Archivos de la etiqueta: Protección datos personales

12Feb/24

Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea

Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos. («BOE» núm. 110, de 09 de mayo de 2023)

FELIPE VI, REY DE ESPAÑA

A todos los que la presente vieren y entendieren.

Sabed: Que las Cortes Generales han aprobado y Yo vengo en sancionar la siguiente ley:

PREÁMBULO

I

La transposición en plazo de directivas de la Unión Europea constituye en la actualidad uno de los objetivos prioritarios establecidos por el Consejo Europeo. A este fin, la Comisión Europea somete informes periódicos al Consejo de Competitividad, a los que se les da un alto valor político por su función de medición de la eficacia y credibilidad de los Estados miembros en la puesta en práctica del mercado interior.

Asimismo, el Consejo Europeo, consciente de su importancia como elemento estructural del mercado interior, estableció en su momento como objetivos que cada Estado miembro debe transponer a su derecho interno, al menos, el 99 % de las directivas de mercado interior (Déficit 1) y como objetivo adicional, el 100 % de las directivas de mercado interior que tuvieran un retraso en su transposición superior a dos años con respecto a la fecha de su vencimiento (Déficit 0).

Desde el verano de 2019 España no consigue cumplir con el objetivo del Déficit 1, presentando unos niveles de déficits que vienen oscilando desde el 1,1 % (invierno de 2019) al 2,2 % (invierno de 2021), y en lo que se refiere al Déficit 0, España lleva sin cumplir dicho objetivo desde el verano de 2017.

Además, el pasado 15 de julio se publicó el Informe Anual sobre Aplicación del Derecho de la UE correspondiente al año 2021, en el que España figuraba, a 31 de diciembre de 2021, como el Estado miembro con mayor número de procedimientos de infracción abiertos por la Comisión, con 105.

El cumplimiento de los objetivos de transposición en plazo resulta aún hoy más prioritario habida cuenta del nuevo escenario diseñado por el Tratado de Lisboa para este tipo de incumplimientos, para los que la Comisión puede pedir al Tribunal de Justicia de la Unión Europea la imposición de importantes sanciones económicas de manera acelerada en base al artículo 260.3 del Tratado de Funcionamiento de la Unión Europea. Cabe además recordar que, desde la introducción por la Comisión de un nuevo criterio de aplicación de dicho artículo en enero de 2017, en lo sucesivo, además de la multa coercitiva, se solicitará al Tribunal de Justicia una multa a tanto alzado contra el Estado miembro de que se trate. De esta manera, aunque el Estado miembro transponga la directiva encontrándose la demanda planteada ante el Tribunal, la Comisión no desistirá de su recurso, sino que perseguirá hasta el final una sentencia condenatoria que imponga una sanción a tanto alzado.

El impacto económico de estas ineficiencias en la adaptación de nuestra normativa al Mercado Interior puede suponer un lastre para la competitividad de nuestras empresas y un perjuicio para ciudadanos y operadores jurídicos, además de un deterioro de la imagen de país ante nuestros socios e instituciones de la Unión Europea, especialmente inoportuno de cara a la próxima Presidencia de turno del Consejo de la Unión Europea, que corresponde a España durante el segundo semestre del próximo año 2023; por lo que urge implementar las medidas necesarias para mejorar los resultados anteriores.

Esta mejora de la incorporación y correcta aplicación del Derecho de la Unión Europea debe ser por ello uno de los objetivos prioritarios en lo que resta de legislatura y para la próxima Presidencia del Consejo de la Unión, ya que sólo presentándonos como un Estado miembro diligente tendremos plena capacidad de influencia en los asuntos europeos.

En este sentido, y como continuación del esfuerzo que viene realizándose para dar cumplimiento a este propósito, la presente ley viene a transponer seis directivas de la Unión Europea.

En primer lugar, la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios, cuya fecha límite para su transposición por los Estados miembros era el 28 de junio de 2022, aunque se estableció un plazo más amplio para su aplicación efectiva, en concreto hasta el 28 de junio de 2025 y, además, permite a los Estados miembros posponer la aplicación de las disposiciones relativas a las comunicaciones de emergencia al número único europeo de emergencia 112 por el punto de respuesta de seguridad pública (PSAP) más apropiado hasta el 28 de junio de 2027.

