
consultar a la autoridad de control en virtud de los artículos 35 y 36 del
Reglamento (UE) 2016/679, y se haya constatado que los riesgos para los
derechos y los intereses de los interesados son mínimos, podría permitirse su
reutilización presencial o remota en un entorno de tratamiento seguro. Este podría ser un mecanismo adecuado para la reutilización de datos
seudonimizados. Los análisis de datos en estos entornos de tratamiento
seguros deben ser supervisados por el organismo del sector público, de forma
que los derechos y los intereses de terceros queden protegidos. En concreto,
los datos personales solo han de transmitirse a un tercero para su
reutilización cuando exista una base jurídica en la normativa en materia de
protección de datos que lo permita. Los datos no personales solo deben
transmitirse cuando no haya motivos para creer que la combinación de
conjuntos de datos no personales conduzca a la identificación de los
interesados. Esto debe aplicarse también a los datos seudonimizados que
conserven su condición de datos personales. En caso de reidentificación de
los interesados, debe exigirse una obligación de notificar dicha violación de
la seguridad de los datos al organismo del sector público, además de una
obligación de notificarla a una autoridad de control y al interesado de
conformidad con lo dispuesto en el Reglamento (UE) 2016/679. En su caso, los
organismos del sector público deben facilitar, a través de los medios
técnicos adecuados, la reutilización de datos sobre la base del
consentimiento de los interesados o del permiso de los titulares de esos datos
para que se reutilicen sus datos. A este respecto, el organismo del sector
público ha de hacer todo lo posible por prestar asistencia a los potenciales
reutilizadores para obtener el consentimiento o permiso estableciendo
mecanismos técnicos que permitan transmitir las oportunas solicitudes de los
reutilizadores pidiendo consentimiento o permiso, cuando resulte factible en
la práctica. No deben facilitarse datos de contacto que permitan a los
reutilizadores dirigirse directamente a los interesados o a los titulares de
datos. Si el organismo del sector público transmite una solicitud de
consentimiento o de permiso, debe garantizar que el interesado o el titular
de datos esté claramente informado de la posibilidad de negarse a dar su
consentimiento o permiso. |
(16) |
Con miras a facilitar y fomentar la utilización con fines de
investigación científica de los datos que obren en poder de los organismos
del sector público, se anima a estos a que elaboren un planteamiento y
procesos armonizados que permitan que esos datos sean fácilmente accesibles
para fines de investigación científica por razones de interés público. Esto
podría significar, entre otras cosas, la creación de procedimientos
administrativos racionalizados, formatos normalizados de datos, metadatos
informativos sobre las opciones metodológicas y de recogida de datos, y
campos de datos normalizados que permitan unir de forma fácil conjuntos de
datos procedentes de diferentes fuentes de datos del sector público cuando
sea pertinente con fines de análisis. El objetivo de dichas prácticas debe
consistir en promover los datos financiados y producidos con fondos públicos
con fines de investigación científica, de conformidad con el principio de
«tan abiertos como sea posible, tan cerrados como sea necesario». |
(17) |
El presente Reglamento no ha de afectar a los derechos de propiedad
intelectual de terceros. El presente Reglamento tampoco debe afectar a la
existencia de derechos de propiedad intelectual de los organismos del sector
público ni a su titularidad, ni debe restringir en modo alguno el ejercicio
de esos derechos. Es preciso que las obligaciones impuestas de conformidad
con el presente Reglamento solo se apliquen en la medida en que sean
compatibles con los acuerdos internacionales sobre la protección de los derechos
de propiedad intelectual, en particular el Convenio de Berna para la
Protección de las Obras Literarias y Artísticas (Convenio de Berna), el
Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual
relacionados con el Comercio (Acuerdo sobre los ADPIC) y el Tratado relativo
a los derechos de autor de la Organización Mundial de la Propiedad
Intelectual, así como con el Derecho de la Unión o nacional en materia de
propiedad intelectual. No obstante, los organismos del sector público deben ejercer
sus derechos de autor de una manera que facilite la reutilización. |
(18) |
Los datos protegidos por derechos de propiedad intelectual o que
contengan secretos comerciales solo deben transmitirse a un tercero cuando
dicha transmisión sea lícita en virtud del Derecho de la Unión o nacional, o
cuando se cuente con el acuerdo del titular de los derechos. Cuando los
organismos del sector público sean titulares del derecho que se otorga a los
fabricantes de bases de datos establecido en el artículo 7, apartado 1, de la
Directiva 96/9/CE del Parlamento Europeo y del Consejo (26), no deben ejercerlo para impedir la reutilización de datos o para
restringirla más allá de los límites previstos en el presente Reglamento. |
(19) |
Las empresas y los interesados deben poder confiar en que la
reutilización de determinadas categorías de datos protegidos que obren en
poder de organismos del sector público tenga lugar respetando sus derechos e
intereses. Por lo tanto, se requiere introducir garantías adicionales para
las situaciones en las que la reutilización de esos datos del sector público
se realice en el marco de un tratamiento de datos fuera del sector público,
como, por ejemplo, el requisito de que los organismos del sector público
garanticen que los derechos e intereses de las personas físicas y jurídicas
se respetan plenamente, especialmente, en lo que respecta a los datos
personales, los datos comerciales sensibles y los derechos de propiedad
intelectual, en todos los casos, incluidos aquellos en que dichos datos se
transfieran a terceros países. Los organismos del sector público no deben
permitir que las compañías de seguros o cualquier otro proveedor de servicios
reutilicen la información almacenada en aplicaciones de sanidad electrónica
con el fin de discriminar en la fijación de precios, puesto que esto iría en
contra del derecho fundamental de acceso a la salud. |
(20) |
Además, a fin de preservar la competencia leal y la economía de mercado
abierta, resulta de vital importancia salvaguardar los datos protegidos de
carácter no personal, en particular, los secretos comerciales, pero también
los datos no personales que constituyan contenidos protegidos por derechos de
propiedad intelectual, frente a un acceso ilícito que entrañe riesgo de robo
de esta última o de espionaje industrial. A fin de garantizar la protección
de los derechos o los intereses de los titulares de datos, los datos no
personales que deban protegerse del acceso ilícito o no autorizado de
conformidad con el Derecho de la Unión o nacional y que obren en poder de
organismos del sector público, deben poder transferirse a terceros países
únicamente cuando ofrezcan garantías adecuadas para su utilización. Dichas
garantías adecuadas deben incluir como requisito que el organismo del sector
público transmita los datos protegidos a un reutilizador únicamente cuando
este contraiga obligaciones contractuales en interés de la protección de los
datos. Todo reutilizador que tenga intención de transferir los datos
protegidos a un tercer país debe cumplir las obligaciones establecidas en el
presente Reglamento, incluso después de dicha transferencia. A fin de velar
por el correcto cumplimiento de estas obligaciones, el reutilizador también
ha de aceptar, por lo que respecta a la resolución judicial de litigios, las
competencias del Estado miembro al que pertenezca el organismo del sector
público que haya permitido la reutilización. |
(21) |
Debe considerarse también que se aplican unas garantías adecuadas cuando
en un tercer país al que se estén transfiriendo datos no personales haya
medidas equivalentes que ofrezcan un grado de protección de los datos similar
al garantizado por el Derecho de la Unión, en particular, por lo que se
refiere a la protección de los secretos comerciales y de los derechos de
propiedad intelectual. A tal fin, la Comisión debe poder declarar, mediante
actos de ejecución, cuando así lo justifique un número sustancial de
solicitudes, en toda la Unión, relativas a la reutilización de datos no
personales en terceros países concretos, que un tercer país ofrece un grado
de protección sustancialmente equivalente al previsto en el Derecho de la
Unión. La Comisión debe evaluar la necesidad de dichos actos de ejecución
sobre la base de la información facilitada por los Estados miembros a través
del Comité Europeo de Innovación en materia de Datos. Tales actos de
ejecución garantizarían a los organismos del sector público que la reutilización
de datos que obren en poder de organismos del sector público en el tercer
país en cuestión no pondría en peligro la naturaleza protegida de dichos
datos. La evaluación del grado de protección ofrecido en el tercer país en
cuestión debe tomar en consideración, en particular, la normativa pertinente,
tanto general como sectorial, también en relación con la seguridad pública,
la defensa, la seguridad nacional y el Derecho penal, relativa al acceso a
datos no personales y la protección de dichos datos, a cualquier acceso por
parte de las autoridades públicas de ese tercer país a los datos
transferidos, a la existencia y el funcionamiento eficaz de una o varias
autoridades de control independientes en el tercer país, responsables de
hacer cumplir el régimen jurídico por el que se garantiza el acceso a dichos
datos, o los compromisos internacionales suscritos por el tercer país en
relación con la protección de los datos, u otras obligaciones que emanen de
convenciones o instrumentos jurídicamente vinculantes o de su participación
en sistemas multilaterales o regionales. La existencia de vías de recurso efectivas para los titulares de datos,
los organismos del sector público o los proveedores de servicios de
intermediación de datos en el tercer país reviste especial importancia en el
contexto de la transferencia de datos no personales a este último. Por tanto,
estas garantías deben incluir la existencia de derechos exigibles y de vías
de recurso efectivas. Dichos actos de ejecución deben entenderse sin perjuicio
de cualquier obligación legal o disposición contractual ya asumidas por el
reutilizador en interés de la protección de datos no personales, en
particular, datos industriales, o del derecho de los organismos del sector
público a obligar a los reutilizadores a cumplir las condiciones de
reutilización, de conformidad con el presente Reglamento. |
(22) |
Algunos terceros países adoptan leyes, reglamentos y otros actos
legislativos destinados a transferir directamente o facilitar el acceso de
las administraciones públicas a datos no personales en la Unión bajo el
control de personas físicas y jurídicas sobre las que los Estados miembros
pueden ejercer sus derechos soberanos. Aquellas resoluciones y sentencias de
los órganos jurisdiccionales de terceros países o resoluciones de las
autoridades administrativas de terceros países que requieran la transferencia
de datos no personales o el acceso a estos deben tener fuerza de ley cuando
se basen en un acuerdo internacional, como un tratado de asistencia judicial
mutua, en vigor entre el tercer país solicitante y la Unión o un Estado
miembro. En algunos casos, pueden darse situaciones en las que la obligación
de transferir datos no personales o facilitar el acceso a estos derivada de
la legislación de un tercer país entre en conflicto con una obligación
concurrente de proteger tales datos con arreglo al Derecho de la Unión o
nacional, en particular, en lo que se refiere a la protección de los derechos
fundamentales de las personas y de los intereses fundamentales de un Estado
miembro en relación con la seguridad nacional o la defensa, así como la
protección de datos comerciales sensibles y de derechos de propiedad
intelectual, incluidas las obligaciones contractuales en materia de
confidencialidad conforme a dicha legislación. Cuando no existan acuerdos
internacionales que regulen estas cuestiones, la transferencia de datos no
personales o su acceso solo han de permitirse si, en particular, se ha
verificado que el sistema jurídico del tercer país exige que se establezcan
los motivos y la proporcionalidad de la resolución o sentencia, que la
resolución o sentencia revista un carácter específico, y que la oposición
motivada del destinatario sea examinada por un órgano jurisdiccional
competente del tercer país, facultado para tener debidamente en cuenta los
intereses jurídicos pertinentes del proveedor de los datos. Además, los organismos del sector público, las personas físicas o
jurídicas a las que se les concede el derecho de reutilización de los datos,
los proveedores de servicios de intermediación de datos y las organizaciones
reconocidas de gestión de datos con fines altruistas deben garantizar, al
suscribir acuerdos contractuales con otras partes privadas, que solo se
acceda a los datos no personales que obran en poder de la Unión o se
transmitan estos a terceros países de conformidad con el Derecho de la Unión
o con el Derecho nacional del Estado miembro pertinente. |
(23) |
Para impulsar la confianza en la economía de los datos de la Unión es
esencial que las garantías relativas a los ciudadanos de la Unión y al sector
público y las empresas de la Unión garanticen que se ejerza control sobre sus
datos estratégicos y sensibles, y que se respeta el Derecho, los valores y
las normas de la Unión en cuanto a la seguridad, la protección de datos y la
protección de los consumidores, entre otros aspectos. A fin de impedir el
acceso ilícito a los datos no personales, los organismos del sector público,
las personas físicas o jurídicas a las que se haya concedido el derecho a
reutilizar datos, los proveedores de servicios de intermediación de datos y
las organizaciones reconocidas de gestión de datos con fines altruistas deben
adoptar todas las medidas razonables para impedir el acceso a los sistemas en
los que se almacenen los datos no personales, tales como el cifrado de datos
o las políticas corporativas. Para ello, debe garantizarse que los organismos
del sector público, las personas físicas o jurídicas a las que se haya
concedido el derecho a reutilizar datos, los proveedores de servicios de
intermediación de datos y las organizaciones reconocidas de gestión de datos
con fines altruistas deben acatar todas las normas técnicas, códigos de
conducta y certificaciones pertinentes de la Unión. |
(24) |
Para generar confianza en los mecanismos de reutilización, puede resultar
necesario imponer condiciones más estrictas en relación con ciertos tipos de
datos no personales que se pueden considerar muy sensibles, en futuros actos
legislativos específicos de la Unión, en lo que se refiere a la transferencia
a terceros países, cuando esta pueda poner en peligro objetivos de política
pública de la Unión, de conformidad con los compromisos internacionales. Por
ejemplo, en el ámbito de la salud, algunos conjuntos de datos en poder de los
agentes del sistema de salud pública, como los hospitales públicos, pueden
considerarse muy sensibles. Otros sectores pertinentes incluyen el
transporte, la energía, el medio ambiente y las finanzas. Con el fin de
garantizar unas prácticas armonizadas en toda la Unión, el Derecho de la
Unión debe definir estos tipos de datos públicos no personales muy sensibles,
por ejemplo, en el contexto del espacio europeo de datos sanitarios o de otra
normativa sectorial. Es preciso establecer en actos delegados las condiciones
asociadas a la transferencia de dichos datos a terceros países. Dichas
condiciones deben ser proporcionadas, no discriminatorias y necesarias para
proteger objetivos legítimos identificados de política pública de la Unión,
como la protección de la salud pública, la seguridad, el medio ambiente, la
moralidad pública, la protección de los consumidores, y la protección de la
privacidad y de los datos personales. Las condiciones deben corresponder a
los riesgos detectados en relación con la sensibilidad de dichos datos,
especialmente en términos del riesgo de reidentificación de las personas.
Dichas condiciones pueden incluir algunas aplicables a la transferencia de
datos o disposiciones técnicas, como el requisito de emplear un entorno de
tratamiento seguro, limitaciones relativas a la reutilización de datos en
terceros países, o las categorías de personas facultadas para transferir los
datos a terceros países o acceder a ellos en estos últimos. En casos
excepcionales, dichas condiciones también pueden incluir restricciones a la
transferencia de datos a terceros países para proteger el interés público. |
(25) |
Los organismos del sector público deben poder cobrar tasas por la
reutilización de datos, pero también deben poder permitir la reutilización
con un descuento en las tasas o de forma gratuita, por ejemplo, en el caso de
determinadas categorías de reutilización, como la reutilización no comercial
con fines de investigación científica o la reutilización por parte de pymes y
empresas emergentes, la sociedad civil y centros educativos, a fin de
incentivar esta reutilización para fomentar la investigación y la innovación
y apoyar a aquellas empresas que sean una importante fuente de innovación y
suelan encontrar más dificultades para recopilar los datos pertinentes por sí
mismas, de conformidad con las normas sobre ayudas estatales. En ese contexto
concreto, debe entenderse por fines de investigación científica aquellos que
incluyan cualquier tipo de fin relacionado con la investigación,
independientemente de la estructura organizativa o financiera del centro de
investigación en cuestión, a excepción de la investigación que lleve a cabo
una empresa con el objetivo de desarrollar, mejorar u optimizar productos o
servicios. Las tasas deben ser transparentes, no discriminatorias y limitarse
a los costes ocasionados y no deben restringir la competencia. Debe publicarse
una lista de las categorías de reutilizadores a los que se aplican descuentos
en las tasas rebajadas o no se aplica ninguna tasa, junto con los criterios
utilizados para la elaboración de dicha lista. |
(26) |
A fin de incentivar la reutilización de categorías específicas de datos
que obren en poder de organismos del sector público, los Estados miembros han
de establecer un punto de información único que actúe como interfaz para los
reutilizadores que deseen reutilizar dichos datos. El punto de información
único debe tener un mandato intersectorial y complementar, cuando proceda,
las disposiciones sectoriales. El punto de información único debe poder
contar con medios automatizados cuando transmita consultas o solicitudes de
reutilización. Debe garantizarse una supervisión humana suficiente en el
proceso de transmisión. A tales efectos, podrían usarse modalidades prácticas
ya existentes, como los portales de datos abiertos. El punto de información
único debe contar con una lista de activos que contenga un resumen de todos
los recursos de datos disponibles y que incluya, en su caso, aquellos
recursos de datos que estén disponibles en los puntos de información
sectoriales, regionales o locales, junto con información relevante que
describa los datos disponibles. Además, es preciso que los Estados miembros
designen, establezcan o faciliten la creación de organismos competentes para
respaldar las actividades de los organismos del sector público que se ocupen
de autorizar la reutilización de determinadas categorías de datos protegidos.
Entre sus tareas puede figurar la concesión de acceso a los datos, cuando así
lo exija la normativa sectorial de la Unión o nacional. Estos organismos
competentes deben prestar asistencia a los organismos del sector público
mediante técnicas punteras, entre otros, sobre la mejor manera de estructurar
y almacenar los datos para que sean fácilmente accesibles —en particular, a
través de interfaces de programación de aplicaciones—, y sobre cómo hacer que
los datos sean interoperables, transferibles y consultables, teniendo en
cuenta las normas técnicas y de regulación vigentes y las mejores prácticas
sobre tratamiento de datos y sobre entornos seguros de tratamiento de datos
que permitan analizar los datos de forma que se preserve la privacidad de la
información. Los organismos competentes deben actuar de conformidad con las
instrucciones recibidas del organismo del sector público. Dicha estructura de
asistencia podría servir de ayuda a los interesados y a los titulares de
datos en la gestión del consentimiento o el permiso de reutilización,
incluido el consentimiento y el permiso para determinados ámbitos de
investigación científica cuando se respeten las normas éticas reconocidas en
la materia. Los organismos competentes no deben tener una función de control,
ya que está reservada a las autoridades de control previstas en el Reglamento
(UE) 2016/679. Sin perjuicio de las competencias de control de las
autoridades responsables de la protección de datos, el tratamiento debe
efectuarse bajo la responsabilidad del organismo del sector público a cargo
del registro que contenga los datos, que sigue siendo el responsable del
tratamiento según la definición del Reglamento (UE) 2016/679 en la medida en
que afecte a datos personales. Los Estados miembros deben poder contar con
uno o varios organismos competentes, que podrían actuar en distintos
sectores. Los servicios internos de los organismos del sector público también
podrían actuar como organismos competentes. Un organismo competente podría
ser un organismo del sector público que preste asistencia a otros organismos
del sector público para autorizar la reutilización de datos, según proceda, o
un organismo del sector público que autorice por sí mismo la reutilización.
