El Diario Oficial de la Unión Europea de 3 de junio, ha publicado el Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022 (LA LEY 12215/2022), relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (LA LEY 18402/2018) (Reglamento de Gobernanza de Datos).
Este Reglamento regula:
a) las condiciones para la reutilización, dentro de la Unión, de determinadas categorías de datos que obran en poder de organismos del sector público;
b) la prestación de servicios de intermediación de datos;
c) las entidades que recojan y traten datos cedidos con fines altruistas, y
d) un Comité Europeo de Innovación en materia de Datos.
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. Será aplicable a partir del 24 de septiembre de 2023 (art. 38).
Fundamento de la norma
El nuevo Reglamento, cuya versión final fue aprobada por el Comité y el Parlamento Europeos el pasado mes de abril, parte del valor central de los datos para la transformación que las tecnologías digitales están suponiendo para la economía y la sociedad.
Por ello, tiene como objetivo desarrollar “el mercado interior digital sin fronteras y una sociedad y economía de los datos centradas en el ser humano, fiables y seguras”. Para ello se aspira a crear “un régimen horizontal para la reutilización de determinadas categorías de datos protegidos en poder de organismos del sector público, y la prestación de servicios de intermediación de datos y de servicios basados en la cesión altruista de datos en la Unión”. Y todo ello, sin perjuicio de todas las normativas sectoriales existentes en materias como los datos personales y no personales, los datos abiertos, los derechos de autor y de propiedad intelectual, los secretos industriales, el blanqueo de capitales y los vehículos de motor (Considerando 3).
Se trata de la primera norma emanada de la Estrategia Digital Europea puesta en marcha en febrero de 2020 por la Comisión Europea presidida por Ursula Von der Leyen y basada en cuatro importantes documentos: las Comunicaciones COM (2020) 67 final, Configurar el futuro digital de Europa y COM (2020) 66 final, Una estrategia europea sobre los datos; el Libro Blanco sobre Inteligencia Artificial COM (2020) 65 final y el Informe sobre las implicaciones sobre seguridad y responsabilidad de la Inteligencia Artificial, la Internet de las cosas y la robótica COM (2020) 64 final.
En concreto, en la Comunicación sobre una Estrategia Europea de Datos, se señalaba: que su objetivo es “crear un espacio único europeo de datos, un verdadero mercado único de datos, abierto a datos procedentes de todo el mundo, en el que los datos personales y no personales, incluidos los datos sensibles de empresas, estén seguros y las empresas también tengan fácil acceso a una cantidad casi infinita de datos industriales de alta calidad, de manera que se impulse el crecimiento y se cree valor, minimizando al mismo tiempo la huella humana medioambiental y de carbono”. Y, a su vez, un espacio “en el que la legislación de la UE pueda aplicarse con eficacia y en el que todos los productos y servicios basados en los datos cumplan las normas pertinentes del mercado único de la UE”.
Todo ello a fin de garantizar que:
• los datos puedan fluir en la UE y en todos los sectores,
• se respeten plenamente las normas y los valores europeos, en particular la protección de los datos personales, la legislación en materia de protección de los consumidores y la legislación en materia de competencia,
• las normas de acceso a los datos y uso de estos sean justas, prácticas y claras, que existan mecanismos claros y fiables de gobernanza de los datos, y que exista un enfoque abierto, pero firme, en relación con los flujos internacionales de datos, basado en los valores europeos.
Para ello, la Estrategia diseñada por la Comisión se basa en cuatro pilares, el primero de los cuales consiste, precisamente, en definir “Un marco de gobernanza intersectorial para el acceso a los datos y su utilización”.
Pero, “Dado que es difícil comprender plenamente todos los elementos de esta transformación hacia una economía ágil en el manejo de los datos, la Comisión se abstiene deliberadamente de elaborar, ex ante, una reglamentación demasiado detallada y estricta, y prefiere un planteamiento ágil de la gobernanza que propicie la experimentación (como los espacios controlados de pruebas), la iteración y la diferenciación”.
Por tanto, esas estructuras de gobernanza “deben apoyar las decisiones sobre qué datos pueden utilizarse y en qué situaciones, facilitar el uso transfronterizo de los datos y dar prioridad a los requisitos y normas de interoperabilidad dentro de los sectores y entre ellos, teniendo en cuenta al mismo tiempo la necesidad de que las autoridades sectoriales especifiquen los requisitos para cada sector”.
Estructura
A partir de los principios expuestos, la norma consta de 38 artículos estructurados en 9 Capítulos y precedidos de 63 Considerandos (a diferencia de otras normas europeos, no especialmente útiles, por carecer de una estructura clara y ser muy reiterativos).