En segundo lugar, se transpone de forma parcial la Directiva (UE) 2021/1883 del Parlamento Europeo y del Consejo, de 20 de octubre de 2021, relativa a las condiciones de entrada y residencia de nacionales de terceros países con fines de empleo de alta cualificación, y por el que se deroga la Directiva 2009/50/CE del Consejo, cuyo artículo 31 establece como fecha límite para la transposición el 18 de noviembre de 2023.

En tercer lugar, se procede a la transposición de la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago, cuyas normas serán de aplicación desde el 1 de enero de 2024.

En cuarto lugar, se transpone la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades, conocida como «directiva de digitalización de sociedades» o «directiva de herramientas digitales», cuyo plazo de transposición expiró el día 1 de agosto de 2021.

En quinto lugar, se transpone la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales, cuyo plazo de transposición de algunos de sus preceptos expiró el 31 de diciembre de 2021 y otros resultarán de obligada aplicación a partir del 13 de febrero de 2023.

En sexto lugar, se transpone la Directiva (UE) 2020/1151 del Consejo, de 29 de julio de 2020, por la que se modifica la Directiva 92/83/CEE relativa a la armonización de las estructuras de los impuestos especiales sobre el alcohol y las bebidas alcohólicas, cuyo plazo de transposición finalizó el 31 de diciembre de 2021.

Por último, mediante la presente ley se adapta nuestro ordenamiento a la normativa internacional aplicable en materia de responsabilidad civil por daños nucleares, tras la entrada en vigor de los Protocolos de 2004 de enmienda del Convenio de París, de 29 de julio de 1960, sobre la responsabilidad civil en materia de energía nuclear, y de su Complementario de Bruselas, de 31 de enero de 1963, introduciendo las necesarias modificaciones en la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos.

La incorporación de las directivas citadas fue objeto de tramitación separada mediante anteproyectos de ley diferenciados. Así, para la Directiva (UE) 2019/882, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, se elaboró inicialmente el anteproyecto de ley en materia de requisitos de accesibilidad de determinados productos y servicios, por la que se transpone al ordenamiento jurídico español la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, por la que se establecen los requisitos de accesibilidad de determinados productos y servicios, que fue elevado al Consejo de Ministros el pasado 5 de abril de 2022, en cumplimiento de lo previsto en el artículo 26.4 de la Ley 50/1997, de 27 de noviembre, del Gobierno, acordándose en la misma fecha su tramitación urgente.

Por su parte, el anteproyecto de ley de modificación de la Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización, procedía a la transposición de la Directiva (UE) 2021/1883, del Parlamento Europeo y del Consejo, de 20 de octubre de 2021, si bien no fue elevado al Consejo de Ministros a los efectos del citado artículo 26.4 de la Ley 50/1997, de 27 de noviembre, también siguió tramitación urgente, en virtud de Acuerdo de 1 de agosto de 2022.

Igualmente, para la transposición de la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago, se tramitó el correspondiente anteproyecto de ley por la que se modifica la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido, acordándose la misma tramitación urgente con fecha 1 de agosto de 2022.

Por lo que se refiere a la transposición de la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades, se tramitó el anteproyecto de ley por la que se transpone la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades, y por la que se modifica la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Ha de señalarse que, por razones de política legislativa, se optó porque el contenido del citado anteproyecto se escindiese de un previo anteproyecto de ley de Eficiencia Digital, dividiendo su contenido en dos proyectos normativos separados, habiendo aprobado el Consejo de Ministros en su reunión del 19 de julio de 2022, el proyecto de ley de Medidas de Eficiencia Digital del Servicio Público de Justicia.

Para la transposición de la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales, y de la Directiva (UE) 2020/1151 del Consejo, de 29 de julio de 2020, por la que se modifica la Directiva 92/83/CEE relativa a la armonización de las estructuras de los impuestos especiales sobre el alcohol y las bebidas alcohólicas, se tramitó el anteproyecto de ley por la que se modifican la Ley 38/1992, de 28 de diciembre, de Impuestos Especiales; la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido, y la Ley 9/2011, de 10 de mayo, de tasas consulares, considerándose oportuno continuar su tramitación mediante este instrumento legislativo.

Finalmente, para adaptar la normativa nacional a los referidos convenios internacionales sobre responsabilidad civil por daños nucleares se preparó el anteproyecto de ley por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, elevado al Consejo de Ministros el 21 de junio de 2022; fecha en la cual se acordó asimismo su tramitación urgente.