Prestar asistencia a otros organismos del sector público debe conllevar
informarles, previa solicitud, sobre las mejores prácticas para cumplir los
requisitos establecidos en el presente Reglamento, por ejemplo, en lo que
respecta a los medios técnicos que permiten facilitar un entorno de
tratamiento seguro o garantizar la privacidad y confidencialidad cuando se
proporciona acceso a la reutilización de datos que entran en el ámbito de
aplicación del presente Reglamento. |
(27) |
Se espera que los servicios de intermediación de datos desempeñen un
papel clave en la economía de los datos, en particular, apoyando y fomentando
las prácticas de intercambio voluntario de datos entre empresas o facilitando
el intercambio de datos en el contexto de las obligaciones establecidas en el
Derecho de la Unión o nacional. Podrían llegar a ser una herramienta para
facilitar el intercambio de cantidades sustanciales de datos pertinentes. Los
proveedores de servicios de intermediación de datos, entre los que se pueden
incluir organismos del sector público, que ofrezcan servicios que conecten a
los diferentes agentes tienen el potencial de contribuir a la puesta en común
eficiente de datos y a su intercambio bilateral. Los servicios de
intermediación de datos especializados que sean independientes de los
interesados, de los titulares de datos y de sus usuarios podrían desempeñar
un papel facilitador en la aparición de nuevos ecosistemas basados en datos
independientes de cualquier operador con un nivel importante de poder de
mercado, al mismo tiempo que posibilitan el acceso no discriminatorio a la
economía de los datos para todas las empresas, independientemente de su
tamaño, en particular, para las pymes y las empresas emergentes con limitados
medios financieros, jurídicos o administrativos. Ello será especialmente
importante en el contexto del establecimiento de espacios comunes europeos de
datos, a saber, marcos interoperables de normas y prácticas comunes,
específicos para un fin o un sector o intersectoriales, con el fin de
compartir o tratar conjuntamente los datos para, entre otros, el desarrollo
de nuevos productos y servicios, la investigación científica o las
iniciativas de la sociedad civil. Los servicios de intermediación de datos
podrían incluir el intercambio bilateral o multilateral de datos o la
creación de plataformas o bases de datos que posibiliten el intercambio o la
explotación conjunta de datos, así como el establecimiento de una
infraestructura específica para la interconexión de los interesados y los
titulares de datos con los usuarios de datos. |
(28) |
El presente Reglamento debe aplicarse a los servicios cuyo objeto sea
establecer relaciones comerciales con el fin de intercambiar datos entre un
número indeterminado de interesados y titulares de datos, por una parte, y
usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro
tipo, también con el fin de ejercer los derechos de los interesados en
relación con los datos personales. Cuando las empresas u otras entidades
ofrezcan múltiples servicios relacionados con los datos, solo las actividades
que se refieren directamente a la prestación de servicios de intermediación
de datos deben quedar comprendidas en el ámbito de aplicación del presente
Reglamento. Los servicios de almacenamiento en la nube, de análisis, el
software de intercambio de datos, los navegadores, los complementos para
navegadores o los servicios de correo electrónico no deben considerarse
servicios de intermediación de datos en el sentido de lo dispuesto en el
presente Reglamento, siempre que dichos servicios solo suministren
herramientas técnicas para que los interesados o los titulares de datos
intercambien datos con terceros, pero el suministro de dichas herramientas no
se use con el objeto de establecer una relación comercial entre titulares de
datos y usuarios de datos, ni permita al proveedor de servicios de
intermediación de datos obtener información sobre el establecimiento de
relaciones comerciales con el fin de intercambiar datos. Algunos ejemplos de
servicios de intermediación de datos serían los mercados de datos en los que
las empresas podrían poner datos a disposición de terceros, facilitadores de
ecosistemas de intercambio de datos abiertos a todas las partes interesadas,
por ejemplo, en el contexto de espacios comunes europeos de datos, así como
conjuntos de datos creados en común por varias personas físicas o jurídicas
con la intención de conceder licencias para la utilización de dichos
conjuntos de datos a todas las partes interesadas, de manera que todos los
participantes que contribuyan a su puesta en común reciban una gratificación
por su contribución. Esto excluiría los servicios que obtienen datos de titulares de datos y
que los agregan, enriquecen o transforman con el fin de añadirles un valor
sustancial y conceden licencias a los usuarios de datos para la utilización
de los datos resultantes, sin establecer una relación comercial entre los
titulares de datos y los usuarios de datos. Esto excluiría también los
servicios que utilice exclusivamente un único titular de datos para permitir
la utilización de los datos que obren en poder de dicho titular de datos, o
los que utilicen múltiples personas jurídicas en un grupo cerrado, incluida
la utilización en las relaciones con proveedores o con clientes o las
colaboraciones establecidas contractualmente, en particular, los que tienen
como objetivo principal garantizar las funcionalidades de los objetos y
dispositivos conectados al internet de las cosas. |
(29) |
No deben incluirse en el ámbito de aplicación del presente Reglamento los
servicios dedicados a la intermediación de contenidos protegidos por derechos
de autor, como los prestadores de servicios para compartir contenidos en
línea tal como se definen en el artículo 2, punto 6, de la Directiva (UE) 2019/790.
Los proveedores de información consolidada tal como se definen en el artículo
2, apartado 1, punto 35, del Reglamento (UE) n.o 600/2014 del
Parlamento Europeo y del Consejo (27), y los proveedores de servicios de información sobre cuentas tal como se
definen en el artículo 4, punto 19, de la Directiva (UE) 2015/2366 del
Parlamento Europeo y del Consejo (28), no deben considerarse proveedores de servicios de intermediación de
datos a efectos del presente Reglamento. El presente Reglamento no debe
aplicarse a los servicios ofrecidos por organismos del sector público para
facilitar la reutilización de datos protegidos que obren en poder de
organismos del sector público de conformidad con el presente Reglamento o la
utilización de otros datos, en la medida en que esos servicios no estén
destinados a establecer relaciones comerciales. No debe considerarse que las
organizaciones reconocidas de gestión de datos con fines altruistas reguladas
en el presente Reglamento ofrecen servicios de intermediación de datos,
cuando esos servicios no estén destinados a establecer relaciones comerciales
entre los posibles usuarios de datos, por una parte, y los interesados y los
titulares de datos que ceden los datos con fines altruistas, por otra. No
deben considerarse servicios de intermediación de datos en el sentido del
presente Reglamento otros servicios que no estén destinados a establecer
relaciones comerciales, tales como los repositorios destinados a permitir la
reutilización de datos de investigación científica de acuerdo con los
principios de acceso abierto. |
(30) |
Una categoría específica de servicios de intermediación de datos engloba
a los proveedores de servicios que ofrecen sus servicios a los interesados.
Estos proveedores de servicios de intermediación de datos tratan de mejorar
la actuación de los interesados y, en particular, el control de las personas
sobre los datos que les conciernen. Dichos proveedores les ayudarían a
ejercer sus derechos con arreglo al Reglamento (UE) 2016/679, especialmente
la concesión y retirada de su consentimiento al tratamiento de datos, el
derecho de acceso a sus propios datos, el derecho a la rectificación de los
datos personales inexactos, el derecho de supresión o «derecho al olvido», el
derecho a limitar el tratamiento y el derecho a la portabilidad de los datos,
que permite a los interesados trasladar sus datos personales de un
responsable del tratamiento a otro. En ese contexto, es importante que el
modelo empresarial de dichos proveedores garantice que no existan incentivos
incoherentes que animen a las personas a usar dichos servicios para facilitar
más datos que les conciernen para su tratamiento que lo que redundaría en su
propio interés. Tal modelo podría incluir el asesoramiento a las personas
sobre las posibles utilizaciones de sus datos y la realización de controles de
diligencia debida a los usuarios de datos antes de permitirles ponerse en
contacto con los interesados, a fin de evitar prácticas fraudulentas. En
determinadas situaciones, puede resultar conveniente recopilar datos reales
en un espacio de datos personales, de forma que el tratamiento pueda
efectuarse dentro de este, sin que se deban transmitir los datos personales a
terceros, a fin de maximizar la protección de los datos personales y la
privacidad. Estos espacios de datos personales podrían contener datos personales
estáticos, como el nombre, la dirección o la fecha de nacimiento, así como
datos dinámicos que genera una persona, por ejemplo, a través del uso de un
servicio en línea o un objeto conectado al internet de las cosas. También
podrían utilizarse para almacenar información de identidad verificada, como,
por ejemplo, el número de pasaporte o la información sobre seguridad social,
y credenciales (por ejemplo, permiso de conducir, diplomas o información
sobre cuentas bancarias). |
(31) |
Las cooperativas de datos tratan de alcanzar varios objetivos, en
particular, reforzar la capacidad de las personas para que tomen decisiones
con conocimiento de causa antes de dar su consentimiento a la utilización de
los datos, influyendo en las condiciones contractuales de las organizaciones
usuarias de datos en relación con la utilización de los datos de tal manera
que se proporcionen mejores opciones a los distintos miembros del grupo o, en
su caso, encontrando soluciones a las posiciones en conflicto de los miembros
de un grupo sobre la manera de utilizar los datos cuando estos atañen a
varios interesados de ese grupo. En dicho contexto, es importante reconocer
que los derechos en virtud del Reglamento (UE) 2016/679 son derechos
personales de los interesados y que los interesados no pueden renunciar a
ellos. Las cooperativas de datos también pueden facilitar medios útiles a las
empresas unipersonales y a las pymes que, por lo que respecta a los
conocimientos sobre el intercambio de datos, a menudo son comparables a
personas físicas. |
(32) |
A fin de aumentar la confianza en dichos servicios de intermediación de
datos, concretamente en relación con la utilización de los datos y el
cumplimiento de las condiciones impuestas por los interesados y los titulares
de datos, es necesario crear un marco regulador a escala de la Unión que
establezca requisitos muy armonizados relativos a la prestación fiable de
dichos servicios de intermediación de datos, y que sea aplicado por las
autoridades competentes. Dicho marco contribuirá a garantizar que los interesados
y los titulares de datos, así como los usuarios de datos, tengan un mayor
control sobre el acceso a sus datos y su utilización, conforme al Derecho de
la Unión. La Comisión también podría fomentar y facilitar la elaboración de
códigos de conducta a escala de la Unión, en los que participen las partes
interesadas pertinentes, en concreto sobre la interoperabilidad.
Independientemente de que el intercambio de datos tenga lugar entre empresas
o entre una empresa y el consumidor, los proveedores de servicios de
intermediación de datos deben ofrecer una forma novedosa y «europea» de
gobernanza de datos, que establezca una separación, en la economía de los
datos, entre el suministro, la intermediación y la utilización. Los
proveedores de servicios de intermediación de datos también podrían ofrecer
una infraestructura técnica específica para la interconexión de los
interesados y los titulares de datos con los usuarios de datos. A este
respecto, reviste especial importancia configurar dicha infraestructura de
tal manera que las pymes y las empresas emergentes no encuentren obstáculos
técnicos o de otro tipo para su participación en la economía de los datos. Debe permitirse a los proveedores de servicios de intermediación de datos
ofrecer herramientas y servicios específicos adicionales a los titulares de
datos o a los interesados con el fin específico de facilitar el intercambio
de datos, como el almacenamiento temporal, la organización, la conversión, la
anonimización y la seudonimización. Tales herramientas y servicios solo se
deben utilizar previa solicitud o aprobación expresas del titular de datos o
el interesado, y las herramientas de terceros ofrecidas en ese contexto no
deben utilizar datos para otros fines. Al mismo tiempo, debe permitirse a los
proveedores de servicios de intermediación de datos adaptar los datos
intercambiados con el fin de facilitar su utilización por el usuario, cuando
este así lo desee, o de mejorar la interoperabilidad mediante, por ejemplo,
su conversión a formatos específicos. |
(33) |
Resulta importante posibilitar un entorno competitivo para el intercambio
de datos. Para mejorar la confianza en los servicios de intermediación de
datos y el control de los titulares de datos, los interesados y los usuarios
de datos resulta clave la neutralidad de los proveedores de esos servicios
respecto a los datos intercambiados entre los titulares de datos o los
interesados y los usuarios de datos. Por consiguiente, es necesario que los
proveedores de servicios de intermediación de datos actúen únicamente como
intermediarios en las transacciones y no usen los datos intercambiados para
ningún otro fin. Las condiciones contractuales, incluidos los precios, de la
prestación de servicios de intermediación de datos no deben depender de si el
potencial titular de datos o usuario de datos emplea otros servicios
prestados por el mismo proveedor de servicios de intermediación de datos o
por una entidad relacionada con él, tales como el almacenamiento en la nube,
el análisis, la inteligencia artificial u otras aplicaciones basadas en
datos, ni tampoco puede depender de cómo emplee esos otros servicios el
titular de datos o el usuario de datos. Ello también exige una separación
estructural entre el servicio de intermediación de datos y cualquier otro
servicio prestado, a fin de evitar conflictos de intereses. Esto supone que
los servicios de intermediación de datos deben prestarse a través de una
entidad jurídica que sea independiente de las demás actividades del proveedor
de dichos servicios. No obstante, los proveedores de servicios de
intermediación de datos deben poder usar los datos facilitados por el titular
de datos para la mejora de sus servicios de intermediación de datos. Los proveedores de servicios de intermediación de datos deben poder poner
a disposición de los titulares de datos, los interesados o los usuarios de
datos herramientas propias o de terceros a fin de facilitar el intercambio de
datos como, por ejemplo, herramientas para la conversión o la organización de
datos, únicamente previa solicitud o aprobación expresas del interesado o del
titular de datos. Las herramientas de terceros ofrecidas en ese contexto no
deben utilizar datos con fines ajenos a los relacionados con los servicios de
intermediación de datos. Los proveedores de servicios de intermediación de
datos que actúen de intermediarios entre personas físicas en calidad de
interesados y personas jurídicas en calidad de usuarios de datos deben estar
sujetos, además, a obligaciones fiduciarias para con las personas físicas, a
fin de asegurar que actúen en el mejor interés de los interesados. Las
cuestiones de responsabilidad por todos los daños y perjuicios materiales e
inmateriales derivados de cualquier conducta del proveedor de servicios de
intermediación de datos podrían abordarse en el contrato pertinente, con
arreglo a los regímenes nacionales de responsabilidad. |
(34) |
Los proveedores de servicios de intermediación de datos deben adoptar
medidas razonables para garantizar la interoperabilidad dentro de un sector y
entre distintos sectores con el fin de garantizar el correcto funcionamiento
del mercado interior. Las medidas razonables podrían incluir el cumplimiento
de las normas de uso común existentes en el sector en el que operen los
proveedores de servicios de intermediación de datos. El Comité Europeo de
Innovación en materia de Datos debe facilitar la creación de normas
adicionales para el sector cuando sea necesario. Los proveedores de servicios
de intermediación de datos deben aplicar a su debido tiempo las medidas de
interoperabilidad entre los servicios de intermediación de datos adoptadas
por el Comité Europeo de Innovación en materia de Datos. |
(35) |
El presente Reglamento debe entenderse sin perjuicio de la obligación de
los proveedores de servicios de intermediación de datos de cumplir lo
dispuesto en el Reglamento (UE) 2016/679 y la responsabilidad de las
autoridades de control de asegurar el cumplimiento de este último. Cuando los
proveedores de servicios de intermediación de datos traten datos personales,
el presente Reglamento no debe afectar a la protección de los datos
personales. Cuando los proveedores de servicios de intermediación de datos
sean los responsables o encargados del tratamiento de datos tal como se
definen en el Reglamento (UE) 2016/679, deben estar sujetos a las normas
establecidas en dicho Reglamento. |
(36) |
Se espera que los proveedores de servicios de intermediación de datos
dispongan de procedimientos y medidas para imponer sanciones contra las
prácticas fraudulentas o abusivas en relación con los terceros que traten de
obtener acceso a través de sus servicios de intermediación de datos, entre
otras, mediante medidas como la exclusión de los usuarios de datos que
infrinjan las condiciones del servicio o el Derecho vigente. |
(37) |
Los proveedores de servicios de intermediación de datos deben adoptar,
asimismo, medidas para garantizar el cumplimiento del Derecho de la
competencia y disponer de procedimientos a tal efecto. Este es el caso de
determinadas situaciones en las que el intercambio de datos permite a las
empresas estar al corriente de las estrategias de mercado de sus competidores
reales o potenciales. La información sensible desde el punto de vista de la
competencia suele incluir detalles sobre datos de clientes, precios futuros,
costes de producción, cantidades, facturación, ventas o capacidades. |
(38) |
Debe establecerse un procedimiento de notificación en relación con los
servicios de intermediación de datos a fin de garantizar que la gobernanza de
los datos dentro de la Unión se base en un intercambio de datos de confianza.
Con el fin de obtener más fácilmente las ventajas de un entorno fiable,
convendría imponer una serie de requisitos para la prestación de servicios de
intermediación de datos, pero sin exigir ninguna decisión o acto
administrativo expreso por parte de la autoridad competente en materia de
servicios de intermediación de datos de cara a la prestación de los
servicios. El procedimiento de notificación no debe imponer obstáculos
indebidos a las pymes, empresas emergentes y organizaciones de la sociedad
civil, y debe respetar el principio de no discriminación. |
(39) |
A fin de apoyar una prestación transfronteriza de servicios eficaz,
procede solicitar al proveedor de servicios de intermediación de datos que
envíe una notificación únicamente a la autoridad competente en materia de
servicios de intermediación de datos del Estado miembro en el que se
encuentre su establecimiento principal o su representante legal. Esta
notificación no debe ser más que la mera declaración de la intención de
prestar los mencionados servicios, completada únicamente con la información
que se exige en el presente Reglamento. Tras la correspondiente notificación,
el proveedor de servicios de intermediación de datos debe poder iniciar su
actividad en cualquier Estados miembro sin ulteriores obligaciones de
notificación. |
(40) |
El procedimiento de notificación establecido en el presente Reglamento ha
de entenderse sin perjuicio de las normas adicionales específicas para la
prestación de servicios de intermediación de datos que sean aplicables con
arreglo a la normativa sectorial. |
(41) |
El establecimiento principal de un proveedor de servicios de
intermediación de datos en la Unión debe ser aquel en el que se encuentre su
administración central en la Unión. El establecimiento principal de un
proveedor de servicios de intermediación de datos en la Unión debe
determinarse de conformidad con criterios objetivos e implicar el ejercicio
efectivo y real de las actividades de gestión. Las actividades de un
proveedor de servicios de intermediación de datos deben cumplir el Derecho
nacional del Estado miembro en el que tenga su establecimiento principal. |
(42) |
Para garantizar que los prestadores de servicios de intermediación de
datos cumplan el presente Reglamento, deben estar establecidos en la Unión.
Cuando un proveedor de servicios de intermediación de datos que no esté
establecido en la Unión ofrezca servicios en ella, debe designar a un
representante legal. En esos casos, la designación de un representante legal
es necesaria, dado que dichos proveedores de servicios de intermediación de
datos manejan datos personales y datos comerciales confidenciales, y ello
requiere una estrecha supervisión del cumplimiento del presente Reglamento
por parte de los proveedores de servicios de intermediación de datos. Para
determinar si el proveedor de servicios de intermediación de datos ofrece
servicios en la Unión, debe averiguarse si hay constancia de que dicho
proveedor tiene la intención de ofrecer servicios de intermediación a
personas de uno o varios Estados miembros. La mera accesibilidad en la Unión
del sitio web o de una dirección de correo electrónico y otros datos de
contacto del proveedor de servicios de intermediación de datos o el uso de
una lengua comúnmente utilizada en el tercer país en el que el proveedor de
servicios de intermediación de datos esté establecido deben considerarse
insuficientes para determinar tal intención. No obstante, factores como el
empleo de una lengua o una moneda de uso común en uno o varios Estados
miembros, con la posibilidad de encargar servicios en esa lengua, o la
mención de usuarios que estén en la Unión, podría revelar que el proveedor de
servicios de intermediación de datos tiene la intención de ofrecer servicios
en la Unión. Un representante legal designado debe actuar en nombre del proveedor de
servicios de intermediación de datos, y las autoridades competentes en
materia de servicios de intermediación de datos han de poder ponerse en
contacto con él además de o en lugar del proveedor de servicios de
intermediación de datos, también en caso de infracción, a fin de iniciar un
procedimiento de ejecución contra el proveedor de servicios de intermediación
de datos no establecido en la Unión que no cumpla las normas. El
representante legal debe haber sido designado mediante un mandato por escrito
del proveedor de servicios de intermediación de datos para actuar en nombre
de este en lo que respecta a las obligaciones del proveedor con arreglo al
presente Reglamento. |
(43) |
Para ayudar a los interesados y a los titulares de datos a identificar
fácilmente a los proveedores de servicios de intermediación de datos
reconocidos en la Unión y, así, aumentar su confianza en ellos, debe
establecerse un logotipo común que sea reconocible en toda la Unión, además
de la denominación «proveedor de servicios de intermediación de datos
reconocido en la Unión». |
(44) |
Las autoridades competentes en materia de servicios de intermediación de
datos designadas para supervisar que los proveedores de servicios de
intermediación de datos cumplen los requisitos establecidos en el presente
Reglamento han de ser elegidas en función de su capacidad y experiencia en
relación con el intercambio de datos horizontal o sectorial. Deben ser
independientes de cualquier proveedor de servicios de intermediación de
datos, transparentes e imparciales en el ejercicio de sus funciones. Los
Estados miembros deben notificar a la Comisión la identidad de dichas
autoridades competentes en materia de servicios de intermediación de datos.