Su contenido principal es el siguiente:
Objeto y ámbito de aplicación
El Capítulo I (Disposiciones generales), establece en su artículo 1 el objeto y ámbito de aplicación del Reglamento.
Como hemos indicado, el objeto del Reglamento es establecer:
a) las condiciones para la reutilización, dentro de la Unión, de determinadas categorías de datos que obren en poder de organismos del sector público;
b) un marco de notificación y supervisión para la prestación de servicios de intermediación de datos;
c) un marco para la inscripción voluntaria en un registro de las entidades que recojan y traten datos cedidos con fines altruistas, y
d) un marco para la creación de un Comité Europeo de Innovación en materia de Datos.
Respeto a las disposiciones preexistentes sobre el acceso y la reutilización de los datos
El presente Reglamento se entenderá sin perjuicio de las disposiciones específicas previstas en el Derecho de la Unión o nacional en lo referente al acceso a determinadas categorías de datos o a su reutilización, en particular, con respecto a la concesión de acceso a documentos oficiales y su divulgación, ni de las obligaciones de los organismos del sector público con arreglo al Derecho de la Unión o nacional de permitir la reutilización de datos, ni de los requisitos relacionados con el tratamiento de datos no personales.
Cuando la normativa de la Unión o nacional específica de un sector exija a los organismos del sector público, los proveedores de servicios de intermediación de datos o las organizaciones reconocidas de gestión de datos con fines altruistas cumplir requisitos específicos adicionales de carácter técnico, administrativo u organizativo, también mediante un régimen de autorización o certificación, las disposiciones de dicha normativa de la Unión o nacional serán igualmente de aplicación. Cualquier requisito específico adicional de ese tipo deberá ser no discriminatorio y proporcionado y estar justificado objetivamente.
En particular, el Derecho de la Unión y nacional en materia de protección de datos personales se aplicará a todos los datos personales tratados en relación con el presente Reglamento. Es decir, el presente Reglamento se entenderá sin perjuicio de los Reglamentos (UE) 2016/679 (LA LEY 6637/2016) y (UE) 2018/1725, y de las Directivas 2002/58/CE (LA LEY 9590/2002) y (UE) 2016/680 (LA LEY 6638/2016), incluidas las facultades y competencias de las autoridades de control.
En caso de conflicto entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o el Derecho nacional adoptado de conformidad con el Derecho de la Unión en la materia, prevalecerá el Derecho de la Unión o nacional que sea aplicable en materia de protección de datos personales.
A este respecto es importante subrayar que el nuevo Reglamento no crea una base jurídica para el tratamiento de datos personales ni afecta a ninguna obligación ni derecho establecidos en los Reglamentos (UE) 2016/679 (LA LEY 6637/2016) o (UE) 2018/1725, o en las Directivas 2002/58/CE (LA LEY 9590/2002) o (UE) 2016/680.
Finalmente, a este respecto, se establece que el Reglamento se entenderá sin perjuicio, ni de la aplicación del Derecho de la competencia, ni de las competencias de los Estados miembros respecto a las actividades relativas a la seguridad pública, la defensa y la seguridad nacional.
Definiciones
Dentro de las definiciones que establece el art. 2, destacamos las siguientes:
- Servicio de intermediación de datos
Se define así todo servicio cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo, incluidos los servicios destinados al ejercicio de los derechos de los interesados en relación con los datos personales, pero excluidos, al menos, los servicios siguientes:
a) los servicios que obtengan datos de titulares de datos y que los agreguen, enriquezcan o transformen con el fin de añadirles un valor sustancial y concedan licencias a los usuarios de datos para la utilización de los datos resultantes, sin establecer una relación comercial entre los titulares de datos y los usuarios de datos;
b) los servicios dedicados a la intermediación de contenido protegido por derechos de autor;
c) los servicios utilizados exclusivamente por un único titular de datos para permitir la utilización de los datos que obren en poder de dicho titular de datos, o los utilizados por múltiples personas jurídicas en un grupo cerrado, incluyendo también los utilizados en las relaciones con proveedores o con clientes o las colaboraciones establecidas contractualmente, en particular, los que tienen como objetivo principal garantizar las funcionalidades de los objetos y dispositivos conectados al internet de las cosas;
d) los servicios de intercambio de datos ofrecidos por organismos del sector público sin la intención de establecer relaciones comerciales.