En consecuencia, la presente ley viene a consignar en un solo texto, refundiéndola, la regulación ya elaborada a través de los correspondientes anteproyectos de ley, para dar respuesta a la obligación de transposición en plazo de seis directivas de la Unión Europea al Derecho español, y a la necesidad de garantizar la coherencia de la Ley 12/2011, de 27 de mayo, con los Convenios revisados de París y de Bruselas, al tiempo que precisa algunas cuestiones identificadas durante el proceso de adaptación al nuevo régimen de responsabilidad civil que dicha ley establece.

El cumplimiento de estos objetivos respalda y justifica la necesidad de integrar en una sola norma la transposición de las citadas directivas y la adaptación de la legislación en materia de responsabilidad civil por daños nucleares.

En efecto, esta acumulación de proyectos normativos ya tramitados como anteproyectos de ley en un único texto aprobado por el Consejo de Ministros, y después remitido a las Cortes Generales, a su vez, para tramitación parlamentaria, responde en todo caso a un doble fundamento. En primer lugar, se pretende agilizar dicha tramitación parlamentaria de un único proyecto de ley en lugar de seis; proyecto éste que, si bien afecta a ámbitos sectoriales distintos, responde a una misma finalidad, que no es otra que el cumplimiento de compromisos de carácter internacional.

En segundo lugar, justifica la refundición la homogeneidad del supuesto de hecho que motiva su adopción, la finalidad compartida por los distintos anteproyectos; dado que en su práctica totalidad responden a la necesidad de transponer e incorporar en plazo a nuestro ordenamiento jurídico diversas directivas de la Unión Europea, o, adicionalmente, a la adaptación de dicho ordenamiento a la normativa internacional aplicable en materia de responsabilidad civil por daños nucleares.

De igual modo, el conjunto de iniciativas adoptadas en la ley para transponer las directivas citadas comparte, además de la necesidad de ser aprobadas en el plazo más breve posible, el objetivo común de dar respuesta a la actual coyuntura socioeconómica.

La crisis sanitaria provocada por la COVID-19 y el estallido de la guerra de Ucrania constituyen acontecimientos que han provocado significativas consecuencias políticas, económicas, energéticas y sociales que han ocasionado que España, al igual que muchos otros Estados de la Unión Europea y de su entorno, se enfrente a muy diversos desafíos. Igualmente, este escenario y las incertidumbres existentes a escala internacional exigen la implementación de medidas en el ámbito económico para garantizar la sostenibilidad en los distintos sectores productivos y sociales.

En ese sentido, la transposición al ordenamiento jurídico español de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, atiende a una doble necesidad; proponiendo, por un lado, eliminar y evitar los obstáculos a la libre circulación de determinados productos y servicios accesibles, derivados de las divergencias en los requisitos de accesibilidad en los Estados miembros, y por otro, respondiendo a la preceptiva adaptación de la legislación española al ordenamiento de la Unión para, entre otras cuestiones, lograr un correcto funcionamiento del mercado interior, poner fin a la fragmentación del mercado de productos y servicios accesibles y crear economías de escala.

Por otro lado, el modelo productivo, así como la formación del capital humano y el mercado laboral, presentan una serie de carencias que exigen seguir impulsando la adopción de iniciativas, urgentes e inaplazables, para adaptar el marco normativo español a esta nueva coyuntura laboral y económica.

Así, la competencia internacional por el talento y la mano de obra –en la que Europa se enfrenta a dificultades crecientes para abordar las necesidades del mercado laboral– y la transición de la Unión Europea hacia una economía ecológica y digital, van a exigir que numerosos sectores (como, por ejemplo, la energía, la industria o el transporte) requieran de mano de obra adicional y de capacidades específicas.

Igualmente, resulta necesario que España sea capaz de abordar con éxito los objetivos previstos en el Plan de Recuperación, Transformación y Resiliencia, los cuales pueden verse afectados por las tensiones existentes para cubrir la demanda de determinados perfiles, así como a la disponibilidad de las competencias que la economía española requiere en el corto y medio plazo.