Las facultades y competencias de las autoridades competentes en materia de
servicios de intermediación de datos designadas deben entenderse sin
perjuicio de las facultades de las autoridades responsables de la protección
de datos. En particular, cuando una cuestión requiera evaluar el cumplimiento
del Reglamento (UE) 2016/679, la autoridad competente en materia de servicios
de intermediación de datos debe solicitar un dictamen o una decisión, según
proceda, a la autoridad de control competente establecida con arreglo a dicho
Reglamento. |
(45) |
Existe un importante potencial de objetivos de interés general en la
utilización de datos facilitados voluntariamente por los interesados a través
de su consentimiento informado o, en lo que se refiere a los datos no
personales, facilitados por titulares de datos. Entre esos objetivos se
incluyen la asistencia sanitaria, la lucha contra el cambio climático, la
mejora de la movilidad, la facilitación del desarrollo, elaboración y
difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos
o la elaboración de políticas públicas. El respaldo a la investigación
científica debe considerarse también un objetivo de interés general. El
presente Reglamento debe tener por objeto contribuir a la creación de
conjuntos de datos de tamaño suficiente disponibles de manera altruista para
permitir el análisis de datos y el aprendizaje automático, también a través
de toda la Unión. Con el fin de lograr ese objetivo, los Estados miembros
deben poder poner en práctica disposiciones organizativas, técnicas o ambas
que faciliten la cesión altruista de datos. Entre esas disposiciones podrían
incluirse la disponibilidad de herramientas de fácil uso para que los
interesados o los titulares de datos den su consentimiento o permiso para la
utilización altruista de sus datos, la organización de campañas de
sensibilización o un intercambio estructurado entre autoridades competentes
sobre la forma en que las políticas públicas (por ejemplo, la mejora del
tráfico, la salud pública y la lucha contra el cambio climático) se
benefician de la cesión altruista de datos. A tales efectos, los Estados
miembros deben poder establecer políticas nacionales en materia de cesión
altruista de datos. Los interesados deben poder recibir compensación
relacionada únicamente con los costes en que incurran cuando faciliten sus
datos con objetivos de interés general. |
(46) |
Se espera que la inscripción de las organizaciones reconocidas de gestión
de datos con fines altruistas en un registro y la utilización de dicha
denominación desemboquen en la creación de repositorios de datos. La
inscripción en un Estado miembro tendría validez en toda la Unión y se espera
que facilite la utilización transfronteriza de los datos dentro de esta y la
aparición de conjuntos de datos que den cobertura a varios Estados miembros.
Los titulares de datos podrían autorizar el tratamiento de sus datos no
personales para diversos fines no determinados en el momento de dar su
permiso. El cumplimiento de un conjunto de requisitos tal como dispone el
presente Reglamento, por parte de dichas organizaciones reconocidas de
gestión de datos con fines altruistas debería generar confianza en que los
datos facilitados con fines altruistas sirvan a un objetivo de interés
general. En concreto, esta confianza debe derivarse del hecho de tener un
lugar de establecimiento o un representante legal en la Unión, así como a
través del requisito de que las organizaciones reconocidas de gestión de
datos con fines altruistas tengan carácter no lucrativo, de los requisitos de
transparencia y de las garantías concretas establecidas para proteger los
derechos e intereses de los interesados y las empresas. Además, las medidas de prevención han de incluir la posibilidad de tratar
los datos pertinentes en un entorno de tratamiento seguro gestionado por la
entidad registrada, mecanismos de control, tales como consejos o comités éticos,
que incluyan a representantes de la sociedad civil, que garanticen que el
responsable del tratamiento respete unas elevadas normas de ética científica
y protección de los derechos fundamentales, medios técnicos eficaces y
comunicados de forma clara para retirar o modificar el consentimiento en
cualquier momento, sobre la base de las obligaciones de información de los
encargados del tratamiento de datos con arreglo al Reglamento (UE) 2016/679,
así como medios para que los interesados estén informados sobre la
utilización de los datos que hayan facilitado. La inscripción como
organización reconocida de gestión de datos con fines altruistas no debe ser
una condición previa para el ejercicio de actividades de gestión de datos con
fines altruistas. La Comisión debe preparar, por medio de actos delegados, un
código normativo en estrecha cooperación con organizaciones de gestión de
datos con fines altruistas y partes interesadas pertinentes. El cumplimiento
de ese código normativo debe constituir un requisito para la inscripción en
el registro como organización reconocida de gestión de datos con fines
altruistas. |
(47) |
Para ayudar a los interesados y a los titulares de datos a identificar
fácilmente las organizaciones reconocidas de gestión de datos con fines
altruistas, y aumentar así su confianza en ellas, debe establecerse un
logotipo común que sea reconocible en toda la Unión. El logotipo común debe
ir acompañado de un código QR con un enlace al registro público de la Unión
de las organizaciones reconocidas de gestión de datos con fines altruistas. |
(48) |
El presente Reglamento debe entenderse sin perjuicio de la creación, la
organización y el funcionamiento de entidades que busquen participar en la
cesión altruista de datos conforme a la legislación nacional y sustentarse en
los requisitos de la legislación nacional para operar lícitamente en un
Estado miembro como organización sin ánimo de lucro. |
(49) |
El presente Reglamento debe entenderse sin perjuicio del establecimiento,
la organización y el funcionamiento de otras entidades distintas de los
organismos del sector público que se dediquen al intercambio de datos y de
contenidos sobre la base de licencias abiertas, contribuyendo así a la
creación de recursos comunes a disposición del público. Entre ellas deben
incluirse las plataformas de intercambio abierto de conocimientos
colaborativos, los repositorios científicos y académicos de acceso abierto,
las plataformas de desarrollo de software de código abierto y las plataformas
de agregación de contenidos de acceso abierto. |
(50) |
Las organizaciones reconocidas de gestión de datos con fines altruistas
han de poder recopilar los datos pertinentes directamente de las personas
físicas y jurídicas o tratar los datos recopilados por terceros. El
tratamiento de los datos recogidos podría ser realizado directamente por
organizaciones de gestión de datos con fines altruistas para fines que ellas
establezcan o, según proceda, podrían permitir el tratamiento por parte de
terceros para esos fines. Cuando las organizaciones reconocidas de gestión de
datos con fines altruistas sean las responsables o encargadas del tratamiento
de datos tal como se definen en el Reglamento (UE) 2016/679, deben cumplir
dicho Reglamento. Por lo general, la cesión altruista de datos se
fundamentaría en el consentimiento de los interesados en el sentido del
artículo 6, apartado 1, letra a), y del artículo 9, apartado 2, letra a), del
Reglamento (UE) 2016/679, y se deben cumplir los requisitos de consentimiento
legal conforme a los artículos 7 y 8 del citado Reglamento. De acuerdo con el
Reglamento (UE) 2016/679, los fines de investigación científica pueden
respaldarse mediante el consentimiento para determinados ámbitos de
investigación científica que respeten las normas éticas reconocidas para la
investigación científica o solamente para determinadas áreas de investigación
o partes de proyectos de investigación. El artículo 5, apartado 1, letra b),
del Reglamento (UE) 2016/679 especifica que el tratamiento ulterior de los
datos personales con fines de investigación científica e histórica o fines
estadísticos no debe considerarse, conforme al artículo 89, apartado 1, del
mismo Reglamento, incompatible con los fines iniciales. Las limitaciones a la
utilización de los datos no personales deben figurar en el permiso otorgado por
el titular de los datos. |
(51) |
Las autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas designadas para
supervisar el cumplimiento de los requisitos del presente Reglamento por las
organizaciones reconocidas de gestión de datos con fines altruistas han de
ser elegidas en función de su capacidad y conocimientos especializados. Deben
ser independientes de cualquier organización de gestión de datos con fines
altruistas, así como transparentes e imparciales en el ejercicio de sus
funciones. Los Estados miembros deben notificar a la Comisión la identidad de
esas autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas. Las facultades y
competencias de las autoridades competentes para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas deben
entenderse sin perjuicio de las facultades de las autoridades responsables de
la protección de datos. En particular, cuando una cuestión requiera evaluar
el cumplimiento del Reglamento (UE) 2016/679, la autoridad competente para la
inscripción en el registro de las organizaciones de gestión de datos con
fines altruistas debe solicitar un dictamen o una decisión, según proceda, a
la autoridad de control competente establecida con arreglo a dicho
Reglamento. |
(52) |
A fin de fomentar la confianza y aportar seguridad jurídica adicional y
facilidad de uso al proceso de concesión o retirada del consentimiento, en
particular, en el contexto de la investigación científica y la utilización
estadística de los datos cedidos con fines altruistas, debe elaborarse un
formulario europeo de consentimiento para la cesión altruista de datos y
emplearse en el marco del intercambio de datos con fines altruistas. Este
formulario debe contribuir a aumentar la transparencia para los interesados,
en el sentido de que se accederá a sus datos y estos se utilizarán de
conformidad con su consentimiento y respetando plenamente las normas de
protección de datos. Además, debe facilitar la concesión y la retirada del
consentimiento y emplearse para generalizar la cesión altruista de datos
efectuada por las empresas y proporcionar un mecanismo que permita a estas
retirar su permiso para la utilización de los datos. A fin de tener en cuenta
las particularidades de los distintos sectores, especialmente desde la
perspectiva de la protección de datos, el formulario europeo de
consentimiento para la cesión altruista de datos debe adoptar un diseño
modular que permita su adaptación a sectores específicos y distintos fines. |
(53) |
Con el objetivo de aplicar satisfactoriamente el marco de gobernanza de
los datos, debe crearse un Comité Europeo de Innovación en materia de Datos,
en forma de grupo de expertos. Dicho Comité ha de estar compuesto por
representantes de las autoridades competentes en materia de servicios de
intermediación de datos y las autoridades competentes para la inscripción en
el registro de las organizaciones de gestión de datos con fines altruistas de
todos los Estados miembros, por el Comité Europeo de Protección de Datos, el
Supervisor Europeo de Protección de Datos, la Agencia de la Unión Europea
para la Ciberseguridad (ENISA), la Comisión, el representante de la UE para
las pymes o un representante designado por la red de representantes
nacionales para las pymes y otros representantes de los organismos
pertinentes de sectores específicos, así como organismos con conocimientos
especializados. El Comité Europeo de Innovación en materia de Datos debe
constar de una serie de subgrupos, incluido un subgrupo para la participación
de las partes interesadas y compuesto por representantes pertinentes del
sector correspondiente (como la salud, el medio ambiente, la agricultura, el
transporte, la energía, la fabricación industrial, los medios de
comunicación, los sectores cultural y creativo y la estadística), así como de
los sectores de la investigación, el mundo académico, la sociedad civil, los
organismos de normalización, los correspondientes espacios comunes europeos
de datos y otras partes interesadas pertinentes y terceros interesados, entre
otros, los organismos con conocimientos específicos (como las oficinas
nacionales de estadística). |
(54) |
El Comité Europeo de Innovación en materia de Datos debe prestar
asistencia a la Comisión para coordinar las prácticas y estrategias
nacionales sobre los temas contemplados en el presente Reglamento, y para
promover la utilización intersectorial de datos mediante la suscripción de
los principios del Marco Europeo de Interoperabilidad y el uso de normas y
especificaciones europeas e internacionales, también mediante la Plataforma
Europea Multilateral de Normalización de las TIC, los vocabularios básicos y
los módulos del Mecanismo «Conectar Europa», y debe tener en cuenta las
labores de normalización que se realicen en sectores o ámbitos específicos.
Entre las labores de normalización técnica, podrían incluirse la
identificación de las prioridades para el desarrollo de normas, así como el
establecimiento y mantenimiento de un conjunto de normas técnicas y jurídicas
para la transmisión de datos entre dos entornos de tratamiento que permita
organizar los espacios de datos, en particular, aclarando y distinguiendo las
normas y prácticas intersectoriales de las sectoriales. El Comité Europeo de
Innovación en materia de Datos debe cooperar con los organismos, las redes o
los grupos de expertos sectoriales, u otras organizaciones intersectoriales
que se ocupen de la reutilización de datos. En lo que se refiere a la cesión
altruista de datos, es preciso que el Comité Europeo de Innovación en materia
de Datos ayude a la Comisión a elaborar el formulario de consentimiento para
la cesión altruista de datos, previa consulta al Comité Europeo de Protección
de Datos. A la hora de proponer directrices sobre los espacios comunes
europeos de datos, el Comité Europeo de Innovación en materia de Datos debe
apoyar el desarrollo de una economía europea de los datos que funcione sobre
la base de esos espacios de datos, tal como se establece en la Estrategia
Europea de Datos. |
(55) |
Los Estados miembros deben establecer los regímenes sancionadores
aplicables a las infracciones del presente Reglamento y tomar todas las
medidas necesarias para garantizar que se apliquen. Las sanciones previstas
deben ser efectivas, proporcionadas y disuasorias. La existencia de grandes
discrepancias entre los regímenes sancionadores podría distorsionar la
competencia en el mercado único digital. La armonización de tales normas
podría ser beneficiosa a este respecto. |
(56) |
A fin de garantizar una aplicación eficaz del presente Reglamento y que
los proveedores de servicios de intermediación de datos, así como las
entidades que deseen inscribirse como organizaciones reconocidas de gestión
de datos con fines altruistas, puedan acceder a los procedimientos de
notificación y registro y completarlos íntegramente en línea y de forma
transfronteriza, dichos procedimientos deben ofrecerse a través de la
pasarela digital única establecida de conformidad con el Reglamento (UE)
2018/1724 del Parlamento Europeo y del Consejo (29). Dichos procedimientos deben añadirse a la lista de procedimientos
incluidos en el anexo II del Reglamento (UE) 2018/1724. |
(57) |
Por lo tanto, debe modificarse el Reglamento (UE) 2018/1724 en
consecuencia. |
(58) |
A fin de garantizar la eficacia del presente Reglamento, deben delegarse
en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del
TFUE, con la finalidad de completar el presente Reglamento con condiciones
especiales aplicables a la transferencia a terceros países de determinadas
categorías de datos no personales consideradas muy sensibles, a través de
actos legislativos específicos de la Unión y con un código normativo, que las
organizaciones reconocidas de gestión de datos con fines altruistas deben
cumplir, que contenga los requisitos informativos, técnicos y de seguridad,
así como las hojas de ruta sobre comunicación y las normas de
interoperabilidad. Reviste especial importancia que la Comisión lleve a cabo
las consultas oportunas durante la fase preparatoria, en particular con
expertos, y que esas consultas se realicen de conformidad con los principios
establecidos en el Acuerdo Interinstitucional de 13 de abril de 2016 sobre la
Mejora de la Legislación (30). En particular, a fin de garantizar una participación equitativa en la
preparación de los actos delegados, el Parlamento Europeo y el Consejo
reciben toda la documentación al mismo tiempo que los expertos de los Estados
miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de
los grupos de expertos de la Comisión que se ocupen de la preparación de
actos delegados. |
(59) |
A fin de garantizar condiciones uniformes de ejecución del presente
Reglamento, deben conferirse a la Comisión competencias de ejecución para
prestar asistencia a los organismos del sector público y a los reutilizadores
en su cumplimiento de las condiciones de reutilización establecidas en el
presente Reglamento mediante cláusulas contractuales tipo para la
transferencia de datos no personales por parte de reutilizadores a terceros
países, para declarar que las disposiciones jurídicas, de supervisión y de ejecución
de un tercer país son equivalentes a la protección concedida por el Derecho
de la Unión, para diseñar el logotipo común para los proveedores de servicios
de intermediación de datos y el logotipo común para las organizaciones de
gestión de datos con fines altruistas reconocidas, y para establecer y
elaborar el formulario europeo de consentimiento para la cesión altruista de
datos. Dichas competencias deben ejercerse de conformidad con el Reglamento
(UE) n.o 182/2011 del Parlamento Europeo y del Consejo (31). |
(60) |
El presente Reglamento no debe afectar a la aplicación de la normativa
sobre competencia, y en particular a los artículos 101 y 102 del TFUE. Las
disposiciones del presente Reglamento no deben utilizarse para restringir la
competencia de forma contraria al TFUE. Esto se refiere, en particular, a las
normas sobre el intercambio de información sensible desde el punto de vista
de la competencia entre competidores reales o potenciales a través de los
servicios de intermediación de datos. |
(61) |
El Supervisor Europeo de Protección de Datos y el Comité Europeo de
Protección de Datos, a los que se consultó de conformidad con el artículo 42,
apartado 1, del Reglamento (UE) 2018/1725, emitieron su dictamen el 10 de marzo
de 2021. |
(62) |
El presente Reglamento utiliza como principios rectores el respeto de los
derechos fundamentales y los principios reconocidos, en particular, en la
Carta de los Derechos Fundamentales de la Unión Europea, incluidos el derecho
a la intimidad, la protección de los datos de carácter personal, la libertad
de empresa, el derecho a la propiedad y la integración de personas con
discapacidad. En el contexto de este último, los organismos del sector
público y los servicios en el marco del presente Reglamento deben cumplir,
según proceda, lo dispuesto en las Directivas (UE) 2016/2102 (32) y (UE) 2019/882 (33) del Parlamento Europeo y del Consejo. Asimismo, debe
tenerse en cuenta el diseño para todos en el contexto de la tecnología de la
información y la comunicación, que es el esfuerzo consciente y sistemático
por aplicar de forma proactiva principios, métodos y herramientas que
fomenten el diseño universal en tecnologías relacionadas con la informática,
incluidas las tecnologías basadas en internet, evitando de esa forma la
necesidad de realizar adaptaciones posteriormente o un diseño especializado. |
(63) |
Dado que los objetivos del presente Reglamento, a saber, la
reutilización, dentro de la Unión, de determinadas categorías de datos que
obren en poder de organismos del sector público, así como el establecimiento
de un marco de notificación y supervisión para la prestación de los servicios
de intermediación de datos, un marco para la inscripción voluntaria en un
registro de las entidades que cedan datos con fines altruistas y un marco
para la creación de un Comité Europeo de Innovación en materia de Datos, no
pueden ser alcanzados de manera suficiente por los Estados miembros, sino
que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la
Unión, esta puede adoptar medidas, de acuerdo con el principio de
subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea.
De conformidad con el principio de proporcionalidad establecido en el mismo
artículo, el presente Reglamento no excede de lo necesario para alcanzar
dichos objetivos. |
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO
I
Disposiciones
generales
Artículo 1
Objeto y ámbito de aplicación
1. El
presente Reglamento establece:
a) |
las condiciones para la reutilización, dentro de la Unión, de
determinadas categorías de datos que obren en poder de organismos del sector
público; |
b) |
un marco de notificación y supervisión para la prestación de servicios de
intermediación de datos; |
c) |
un marco para la inscripción voluntaria en un registro de las entidades
que recojan y traten datos cedidos con fines altruistas, y |
d) |
un marco para la creación de un Comité Europeo de Innovación en materia
de Datos. |
2. El presente
Reglamento no obliga a los organismos del sector público a permitir la
reutilización de datos ni los exime de sus obligaciones en materia de
confidencialidad que les imponga el Derecho de la Unión o el nacional.
El presente Reglamento se entenderá sin perjuicio:
a) |
de las disposiciones específicas previstas en el Derecho de la Unión o
nacional en lo referente al acceso a determinadas categorías de datos o a su
reutilización, en particular, con respecto a la concesión de acceso a documentos
oficiales y su divulgación, ni |
b) |
de las obligaciones de los organismos del sector público con arreglo al
Derecho de la Unión o nacional de permitir la reutilización de datos, ni de
los requisitos relacionados con el tratamiento de datos no personales. |
Cuando la normativa de la Unión o nacional específica
de un sector exija a los organismos del sector público, los proveedores de
servicios de intermediación de datos o las organizaciones reconocidas de
gestión de datos con fines altruistas cumplir requisitos específicos
adicionales de carácter técnico, administrativo u organizativo, también
mediante un régimen de autorización o certificación, las disposiciones de dicha
normativa de la Unión o nacional serán igualmente de aplicación. Cualquier
requisito específico adicional de ese tipo deberá ser no discriminatorio y
proporcionado y estar justificado objetivamente.