- Servicios de cooperativas de datos
Son los servicios de intermediación de datos ofrecidos por una estructura organizativa constituida por interesados, empresas unipersonales o pymes pertenecientes a dicha estructura, cuyos objetivos principales sean prestar asistencia a sus miembros en el ejercicio de los derechos de estos con respecto a determinados datos, incluida la asistencia por lo que respecta a la adopción de decisiones informadas antes de consentir el tratamiento de datos, intercambiar opiniones sobre los fines del tratamiento de datos y las condiciones que mejor representen los intereses de sus miembros en relación con los datos de estos, y negociar las condiciones contractuales para el tratamiento de datos en nombre de sus miembros antes de conceder permiso para el tratamiento de datos no personales o antes de dar su consentimiento para el tratamiento de datos personales.
- Cesión altruista de datos
Es todo intercambio voluntario de datos basado en el consentimiento de los interesados para que se traten sus datos personales, o en el permiso de los titulares de datos para que se usen sus datos no personales, sin ánimo de obtener o recibir una gratificación que exceda de una compensación relativa a los costes en que incurran a la hora de facilitar sus datos, con objetivos de interés general tal como se disponga en el Derecho nacional, en su caso, como, por ejemplo, la asistencia sanitaria, la lucha contra el cambio climático, la mejora de la movilidad, la facilitación del desarrollo, elaboración y difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos, la elaboración de políticas públicas o la investigación científica de interés general.
Reutilización de determinadas categorías de datos protegidos que obren en poder de organismos del sector público
El Capítulo II del Reglamento (arts. 3 a 9) regula esta modalidad de utilización de los datos, estableciendo:
- Categorías de datos incluidos es esta reutilización (Artículo 3)
Según el art. 3, esta regulación se aplica a aquellos datos que obren en poder de organismos del sector público que estén protegidos por motivos de: a) confidencialidad comercial, incluidos los secretos comerciales, profesionales o empresariales; b) confidencialidad estadística; c) protección de los derechos de propiedad intelectual de terceros, o d) protección de los datos personales, en la medida en que tales datos queden excluidos del ámbito de aplicación de la Directiva (UE) 2019/1024 (LA LEY 11090/2019).
- Prohibición de los acuerdos de exclusividad (Artículo 4)
Se prohíben los acuerdos u otras prácticas relativos a la reutilización de aquellos datos que obren en poder de organismos del sector público que contengan categorías de datos de las enumeradas en el artículo 3, apartado 1, señalada anteriormente, por los que se concedan derechos exclusivos o cuyo objetivo o efecto sea conceder derechos exclusivos o restringir la disponibilidad de los datos para su reutilización por entidades distintas de las partes en tales acuerdos o prácticas.
Como excepción a lo anterior, podrá concederse un derecho exclusivo para la reutilización de dichos datos en la medida en que así lo exija la prestación de un servicio o el suministro de un producto de interés general que, de otro modo, no sería posible.
El tiempo máximo de duración de un derecho exclusivo a reutilizar los datos será de doce meses. Cuando se celebre un contrato, la duración de este será la misma que la del derecho exclusivo.
- Condiciones de la reutilización (Artículo 5)
Los organismos del sector público que, con arreglo al Derecho nacional, sean competentes para conceder o denegar acceso para la reutilización de una o varias de las categorías de datos enumeradas en el artículo 3, apartado 1, publicarán las condiciones en las que se permite tal reutilización y el procedimiento para solicitarla por medio del punto único de información a que se refiere el artículo 8.
Esas condiciones de reutilización no podrán ser discriminatorias, deberán ser transparentes y proporcionadas, y estar justificadas objetivamente respecto de las categorías de datos, los fines de la reutilización y la naturaleza de los datos cuya reutilización se permita. Además, dichas condiciones no podrán utilizarse para restringir la competencia.
Los Estados miembros velarán por que los organismos del sector público dispongan de los recursos necesarios para cumplir lo dispuesto en el presente artículo.
- Tasas por permitir la reutilización de datos (Artículo 6)
Los organismos del sector público que permitan la reutilización de las categorías de datos anteriormente enumeradas, podrán cobrar tasas por permitir dicha reutilización. Dichas tasas deberán ser transparentes, no discriminatorias y proporcionadas, estarán justificadas objetivamente y no podrán restringir la competencia.
- Organismos competentes (Artículo 7)
A efectos de llevar a cabo los cometidos a que se refiere el presente artículo, cada Estado miembro designará uno o varios organismos competentes, que podrán ser competentes para determinados sectores, para prestar asistencia a los organismos del sector público que concedan o denieguen acceso para la reutilización de los datos enumeradas en el artículo 3, apartado 1.