A todo ello responde la transposición de la Directiva (UE) 2021/1883 del Parlamento Europeo y del Consejo, de 20 de octubre de 2021, adaptando el modelo previsto en la Ley 14/2013, de 27 de septiembre, no sólo desde la perspectiva del cumplimiento de los plazos de transposición que marca la citada directiva sino, sobre todo, desde la perspectiva de garantizar que los diferentes sectores económicos sean capaces de incorporar a las personas necesarias, con las cualificaciones y competencias requeridas, con gran agilidad.

Por su parte, la consolidación en nuestra sociedad de las nuevas tecnologías, la evolución cultural de una ciudadanía consciente de los retos que comporta la digitalización y, sobre todo, la utilidad de los nuevos instrumentos y herramientas tecnológicas al servicio de una mejor y más eficiente gestión de las administraciones públicas, implica el imperativo de abordar correctamente este nuevo marco relacional y, con él, delimitar y potenciar el entorno digital con el propósito de favorecer una más eficaz ejercicio de las potestades administrativas.

Además, el actual contexto económico y social, ya apuntado, exige, de manera inmediata, una Administración Pública fuerte, eficaz y adaptada digitalmente de forma que contribuya a la reactivación económica y robustezca el Estado Social y Democrático de Derecho.

De una manera progresiva, se han ido dando una serie de pasos en estos años, mediante algunas reformas legislativas necesarias sobre todo por la implantación de nuevas aplicaciones tecnológicas y de la reforma general de la Administración Pública operada con la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Con el objetivo de seguir apostando por una transformación digital como elemento clave de la economía, se pretende estar alineados con la normativa europea. La Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132, continúa el proceso de digitalización de empresas ya iniciado a nivel europeo, con la finalidad de asegurar un entorno jurídico y administrativo a la altura de los nuevos desafíos económicos y sociales de la digitalización y basada principalmente en la constitución de las sociedades de capital íntegramente en línea así como de sus actos posteriores o sucesivos, la presentación online de los documentos necesarios para estas operaciones, la posibilidad de abrir y registrar una sucursal en otro Estado miembro de manera enteramente telemática y el funcionamiento de los Registros mercantiles.

En la misma línea, mediante la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales, se informatizan los procedimientos aplicados a los movimientos dentro de la Unión Europea de productos sujetos a impuestos especiales despachados a consumo que vayan a ser entregados con fines comerciales.

En todo caso, resulta imprescindible que todas estas medidas económicas estén alineadas con el cumplimiento de las obligaciones al que responde la transposición de la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020.

Sin perjuicio de la homogeneidad de motivación y finalidad que comparten las medidas adoptadas en la Ley, resulta oportuno recordar también que, en relación con la diversidad de ámbitos y materias que la presente ley viene a regular, el Tribunal Constitucional, en la Sentencia 136/2011, de 13 de septiembre, declaró que «el dogma de la deseable homogeneidad de un texto legislativo no es obstáculo insalvable que impida al legislador dictar normas multisectoriales, pues tampoco existe en la Constitución Española precepto alguno, expreso o implícito, que impida que las leyes tengan un contenido heterogéneo (…)».

«(…) Descartada ya la existencia de prohibición alguna en el texto constitucional a la existencia de las leyes complejas, multisectoriales o de contenido heterogéneo –prosigue la sentencia–, resta por determinar si existe algún límite a su uso o contenido, debiendo responderse a esta cuestión también de forma negativa, pues la Constitución no prevé que el principio de competencia o especialidad obligue a que sólo puedan aprobarse constitucionalmente normas homogéneas que se refieran a una materia concreta.»

Por ello, nuestro Tribunal Constitucional, en la Sentencia citada, concluye que «del bloque de la constitucionalidad no se deriva ni impedimento alguno para que se puedan aprobar lo que califica como ”leyes transversales”, ni exigencia de ninguna clase que imponga que cada materia deba ser objeto de un proyecto independiente». Y que «en consecuencia, ningún óbice existe desde el punto de vista constitucional que impida o limite la incorporación a un solo texto legislativo, para su tramitación conjunta en un solo procedimiento, de multitud de medidas normativas de carácter heterogéneo».

En especial, cabe aplicar estos pronunciamientos al presente caso, en el que se incorporan a un único texto diversas medidas que responden, todas ellas, al objetivo común de cumplir con los compromisos internacionales de incorporación a nuestro ordenamiento de normativa europea y a su adaptación a la normativa internacional.