3. El Derecho
de la Unión y nacional en materia de protección de datos personales se aplicará
a todos los datos personales tratados en relación con el presente Reglamento.
En particular, el presente Reglamento se entenderá sin perjuicio de los
Reglamentos (UE) 2016/679 y (UE) 2018/1725, y de las Directivas 2002/58/CE y
(UE) 2016/680, incluidas las facultades y competencias de las autoridades de
control. En caso de conflicto entre el presente Reglamento y el Derecho de la
Unión en materia de protección de datos personales o el Derecho nacional
adoptado de conformidad con el Derecho de la Unión en la materia, prevalecerá
el Derecho de la Unión o nacional que sea aplicable en materia de protección de
datos personales. El presente Reglamento no crea una base jurídica para el
tratamiento de datos personales ni afecta a ninguna obligación ni derecho
establecidos en los Reglamentos (UE) 2016/679 o (UE) 2018/1725, o en las
Directivas 2002/58/CE o (UE) 2016/680.
4. El presente
Reglamento se entenderá sin perjuicio de la aplicación del Derecho de la
competencia.
5. El presente
Reglamento se entenderá sin perjuicio de las competencias de los Estados
miembros respecto a las actividades relativas a la seguridad pública, la
defensa y la seguridad nacional.
Artículo 2
Definiciones
A efectos del presente Reglamento, se entenderá por:
1) |
«datos», toda representación digital de actos, hechos o información, así
como su recopilación, incluso como grabación sonora, visual o audiovisual; |
2) |
«reutilización», la utilización, por personas físicas o jurídicas, de los
datos que obren en poder de organismos del sector público, con fines
comerciales o no comerciales distintos del propósito inicial englobado en la
misión de servicio público para el que se hayan producido tales datos,
excepto en el caso del intercambio de datos entre organismos del sector
público con la única finalidad de desempeñar sus actividades de servicio
público; |
3) |
«datos personales», los datos personales tal como se definen en el
artículo 4, punto 1, del Reglamento (UE) 2016/679; |
4) |
«datos no personales», aquellos que no sean datos personales; |
5) |
«consentimiento», el consentimiento tal como se define en el artículo 4,
punto 11, del Reglamento (UE) 2016/679; |
6) |
«permiso», la concesión a los usuarios de datos del derecho al
tratamiento de datos no personales; |
7) |
«interesado», el interesado tal como se indica en el artículo 4, punto 1,
del Reglamento (UE) 2016/679; |
8) |
«titular de datos», toda persona jurídica, incluidos los organismos del
sector público y organizaciones internacionales, o persona física que no sea
el interesado con respecto a los datos específicos en cuestión, que, de
conformidad con el Derecho de la Unión o nacional aplicable, tenga derecho a
conceder acceso a determinados datos personales o no personales o a
compartirlos; |
9) |
«usuario de datos», toda persona física o jurídica que tenga acceso
legítimo a determinados datos personales o no personales y el derecho,
incluido el que le otorga el Reglamento (UE) 2016/679 en el caso de los datos
personales, a usarlos con fines comerciales o no comerciales; |
10) |
«intercambio de datos», la facilitación de datos por un interesado o
titular de datos a un usuario de datos, directamente o a través de un
intermediario y en virtud de un acuerdo voluntario o del Derecho de la Unión
o nacional, con el fin de hacer un uso en común o individual de tales datos,
por ejemplo, mediante licencias abiertas o mediante licencias comerciales de
pago o gratuitas; |
11) |
«servicio de intermediación de datos», todo servicio cuyo objeto sea
establecer relaciones comerciales para el intercambio de datos entre un
número indeterminado de interesados y titulares de datos, por una parte, y
usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro
tipo, incluidos los servicios destinados al ejercicio de los derechos de los
interesados en relación con los datos personales, pero excluidos, al menos,
los servicios siguientes:
|
12) |
«tratamiento», el tratamiento tal como se define en el artículo 4, punto 2,
del Reglamento (UE) 2016/679 en lo que respecta a los datos personales, o en
el artículo 3, punto 2, del Reglamento (UE) 2018/1807 en lo que respecta a
los datos no personales; |
13) |
«acceso», toda utilización de datos de conformidad con unos requisitos
específicos de carácter técnico, jurídico u organizativo, sin que ello
implique necesariamente la transmisión o la descarga de los datos; |
14) |
«establecimiento principal» de una persona jurídica, el lugar de su
administración central en la Unión; |
15) |
«servicios de cooperativas de datos», los servicios de intermediación de
datos ofrecidos por una estructura organizativa constituida por interesados,
empresas unipersonales o pymes pertenecientes a dicha estructura, cuyos
objetivos principales sean prestar asistencia a sus miembros en el ejercicio
de los derechos de estos con respecto a determinados datos, incluida la
asistencia por lo que respecta a la adopción de decisiones informadas antes
de consentir el tratamiento de datos, intercambiar opiniones sobre los fines
del tratamiento de datos y las condiciones que mejor representen los intereses
de sus miembros en relación con los datos de estos, y negociar las
condiciones contractuales para el tratamiento de datos en nombre de sus
miembros antes de conceder permiso para el tratamiento de datos no personales
o antes de dar su consentimiento para el tratamiento de datos personales; |
16) |
«cesión altruista de datos», todo intercambio voluntario de datos basado
en el consentimiento de los interesados para que se traten sus datos
personales, o en el permiso de los titulares de datos para que se usen sus
datos no personales, sin ánimo de obtener o recibir una gratificación que
exceda de una compensación relativa a los costes en que incurran a la hora de
facilitar sus datos, con objetivos de interés general tal como se disponga en
el Derecho nacional, en su caso, como, por ejemplo, la asistencia sanitaria,
la lucha contra el cambio climático, la mejora de la movilidad, la
facilitación del desarrollo, elaboración y difusión de estadísticas
oficiales, la mejora de la prestación de servicios públicos, la elaboración
de políticas públicas o la investigación científica de interés general; |
17) |
«organismo del sector público», las autoridades estatales, regionales o
locales, los organismos de Derecho público o las asociaciones constituidas
por una o más de dichas autoridades o por uno o más de dichos organismos de
Derecho público; |
18) |
«organismo de Derecho público», todo organismo que reúna las
características siguientes:
|
19) |
«empresa pública», toda empresa en la que los organismos del sector
público puedan ejercer, directa o indirectamente, una influencia dominante
por el hecho de tener la propiedad o una participación financiera en la
empresa, o en virtud de las normas que la rigen; a los fines de la presente
definición, se considerará que los organismos del sector público ejercen una
influencia dominante en cualquiera de los casos siguientes en que, directa o
indirectamente:
|
20) |
«entorno de tratamiento seguro», el entorno físico o virtual y los medios
organizativos para garantizar el cumplimiento del Derecho de la Unión, como,
por ejemplo, el Reglamento (UE) 2016/679, en particular, por lo que respecta
a los derechos de los interesados, los derechos de propiedad intelectual y la
confidencialidad comercial y estadística, la integridad y la accesibilidad,
así como para garantizar el cumplimiento del Derecho nacional aplicable y
permitir que la entidad encargada de proporcionar el entorno de tratamiento
seguro determine y supervise todas las acciones de tratamiento, incluida la
presentación, el almacenamiento, la descarga y la exportación de datos, así
como el cálculo de datos derivados mediante algoritmos computacionales; |
21) |
«representante legal», toda persona física o jurídica establecida en la
Unión y designada expresamente para actuar en nombre de un proveedor de
servicios de intermediación de datos no establecido en la Unión o en nombre
de una entidad no establecida en la Unión que recoja, para objetivos de
interés general, datos cedidos de forma altruista por personas físicas o
jurídicas, y que es la persona a la que podrán dirigirse las autoridades
competentes en materia de servicios de intermediación de datos y las autoridades
competentes para la inscripción en el registro de las organizaciones de
gestión de datos con fines altruistas, además de o en lugar de dicho
proveedor o entidad, por lo que respecta a las obligaciones que impone el
presente Reglamento, incluido el supuesto en que se inicie un procedimiento
de ejecución por algún incumplimiento de un proveedor de servicios de
intermediación de datos o entidad que no estén establecidos en la Unión. |
CAPÍTULO
II
Reutilización de
determinadas categorías de datos protegidos que obren en poder de organismos
del sector público
Artículo 3
Categorías de datos
1. El presente
capítulo se aplica a aquellos datos que obren en poder de organismos del sector
público que estén protegidos por motivos de:
a) |
confidencialidad comercial, incluidos los secretos comerciales,
profesionales o empresariales; |
b) |
confidencialidad estadística; |
c) |
protección de los derechos de propiedad intelectual de terceros, o |
d) |
protección de los datos personales, en la medida en que tales datos
queden excluidos del ámbito de aplicación de la Directiva (UE) 2019/1024. |
2. El presente
capítulo no se aplica a:
a) |
los datos que obren en poder de empresas públicas; |
b) |
los datos que obren en poder de organismos públicos de radiodifusión y
sus filiales, así como los datos que obren en poder de otros organismos o sus
filiales para el cumplimiento de una misión de servicio público de
radiodifusión; |
c) |
los datos que obren en poder de centros culturales y de enseñanza; |
d) |
aquellos datos que obren en poder de organismos del sector público que
estén protegidos por motivos de seguridad pública, defensa o seguridad
nacional, o |
e) |
los datos cuya facilitación constituya una actividad ajena al ámbito de
la misión de servicio público de los organismos del sector público de que se
trate, según se determine ese ámbito en la legislación o en otras normas de
obligado cumplimiento del Estado miembro correspondiente, o, a falta de tales
normas, según se determine de acuerdo con la práctica administrativa común de
dicho Estado miembro, siempre y cuando el ámbito de la misión de servicio
público sea transparente y esté sometido a revisión. |
3. El presente
capítulo se entenderá sin perjuicio de:
a) |
el Derecho de la Unión y nacional y los acuerdos internacionales en los
que sean parte la Unión o los Estados miembros relativos a la protección de
las categorías de datos enumeradas en el apartado 1, y |
b) |
el Derecho de la Unión y nacional relativo al acceso a documentos. |
Artículo 4
Prohibición de los acuerdos de exclusividad
1. Se prohíben
los acuerdos u otras prácticas relativos a la reutilización de aquellos datos
que obren en poder de organismos del sector público que contengan categorías de
datos de las enumeradas en el artículo 3, apartado 1, por los que se concedan
derechos exclusivos o cuyo objetivo o efecto sea conceder derechos exclusivos o
restringir la disponibilidad de los datos para su reutilización por entidades
distintas de las partes en tales acuerdos o prácticas.
2. Como
excepción a lo dispuesto en el apartado 1, podrá concederse un derecho
exclusivo para la reutilización de los datos mencionados en dicho apartado en
la medida en que así lo exija la prestación de un servicio o el suministro de
un producto de interés general que, de otro modo, no sería posible.
3. Se
concederá un derecho exclusivo, en aplicación del apartado 2, mediante un acto
administrativo o disposición contractual de conformidad con el Derecho
aplicable de la Unión o nacional y respetando los principios de transparencia,
igualdad de trato y no discriminación.
4. El tiempo
máximo de duración de un derecho exclusivo a reutilizar los datos será de doce
meses. Cuando se celebre un contrato, la duración de este será la misma que la
del derecho exclusivo.
5. La
concesión de un derecho exclusivo en aplicación de los apartados 2, 3 y 4,
incluidas las razones por las que sea necesaria su concesión, se hará de forma
transparente y se dará a conocer públicamente en línea, de una forma compatible
con el Derecho de la Unión pertinente en materia de contratación pública.
6. Los
acuerdos u otras prácticas a los que se aplique la prohibición del apartado 1
que no reúnan las condiciones de los apartados 2 y 3, y hayan sido celebrados
antes del 23 de junio de 2022, finalizarán al término del contrato aplicable y,
en cualquier caso, a más tardar el 24 de diciembre de 2024.
Artículo 5
Condiciones de la reutilización
1. Los
organismos del sector público que, con arreglo al Derecho nacional, sean
competentes para conceder o denegar acceso para la reutilización de una o
varias de las categorías de datos enumeradas en el artículo 3, apartado 1,
publicarán las condiciones en las que se permite tal reutilización y el
procedimiento para solicitarla por medio del punto único de información a que
se refiere el artículo 8. Cuando concedan o denieguen acceso para la
reutilización, podrán prestarle asistencia los organismos competentes a que se
refiere el artículo 7, apartado 1.
Los Estados miembros velarán por que los organismos
del sector público dispongan de los recursos necesarios para cumplir lo
dispuesto en el presente artículo.
2. Las
condiciones de la reutilización no podrán ser discriminatorias, deberán ser
transparentes y proporcionadas, y estar justificadas objetivamente respecto de
las categorías de datos, los fines de la reutilización y la naturaleza de los
datos cuya reutilización se permita. Dichas condiciones no podrán utilizarse
para restringir la competencia.
3. Los
organismos del sector público velarán, de conformidad con el Derecho de la
Unión y nacional, por preservar la naturaleza protegida de los datos. Podrán
establecer los requisitos siguientes:
a) |
que se conceda acceso para la reutilización de los datos únicamente
cuando el organismo del sector público o el organismo competente, tras una
solicitud de reutilización, haya garantizado que los datos se han:
|
b) |
que el acceso y reutilización a distancia de los datos se lleven a cabo
en un entorno de tratamiento seguro facilitado o controlado por el organismo
del sector público; |
c) |
que el acceso y reutilización de los datos se lleven a cabo en los
locales físicos en los que se encuentre el entorno de tratamiento seguro de
conformidad con unas normas de seguridad estrictas, siempre que no pueda
habilitarse el acceso a distancia sin que ello ponga en peligro los derechos
e intereses de terceros. |
4. En el caso
en que se permita la reutilización de conformidad con el apartado 3, letras b)
y c), los organismos del sector público impondrán condiciones que preserven la
integridad del funcionamiento de los sistemas técnicos del entorno de
tratamiento seguro utilizado. El organismo del sector público se reservará el
derecho a verificar el proceso, los medios y los resultados del tratamiento de
datos efectuado por el reutilizador para preservar la integridad de la
protección de los datos y se reservará el derecho a prohibir la utilización de
aquellos resultados que contengan información que ponga en peligro los derechos
e intereses de terceros. La decisión de prohibir la utilización de los resultados
deberá ser comprensible y transparente para el reutilizador.
5. A menos que
el Derecho nacional establezca garantías específicas respecto de las
obligaciones de confidencialidad aplicables en relación con la reutilización de
los datos a los que se refiere el artículo 3, apartado 1, el organismo del
sector público supeditará la utilización de los datos facilitados de
conformidad con el apartado 3 del presente artículo a la observancia por parte
del reutilizador de una obligación de confidencialidad que prohíba la
divulgación de cualquier información que ponga en peligro los derechos e
intereses de terceros, que el reutilizador pueda haber adquirido a pesar de las
garantías establecidas. Se prohibirá a los reutilizadores reidentificar a
cualquier interesado al que se refieran los datos y estarán obligados a adoptar
medidas técnicas y operativas para evitar la reidentificación y para notificar
al organismo del sector público cualquier violación de la seguridad de los
datos que dé lugar a la reidentificación de los interesados de que se trate. En
caso de reutilización no autorizada de datos no personales, el reutilizador
informará sin demora y, en su caso, con la ayuda del organismo del sector
público, a las personas jurídicas cuyos derechos e intereses puedan verse
afectados.
6. Cuando no
pueda permitirse la reutilización de los datos de conformidad con las
obligaciones establecidas en los apartados 3 y 4 del presente artículo y no
exista ninguna otra base jurídica para transmitir los datos con arreglo al
Reglamento (UE) 2016/679, el organismo del sector público hará todo lo posible,
de conformidad con el Derecho de la Unión y nacional, para prestar asistencia a
los reutilizadores potenciales en la obtención del consentimiento de los
interesados o del permiso de los titulares de datos cuyos derechos e intereses
puedan verse afectados por la reutilización, siempre que ello sea factible sin
acarrear cargas desproporcionadas para el organismo del sector público. Cuando
preste dicha asistencia, el organismo del sector público podrá ser asistido por
los organismos competentes a que se refiere el artículo 7, apartado 1.
7. Solo se
permitirá la reutilización de datos con la condición de cumplir los derechos de
propiedad intelectual. Los organismos del sector público no ejercerán el
derecho que el artículo 7, apartado 1, de la Directiva 96/9/CE otorga a los
fabricantes de bases de datos para impedir la reutilización de datos o para
restringirla más allá de los límites previstos en el presente Reglamento.
8. Cuando los
datos solicitados se consideren confidenciales, de conformidad con el Derecho
de la Unión o nacional en materia de confidencialidad comercial o estadística,
los organismos del sector público velarán por que los datos confidenciales no
se divulguen como consecuencia de permitir la reutilización, a menos que dicha
reutilización se permita de conformidad con el apartado 6.
9. Cuando un
reutilizador tenga la intención de transferir a un tercer país datos no
personales protegidos por los motivos expuestos en el artículo 3, apartado 1,
informará al organismo del sector público de su intención de transferirlos y de
la finalidad de la transferencia en el momento de solicitar la reutilización de
dichos datos. En caso de reutilización de conformidad con el apartado 6 del
presente artículo, el reutilizador informará, en su caso, asistido por el
organismo del sector público, a la persona jurídica cuyos derechos e intereses
puedan verse afectados de tal intención, de la finalidad y de las garantías
adecuadas. El organismo del sector público no permitirá la reutilización a
menos que la persona jurídica conceda su permiso a dicha transferencia.
10. Los
organismos del sector público transmitirán datos no personales confidenciales o
protegidos por derechos de propiedad intelectual a un reutilizador que tenga la
intención de transferirlos a un tercer país distinto de los países designados
de conformidad con el apartado 12 solo si el reutilizador se obliga
contractualmente a:
a) |
cumplir las obligaciones que se le exijan de conformidad con los
apartados 7 y 8, incluso después de transferir los datos al tercer país, y |
b) |
aceptar la competencia de los órganos jurisdiccionales del Estado miembro
del organismo del sector público transmisor respecto de los litigios que
puedan surgir en relación con el cumplimiento de los apartados 7 y 8. |
11. Los
organismos del sector público proporcionarán, cuando proceda y en la medida de
sus capacidades, orientaciones y asistencia a los reutilizadores para que
cumplan las obligaciones a las que se refiere el apartado 10 del presente
artículo.
Con el fin de prestar asistencia a los organismos del
sector público y a los reutilizadores, la Comisión podrá adoptar actos de
ejecución por los que se establezcan cláusulas contractuales tipo para cumplir
las obligaciones a las que se refiere el apartado 10 del presente artículo.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de
examen a que se refiere el artículo 33, apartado 3.
12. Cuando así
lo justifique un número considerable de solicitudes en toda la Unión relativas
a la reutilización de datos no personales en terceros países concretos, la
Comisión podrá adoptar actos de ejecución en los que se declare que las
disposiciones jurídicas, de supervisión y de ejecución de un tercer país:
a) |
garantizan una protección de la propiedad intelectual y de los secretos
comerciales esencialmente equivalente a la garantizada por el Derecho de la
Unión; |
b) |
se aplican y hacen cumplir de manera efectiva, y |
c) |
ofrecen vías de recurso judicial efectivas. |
Dichos actos de ejecución se adoptarán de conformidad
con el procedimiento de examen a que se refiere el artículo 33, apartado 3.
13. Los actos
legislativos específicos de la Unión podrán considerar que determinadas
categorías de datos no personales que obren en poder de organismos del sector
público son muy sensibles a efectos del presente artículo cuando su
transferencia a terceros países pueda poner en peligro objetivos de las
políticas públicas de la Unión, entre otros, la seguridad y salud públicas, o
pueda entrañar el riesgo de la reidentificación de datos no personales
anonimizados. Cuando se adopte dicho acto, la Comisión adoptará actos delegados
de conformidad con el artículo 32 que completen el presente Reglamento con
condiciones especiales aplicables a las transferencias de tales datos a
terceros países.
Dichas condiciones especiales se basarán en la
naturaleza de las categorías de datos no personales señaladas en el acto
legislativo específico de la Unión y en los motivos para considerar dichas categorías
como muy sensibles, teniendo en cuenta los riesgos de reidentificación de los
datos no personales anonimizados. No podrán ser discriminatorias y se limitarán
a lo necesario para alcanzar los objetivos de las políticas públicas de la
Unión determinados en dicho acto, de conformidad con las obligaciones
internacionales de la Unión.