Los Estados miembros podrán crear uno o más organismos competentes nuevos o servirse de organismos del sector público existentes o de servicios internos de organismos del sector público que cumplan las condiciones establecidas en el presente Reglamento.
Podrá confiarse a los organismos competentes la facultad de conceder acceso para la reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, con arreglo al Derecho de la Unión o nacional que prevea la concesión de dicho acceso.
- Puntos únicos de información (Artículo 8)
Los Estados miembros velarán por que toda la información pertinente en relación con la aplicación de los artículos 5 y 6 esté disponible y sea fácilmente accesible a través de un punto único de información.
Para ello, los Estados miembros crearán un organismo nuevo o designarán un organismo existente como punto único de información. Este podrá estar vinculado a puntos de información sectorial, regional o local.
Las funciones del punto único de información podrán automatizarse, siempre que el organismo del sector público garantice un apoyo adecuado.
- Procedimiento de solicitud de reutilización (Artículo 9)
Salvo que se prevean plazos más breves en el Derecho nacional, los organismos del sector público competentes o los organismos competentes a que se refiere el artículo 7, apartado 1, adoptarán las decisiones sobre la solicitud de reutilización de datos en el plazo de dos meses a partir de la fecha de recepción de la solicitud.
En caso de solicitudes de reutilización excepcionalmente extensas y complejas, el plazo de dos meses podrá ampliarse un máximo de treinta días. En tales casos, los organismos del sector público competentes o los organismos competentes, notificarán al solicitante lo antes posible que se necesita más tiempo para tramitar la solicitud y los motivos de la demora.
Toda persona física o jurídica directamente afectada por una decisión adoptada de conformidad con el apartado 1 dispondrá de un derecho efectivo de recurso en el Estado miembro en el que se encuentre el organismo en cuestión.
Servicios de intermediación de datos
El art. 10, primero del Capítulo III, incluye entre estos servicios
a) los servicios de intermediación entre los titulares de datos y los potenciales usuarios de datos, incluida la facilitación de los medios técnicos o de otro tipo para habilitar dichos servicios.
Estos servicios podrán comprender el intercambio bilateral o multilateral de datos o la creación de plataformas o bases de datos que posibiliten el intercambio o la utilización en común de datos, así como el establecimiento de otra infraestructura específica para la interconexión de los titulares de datos con los usuarios de datos;
b) los servicios de intermediación entre los interesados que deseen facilitar sus datos personales o las personas físicas que deseen facilitar datos no personales y los potenciales usuarios de datos, incluida la facilitación de los medios técnicos o de otro tipo necesarios para habilitar dichos servicios, y, en particular, posibilitar el ejercicio de los derechos de los interesados previstos en el Reglamento (UE) 2016/679 (LA LEY 6637/2016), y
c) los servicios de cooperativas de datos.
- Notificación a la autoridad por los proveedores de servicios de intermediación de datos (Artículo 11)
Todo proveedor de servicios de intermediación de datos que pretenda prestar los servicios de intermediación de datos presentará una notificación a la autoridad competente en materia de servicios de intermediación de datos.
Tras haber remitido una notificación, el proveedor de servicios de intermediación de datos podrá iniciar su actividad con arreglo a las condiciones establecidas en el presente capítulo.