Además, esta técnica ya ha sido empleada en no pocas ocasiones, precisamente para la transposición urgente de directivas europeas, mediante la aprobación de reales decretos-ley.

Tal es el caso, por citar ejemplos recientes, del Real Decreto-ley 7/2021, de 27 de abril, de transposición de directivas de la Unión Europea en las materias de competencia, prevención del blanqueo de capitales, entidades de crédito, telecomunicaciones, medidas tributarias, prevención y reparación de daños medioambientales, desplazamiento de trabajadores en la prestación de servicios transnacionales y defensa de los consumidores; el Real Decreto-ley 24/2021, de 2 de noviembre, de transposición de directivas de la Unión Europea en las materias de bonos garantizados, distribución transfronteriza de organismos de inversión colectiva, datos abiertos y reutilización de la información del sector público, ejercicio de derechos de autor y derechos afines aplicables a determinadas transmisiones en línea y a las retransmisiones de programas de radio y televisión, exenciones temporales a determinadas importaciones y suministros, de personas consumidoras y para la promoción de vehículos de transporte por carretera limpios y energéticamente eficientes; y el Real Decreto-ley 3/2020, de 4 de febrero, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de la contratación pública en determinados sectores; de seguros privados; de planes y fondos de pensiones; del ámbito tributario y de litigios fiscales.

En este caso, sin embargo, al no concurrir la situación de extraordinaria y urgente necesidad que habilita el empleo del real decreto-ley, resultaba procedente continuar la tramitación como ley.

No obstante, por un lado, ello no significa que no sea urgente e inaplazable llevar a cabo la transposición a la mayor brevedad. Y, por otro, tampoco es óbice para que la obligación de cumplir con los plazos de transposición y adaptación sea igualmente perentoria, a fin de evitar precisamente retrasos en el cumplimiento de dichos compromisos, y la apertura de los correspondientes procedimientos.

Esta necesidad cobra aún mayor valor, como se ha indicado, en vísperas de la preparación de la Presidencia española del Consejo de la Unión Europea, en el segundo semestre de 2023; momento en el que, a la vista de lo expuesto, y de los datos anteriormente mencionados, resultaría especialmente conveniente que nuestro ordenamiento tuviera plenamente incorporadas las directivas objeto de transposición y estuviera adaptado a la normativa internacional aplicable en materia de responsabilidad civil por daños nucleares.

De acuerdo con lo expuesto, resulta urgente la eliminación de los obstáculos a la libre circulación de determinados productos y servicios accesibles, derivados de las divergencias en los requisitos de accesibilidad; facilitando el comercio y la movilidad transfronterizos y ayudando a los agentes económicos a concentrar sus recursos en la innovación en lugar de utilizarlos para cubrir los gastos derivados de una legislación fragmentada en la Unión. Además, debe tenerse en cuenta que el plazo de transposición de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, expiró el 28 de junio de 2022.

También debe acometerse de forma inmediata el adecuado diseño de las políticas públicas para garantizar la competitividad de España en la lucha por el talento y por la disponibilidad de personas capaces de contribuir con su trabajo a la recuperación económica.

En España, la Ley 14/2013, de 27 de septiembre, fue aprobada en un contexto de medidas de recuperación frente a la crisis económica y social, entre cuyos objetivos figura la creación de un entorno regulatorio favorable a la competitividad y la internacionalización del tejido empresarial español y, de forma específica, se facilita y agiliza la concesión de visados y autorizaciones de residencia, al objeto de atraer inversión y talento a España.

La Comunicación de la Comisión al Parlamento Europeo, el Consejo, el Consejo Económico y Social Europeo y el Comité de las Regiones sobre atracción de habilidades y talento a la Unión Europea, de 27 de abril de 2022, reconoce que un primer paso importante para mejorar el atractivo de la Unión Europea ha sido la revisión de la directiva relativa a las condiciones de entrada y residencia de nacionales de terceros países para fines de empleo altamente cualificado, aprobada en octubre de 2021.

En este sentido, resulta ciertamente urgente que España adapte el modelo previsto en la Ley 14/2013, de 27 de septiembre, no sólo desde la perspectiva del cumplimiento de los plazos de transposición que marca la citada directiva sino, sobre todo, desde la perspectiva de garantizar que los diferentes sectores económicos sean capaces de incorporar a las personas necesarias, con las cualificaciones y competencias requeridas, con gran agilidad.