Si los actos legislativos específicos de la Unión a
que se refiere el párrafo primero así lo exigen, dichas condiciones especiales
podrán incluir las condiciones contractuales aplicables a la transferencia de
datos o disposiciones técnicas a ese respecto, limitaciones relativas a la
reutilización de los datos en terceros países o relativas a las categorías de
personas facultadas para transferir los datos a terceros países, o, en casos
excepcionales, restricciones relativas a la transferencia de los datos a
terceros países.
14. La persona
física o jurídica a la que se haya concedido el derecho a reutilizar datos no
personales solo podrá transferir los datos a terceros países en los que se
cumplan los requisitos de los apartados 10, 12 y 13.
Artículo 6
Tasas
1. Los
organismos del sector público que permitan la reutilización de las categorías
de datos enumeradas en el artículo 3, apartado 1, podrán cobrar tasas por
permitir dicha reutilización.
2. Las tasas
aplicadas en virtud del apartado 1 deberán ser transparentes, no
discriminatorias y proporcionadas, estarán justificadas objetivamente y no
podrán restringir la competencia.
3. Los
organismos del sector público garantizarán que el pago de las tasas también
pueda efectuarse en línea, a través de servicios transfronterizos de pago de
uso generalizado, sin discriminación por razón del lugar de establecimiento del
proveedor del servicio de pago, el lugar de emisión del instrumento de pago o
la ubicación de la cuenta de pago dentro de la Unión.
4. Cuando los
organismos del sector público apliquen tasas, adoptarán medidas para incentivar
la reutilización de las categorías de datos enumeradas en el artículo 3,
apartado 1, con fines no comerciales, como la investigación científica, y la
reutilización por parte de las pymes y las empresas emergentes, de conformidad
con las normas sobre ayudas estatales. A este respecto, los organismos del
sector público también podrán ofrecer los datos con un descuento en las tasas o
de forma gratuita, en particular, a las pymes y empresas emergentes, la
sociedad civil y los centros educativos. A tal fin, los organismos del sector
público podrán elaborar una lista de categorías de reutilizadores a los que se
faciliten los datos para reutilización con un descuento en las tasas o de forma
gratuita. Se publicará dicha lista junto con los criterios seguidos para
elaborarla.
5. Las tasas
se calcularán en función de los costes relacionados con la tramitación de las
solicitudes de reutilización de las categorías de datos enumeradas en el
artículo 3, apartado 1, y se limitarán a los costes necesarios en relación con:
a) |
la reproducción, la entrega y la difusión de los datos; |
b) |
la adquisición de derechos; |
c) |
la anonimización u otras formas de preparación de los datos personales y
de los datos comerciales confidenciales con arreglo a lo dispuesto en el
artículo 5, apartado 3; |
d) |
el mantenimiento del entorno de tratamiento seguro; |
e) |
la adquisición, por parte de terceros ajenos al sector público, del
derecho de terceros de permitir la reutilización de conformidad con el
presente capítulo, y |
f) |
la asistencia a los reutilizadores en la obtención del consentimiento de
los interesados y del permiso de los titulares de datos cuyos derechos e
intereses puedan verse afectados por la reutilización. |
6. Los Estados
miembros establecerán y publicarán los criterios y la metodología para calcular
las tasas. Los organismos del sector público publicarán una descripción de las
principales categorías de costes y las normas para su asignación.
Artículo 7
Organismos competentes
1. A efectos
de llevar a cabo los cometidos a que se refiere el presente artículo, cada
Estado miembro designará uno o varios organismos competentes, que podrán ser
competentes para determinados sectores, para prestar asistencia a los
organismos del sector público que concedan o denieguen acceso para la
reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1.
Los Estados miembros podrán crear uno o más organismos competentes nuevos o
servirse de organismos del sector público existentes o de servicios internos de
organismos del sector público que cumplan las condiciones establecidas en el
presente Reglamento.
2. Podrá
confiarse a los organismos competentes la facultad de conceder acceso para la
reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1,
con arreglo al Derecho de la Unión o nacional que prevea la concesión de dicho
acceso. Cuando dichos organismos competentes concedan o denieguen el acceso
para la reutilización, les serán aplicables los artículos 4, 5, 6 y 9.
3. Los
organismos competentes dispondrán de los recursos jurídicos, financieros,
técnicos y humanos adecuados para desempeñar las funciones que se les asignen,
incluidos los conocimientos técnicos necesarios para poder cumplir con el Derecho
de la Unión o nacional aplicable en lo referente a los regímenes de acceso
relativos a las categorías de datos enumeradas en el artículo 3, apartado 1.
4. La
asistencia a que se refiere el apartado 1 comprenderá, cuando sea necesario, lo
siguiente:
a) |
apoyo técnico mediante la habilitación de un entorno de tratamiento
seguro a fin de facilitar el acceso para la reutilización de los datos; |
b) |
orientación y apoyo técnico sobre la mejor manera de estructurar y
almacenar los datos para que sean fácilmente accesibles; |
c) |
apoyo técnico para la seudonimización y para garantizar que el
tratamiento de los datos pueda llevarse a cabo de manera que se preserve de
manera efectiva la privacidad, la confidencialidad, la integridad y la
accesibilidad de la información contenida en los datos cuya reutilización se
permite, incluidas las técnicas de anonimización, generalización, supresión y
aleatorización de datos personales u otros métodos de vanguardia para la
protección de la privacidad, y la eliminación de información comercial confidencial,
incluidos los secretos comerciales o los contenidos protegidos por derechos
de propiedad intelectual; |
d) |
asistencia a los organismos del sector público, cuando corresponda, para
prestar asistencia a los reutilizadores a solicitar el consentimiento de los
interesados para la reutilización o el permiso de los titulares de datos en
consonancia con sus decisiones específicas, lo que incluye asistencia sobre
el territorio en el que se prevea efectuar el tratamiento de los datos y
asistencia a los organismos del sector público en el establecimiento de
mecanismos técnicos que permitan a los reutilizadores transmitir las
solicitudes de consentimiento o permiso, cuando resulte factible en la
práctica; |
e) |
asistencia a los organismos del sector público en la evaluación de la
idoneidad de las obligaciones contractuales contraídas por un reutilizador,
en virtud del artículo 5, apartado 10. |
5. Cada Estado
miembro notificará a la Comisión la identidad de los organismos competentes
designados en virtud del apartado 1 a más tardar el 24 de septiembre de 2023.
Asimismo, cada Estado miembro notificará a la Comisión toda modificación
posterior de la identidad de dichos organismos competentes.
Artículo 8
Puntos únicos de información
1. Los Estados
miembros velarán por que toda la información pertinente en relación con la
aplicación de los artículos 5 y 6 esté disponible y sea fácilmente accesible a
través de un punto único de información. Los Estados miembros crearán un
organismo nuevo o designarán un organismo existente como punto único de
información. El punto único de información podrá estar vinculado a puntos de
información sectorial, regional o local. Las funciones del punto único de
información podrán automatizarse, siempre que el organismo del sector público
garantice un apoyo adecuado.
2. El punto
único de información será competente para recibir las consultas o solicitudes
de reutilización de las categorías de datos enumeradas en el artículo 3, apartado
1, y las transmitirá, cuando resulte posible y adecuado, a través de medios
automatizados, a los organismos del sector público competentes, o, en su caso,
a los organismos competentes a los que se refiere el artículo 7, apartado 1,
cuando proceda. El punto único de información pondrá a disposición, por medios
electrónicos, una lista de activos consultable que contenga un resumen de todos
los recursos de datos disponibles, entre ellos, en su caso, los recursos de
datos que estén disponibles en puntos sectoriales, regionales o locales, con
información pertinente en la que se describan los datos disponibles, que
incluya, al menos, el formato y el tamaño de los datos y las condiciones para
su reutilización.
3. El punto
único de información podrá crear un canal de información específico,
simplificado y bien documentado para las pymes y las empresas emergentes, que
aborde sus necesidades y capacidades a la hora de solicitar la reutilización de
las categorías de datos enumeradas en el artículo 3, apartado 1.
4. La Comisión
creará un punto único europeo de acceso que ofrezca un registro electrónico de
datos consultable en los puntos únicos de información nacionales e información
adicional sobre cómo solicitar datos a través de dichos puntos únicos de información
nacionales.
Artículo 9
Procedimiento de solicitud de reutilización
1. Salvo que
se prevean plazos más breves en el Derecho nacional, los organismos del sector
público competentes o los organismos competentes a que se refiere el artículo 7,
apartado 1, adoptarán las decisiones sobre la solicitud de reutilización de las
categorías de datos enumeradas en el artículo 3, apartado 1, en el plazo de dos
meses a partir de la fecha de recepción de la solicitud.
En caso de solicitudes de reutilización excepcionalmente
extensas y complejas, el plazo de dos meses podrá ampliarse un máximo de
treinta días. En tales casos, los organismos del sector público competentes o
los organismos competentes a que se refiere el artículo 7, apartado 1,
notificarán al solicitante lo antes posible que se necesita más tiempo para
tramitar la solicitud y los motivos de la demora.
2. Toda
persona física o jurídica directamente afectada por una decisión adoptada de
conformidad con el apartado 1 dispondrá de un derecho efectivo de recurso en el
Estado miembro en el que se encuentre el organismo en cuestión. Ese derecho de
recurso se establecerá en el Derecho nacional e incluirá la posibilidad de
revisión por un órgano imparcial con los conocimientos especializados
adecuados, como, por ejemplo, la autoridad nacional de defensa de la
competencia, la autoridad reguladora del acceso a los documentos
correspondiente, la autoridad de control establecida de conformidad con el
Reglamento (UE) 2016/679 o un órgano jurisdiccional nacional, cuyas decisiones
sean vinculantes para el organismo del sector público o el organismo competente
en cuestión.
CAPÍTULO
III
Requisitos
aplicables a los servicios de intermediación de datos
Artículo 10
Servicios de intermediación de datos
La prestación de los siguientes servicios de
intermediación de datos deberá cumplir lo dispuesto en el artículo 12 y estará
sujeta a un procedimiento de notificación:
a) |
servicios de intermediación entre los titulares de datos y los
potenciales usuarios de datos, incluida la facilitación de los medios
técnicos o de otro tipo para habilitar dichos servicios; estos servicios
podrán comprender el intercambio bilateral o multilateral de datos o la
creación de plataformas o bases de datos que posibiliten el intercambio o la
utilización en común de datos, así como el establecimiento de otra
infraestructura específica para la interconexión de los titulares de datos
con los usuarios de datos; |
b) |
servicios de intermediación entre los interesados que deseen facilitar
sus datos personales o las personas físicas que deseen facilitar datos no
personales y los potenciales usuarios de datos, incluida la facilitación de
los medios técnicos o de otro tipo necesarios para habilitar dichos
servicios, y, en particular, posibilitar el ejercicio de los derechos de los
interesados previstos en el Reglamento (UE) 2016/679; |
c) |
servicios de cooperativas de datos. |
Artículo 11
Notificación por los proveedores de servicios de
intermediación de datos
1. Todo
proveedor de servicios de intermediación de datos con la intención de prestar
los servicios de intermediación de datos a que se refiere el artículo 10
presentará una notificación a la autoridad competente en materia de servicios
de intermediación de datos.
2. A efectos
del presente Reglamento, se considerará que un prestador de servicios de
intermediación de datos establecido en más de un Estado miembro está sometido
al ordenamiento jurídico del Estado miembro de su establecimiento principal,
sin perjuicio del Derecho de la Unión que regula las acciones transfronterizas
de indemnización por daños y perjuicios y los procedimientos conexos.
3. Los
proveedores de servicios de intermediación de datos que no estén establecidos
en la Unión y que ofrezcan en ella los servicios de intermediación de datos a
que se refiere el artículo 10 deberán designar un representante legal en uno de
los Estados miembros en los que se ofrezcan dichos servicios.
A efectos de garantizar el cumplimiento del presente
Reglamento, el proveedor de servicios de intermediación de datos otorgará un
mandato al representante legal para que las autoridades competentes en materia
de servicios de intermediación de datos o los interesados y los titulares de
datos se dirijan a él en lugar o además de dirigirse al proveedor, en todos
aquellos aspectos relacionados con los servicios de intermediación de datos
prestados. El representante legal cooperará con las autoridades competentes en
materia de servicios de intermediación de datos y les demostrará de forma
exhaustiva, previa solicitud, las medidas y disposiciones adoptadas por el
proveedor de servicios de intermediación de datos para garantizar el
cumplimiento del presente Reglamento.
Se considerará que el proveedor de servicios de
intermediación de datos queda sometido al ordenamiento jurídico del Estado
miembro en el que esté ubicado su representante legal. La designación de un
representante legal por el proveedor de servicios de intermediación de datos se
entenderá sin perjuicio de las acciones judiciales que puedan ejercitarse
contra el proveedor de servicios de intermediación de datos.
4. Tras haber
remitido una notificación de conformidad con lo dispuesto en el apartado 1, el
proveedor de servicios de intermediación de datos podrá iniciar su actividad
con arreglo a las condiciones establecidas en el presente capítulo.
5. La
notificación a que se refiere el apartado 1 dará al proveedor de servicios de
intermediación de datos el derecho a prestar servicios de intermediación de
datos en todos los Estados miembros.
6. La
notificación a que se refiere el apartado 1 incluirá la información siguiente:
a) |
nombre del proveedor de servicios de intermediación de datos; |
b) |
naturaleza jurídica del proveedor de servicios de intermediación de
datos, así como su forma jurídica, estructura de propiedad, filiales
pertinentes y, cuando el proveedor de servicios de intermediación de datos
esté inscrito en un registro mercantil u otro registro público nacional
similar, su número de registro; |
c) |
dirección del eventual establecimiento principal del proveedor de
servicios de intermediación de datos en la Unión y, en su caso, de cualquier
sucursal en otro Estado miembro, o dirección de su representante legal; |
d) |
sitio web público en el que se recoja información completa y actualizada
sobre el proveedor de servicios de intermediación de datos y sobre sus
actividades, incluida, como mínimo, la información a que se refieren las
letras a), b), c) y f); |
e) |
personas de contacto del proveedor de servicios de intermediación de
datos y datos de contacto; |
f) |
descripción del servicio de intermediación de datos que el proveedor de
servicios de intermediación de datos tenga intención de prestar e indicación
de las categorías enumeradas en el artículo 10 a las que corresponda el
servicio de intermediación de datos; |
g) |
estimación de la fecha de inicio de la actividad, si fuera distinta de la
fecha de notificación. |
7. La
autoridad competente en materia de servicios de intermediación de datos se
asegurará de que el procedimiento de notificación no sea discriminatorio y no
falsee la competencia.
8. A petición
del proveedor de servicios de intermediación de datos, la autoridad competente
en materia de servicios de intermediación de datos expedirá, en el plazo de una
semana desde que se presente la notificación de forma debida e íntegra, una
declaración normalizada en la que se confirme que el proveedor de servicios de
intermediación de datos ha presentado la notificación a que se refiere el
apartado 1 y que esa notificación contiene la información enumerada en el
apartado 6.
9. A petición
del proveedor de servicios de intermediación de datos, la autoridad competente
en materia de servicios de intermediación de datos confirmará que el proveedor
de servicios de intermediación de datos cumple el presente artículo y el
artículo 12. Tras la recepción de dicha confirmación, el proveedor de servicios
de intermediación de datos podrá usar, en sus comunicaciones orales y escritas,
la denominación «proveedor de servicios de intermediación de datos reconocido
en la Unión», así como un logotipo común.
Con objeto de garantizar que los proveedores de
servicios de intermediación de datos reconocidos en la Unión sean fácilmente
identificables en toda la Unión, la Comisión establecerá, mediante actos de
ejecución, un diseño para el logotipo común. Los proveedores de servicios de
intermediación de datos reconocidos en la Unión mostrarán el logotipo común de
forma clara en todas las publicaciones en línea y fuera de ella relativas a sus
actividades de intermediación de datos.
Dichos actos de ejecución se adoptarán de conformidad
con el procedimiento consultivo a que se refiere el artículo 33, apartado 2.
10. La
autoridad competente en materia de servicios de intermediación de datos
informará por vía electrónica y sin demora a la Comisión sobre cada nueva
notificación. La Comisión llevará y actualizará periódicamente un registro
público de todos los proveedores de servicios de intermediación de datos que
presten servicios en la Unión. La información exigida en el apartado 6, letras a),
b), c), d), f) y g), será publicada en el registro público.
11. La
autoridad competente en materia de servicios de intermediación de datos podrá
cobrar tasas por la notificación de conformidad con el Derecho nacional. Las
tasas deberán ser proporcionadas y objetivas, y se calcularán en función de los
costes administrativos relacionados con la supervisión del cumplimiento y otras
actividades de control del mercado que lleven a cabo las autoridades
competentes en materia de servicios de intermediación de datos en relación con
las notificaciones hechas por los proveedores de servicios de intermediación de
datos. En el caso de las pymes y las empresas emergentes, la autoridad
competente en materia de servicios de intermediación de datos podrá aplicar
descuentos en las tasas o eximirlas de su pago.
12. Los
proveedores de servicios de intermediación de datos notificarán a la autoridad
competente en materia de servicios de intermediación de datos cualquier
modificación de la información presentada en virtud del apartado 6 en un plazo
de catorce días a partir del día de la modificación.
13. Cuando un
proveedor de servicios de intermediación de datos cese sus actividades, lo
notificará a la autoridad competente en materia de servicios de intermediación
de datos determinada con arreglo a los apartados 1, 2 y 3 en un plazo de quince
días.
14. La
autoridad competente en materia de servicios de intermediación de datos
informará por vía electrónica y sin demora a la Comisión sobre cada
notificación de las previstas en los apartados 12 y 13. La Comisión actualizará
en consecuencia el registro público de los proveedores de servicios de
intermediación de datos de la Unión.