- Condiciones para la prestación de servicios de intermediación de datos (Artículo 12)
La prestación de servicios de intermediación de datos estará sujeta a las siguientes condiciones:
a) los proveedores de servicios de intermediación de datos no podrán utilizar los datos en relación con los que presten sus servicios para fines diferentes de su puesta a disposición de los usuarios de datos y prestarán los servicios de intermediación de datos a través de una persona jurídica distinta;
b) las condiciones contractuales comerciales, incluidas las relativas a los precios, para la prestación de servicios de intermediación de datos a un titular de datos o a un usuario de datos no podrán depender de que el titular de datos o el usuario de datos utilice otros servicios prestados por el mismo proveedor de servicios de intermediación de datos o por una entidad relacionada con él, y, de utilizarlos, no podrán depender de en qué grado el titular de datos o el usuario de datos utilice dichos servicios;
c) los datos recogidos sobre cualquier actividad de una persona física o jurídica a efectos de la prestación de un servicio de intermediación de datos, incluidas la fecha, hora y geolocalización, la duración de la actividad y las conexiones que el usuario del servicio de intermediación de datos establezca con otras personas físicas o jurídicas, solo se utilizarán para el desarrollo de ese servicio de intermediación de datos, lo que puede implicar la utilización de datos para la detección de fraudes o para fines de ciberseguridad, y se pondrán a disposición de los titulares de datos, previa petición;
d) los proveedores de servicios de intermediación de datos intercambiarán los datos en el mismo formato en el que los reciban de parte del interesado o del titular de datos, únicamente los convertirán en formatos específicos con el fin de mejorar la interoperabilidad intrasectorial e intersectorial o si así lo solicita el usuario de datos o si así lo exige el Derecho de la Unión o si es necesario a efectos de la armonización con las normas internacionales o europeas en materia de datos y ofrecerán a los interesados o a los titulares de datos una posibilidad de exclusión en relación con dichas conversiones, a menos que el Derecho de la Unión obligue a realizar dicha conversión;
e) los servicios de intermediación de datos podrán incluir la oferta de herramientas y servicios específicos adicionales a los titulares de datos o los interesados con el objetivo específico de facilitar el intercambio de los datos, por ejemplo, el almacenamiento temporal, la organización, la conversión, la anonimización y la seudonimización, siempre que tales herramientas y servicios solo se utilicen previa solicitud o aprobación expresas del titular de datos o del interesado, y que las herramientas de terceros ofrecidas en ese contexto no se utilicen para otros fines;
f) los proveedores de servicios de intermediación de datos velarán por que el procedimiento de acceso a sus servicios, incluidos los precios y las condiciones de servicio, sea equitativo, transparente y no discriminatorio, tanto para los interesados como para los titulares de datos y los usuarios de datos;
g) los proveedores de servicios de intermediación de datos dispondrán de procedimientos para impedir prácticas fraudulentas o abusivas de las partes que deseen obtener acceso a través de sus servicios de intermediación de datos;
h) los proveedores de servicios de intermediación de datos se asegurarán en caso de insolvencia, de la continuidad razonable de la prestación de sus servicios de intermediación de datos y, cuando esos servicios de intermediación de datos incluyan el almacenamiento de datos, dispondrán de los mecanismos de garantía necesarios para que los titulares de datos y los usuarios de datos puedan acceder a sus datos, transferirlos o recuperarlos y, cuando presten esos servicios de intermediación entre interesados y usuarios de datos, para permitir que los interesados ejerzan sus derechos;
i) los proveedores de servicios de intermediación de datos adoptarán las medidas adecuadas para garantizar la interoperabilidad con otros servicios de intermediación de datos, entre otros, mediante normas abiertas de uso común en el sector en el que operen los proveedores de servicios de intermediación de datos;
j) los proveedores de servicios de intermediación de datos aplicarán las medidas técnicas, jurídicas y organizativas adecuadas para impedir el acceso a datos no personales o su transferencia cuando dicho acceso o transferencia sean ilícitos con arreglo al Derecho de la Unión o al Derecho nacional del Estado miembro correspondiente;
k) los proveedores de servicios de intermediación de datos informarán sin demora a los titulares de datos en caso de transferencia, acceso o utilización no autorizados de los datos no personales que haya compartido;
l) los proveedores de servicios de intermediación de datos tomarán las medidas necesarias para garantizar un nivel de seguridad adecuado en relación con el almacenamiento, el tratamiento y la transmisión de los datos no personales, y también garantizarán el más elevado nivel de seguridad en relación con el almacenamiento y la transmisión de información sensible desde el punto de vista de la competencia;
m) los proveedores de servicios de intermediación de datos que ofrezcan servicios a los interesados actuarán en el mejor interés de estos cuando faciliten el ejercicio de sus derechos, en particular, informándolos y, cuando corresponda, asesorándolos de manera concisa, transparente, inteligible y fácilmente accesible sobre los usos previstos de los datos por los usuarios de datos y las condiciones generales aplicables a dichos usos antes de que los interesados presten su consentimiento;
n) cuando los proveedores de servicios de intermediación de datos proporcionen herramientas para obtener el consentimiento de los interesados o el permiso para tratar los datos facilitados por los titulares de datos, especificarán, cuando corresponda, el territorio del tercer país en el que se pretenda usar los datos y proporcionarán a los interesados herramientas tanto para otorgar como para retirar su consentimiento, y a los titulares de datos, herramientas tanto para conceder como para retirar los permisos para tratar los datos;
o) los proveedores de servicios de intermediación de datos conservarán un registro de la actividad de intermediación de datos.
- Excepciones (Artículo 15)
Las disposiciones de este capítulo no serán aplicables a las organizaciones reconocidas de gestión de datos con fines altruistas ni a otras entidades sin ánimo de lucro, en la medida en que sus actividades consistan en la recopilación de datos cedidos con fines altruistas por personas físicas o jurídicas para el cumplimiento de objetivos de interés general, salvo que dichas organizaciones y entidades tengan por objeto establecer relaciones comerciales entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra.