A su vez, debe señalarse que, aunque las obligaciones contenidas en la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, no serán de aplicación hasta el 1 de enero de 2024, resulta necesario que su incorporación se efectúe cuanto antes para que los proveedores de servicios de pagos conozcan con la suficiente antelación su contenido y ámbito de aplicación, a fin de que puedan adaptar sus sistemas y procedimientos informáticos para garantizar su cumplimiento; al tiempo que se permite aprobar el necesario desarrollo reglamentario de la medida y los requisitos técnicos que hagan posible su aplicación.

Por su parte, la urgencia de la transposición de la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, conocida como «directiva de digitalización de sociedades» o «directiva de herramientas digitales», deriva directamente del vencimiento de su plazo de transposición, el cual expiró el 1 de agosto de 2021; habiéndose recibido con fecha 29 de septiembre de 2021 la correspondiente carta de emplazamiento. Y la urgencia de la transposición de la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales, deriva de la notificación del correspondiente dictamen motivado el 26 de enero de 2023.

Las anteriores consideraciones son también aplicables a la modificación de la Ley 12/2011, de 27 de mayo, que debe llevarse a cabo con la mayor celeridad posible para clarificar a las entidades afectadas las cuestiones técnicas detectadas y, de este modo, facilitar su rápida adaptación a las novedades y un mejor cumplimiento del nuevo régimen que conlleva la entrada en vigor de los referidos Protocolos de 2004 y de la propia Ley 12/2011, de 27 de mayo. En este sentido, resulta apremiante que, en el menor plazo de tiempo posible y desde un inicio, se prevenga, con esta modificación, las posibles confusiones que en la práctica pudieran producirse en la interpretación por las entidades de la nueva normativa en una materia de tanta relevancia como el régimen de responsabilidad por este tipo de daños.

A esta necesidad de aprobar de manera inminente las medidas contenidas en la ley cabe añadir la conveniencia de facilitar los trabajos parlamentarios, con un único texto, en un momento en el que la acumulación de proyectos y proposiciones de ley ante las Cortes Generales así lo aconseja.

Sin duda la tramitación parlamentaria de un único proyecto de ley contribuye a dicho objetivo, al sustanciarse en un único procedimiento legislativo, con un único trámite de presentación de enmiendas, llevándose a cabo en una única Comisión parlamentaria. De este modo, se simplifica y favorece el iter legislativo del proyecto, su estudio y debate, así como su aprobación definitiva para cumplir con los compromisos de transposición y adaptación asumidos por España.

Asimismo, al permitir la tramitación de un único texto con un mismo periodo de enmiendas y ante una única Comisión, se evita que puedan surgir contradicciones o incoherencias en la transposición definitiva de las directivas. Con ello se previenen la aparición de antinomias que pueden generar el incumplimiento de las obligaciones comunitarias.

Esta tramitación unitaria cobra especial relevancia en un momento en el que el volumen de iniciativas en marcha en el Congreso de los Diputados alcanza las 102, incluyendo dos reformas del propio Reglamento de la Cámara, a las que hay que añadir cuatro iniciativas más en tramitación en el Senado, incluida la reforma de su Reglamento; lo que dificulta la prontitud y el avance de las tareas parlamentarias. A lo anterior se suma el avanzado estado de la legislatura en el que nos encontramos, y el horizonte inminente del comienzo de la Presidencia española del Consejo de la Unión Europea en el segundo semestre del próximo año, de forma que cualquier dilación añadida en la tramitación parlamentaria del mismo pondría en riesgo su aprobación en el plazo debido.

Por el contrario, la tramitación conjunta de las distintas normas de transposición o adaptación de nuestro ordenamiento a la normativa europea e internacional, facilita la aprobación de la ley en su conjunto, ya que responde a una misma motivación y finalidad.

A la vista de lo anteriormente razonado, con carácter excepcional, dado el momento actual de intensidad de la actividad parlamentaria y ante la necesidad de garantizar el cumplimiento de los compromisos asumidos por España de cara a afrontar la próxima Presidencia de turno del Consejo de la Unión Europea, se ha considerado oportuno proceder a la aprobación conjunta de un único texto normativo que acumule y refunda la transposición y adaptación de nuestro ordenamiento a las directivas y compromisos citados, a la que se había procedido mediante la tramitación separada de distintos anteproyectos de ley.