Artículo 12
Condiciones para la prestación de servicios de
intermediación de datos
La prestación de servicios de intermediación de datos
a que se refiere el artículo 10 estará sujeta a las condiciones siguientes:
a) |
los proveedores de servicios de intermediación de datos no podrán
utilizar los datos en relación con los que presten sus servicios para fines
diferentes de su puesta a disposición de los usuarios de datos y prestarán
los servicios de intermediación de datos a través de una persona jurídica
distinta; |
b) |
las condiciones contractuales comerciales, incluidas las relativas a los
precios, para la prestación de servicios de intermediación de datos a un
titular de datos o a un usuario de datos no podrán depender de que el titular
de datos o el usuario de datos utilice otros servicios prestados por el mismo
proveedor de servicios de intermediación de datos o por una entidad
relacionada con él, y, de utilizarlos, no podrán depender de en qué grado el
titular de datos o el usuario de datos utilice dichos servicios; |
c) |
los datos recogidos sobre cualquier actividad de una persona física o
jurídica a efectos de la prestación de un servicio de intermediación de
datos, incluidas la fecha, hora y geolocalización, la duración de la
actividad y las conexiones que el usuario del servicio de intermediación de
datos establezca con otras personas físicas o jurídicas, solo se utilizarán
para el desarrollo de ese servicio de intermediación de datos, lo que puede
implicar la utilización de datos para la detección de fraudes o para fines de
ciberseguridad, y se pondrán a disposición de los titulares de datos, previa
petición; |
d) |
los proveedores de servicios de intermediación de datos intercambiarán
los datos en el mismo formato en el que los reciban de parte del interesado o
del titular de datos, únicamente los convertirán en formatos específicos con
el fin de mejorar la interoperabilidad intrasectorial e intersectorial o si
así lo solicita el usuario de datos o si así lo exige el Derecho de la Unión
o si es necesario a efectos de la armonización con las normas internacionales
o europeas en materia de datos y ofrecerán a los interesados o a los
titulares de datos una posibilidad de exclusión en relación con dichas
conversiones, a menos que el Derecho de la Unión obligue a realizar dicha
conversión; |
e) |
los servicios de intermediación de datos podrán incluir la oferta de
herramientas y servicios específicos adicionales a los titulares de datos o
los interesados con el objetivo específico de facilitar el intercambio de los
datos, por ejemplo, el almacenamiento temporal, la organización, la
conversión, la anonimización y la seudonimización, siempre que tales
herramientas y servicios solo se utilicen previa solicitud o aprobación
expresas del titular de datos o del interesado, y que las herramientas de
terceros ofrecidas en ese contexto no se utilicen para otros fines; |
f) |
los proveedores de servicios de intermediación de datos velarán por que
el procedimiento de acceso a sus servicios, incluidos los precios y las
condiciones de servicio, sea equitativo, transparente y no discriminatorio,
tanto para los interesados como para los titulares de datos y los usuarios de
datos; |
g) |
los proveedores de servicios de intermediación de datos dispondrán de
procedimientos para impedir prácticas fraudulentas o abusivas de las partes
que deseen obtener acceso a través de sus servicios de intermediación de
datos; |
h) |
los proveedores de servicios de intermediación de datos se asegurarán en
caso de insolvencia, de la continuidad razonable de la prestación de sus
servicios de intermediación de datos y, cuando esos servicios de
intermediación de datos incluyan el almacenamiento de datos, dispondrán de
los mecanismos de garantía necesarios para que los titulares de datos y los
usuarios de datos puedan acceder a sus datos, transferirlos o recuperarlos y,
cuando presten esos servicios de intermediación entre interesados y usuarios
de datos, para permitir que los interesados ejerzan sus derechos; |
i) |
los proveedores de servicios de intermediación de datos adoptarán las
medidas adecuadas para garantizar la interoperabilidad con otros servicios de
intermediación de datos, entre otros, mediante normas abiertas de uso común
en el sector en el que operen los proveedores de servicios de intermediación
de datos; |
j) |
los proveedores de servicios de intermediación de datos aplicarán las
medidas técnicas, jurídicas y organizativas adecuadas para impedir el acceso
a datos no personales o su transferencia cuando dicho acceso o transferencia
sean ilícitos con arreglo al Derecho de la Unión o al Derecho nacional del
Estado miembro correspondiente; |
k) |
los proveedores de servicios de intermediación de datos informarán sin
demora a los titulares de datos en caso de transferencia, acceso o
utilización no autorizados de los datos no personales que haya compartido; |
l) |
los proveedores de servicios de intermediación de datos tomarán las
medidas necesarias para garantizar un nivel de seguridad adecuado en relación
con el almacenamiento, el tratamiento y la transmisión de los datos no
personales, y también garantizarán el más elevado nivel de seguridad en
relación con el almacenamiento y la transmisión de información sensible desde
el punto de vista de la competencia; |
m) |
los proveedores de servicios de intermediación de datos que ofrezcan
servicios a los interesados actuarán en el mejor interés de estos cuando
faciliten el ejercicio de sus derechos, en particular, informándolos y,
cuando corresponda, asesorándolos de manera concisa, transparente,
inteligible y fácilmente accesible sobre los usos previstos de los datos por
los usuarios de datos y las condiciones generales aplicables a dichos usos
antes de que los interesados presten su consentimiento; |
n) |
cuando los proveedores de servicios de intermediación de datos
proporcionen herramientas para obtener el consentimiento de los interesados o
el permiso para tratar los datos facilitados por los titulares de datos,
especificarán, cuando corresponda, el territorio del tercer país en el que se
pretenda usar los datos y proporcionarán a los interesados herramientas tanto
para otorgar como para retirar su consentimiento, y a los titulares de datos,
herramientas tanto para conceder como para retirar los permisos para tratar los
datos; |
o) |
los proveedores de servicios de intermediación de datos conservarán un
registro de la actividad de intermediación de datos. |
Artículo 13
Autoridades competentes en materia de servicios de
intermediación de datos
1. Cada Estado
miembro designará a una o varias autoridades competentes para desempeñar las
funciones relacionadas con el procedimiento de notificación en materia de
servicios de intermediación de datos y notificará a la Comisión la identidad de
dichas autoridades competentes a más tardar el 24 de septiembre de 2023.
Asimismo, cada Estado miembro notificará a la Comisión toda modificación
posterior de la identidad de dichas autoridades competentes.
2. Las
autoridades competentes en materia de servicios de intermediación de datos
cumplirán los requisitos del artículo 26.
3. Las
facultades de las autoridades competentes en materia de servicios de
intermediación de datos se entenderán sin perjuicio de las facultades de las
autoridades responsables de la protección de datos, las autoridades nacionales
de defensa de la competencia, las autoridades encargadas de la ciberseguridad y
otras autoridades sectoriales pertinentes. Con arreglo a sus competencias
respectivas con arreglo al Derecho de la Unión y nacional, dichas autoridades
construirán entre sí una sólida cooperación e intercambiarán la información
necesaria para el desempeño de sus funciones en relación con los proveedores de
servicios de intermediación de datos, y procurarán mantener una coherencia entre
las decisiones adoptadas cuando apliquen el presente Reglamento.
Artículo 14
Supervisión del cumplimiento
1. Las
autoridades competentes en materia de servicios de intermediación de datos
controlarán y supervisarán el cumplimiento de los requisitos del presente
capítulo por los proveedores de servicios de intermediación de datos. Las
autoridades competentes en materia de servicios de intermediación de datos
también podrán controlar y supervisar, a petición de una persona física o
jurídica, dicho cumplimiento por los proveedores de servicios de intermediación
de datos.
2. Las
autoridades competentes en materia de servicios de intermediación de datos
estarán facultadas para solicitar a los proveedores de servicios de
intermediación de datos o a sus representantes legales toda la información
necesaria a fin de comprobar el cumplimiento de los requisitos del presente
capítulo. Las solicitudes de información deberán ser proporcionadas al
cumplimiento de sus funciones y estar motivadas.
3. Cuando la
autoridad competente en materia de servicios de intermediación de datos
considere que un proveedor de servicios de intermediación de datos no cumple
uno o varios de los requisitos del presente capítulo, le notificará sus
observaciones y le dará la oportunidad de manifestar su opinión al respecto en
un plazo de treinta días a partir de la recepción de la notificación.
4. La
autoridad competente en materia de servicios de intermediación de datos estará
facultada para exigir el cese de la infracción mencionada en el apartado 3
dentro de un plazo razonable o, en caso de infracciones graves, de inmediato, y
adoptará medidas adecuadas y proporcionadas para garantizar el cumplimiento. A
este respecto, la autoridad competente en materia de servicios de
intermediación de datos estará facultada, en su caso:
a) |
para imponer, mediante procedimientos administrativos, sanciones
económicas disuasorias, que podrán incluir multas coercitivas y sanciones con
efectos retroactivos, iniciar procedimientos legales para la imposición de
multas, o ambas cosas; |
b) |
para exigir un aplazamiento del inicio o una suspensión de la prestación
del servicio de intermediación de datos hasta que las condiciones se hayan
modificado con arreglo a lo solicitado por la autoridad competente en materia
de servicios de intermediación de datos, o |
c) |
para exigir el cese de la prestación del servicio de intermediación de
datos en caso de infracciones graves o reiteradas que no hayan sido
corregidas a pesar de la notificación previa de conformidad con el apartado 3. |
La autoridad competente en materia de servicios de
intermediación de datos solicitará a la Comisión que cancele la inscripción
relativa al proveedor de servicios de intermediación de datos del registro de
proveedores de tales servicios, una vez que haya ordenado el cese de la
prestación del servicio de intermediación de datos de conformidad con el
párrafo primero, letra c).
Si el proveedor de servicios de intermediación de
datos pone remedio a las infracciones, efectuará una nueva notificación a la
autoridad competente en materia de servicios de intermediación de datos. La
autoridad competente en materia de servicios de intermediación de datos
notificará a la Comisión de toda nueva repetición de notificación.
5. Cuando un
proveedor de servicios de intermediación de datos que no esté establecido en la
Unión no designe un representante legal o el representante legal no facilite,
previa solicitud de la autoridad competente en materia de servicios de
intermediación de datos, la información necesaria que demuestre de forma
exhaustiva el cumplimiento del presente Reglamento, la autoridad competente en
materia de servicios de intermediación de datos estará facultada para aplazar
el inicio o suspender la prestación del servicio de intermediación de datos
hasta que se designe un representante legal o se facilite la información
necesaria.
6. Las
autoridades competentes en materia de servicios de intermediación de datos
notificarán sin demora al proveedor de servicios de intermediación de datos
afectado las medidas impuestas en virtud de los apartados 4 y 5, los motivos en
los que se base y las medidas necesarias que deban tomarse para remediar las
deficiencias de que se trate, y fijará un plazo razonable, no superior a 30 días,
para que el proveedor de servicios de intermediación de datos dé cumplimiento a
las medidas impuestas.
7. Si el
establecimiento principal o el representante legal de un proveedor de servicios
de intermediación de datos se encuentra en un Estado miembro, pero el proveedor
presta sus servicios en otros Estados miembros, la autoridad competente en
materia de servicios de intermediación de datos del Estado miembro de su
establecimiento principal o en el que se ubica su representante legal y las
autoridades competentes para los servicios de intermediación de datos de los
otros Estados miembros cooperarán entre sí y se prestarán asistencia mutua.
Dicha asistencia y cooperación podrán abarcar el intercambio de información
entre las autoridades competentes en materia de servicios de intermediación de
datos de que se trate para fines relacionados con sus funciones con arreglo al
presente Reglamento y las peticiones motivadas de que se adopten las medidas a
que se refiere el presente artículo.
Cuando una autoridad competente en materia de
servicios de intermediación de datos de un Estado miembro solicite asistencia a
una autoridad competente en materia de servicios de intermediación de datos de
otro Estado miembro, presentará una solicitud motivada. La autoridad competente
en materia de servicios de intermediación de datos que reciba dicha solicitud
responderá sin demora y en un plazo proporcionado a la urgencia de la solicitud.
Toda la información intercambiada en el contexto de la
solicitud y de la prestación de asistencia con arreglo al presente apartado se
utilizará únicamente en relación con el asunto para el que se solicitó.
Artículo 15
Excepciones
El presente capítulo no será aplicable a las
organizaciones reconocidas de gestión de datos con fines altruistas ni a otras
entidades sin ánimo de lucro, en la medida en que sus actividades consistan en
la recopilación de datos cedidos con fines altruistas por personas físicas o
jurídicas para el cumplimiento de objetivos de interés general, salvo que
dichas organizaciones y entidades tengan por objeto establecer relaciones
comerciales entre un número indeterminado de interesados y titulares de datos,
por una parte, y usuarios de datos, por otra.
CAPÍTULO
IV
Cesión altruista de
datos
Artículo 16
Disposiciones nacionales para la cesión altruista de
datos
Los Estados miembros podrán establecer disposiciones
organizativas, técnicas o ambos tipos para facilitar la cesión altruista de
datos. A tales efectos, los Estados miembros podrán elaborar políticas
nacionales en materia de cesión altruista de datos. Estas políticas nacionales
podrán, en particular, ayudar a los interesados a la hora de ceder
voluntariamente, con fines altruistas, datos personales que les conciernan y
que obren en poder de organismos del sector público, y establecer la
información necesaria que deba facilitarse a los interesados en relación con la
reutilización de sus datos con fines de interés general.
Si un Estado miembro elabora tales políticas
nacionales, lo notificará a la Comisión.
Artículo 17
Registros públicos de organizaciones reconocidas de
gestión de datos con fines altruistas
1. Cada
autoridad competente para la inscripción en el registro de las organizaciones
de gestión de datos con fines altruistas llevará y actualizará periódicamente
un registro público nacional de organizaciones reconocidas de gestión de datos
con fines altruistas.
2. La Comisión
llevará un registro público de la Unión de organizaciones reconocidas de
gestión de datos con fines altruistas a efectos informativos. Siempre que las
entidades estén inscritas en el registro público nacional de organizaciones reconocidas
de gestión de datos con fines altruistas de conformidad con el artículo 18
podrán utilizar, en sus comunicaciones orales y escritas, la denominación
«organización de gestión de datos con fines altruistas reconocida en la Unión»,
así como un logotipo común.
Con objeto de garantizar que las organizaciones
reconocidas de gestión de datos con fines altruistas sean fácilmente
identificables en toda la Unión, la Comisión establecerá, mediante actos de
ejecución, un diseño para el logotipo común. Las organizaciones reconocidas de
gestión de datos con fines altruistas mostrarán el logotipo común de forma
clara en todas las publicaciones en línea y fuera de ella relativas a sus
actividades de cesión altruista de datos. El logotipo común irá acompañado de un
código QR con un enlace al registro público de la Unión de organizaciones
reconocidas de gestión de datos con fines altruistas.
Dichos actos de ejecución se adoptarán de conformidad
con el procedimiento consultivo a que se refiere el artículo 33, apartado 2.
Artículo 18
Requisitos generales de inscripción en el registro
Para poder inscribirse en un registro público nacional
de organizaciones de gestión de datos con fines altruistas, la entidad deberá:
a) |
ejercer actividades de cesión altruista de datos; |
b) |
ser una entidad jurídica constituida con arreglo al Derecho nacional para
cumplir objetivos de interés general, según se disponga en el Derecho
nacional, cuando corresponda; |
c) |
ejercer su actividad sin ánimo de lucro y ser jurídicamente independiente
de cualquier entidad que ejerza su actividad con fines lucrativos; |
d) |
ejercer las actividades de cesión altruista de datos a través de una
estructura que esté funcionalmente separada de sus restantes actividades; |
e) |
cumplir el código normativo al que se refiere el artículo 22, apartado 1,
a más tardar dieciocho meses después de la fecha de entrada en vigor de los
actos delegados a que se refiere dicho apartado. |
Artículo 19
Inscripción en el registro de organizaciones
reconocidas de gestión de datos con fines altruistas
1. Toda
entidad que cumpla los requisitos del artículo 18 podrá solicitar su
inscripción en el registro público nacional de organizaciones reconocidas de
gestión de datos con fines altruistas en el Estado miembro en el que esté
establecida.
2. Toda entidad
que cumpla los requisitos del artículo 18 y tenga establecimientos en más de un
Estado miembro podrá solicitar su inscripción en el registro público nacional
de organizaciones reconocidas de gestión de datos con fines altruistas del
Estado miembro en el que tenga su establecimiento principal.
3. Toda
entidad que cumpla los requisitos del artículo 18 pero que no esté establecida
en la Unión deberá designar un representante legal en uno de los Estados
miembros en los que ofrezca sus servicios de gestión de datos con fines
altruistas.
A efectos de garantizar el cumplimiento del presente
Reglamento, la entidad otorgará un mandato al representante legal para que las
autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas o los interesados y los
titulares de datos se dirijan a él en lugar o además de dirigirse a la entidad,
en todos aquellos aspectos que tengan que ver con la entidad. El representante
legal cooperará con las autoridades competentes para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas y les
demostrará de forma exhaustiva, previa solicitud, las medidas y las
disposiciones adoptadas por la entidad para garantizar el cumplimiento del presente
Reglamento.
Se considerará que la entidad queda sometida al
ordenamiento jurídico del Estado miembro en el que esté ubicado su
representante legal. Dicha entidad podrá solicitar su inscripción en el
registro público nacional de organizaciones reconocidas de gestión de datos con
fines altruistas en ese Estado miembro. La designación de un representante
legal por la entidad se entenderá sin perjuicio de las acciones judiciales que
puedan ejercitarse contra la entidad.
4. Las
solicitudes de inscripción a que se refieren los apartados 1, 2 y 3 deberán
incluir los datos siguientes:
a) |
nombre de la entidad; |
b) |
naturaleza jurídica de la entidad, así como su forma jurídica y, cuando
esté inscrita en un registro público nacional, su número de registro; |
c) |
estatutos de la entidad, en su caso; |
d) |
fuentes de ingresos de la entidad; |
e) |
dirección del eventual establecimiento principal de la entidad en la
Unión y, en su caso, de cualquier sucursal en otro Estado miembro, o
dirección de su representante legal; |
f) |
sitio web público en el que se recoja información completa y actualizada
sobre la entidad y sus actividades, incluida, como mínimo, la información a
que se refieren las letras a), b), d), e) y h); |
g) |
personas de contacto de la entidad y datos de contacto; |
h) |
objetivos de interés general que la entidad se proponga promover con la
recopilación de los datos; |
i) |
naturaleza de los datos que la entidad pretende controlar o tratar y, en
el caso de los datos personales, indicación de las categorías de datos
personales; |
j) |
cualquier otro documento que acredite el cumplimiento de los requisitos
del artículo 18. |
5. Cuando la
entidad haya presentado toda la información necesaria con arreglo al apartado 4
y una vez que la autoridad competente para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas haya evaluado la
solicitud de inscripción y constatado que la entidad cumple los requisitos del
artículo 18, dicha autoridad procederá a inscribir a la entidad en el registro
público nacional de organizaciones reconocidas de gestión de datos con fines
altruistas en un plazo de doce semanas después de la recepción de la solicitud
de inscripción. La inscripción será válida en todos los Estados miembros.
La autoridad competente para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas
notificará toda inscripción a la Comisión. Esta la incluirá en el registro
público de la Unión de organizaciones reconocidas de gestión de datos con fines
altruistas.
6. La
información a que se refiere el apartado 4, letras a), b), f), g) y h), se
publicará en el correspondiente registro público nacional de organizaciones
reconocidas de gestión de datos con fines altruistas.
7. Toda
organización reconocida de gestión de datos con fines altruistas notificará a
la correspondiente autoridad competente para la inscripción en el registro de
organizaciones de gestión de datos con fines altruistas cualquier modificación
de la información presentada en virtud del apartado 4 en un plazo de catorce
días a partir del día de la modificación.
La autoridad competente para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas
informará por vía electrónica y sin demora a la Comisión sobre cada
notificación de ese tipo. Habida cuenta de dicha notificación, la Comisión
actualizará sin demora el registro público de la Unión de organizaciones
reconocidas de gestión de datos con fines altruistas.
Artículo 20
Requisitos de transparencia
1. Toda
organización reconocida de gestión de datos con fines altruistas llevará un
registro completo y exacto de:
a) |
todas las personas físicas o jurídicas a las que se haya permitido tratar
datos que obren en poder de dicha organización reconocida de gestión de datos
con fines altruistas, y sus datos de contacto; |
b) |
la fecha o la duración del tratamiento de los datos personales o la
utilización de los datos no personales; |
c) |
la finalidad del tratamiento de datos declarada por las personas físicas
o jurídicas a las que se haya permitido dicho tratamiento; |
d) |
las eventuales tasas abonadas por las personas físicas o jurídicas que
efectúen el tratamiento de datos. |
2. Toda
organización reconocida de gestión de datos con fines altruistas elaborará y
transmitirá a la correspondiente autoridad competente para la inscripción en el
registro de organizaciones de gestión de datos con fines altruistas un informe
anual de actividades que contendrá, como mínimo, lo siguiente:
a) |
información sobre las actividades de la organización reconocida de
gestión de datos con fines altruistas; |
b) |
descripción de la manera en que se hayan promovido los objetivos de
interés general para los que se hayan recogido los datos durante el ejercicio
financiero en cuestión; |
c) |
lista de todas las personas físicas y jurídicas a las que se haya
permitido tratar datos que obren en poder de la entidad, que incluya una
breve descripción de los objetivos de interés general perseguidos con el
tratamiento de los datos y la descripción de los medios técnicos empleados al
efecto, con una descripción de las técnicas aplicadas para preservar la
privacidad y la protección de los datos; |
d) |
resumen de los resultados del tratamiento de los datos permitido por la
organización reconocida de gestión de datos con fines altruistas, en su caso; |
e) |
información sobre las fuentes de ingresos de la organización reconocida
de gestión de datos con fines altruistas, en particular, todos los ingresos
derivados de permitir el acceso a los datos, y sobre sus gastos. |
Artículo 21
Requisitos específicos para proteger los derechos e
intereses de los interesados y de los titulares de datos en lo que respecta a
sus datos
1. Toda
organización reconocida de gestión de datos con fines altruistas informará a
los interesados o a los titulares de datos, de una manera clara y sencilla de
entender, antes de cualquier tratamiento de sus datos:
a) |
sobre los objetivos de interés general y, en su caso, los fines
específicos, explícitos y legítimos con que se tratarán los datos personales,
y para los que permite que sus datos sean tratados por un usuario de datos; |
b) |
sobre la ubicación de cualquier actividad de tratamiento que se efectúe
en un tercer país y sobre los objetivos de interés general para los que lo
permita, cuando sea la propia organización reconocida de gestión de datos con
fines altruistas la que efectúe el tratamiento. |
2. La
organización reconocida de gestión de datos con fines altruistas no utilizará
los datos para objetivos distintos de los de interés general para los que el
interesado o el titular de datos permita el tratamiento. La organización
reconocida de gestión de datos con fines altruistas no utilizará prácticas de
mercadotecnia engañosas para solicitar la entrega de datos.