- Autoridades competentes en materia de servicios de intermediación de datos (Artículo 13)
Cada Estado miembro designará a una o varias autoridades competentes para desempeñar las funciones relacionadas con el procedimiento de notificación en materia de servicios de intermediación de datos y notificará a la Comisión la identidad de dichas autoridades competentes a más tardar el 24 de septiembre de 2023. Estas autoridades deberán cumplir los requisitos establecidos en el artículo 26. Asimismo, cada Estado miembro notificará a la Comisión toda modificación posterior de la identidad de dichas autoridades competentes.
- Supervisión del cumplimiento (Artículo 14)
Las autoridades competentes en materia de servicios de intermediación de datos controlarán y supervisarán el cumplimiento de los requisitos del presente capítulo por los proveedores de servicios de intermediación de datos. Las autoridades competentes en materia de servicios de intermediación de datos también podrán controlar y supervisar, a petición de una persona física o jurídica, dicho cumplimiento por los proveedores de servicios de intermediación de datos.
Las autoridades competentes en materia de servicios de intermediación de datos estarán facultadas para solicitar a los proveedores de servicios de intermediación de datos o a sus representantes legales toda la información necesaria a fin de comprobar el cumplimiento de los requisitos del presente capítulo.
Cesión altruista de datos – Registro de organizaciones de gestión de datos con fines altruistas
A partir de la definición de esta actividad establecida en el art. 2, el Capítulo IV regula esta actividad señalando en el artículo 16 que los Estados miembros podrán establecer disposiciones organizativas, técnicas o ambos tipos para facilitar la cesión altruista de datos.
A tales efectos, los Estados miembros podrán elaborar políticas nacionales en materia de cesión altruista de datos que podrán, en particular, ayudar a los interesados a la hora de ceder voluntariamente, con fines altruistas, datos personales que les conciernan y que obren en poder de organismos del sector público, así como establecer la información necesaria que deba facilitarse a los interesados en relación con la reutilización de sus datos con fines de interés general.
Así mismo, según señala el art. 17, cada autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas llevará y actualizará periódicamente un registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas. Por su parte, la Comisión llevará un registro público de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas a efectos informativos.
A estos efectos, cada Estado miembro designará una o varias autoridades competentes a efectos de la inscripción en el registro público nacional de las organizaciones reconocidas de gestión de datos con fines altruistas (art. 23). Estas autoridades deberán cumplir los requisitos del artículo 26.
Para poder inscribirse en el registro público nacional de organizaciones de gestión de datos con fines altruistas, el art. 18 establece que la entidad deberá: a) ejercer actividades de cesión altruista de datos; b) ser una entidad jurídica constituida con arreglo al Derecho nacional para cumplir objetivos de interés general, según se disponga en el Derecho nacional, cuando corresponda; c) ejercer su actividad sin ánimo de lucro y ser jurídicamente independiente de cualquier entidad que ejerza su actividad con fines lucrativos; d) ejercer las actividades de cesión altruista de datos a través de una estructura que esté funcionalmente separada de sus restantes actividades; e) cumplir el código normativo al que se refiere el artículo 22, apartado 1, a más tardar dieciocho meses después de la fecha de entrada en vigor de los actos delegados a que se refiere dicho apartado.
Toda entidad que cumpla los requisitos anteriores, podrá solicitar su inscripción en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas en el Estado miembro en el que esté establecida (art. 19)
- Requisitos de transparencia de las organizaciones de gestión de datos con fines altruistas
El artículo 20 del Reglamento establece que toda organización reconocida de gestión de datos con fines altruistas llevará un registro completo y exacto de: a) todas las personas físicas o jurídicas a las que se haya permitido tratar datos que obren en poder de dicha organización reconocida de gestión de datos con fines altruistas, y sus datos de contacto; b) la fecha o la duración del tratamiento de los datos personales o la utilización de los datos no personales; c) la finalidad del tratamiento de datos declarada por las personas físicas o jurídicas a las que se haya permitido dicho tratamiento; d) las eventuales tasas abonadas por las personas físicas o jurídicas que efectúen el tratamiento de datos.
- Requisitos específicos para proteger los derechos e intereses de los interesados y de los titulares de datos en lo que respecta a sus datos
Por su parte, el artículo 21 obliga a toda organización reconocida de gestión de datos con fines altruistas a informar a los interesados o a los titulares de datos, de una manera clara y sencilla de entender, antes de cualquier tratamiento de sus datos: a) sobre los objetivos de interés general y, en su caso, los fines específicos, explícitos y legítimos con que se tratarán los datos personales, y para los que permite que sus datos sean tratados por un usuario de datos; b) sobre la ubicación de cualquier actividad de tratamiento que se efectúe en un tercer país y sobre los objetivos de interés general para los que lo permita, cuando sea la propia organización reconocida de gestión de datos con fines altruistas la que efectúe el tratamiento.
Además, la organización reconocida de gestión de datos con fines altruistas no utilizará los datos para objetivos distintos de los de interés general para los que el interesado o el titular de datos permita el tratamiento.
- Código normativo (Artículo 22).
Por otra parte, la Comisión adoptará actos delegados de conformidad con el artículo 32 con el fin de completar el presente Reglamento con un código normativo en el que se establezcan: a) requisitos de información adecuados para garantizar que se proporciona a los interesados y a los titulares de datos, antes de conceder su consentimiento o permiso para la cesión altruista de datos, información suficientemente detallada, clara y transparente sobre la utilización de los datos, las herramientas para la concesión y revocación del consentimiento o del permiso, y las medidas adoptadas para evitar el uso indebido de los datos compartidos con la organización de gestión de datos con fines altruistas; b) requisitos técnicos y de seguridad adecuados para garantizar un nivel de seguridad adecuado del almacenamiento y el tratamiento de datos, así como de las herramientas para conceder y retirar el consentimiento o el permiso; c) hojas de ruta sobre comunicación que adopten un enfoque multidisciplinar para sensibilizar a las partes interesadas pertinentes, en especial, a los titulares de datos y los interesados que podrían compartir sus datos, sobre la cesión altruista de datos, la designación como «organización de gestión de datos con fines altruistas reconocida en la Unión» y el código normativo; d) recomendaciones sobre las normas de interoperabilidad pertinentes.
- Autoridades de supervisión del cumplimiento (Artículo 24)
Las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas controlarán y supervisarán el cumplimiento de los requisitos establecidos para las organizaciones reconocidas de gestión de datos con fines altruistas. Las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas también podrán controlar y supervisar, a petición de una persona física o jurídica, dicho cumplimiento por las organizaciones de gestión de datos con fines altruistas.
Tanto las autoridades competentes en materia de servicios de intermediación de datos, como las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas deberán ser jurídicamente distintas y funcionalmente independientes de cualquier proveedor de servicios de intermediación de datos u organización reconocida de gestión de datos con fines altruistas (Artículo 26).
Sin embargo, las funciones de ambas autoridades competentes podrán ser desempeñadas por la misma autoridad. Los Estados miembros podrán crear una o varias autoridades nuevas a tales efectos o servirse de las existentes.
Ambas autoridades competentes ejercerán sus funciones de manera imparcial, transparente, coherente, fiable y oportuna. En el ejercicio de sus funciones, protegerán la competencia leal y garantizarán la no discriminación.
- Derecho a presentar una reclamación y derecho a una tutela judicial efectiva
Según el art. 27, toda persona física y jurídica tendrá derecho a presentar una reclamación en relación con cualquier cuestión comprendida en el ámbito de aplicación del presente Reglamento, a título individual o colectivo, ante la autoridad competente en materia de servicios de intermediación de datos pertinente contra un proveedor de servicios de intermediación de datos o ante la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas contra una organización reconocida de gestión de datos con fines altruistas.
No obstante, establece el art. 28, cualquier recurso administrativo o extrajudicial, toda persona física o jurídica afectada tendrá derecho a una tutela judicial efectiva en lo que respecta a las decisiones jurídicamente vinculantes adoptadas por las autoridades competentes en materia de servicios de intermediación de datos, en el marco de la gestión, el control y la ejecución del régimen de notificación para los proveedores de servicios de intermediación de datos, y las decisiones jurídicamente vinculantes a que se refieren los artículos 19 y 24 adoptadas por las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas, en el marco del control de las organizaciones reconocidas de gestión de datos con fines altruistas.
Los recursos presentados en virtud del presente artículo se dirimirán ante los órganos jurisdiccionales del Estado miembro de la autoridad competente en materia de servicios de intermediación de datos o la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas contra la cual se interponga el recurso a título individual o colectivo, según corresponda, por los representantes de una o varias personas físicas o jurídicas. .