3. La
organización reconocida de gestión de datos con fines altruistas proporcionará herramientas
para obtener el consentimiento de los interesados o el permiso para tratar
datos facilitados por los titulares de datos. Asimismo, la organización
reconocida de gestión de datos con fines altruistas proporcionará herramientas
para retirar fácilmente dicho consentimiento o permiso.
4. La
organización reconocida de gestión de datos con fines altruistas tomará medidas
para garantizar un nivel de seguridad adecuado en relación con el
almacenamiento y el tratamiento de datos no personales que haya recogido con
fines de cesión altruista de datos.
5. La
organización reconocida de gestión de datos con fines altruistas informará sin
demora a los titulares de datos en caso de transferencia, acceso o utilización
no autorizados de los datos no personales que haya compartido.
6. Cuando la
organización reconocida de gestión de datos con fines altruistas facilite el
tratamiento de datos por terceros, en particular, proporcionando herramientas
para obtener el consentimiento de los interesados o el permiso para tratar los
datos facilitados por los titulares de datos, especificará, cuando corresponda,
el territorio del tercer país en el que se pretenda utilizar los datos.
Artículo 22
Código normativo
1. La Comisión
adoptará actos delegados de conformidad con el artículo 32 con el fin de
completar el presente Reglamento con un código normativo en el que se
establezcan:
a) |
requisitos de información adecuados para garantizar que se proporciona a
los interesados y a los titulares de datos, antes de conceder su
consentimiento o permiso para la cesión altruista de datos, información
suficientemente detallada, clara y transparente sobre la utilización de los
datos, las herramientas para la concesión y revocación del consentimiento o
del permiso, y las medidas adoptadas para evitar el uso indebido de los datos
compartidos con la organización de gestión de datos con fines altruistas; |
b) |
requisitos técnicos y de seguridad adecuados para garantizar un nivel de
seguridad adecuado del almacenamiento y el tratamiento de datos, así como de
las herramientas para conceder y retirar el consentimiento o el permiso; |
c) |
hojas de ruta sobre comunicación que adopten un enfoque multidisciplinar
para sensibilizar a las partes interesadas pertinentes, en especial, a los
titulares de datos y los interesados que podrían compartir sus datos, sobre
la cesión altruista de datos, la designación como «organización de gestión de
datos con fines altruistas reconocida en la Unión» y el código normativo; |
d) |
recomendaciones sobre las normas de interoperabilidad pertinentes. |
2. El código
normativo a que se refiere el apartado 1 se preparará en estrecha cooperación
con las organizaciones de gestión de datos con fines altruistas y las partes
interesadas pertinentes.
Artículo 23
Autoridades competentes para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas
1. Cada Estado
miembro designará una o varias autoridades competentes a efectos de la
inscripción en el registro público nacional de las organizaciones reconocidas
de gestión de datos con fines altruistas.
Las autoridades competentes para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas deberán
cumplir los requisitos del artículo 26.
2. Cada Estado
miembro notificará a la Comisión la identidad de sus autoridades competentes
para la inscripción en el registro de las organizaciones de gestión de datos
con fines altruistas a más tardar el 24 de septiembre de 2023. Asimismo, cada
Estado miembro notificará a la Comisión toda modificación posterior de la
identidad de dichas autoridades competentes.
3. La
autoridad competente para la inscripción en el registro de las organizaciones
de gestión de datos con fines altruistas de un Estado miembro desempeñará sus
funciones en cooperación con la correspondiente autoridad de protección de
datos, cuando dichas funciones estén relacionadas con el tratamiento de datos
personales, y con las autoridades sectoriales pertinentes de ese Estado
miembro.
Artículo 24
Supervisión del cumplimiento
1. Las
autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas controlarán y
supervisarán el cumplimiento de los requisitos del presente capítulo por las
organizaciones reconocidas de gestión de datos con fines altruistas. Las
autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas también podrán
controlar y supervisar, a petición de una persona física o jurídica, dicho cumplimiento
por las organizaciones de gestión de datos con fines altruistas.
2. Las
autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas estarán facultadas para
solicitar a las organizaciones reconocidas de gestión de datos con fines
altruistas toda la información necesaria a fin de comprobar el cumplimiento de
los requisitos del presente capítulo. Las solicitudes de información deberán
ser proporcionadas al cumplimiento de sus funciones y estar motivadas.
3. Cuando la
autoridad competente para la inscripción en el registro de las organizaciones
de gestión de datos con fines altruistas considere que una organización
reconocida de gestión de datos con fines altruistas no cumple uno o varios de
los requisitos del presente capítulo, le notificará sus observaciones y le dará
la oportunidad de manifestar su opinión al respecto en un plazo de treinta días
a partir de la recepción de la notificación.
4. La
autoridad competente para la inscripción en el registro de las organizaciones
de gestión de datos con fines altruistas estará facultada para exigir el cese
de la infracción mencionada en el apartado 3, bien inmediatamente, bien dentro
de un plazo razonable, y adoptará medidas adecuadas y proporcionadas para
garantizar el cumplimiento.
5. Toda
organización reconocida de gestión de datos con fines altruistas que no cumpla
uno o varios de los requisitos del presente capítulo, incluso después de haber
recibido de conformidad con el apartado 3 la notificación de la autoridad
competente para la inscripción en el registro de las organizaciones de gestión
de datos con fines altruistas:
a) |
perderá el derecho a utilizar la denominación «organización de gestión de
datos con fines altruistas reconocida en la Unión», en sus comunicaciones
orales y escritas; |
b) |
se cancelará su inscripción en el correspondiente registro público
nacional de organizaciones reconocidas de gestión de datos con fines
altruistas y en el registro público de la Unión de organizaciones reconocidas
de gestión de datos con fines altruistas. |
La autoridad competente para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas hará
pública toda decisión de revocación del derecho a utilizar la denominación
«organización de gestión de datos con fines altruistas reconocida en la Unión»
con arreglo al párrafo primero, letra a).
6. Si una
organización reconocida de gestión de datos con fines altruistas tiene su
establecimiento principal o su representante legal en un Estado miembro, pero
ejerce su actividad en otros Estados miembros, la autoridad competente para la
inscripción en el registro de las organizaciones de gestión de datos con fines
altruistas del Estado miembro de su establecimiento principal o de su
representante legal y las autoridades competentes para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas de esos
otros Estados miembros cooperarán entre sí y se prestarán asistencia mutua.
Dicha asistencia y cooperación podrán abarcar el intercambio de información
entre las autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas de que se trate para
fines relacionados con sus funciones con arreglo al presente Reglamento y las
peticiones motivadas de adopción de las medidas a que se refiere el presente
artículo.
Cuando una autoridad competente para la inscripción en
el registro de las organizaciones de gestión de datos con fines altruistas de
un Estado miembro solicite asistencia a una autoridad competente para la
inscripción en el registro de las organizaciones de gestión de datos con fines
altruistas de otro Estado miembro, presentará una solicitud motivada. La
autoridad competente para la inscripción en el registro de las organizaciones
de gestión de datos con fines altruistas que reciba dicha solicitud responderá
sin demora y en un plazo proporcionado a la urgencia de la solicitud.
Toda la información intercambiada en el contexto de la
solicitud y de la prestación de asistencia con arreglo al presente apartado se
utilizará únicamente en relación con el asunto para el que se solicitó.
Artículo 25
Formulario europeo de consentimiento para la cesión
altruista de datos
1. Con el fin
de facilitar la recogida de datos cedidos con fines altruistas, la Comisión
adoptará actos de ejecución en los que se establezca y elabore un formulario
europeo de consentimiento para tal cesión, previa consulta al Comité Europeo de
Protección de Datos, teniendo en cuenta el asesoramiento del Comité Europeo de
Innovación en materia de Datos y contando debidamente con la participación de
las partes interesadas pertinentes. El formulario permitirá recabar el
consentimiento o el permiso en todos los Estados miembros en un formato
uniforme. Dichos actos de ejecución se adoptarán de conformidad con el
procedimiento consultivo a que se refiere el artículo 33, apartado 2.
2. El
formulario europeo de consentimiento para la cesión altruista de datos tendrá
un diseño modular que permita su adaptación a sectores específicos y distintos
fines.
3. Cuando se
faciliten datos personales, el formulario europeo de consentimiento para la
cesión altruista de datos permitirá a los interesados otorgar o retirar su
consentimiento respecto de una operación específica de tratamiento de datos de
conformidad con los requisitos del Reglamento (UE) 2016/679.
4. El formulario
estará disponible de tal manera que permita su impresión en papel y que sea de
fácil comprensión, así como en un formato electrónico y legible por máquina.
CAPÍTULO
V
Autoridades
competentes y disposiciones procedimentales
Artículo 26
Requisitos relativos a las autoridades competentes
1. Las
autoridades competentes en materia de servicios de intermediación de datos y
las autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas deberán ser
jurídicamente distintas y funcionalmente independientes de cualquier proveedor
de servicios de intermediación de datos u organización reconocida de gestión de
datos con fines altruistas. Las funciones de las autoridades competentes en
materia de servicios de intermediación de datos y las autoridades competentes
para la inscripción en el registro de las organizaciones de gestión de datos
con fines altruistas podrán ser desempeñadas por la misma autoridad. Los
Estados miembros podrán crear una o varias autoridades nuevas a tales efectos o
servirse de las existentes.
2. Las
autoridades competentes en materia de servicios de intermediación de datos y
las autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas ejercerán sus funciones
de manera imparcial, transparente, coherente, fiable y oportuna. En el
ejercicio de sus funciones, protegerán la competencia leal y garantizarán la no
discriminación.
3. Los máximos
directivos y el personal responsables de desempeñar las funciones
correspondientes de las autoridades competentes en materia de servicios de
intermediación de datos y las autoridades competentes para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas no
podrán ser el diseñador, el fabricante, el proveedor, el instalador, el
comprador, el propietario, el usuario ni el encargado del mantenimiento de los
servicios que evalúen, ni tampoco podrán ser el representante autorizado de
ninguna de esas partes. Ello no será óbice para el uso de los servicios
evaluados que sean necesarios para la actividad de la autoridad competente en
materia de servicios de intermediación de datos y la autoridad competente para
la inscripción en el registro de las organizaciones de gestión de datos con
fines altruistas o para el uso de dichos servicios con fines personales.
4. Los máximos
directivos y el personal de las autoridades competentes en materia de servicios
de intermediación de datos y las autoridades competentes para la inscripción en
el registro de las organizaciones de gestión de datos con fines altruistas se abstendrán
de ejercer actividad alguna que pueda entrar en conflicto con su independencia
de criterio o su integridad en relación con las actividades de evaluación que
se les haya asignado.
5. Las
autoridades competentes en materia de servicios de intermediación de datos y
las autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas dispondrán de los
recursos financieros y humanos adecuados para desempeñar las funciones que se
les haya asignado, incluidos los conocimientos y recursos técnicos necesarios.
6. Las
autoridades competentes en materia de servicios de intermediación de datos y
las autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas de un Estado miembro
facilitarán a la Comisión y a las autoridades competentes en materia de
servicios de intermediación de datos y las autoridades competentes para la
inscripción en el registro de las organizaciones de gestión de datos con fines
altruistas de otros Estados miembros, previa solicitud motivada y sin demora,
la información necesaria para el ejercicio de sus funciones con arreglo al
presente Reglamento. Cuando una autoridad competente en materia de servicios de
intermediación de datos o una autoridad competente para la inscripción en el
registro de las organizaciones de gestión de datos con fines altruistas
considere que la información solicitada es confidencial de conformidad con el
Derecho de la Unión y nacional en materia de secretos comerciales y
confidencialidad profesional, la Comisión y las correspondientes autoridades
competentes en materia de servicios de intermediación de datos y autoridades
competentes para la inscripción en el registro de las organizaciones de gestión
de datos con fines altruistas garantizarán la confidencialidad.
Artículo 27
Derecho a presentar una reclamación
1. Toda
persona física y jurídica tendrá derecho a presentar una reclamación en
relación con cualquier cuestión comprendida en el ámbito de aplicación del
presente Reglamento, a título individual o colectivo, según corresponda, ante
la autoridad competente en materia de servicios de intermediación de datos
pertinente contra un proveedor de servicios de intermediación de datos o ante
la autoridad competente para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas contra una organización
reconocida de gestión de datos con fines altruistas.
2. La
autoridad competente en materia de servicios de intermediación de datos o la
autoridad competente para la inscripción en el registro de las organizaciones
de gestión de datos con fines altruistas ante la que se haya presentado la
reclamación informará a la parte reclamante sobre:
a) |
el curso del procedimiento y la decisión tomada, y |
b) |
las vías de recurso judicial previstas en el artículo 28. |
Artículo 28
Derecho a una tutela judicial efectiva
1. No obstante
cualquier recurso administrativo o extrajudicial, toda persona física o
jurídica afectada tendrá derecho a una tutela judicial efectiva en lo que
respecta a las decisiones jurídicamente vinculantes a que se refiere el
artículo 14 adoptadas por las autoridades competentes en materia de servicios
de intermediación de datos, en el marco de la gestión, el control y la
ejecución del régimen de notificación para los proveedores de servicios de
intermediación de datos, y las decisiones jurídicamente vinculantes a que se
refieren los artículos 19 y 24 adoptadas por las autoridades competentes para
la inscripción en el registro de las organizaciones de gestión de datos con
fines altruistas, en el marco del control de las organizaciones reconocidas de
gestión de datos con fines altruistas.
2. Los
recursos presentados en virtud del presente artículo se dirimirán ante los
órganos jurisdiccionales del Estado miembro de la autoridad competente en
materia de servicios de intermediación de datos o la autoridad competente para
la inscripción en el registro de las organizaciones de gestión de datos con
fines altruistas contra la cual se interponga el recurso a título individual o
colectivo, según corresponda, por los representantes de una o varias personas físicas
o jurídicas.
3. Cuando una
autoridad competente en materia de servicios de intermediación de datos o una
autoridad competente para la inscripción en el registro de las organizaciones
de gestión de datos con fines altruistas no dé curso a una reclamación,
cualquier persona física o jurídica afectada tendrá derecho, de conformidad con
el Derecho nacional, a una tutela judicial efectiva o acceso a revisión por un
órgano imparcial que disponga de los conocimientos especializados adecuados.
CAPÍTULO
VI
Comité Europeo de
Innovación en materia de Datos
Artículo 29
Comité Europeo de Innovación en materia de Datos
1. La Comisión
creará un Comité Europeo de Innovación en materia de Datos, que adoptará la
forma de un grupo de expertos integrado por representantes de las autoridades
competentes en materia de servicios de intermediación de datos y las
autoridades competentes para la inscripción en el registro de las
organizaciones de gestión de datos con fines altruistas de todos los Estados
miembros, el Comité Europeo de Protección de Datos, el Supervisor Europeo de
Protección de Datos, ENISA, la Comisión, el representante de la UE para las
pymes o un representante designado por la red de representantes nacionales para
las pymes y otros representantes de los organismos pertinentes de sectores
específicos, así como organismos con conocimientos especializados. A la hora de
nombrar expertos individuales, la Comisión procurará lograr un equilibrio
geográfico y de género en la composición del grupo de expertos.
2. El Comité
Europeo de Innovación en materia de Datos constará al menos de los tres
subgrupos siguientes:
a) |
un subgrupo compuesto por las autoridades competentes en materia de
servicios de intermediación de datos y las autoridades competentes para la
inscripción en el registro de las organizaciones de gestión de datos con
fines altruistas, con el fin de llevar a cabo los cometidos que se recogen en
el artículo 30, letras a), c), j) y k); |
b) |
un subgrupo de debates técnicos sobre normalización, portabilidad e
interoperabilidad con arreglo al artículo 30, letras f) y g); |
c) |
un subgrupo para la participación de las partes interesadas, compuesto
por representantes pertinentes de los sectores de la industria, la
investigación, el mundo académico, la sociedad civil, los organismos de
normalización, los correspondientes espacios comunes europeos de datos y
otras partes interesadas y terceras partes pertinentes que asesoren al Comité
Europeo de Innovación en materia de Datos sobre los cometidos que se recogen
en el artículo 30, letras d), e), f), g) y h). |
3. La Comisión
presidirá las reuniones del Comité Europeo de Innovación en materia de Datos.
4. El Comité
Europeo de Innovación en materia de Datos estará asistido por una secretaría
proporcionada por la Comisión.
Artículo 30
Funciones del Comité Europeo de Innovación en materia
de Datos
El Comité Europeo de Innovación en materia de Datos
ejercerá las funciones siguientes:
a) |
asesorar y asistir a la Comisión en el desarrollo de una práctica
coherente de los organismos del sector público y los organismos competentes
mencionados en el artículo 7, apartado 1, a la hora de tramitar las
solicitudes de reutilización de las categorías de datos enumeradas en el
artículo 3, apartado 1; |
b) |
asesorar y asistir a la Comisión en el desarrollo de una práctica
coherente para la cesión altruista de datos en toda la Unión; |
c) |
asesorar y asistir a la Comisión en el desarrollo de una práctica
coherente de las autoridades competentes en materia de servicios de
intermediación de datos y las autoridades competentes para la inscripción en
el registro de las organizaciones de gestión de datos con fines altruistas en
cuanto a la aplicación de los requisitos aplicables a los proveedores de
servicios de intermediación de datos y a las organizaciones reconocidas de
gestión de datos con fines altruistas; |
d) |
asesorar y asistir a la Comisión en la elaboración de directrices
coherentes sobre la mejor manera de proteger, en el contexto del presente
Reglamento, los datos no personales comerciales sensibles, especialmente los
secretos comerciales, pero también los datos no personales que constituyan
contenidos protegidos por derechos de propiedad intelectual, frente a un
acceso ilícito que entrañe riesgo de robo de la propiedad intelectual o de
espionaje industrial; |
e) |
asesorar y asistir a la Comisión en la elaboración de directrices
coherentes para los requisitos de ciberseguridad aplicables al intercambio y
almacenamiento de datos; |
f) |
asesorar a la Comisión, en particular, teniendo en cuenta las
aportaciones de las organizaciones de normalización, sobre la priorización de
las normas intersectoriales que deban utilizarse y desarrollarse para la
utilización de datos y el intercambio de datos entre diferentes sectores y
entre espacios comunes europeos de datos emergentes, la comparación y el
intercambio intersectoriales de las mejores prácticas con respecto a los
requisitos sectoriales de seguridad y los procedimientos de acceso, teniendo
en cuenta las actividades de normalización específicas de cada sector, en
particular, la tarea de aclarar y distinguir qué normas y prácticas son
intersectoriales y cuáles son sectoriales; |
g) |
ayudar a la Comisión, en particular, teniendo en cuenta las aportaciones
de las organizaciones de normalización, a abordar la fragmentación del
mercado interior y la economía de los datos en dicho mercado mediante la
mejora de la interoperabilidad trasfronteriza e intersectorial de los datos y
los servicios de intercambio de datos entre diferentes sectores y ámbitos,
tomando como referencia las normas europeas, internacionales o nacionales
vigentes, entre otros, con el objetivo de promover la creación de espacios
comunes europeos de datos; |
h) |
proponer directrices para los espacios comunes europeos de datos, a
saber, marcos interoperables de normas y prácticas comunes, específicos para
un fin o un sector o intersectoriales, con el fin de compartir o tratar en
común los datos para, entre otros, el desarrollo de nuevos productos y
servicios, la investigación científica o las iniciativas de la sociedad
civil; dichas normas y prácticas comunes tendrán en cuenta las normas
existentes, deberán cumplir las normas en materia de competencia y garantizar
un acceso no discriminatorio para todos los participantes, con el fin de
facilitar el intercambio de datos en la Unión y aprovechar el potencial de
los espacios de datos existentes y futuros, atendiendo, entre otras, a las
siguientes cuestiones:
|
i) |
facilitar la cooperación entre los Estados miembros con respecto al
establecimiento de unas condiciones armonizadas que permitan la
reutilización, en todo el mercado interior, de las categorías de datos
enumeradas en el artículo 3, apartado 1, que obren en poder de organismos del
sector público; |
j) |
facilitar la cooperación entre las autoridades competentes en materia de
servicios de intermediación de datos y las autoridades competentes para la
inscripción en el registro de las organizaciones de gestión de datos con
fines altruistas, mediante el desarrollo de capacidades y el intercambio de
información, en particular, con el establecimiento de métodos para el
intercambio eficiente de información relativa al procedimiento de
notificación para los proveedores de servicios de intermediación de datos y a
la inscripción y el seguimiento de las organizaciones reconocidas de gestión
de datos con fines altruistas, incluida la coordinación por lo que respecta
al establecimiento de tasas o sanciones, y facilitar también la cooperación
entre las autoridades competentes en materia de servicios de intermediación
de datos y las autoridades competentes para la inscripción en el registro de
las organizaciones de gestión de datos con fines altruistas con respecto al
acceso y la transferencia de datos internacionales; |
k) |
asesorar y asistir a la Comisión en la evaluación de la conveniencia de
adoptar los actos de ejecución a los que se refiere el artículo 5, apartados 11
y 12; |
l) |
asesorar y asistir a la Comisión en la elaboración del formulario de
consentimiento europeo para la cesión altruista de datos de conformidad con
el artículo 25, apartado 1; |
m) |
asesorar a la Comisión sobre la mejora del marco regulador internacional para
datos no personales, incluida la normalización. |
CAPÍTULO
VII
Acceso y
transferencia internacionales
Artículo 31
Acceso y transferencia internacionales
1. El
organismo del sector público, la persona física o jurídica a la que se haya
concedido el derecho a reutilizar datos con arreglo al capítulo II, el
proveedor de servicios de intermediación de datos o la organización reconocida
de gestión de datos con fines altruistas tomará todas las medidas técnicas,
jurídicas y organizativas razonables, incluidas disposiciones contractuales,
para impedir la transferencia internacional de datos no personales que se
hallen en la Unión, o el acceso a tales datos por parte de las administraciones
públicas, cuando la transferencia o el acceso entren en conflicto con el
Derecho de la Unión o con el Derecho nacional del Estado miembro de que se
trate, sin perjuicio de lo dispuesto en los apartados 2 o 3.
2. Aquellas
resoluciones y sentencias de los órganos jurisdiccionales de terceros países y
las resoluciones de las autoridades administrativas de terceros países que
exijan a un organismo del sector público, a una persona física o jurídica a la
que se haya concedido el derecho a reutilizar datos con arreglo al capítulo II,
a un proveedor de servicios de intermediación de datos o a una organización
reconocida de gestión de datos con fines altruistas, transferir datos no
personales que se hallen en la Unión y que se incluyan en el ámbito de
aplicación del presente Reglamento o dar acceso a dichos datos deberán ser
reconocidas o ejecutadas de alguna manera, pero únicamente si se basan en un
acuerdo internacional, como pueda ser un tratado de asistencia jurídica mutua,
vigente entre el tercer país solicitante y la Unión, o cualquier acuerdo de esa
índole entre el tercer país solicitante y un Estado miembro.
3. A falta del
acuerdo internacional al que se refiere el apartado 2 del presente artículo,
cuando un organismo del sector público, una persona física o jurídica a la que
se haya concedido el derecho a reutilizar datos con arreglo al capítulo II, un
proveedor de servicios de intermediación de datos o una organización reconocida
de gestión de datos con fines altruistas sea el destinatario de una resolución
o sentencia de un órgano jurisdiccional de un tercer país o una resolución de
una autoridad administrativa de un tercer país por la que se exija transferir
datos no personales que se hallen en la Unión y se incluyan en el ámbito de
aplicación del presente Reglamento o dar acceso a dichos datos, y el
cumplimiento de dicha resolución o sentencia pueda poner al destinatario en una
situación de conflicto con el Derecho de la Unión o con el Derecho nacional del
Estado miembro pertinente, la transferencia o el acceso únicamente tendrá lugar
si:
a) |
el sistema del tercer país exige que se expongan los motivos y la
proporcionalidad de dicha resolución o sentencia y que la resolución o
sentencia sea de carácter específico, por ejemplo, estableciendo un vínculo
suficiente con determinadas personas sospechosas o infracciones; |
b) |
la oposición motivada del destinatario se somete a la apreciación de un
órgano jurisdiccional competente del tercer país, y |
c) |
el órgano jurisdiccional competente del tercer país que dicte la
resolución o sentencia o revise la resolución de una autoridad administrativa
está facultado, con arreglo al Derecho del tercer país, para tener
debidamente en cuenta los intereses jurídicos pertinentes del proveedor de
los datos protegidos por el Derecho de la Unión o por el Derecho nacional del
Estado miembro pertinente. |
4. Si se
cumplen las condiciones previstas en los apartados 2 o 3, el organismo del
sector público, la persona física o jurídica a la que se haya concedido el
derecho a reutilizar datos con arreglo al capítulo II, el proveedor de
servicios de intermediación de datos o la organización reconocida de gestión de
datos con fines altruistas facilitará la cantidad mínima de datos permitida en
respuesta a una solicitud, con arreglo a una interpretación razonable de la
solicitud.
5. El
organismo del sector público, la persona física o jurídica a la que se haya
concedido el derecho a reutilizar datos con arreglo al capítulo II, el
proveedor de servicios de intermediación de datos o la organización reconocida
de gestión de datos con fines altruistas informará al titular de datos afectado
de que una autoridad administrativa de un tercer país ha solicitado acceso a
sus datos, antes de dar curso a dicha solicitud, excepto en los casos en que la
solicitud sirva a fines de ejecución de las leyes y mientras sea necesario para
preservar la eficacia de las actividades policiales correspondientes.
CAPÍTULO
VIII
Delegación y
procedimiento de comité
Artículo 32
Ejercicio de la delegación
1. Se otorgan
a la Comisión los poderes para adoptar actos delegados en las condiciones
establecidas en el presente artículo.
2. Los poderes
para adoptar actos delegados mencionados en el artículo 5, apartado 13, y el
artículo 22, apartado 1, se otorgan a la Comisión por un período de tiempo
indefinido a partir del 23 de junio de 2022.
3. La
delegación de poderes mencionada en el artículo 5, apartado 13, y el artículo 22,
apartado 1, podrá ser revocada en cualquier momento por el Parlamento Europeo o
por el Consejo. La decisión de revocación pondrá término a la delegación de los
poderes que en ella se especifiquen. La decisión surtirá efecto el día
siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No
afectará a la validez de los actos delegados que ya estén en vigor.
4. Antes de la
adopción de un acto delegado, la Comisión consultará a los expertos designados
por cada Estado miembro de conformidad con los principios establecidos en el
Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la
legislación.
5. Tan pronto
como la Comisión adopte un acto delegado lo notificará simultáneamente al
Parlamento Europeo y al Consejo.
6. Los actos
delegados adoptados en virtud del artículo 5, apartado 13, y el artículo 22,
apartado 1, entrarán en vigor únicamente si, en un plazo de tres meses a partir
de su notificación al Parlamento Europeo y al Consejo, ninguna de estas
instituciones formula objeciones o si, antes del vencimiento de dicho plazo,
ambas informan a la Comisión de que no las formularán. El plazo se prorrogará
tres meses a iniciativa del Parlamento Europeo o del Consejo.
Artículo 33
Procedimiento de comité
1. La Comisión
estará asistida por un comité. Dicho comité será un comité en el sentido del
Reglamento (UE) n.o 182/2011.
2. En los
casos en que se haga referencia al presente apartado, se aplicará el artículo 4
del Reglamento (UE) n.o 182/2011.
3. En los
casos en que se haga referencia al presente apartado, se aplicará el artículo 5
del Reglamento (UE) n.o 182/2011.
CAPÍTULO
IX
Disposiciones
finales y transitorias
Artículo 34
Sanciones
1. Los Estados
miembros establecerán el régimen de sanciones aplicables a cualquier infracción
de las obligaciones relativas a las transferencias de datos no personales a
terceros países en virtud del artículo 5, apartado 14, y al artículo 31, la
obligación de notificación que incumbe a los proveedores de servicios de
intermediación de datos en virtud del artículo 11, las condiciones para prestar
servicios de intermediación de datos con arreglo al artículo 12 y las
condiciones para la inscripción en el registro como organización reconocida de
gestión de datos con fines altruistas en virtud de los artículos 18, 20, 21 y 22,
y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales
sanciones serán efectivas, proporcionadas y disuasorias. En sus regímenes de
sanciones, los Estados miembros tendrán en cuenta las recomendaciones del
Consejo Europeo de Innovación en materia de Datos. Los Estados miembros
comunicarán a la Comisión el régimen establecido y las medidas adoptadas, a más
tardar el 24 de septiembre de 2023, y le notificarán sin demora toda
modificación posterior.
2. Los Estados
miembros tendrán en cuenta los siguientes criterios no exhaustivos e
indicativos para la imposición de sanciones a los proveedores de servicios de
intermediación de datos y a las organizaciones reconocidas de gestión de datos
con fines altruistas por las infracciones del presente Reglamento, cuando
proceda:
a) |
la naturaleza, gravedad, magnitud y duración de la infracción; |
b) |
cualquier medida adoptada por el proveedor de servicios de intermediación
de datos o la organización reconocida de gestión de datos con fines
altruistas para mitigar o reparar el daño causado por la infracción; |
c) |
cualquier infracción anterior del proveedor de servicios de
intermediación de datos o de la organización reconocida de gestión de datos
con fines altruistas; |
d) |
los beneficios financieros obtenidos o las pérdidas evitadas por el
proveedor de servicios de intermediación de datos o la organización
reconocida de gestión de datos con fines altruistas debido a la infracción,
en la medida en que dichos beneficios o pérdidas puedan determinarse de forma
fiable; |
e) |
cualquier otra circunstancia agravante o atenuante aplicable al caso. |
Artículo 35
Evaluación y revisión
A más tardar el 24 de septiembre de 2025, la Comisión
llevará a cabo una evaluación del presente Reglamento y presentará un informe
sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al
Comité Económico y Social Europeo. El informe irá acompañado de propuestas
legislativas, en caso necesario.
En el informe se analizarán, en particular:
a) |
la aplicación y el funcionamiento del régimen de sanciones establecido
por los Estados miembros en virtud del artículo 34; |
b) |
el grado de cumplimiento del presente Reglamento por los representantes
legales de los proveedores de servicios de intermediación de datos y las
organizaciones reconocidas de gestión de datos con fines altruistas que no
estén establecidos en la Unión, así como el grado de aplicabilidad de las
sanciones impuestas a dichos proveedores y organizaciones; |
c) |
el tipo de organizaciones de gestión de datos con fines altruistas
inscritas en el registro con arreglo al capítulo IV y una síntesis de los
fines de interés general para los que se intercambien datos, con miras a
determinar criterios inequívocos a ese respecto. |
Los Estados miembros facilitarán a la Comisión la
información necesaria para la elaboración del informe.
Artículo 36
Modificación del Reglamento (UE) 2018/1724
En el cuadro del anexo II del Reglamento (UE)
2018/1724, la entrada «Puesta en marcha, gestión y cierre de una empresa» se
sustituye por el texto siguiente:
Sucesos
vitales |
Procedimientos |
Resultado esperado sujeto a un examen de la solicitud por la autoridad
competente de conformidad con su Derecho nacional, cuando corresponda |
Puesta en marcha, gestión y cierre de una empresa |
Notificación de actividades empresariales, permisos para ejercer una
actividad empresarial, cambios de actividad empresarial y cese de una
actividad empresarial sin procedimientos de insolvencia o liquidación,
excluidos el registro inicial de una actividad empresarial en el registro
mercantil y los procedimientos relativos a la constitución o cualquier
presentación posterior de sociedades en el sentido del artículo 54, párrafo
segundo, del TFUE |
Acuse de recibo de la notificación o el cambio, o bien de la solicitud de
permiso de actividad empresarial |
|
Alta de un empleador (persona física) en sistemas obligatorios de
pensiones y seguros |
Confirmación del alta o número de registro de la seguridad social |
Alta de empleados en sistemas obligatorios de pensiones y seguros |
Confirmación del alta o número de registro de la seguridad social |
|
Presentación de una declaración de impuesto sobre sociedades |
Acuse de recibo de la declaración |
|
Notificación a los regímenes de la seguridad social de la finalización
del contrato de un empleado, con exclusión de los procedimientos de despido
colectivo |
Acuse de recibo de la notificación |
|
Pago de las cotizaciones sociales de los empleados |
Recibo u otra forma de confirmación del pago de las cotizaciones sociales
de los empleados |
|
Notificación de un proveedor de servicios de intermediación de datos |
Acuse de recibo de la notificación |
|
Inscripción como organización de gestión de datos con fines altruistas
reconocida en la Unión |
Confirmación
de la inscripción |
Artículo 37
Disposiciones transitorias
Las entidades que ya presten los servicios de
intermediación de datos a los que se refiere el artículo 10 el 23 de junio de
2022 deberán cumplir las obligaciones establecidas en el capítulo III a más
tardar el 24 de septiembre de 2025.
Artículo 38
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte
días de su publicación en el Diario
Oficial de la Unión Europea.
Será aplicable a partir del 24 de septiembre de 2023.
El
presente Reglamento será obligatorio en todos sus elementos y directamente
aplicable en cada Estado miembro.
Hecho en Bruselas, el 30 de mayo de 2022.
Por el Parlamento
Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
B. LE MAIRE
(2) Posición del Parlamento Europeo de 6 de abril
de 2022 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo
de 16 de mayo de 2022.
(3) Recomendación 2003/361/CE de la Comisión, de 6
de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas
empresas (DO L 124 de 20.5.2003, p. 36).
(4) Directiva 2011/24/UE del Parlamento Europeo y
del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de
los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).
(5) Reglamento (UE) 2019/1239 del Parlamento
Europeo y del Consejo, de 20 de junio de 2019, por el que se crea un entorno
europeo de ventanilla única marítima y se deroga la Directiva 2010/65/UE (DO L 198 de 25.7.2019, p. 64).
(6) Reglamento (UE) 2020/1056 del Parlamento
Europeo y del Consejo, de 15 de julio de 2020, sobre información electrónica
relativa al transporte de mercancías (DO L 249 de 31.7.2020, p. 33).
(7) Directiva 2010/40/UE del Parlamento Europeo y
del Consejo, de 7 de julio de 2010, por la que se establece el marco para la
implantación de los sistemas de transporte inteligentes en el sector del
transporte por carretera y para las interfaces con otros modos de transporte (DO L 207 de 6.8.2010, p. 1).
(8) Reglamento (CE) n.o 223/2009
del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la
estadística europea y por el que se deroga el Reglamento (CE, Euratom) n.o 1101/2008
relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas
de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) n.o 322/97 del
Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del
Consejo por la que se crea un Comité del programa estadístico de las
Comunidades Europeas (DO L 87 de 31.3.2009, p. 164).
(9) Reglamento (UE) 2018/858 del Parlamento
Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la
vigilancia del mercado de los vehículos de motor y sus remolques y de los
sistemas, los componentes y las unidades técnicas independientes destinados a
dichos vehículos, por el que se modifican los Reglamentos (CE) n.o 715/2007 y
(CE) n.o 595/2009 y
por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1).
(10) Reglamento (UE) 2018/1807 del Parlamento
Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la
libre circulación de datos no personales en la Unión Europea (DO L 303 de 28.11.2018, p. 59).
(11) Directiva 2000/31/CE del Parlamento Europeo y
del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos
de los servicios de la sociedad de la información, en particular el comercio
electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).
(12) Directiva 2001/29/CE del Parlamento Europeo y
del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados
aspectos de los derechos de autor y derechos afines a los derechos de autor en
la sociedad de la información (DO L 167 de 22.6.2001, p. 10).
(13) Directiva 2004/48/CE del Parlamento Europeo y
del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de
propiedad intelectual (DO L 157 de 30.4.2004, p. 45).
(14) Directiva 2007/2/CE del Parlamento Europeo y
del Consejo, de 14 de marzo de 2007, por la que se establece una
infraestructura de información espacial en la Comunidad Europea (Inspire) (DO L 108 de 25.4.2007, p. 1).
(15) Directiva (UE) 2015/849 del Parlamento
Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la
utilización del sistema financiero para el blanqueo de capitales o la
financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.o 648/2012
del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del
Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73).
(16) Directiva (UE) 2016/943 del Parlamento
Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los
conocimientos técnicos y la información empresarial no divulgados (secretos
comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de 15.6.2016, p. 1).
(17) Directiva (UE) 2017/1132 del Parlamento
Europeo y del Consejo, de 14 de junio de 2017, sobre determinados aspectos del
Derecho de sociedades (DO L 169 de 30.6.2017, p. 46).
(18) Directiva (UE) 2019/790 del Parlamento
Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y
derechos afines en el mercado único digital y por la que se modifican las
Directivas 96/9/CE y 2001/29/CE (DO L 130 de 17.5.2019, p. 92).
(19) Directiva (UE) 2019/1024 del Parlamento
Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y
la reutilización de la información del sector público (DO L 172 de 26.6.2019, p. 56).
(20) Directiva 2009/81/CE del Parlamento Europeo y
del Consejo, de 13 de julio de 2009, sobre coordinación de los procedimientos
de adjudicación de determinados contratos de obras, de suministro y de
servicios por las entidades o poderes adjudicadores en los ámbitos de la
defensa y la seguridad, y por la que se modifican las Directivas 2004/17/CE y 2004/18/CE
(DO L 216 de 20.8.2009, p. 76).
(21) Reglamento (UE) 2016/679 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales y a la
libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE
(Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(22) Reglamento (UE) 2018/1725 del Parlamento
Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales por
las instituciones, órganos y organismos de la Unión, y a la libre circulación
de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y
la Decisión n.o 1247/2002/CE
(DO L 295 de 21.11.2018, p. 39).
(23) Directiva 2002/58/CE del Parlamento Europeo y
del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos
personales y a la protección de la intimidad en el sector de las comunicaciones
electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
(24) Directiva (UE) 2016/680 del Parlamento
Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las
personas físicas en lo que respecta al tratamiento de datos personales por
parte de las autoridades competentes para fines de prevención, investigación,
detección o enjuiciamiento de infracciones penales o de ejecución de sanciones
penales, y a la libre circulación de dichos datos y por la que se deroga la
Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
(25) Reglamento (UE) n.o 557/2013 de
la Comisión, de 17 de junio de 2013, por el que se aplica el Reglamento (CE) n.o 223/2009
del Parlamento Europeo y del Consejo, relativo a la estadística europea, en lo
que respecta al acceso a datos confidenciales con fines científicos, y por el
que se deroga el Reglamento (CE) n.o 831/2002 de la
Comisión (DO L 164 de 18.6.2013, p. 16).
(26) Directiva 96/9/CE del Parlamento Europeo y
del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases
de datos (DO L 77 de 27.3.1996, p. 20).
(27) Reglamento (UE) n.o 600/2014
del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los
mercados de instrumentos financieros y por el que se modifica el Reglamento
(UE) n.o 648/2012 (DO L 173 de 12.6.2014, p. 84).
(28) Directiva (UE) 2015/2366 del Parlamento
Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en
el mercado interior y por la que se modifican las Directivas 2002/65/CE,
2009/110/CE y 2013/36/UE y el Reglamento (UE) n.o 1093/2010 y se
deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).
(29) Reglamento (UE) 2018/1724 del Parlamento
Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una
pasarela digital única de acceso a información, procedimientos y servicios de
asistencia y resolución de problemas y por el que se modifica el Reglamento
(UE) n.o 1024/2012 (DO L 295 de 21.11.2018, p. 1).
(30) DO L 123 de 12.5.2016, p. 1.
(31) Reglamento (UE) n.o 182/2011
del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se
establecen las normas y los principios generales relativos a las modalidades de
control por parte de los Estados miembros del ejercicio de las competencias de
ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(32) Directiva (UE) 2016/2102 del Parlamento
Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los
sitios web y aplicaciones para dispositivos móviles de los organismos del sector
público (DO L 327 de 2.12.2016, p. 1).
(33) Directiva (UE) 2019/882 del Parlamento
Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de
accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).
No hay comentarios:
Publicar un comentario