Comité Europeo de Innovación en materia de Datos
El art. 29, primero del Capítulo VI, establece que la Comisión creará un Comité Europeo de Innovación en materia de Datos, integrado por representantes de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de todos los Estados miembros, el Comité Europeo de Protección de Datos, el Supervisor Europeo de Protección de Datos, ENISA, la Comisión, el representante de la UE para las pymes o un representante designado por la red de representantes nacionales para las pymes y otros representantes de los organismos pertinentes de sectores específicos, así como organismos con conocimientos especializados.
- Funciones del Comité Europeo de Innovación en materia de Datos (Artículo 30)
El Comité Europeo de Innovación en materia de Datos tendrá como funciones, entre otras: a) asesorar y asistir a la Comisión en el desarrollo de una práctica coherente de los organismos del sector público y los organismos competentes, a la hora de tramitar las solicitudes de reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1; b) asesorar y asistir a la Comisión en el desarrollo de una práctica coherente para la cesión altruista de datos en toda la Unión; c) asesorar y asistir a la Comisión en el desarrollo de una práctica coherente de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas en cuanto a la aplicación de los requisitos aplicables a los proveedores de servicios de intermediación de datos y a las organizaciones reconocidas de gestión de datos con fines altruistas; d) asesorar y asistir a la Comisión en la elaboración de directrices coherentes sobre la mejor manera de proteger, en el contexto del presente Reglamento, los datos no personales comerciales sensibles, especialmente los secretos comerciales, pero también los datos no personales que constituyan contenidos protegidos por derechos de propiedad intelectual, frente a un acceso ilícito que entrañe riesgo de robo de la propiedad intelectual o de espionaje industrial; e) asesorar y asistir a la Comisión en la elaboración de directrices coherentes para los requisitos de ciberseguridad aplicables al intercambio y almacenamiento de datos.
Acceso y transferencia internacionales
En relación con estas actividades, el art. 31 establece que e organismo del sector público, la persona física o jurídica a la que se haya concedido el derecho a reutilizar datos con arreglo al capítulo II, el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas tomará todas las medidas técnicas, jurídicas y organizativas razonables, incluidas disposiciones contractuales, para impedir la transferencia internacional de datos no personales que se hallen en la Unión, o el acceso a tales datos por parte de las administraciones públicas, cuando la transferencia o el acceso entren en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, sin perjuicio de lo dispuesto en los apartados 2 o 3. 2.
Delegación y procedimiento de comité
Según el art. 32, se otorgan a la Comisión poderes para adoptar actos delegados por un período de tiempo indefinido a partir del 23 de junio de 2022. 3. Esta delegación podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo.
Sanciones
El art. 34 prescribe que los Estados miembros deberán establecer el régimen de sanciones aplicables a cualquier infracción de las obligaciones relativas:
a) a las transferencias de datos no personales a terceros países en virtud del artículo 5, apartado 14, y al artículo 31,
b) la obligación de notificación que incumbe a los proveedores de servicios de intermediación de datos en virtud del artículo 11,
c) las condiciones para prestar servicios de intermediación de datos con arreglo al artículo 12 y
d) las condiciones para la inscripción en el registro como organización reconocida de gestión de datos con fines altruistas en virtud de los artículos 18, 20, 21 y 22, y adoptarán todas las medidas necesarias para garantizar su ejecución.
Tales sanciones serán efectivas, proporcionadas y disuasorias.
- Criterios para la imposición de las sanciones
Los Estados miembros tendrán en cuenta los siguientes criterios no exhaustivos e indicativos para la imposición de sanciones a los proveedores de servicios de intermediación de datos y a las organizaciones reconocidas de gestión de datos con fines altruistas por las infracciones del presente Reglamento, cuando proceda:
a) la naturaleza, gravedad, magnitud y duración de la infracción;
b) cualquier medida adoptada por el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas para mitigar o reparar el daño causado por la infracción;
c) cualquier infracción anterior del proveedor de servicios de intermediación de datos o de la organización reconocida de gestión de datos con fines altruistas;
d) los beneficios financieros obtenidos o las pérdidas evitadas por el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas debido a la infracción, en la medida en que dichos beneficios o pérdidas puedan determinarse de forma fiable;
e) cualquier otra circunstancia agravante o atenuante aplicable al caso.
Evaluación y revisión
A más tardar el 24 de septiembre de 2025, la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo. El informe irá acompañado de propuestas legislativas, en caso necesario. (Artículo 35)
Derecho transitorio
Según el art. 37, las entidades que ya presten los servicios de intermediación de datos a los que se refiere el artículo 10 el 23 de junio de 2022 deberán cumplir las obligaciones establecidas en el capítulo III a más tardar el 24 de septiembre de 2025.