II

La ley se estructura en una exposición de motivos, cuarenta y dos artículos divididos en seis títulos, el primero de ellos con once capítulos, doce disposiciones adicionales, una disposición transitoria, una disposición derogatoria, dieciocho disposiciones finales y siete anexos.

A través del título I de la ley, que comprende los artículos 1 a 31, se incorpora al ordenamiento jurídico español la Directiva 2019/882, del Parlamento Europeo y del Consejo, de 17 de abril de 2019. En el capítulo I, artículos 1 y 2, se circunscribe el ámbito de aplicación a determinados productos y servicios, así como a las respuestas a las comunicaciones de emergencia al número único europeo de emergencia «112».

El capítulo II, artículos 3 a 6, regula los requisitos de accesibilidad y la libre circulación. Los productos y servicios incluidos en el ámbito de aplicación de la ley han de cumplir los requisitos de accesibilidad que figuran en el anexo I.

El capítulo III, artículos 7 a 12, regula las obligaciones de los distintos agentes económicos que guardan relación con los productos incluidos en el ámbito de aplicación de la ley y que intervienen en la cadena de suministro y distribución.

El capítulo IV, artículo 13 a 15, regula las obligaciones de los prestadores de servicios, los cuales deben garantizar que solo prestan servicios conformes con la ley, por lo que se han de responsabilizar de la conformidad de dichos servicios, en relación con la función que desempeñen respectivamente en la cadena de suministro.

El capítulo V, artículo 16, regula los supuestos en los que, con carácter excepcional y debidamente justificados, se puede exceptuar el cumplimiento de los requisitos de accesibilidad.

El capítulo VI, artículo 17, se refiere a las normas armonizadas y especificaciones técnicas de los productos y servicios. De acuerdo con lo establecido en el Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, una norma es una especificación técnica adoptada por un organismo de normalización reconocido, y se denomina «norma armonizada» cuando la norma europea ha sido adoptada a raíz de una petición de la Comisión y publicada en el Diario Oficial de la Unión Europea.

En el capítulo VII, artículos 18 a 20, se regula la declaración de conformidad UE de los productos que los fabricantes han de elaborar y firmar para declarar y confirmar que el producto cumple con los requisitos de accesibilidad aplicables. El marcado CE es el resultado visible de todo un proceso que comprende la evaluación de la conformidad en sentido amplio, e indicará que el producto es conforme con los requisitos de accesibilidad establecidos en la ley. Este marcado debe estar sujeto a los principios generales que rigen el marcado CE con arreglo al Reglamento (CE) 765/2008 del Parlamento Europeo y del Consejo.

El capítulo VIII, artículos 21 a 23, contiene la regulación específica aplicable a la vigilancia del mercado de los productos. Por su parte, el capítulo IX, artículo 24, regula las funciones y el procedimiento que han de seguir las autoridades de vigilancia a la hora de verificar la conformidad de los servicios.

El capítulo X, artículos 25 y 26, viene a completar la regulación sobre accesibilidad contenida en otras normas de la Unión Europea, en concreto en la Directiva 2014/24/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, sobre contratación pública y por la que se deroga la Directiva 2004/18/CE, en la Directiva 2014/25/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la contratación por entidades que operan en los sectores del agua, la energía, los transportes y los servicios postales y por la que se deroga la Directiva 2004/17/CE, y la Directiva 2014/23/UE del Parlamento Europeo y del Consejo, de 26 de febrero de 2014, relativa a la adjudicación de contratos de concesión, transpuestas al ordenamiento jurídico español, respectivamente, por la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, y por el Real Decreto-ley 3/2020, de 4 de febrero, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de la contratación pública en determinados sectores; de seguros privados; de planes y fondos de pensiones; del ámbito tributario y de litigios fiscales.

El capítulo XI, artículos 27 a 31, se refiere a las autoridades de vigilancia, medios de control y régimen sancionador. Se prevé la creación por vía reglamentaria de una unidad técnica como órgano de asesoramiento y coordinación de las autoridades de vigilancia. Teniendo en cuenta el ámbito de aplicación de la directiva que se transpone, se ha considerado que la solución más eficiente es un enfoque como el planteado en los artículos 27 y 28, en el que las comunidades autónomas y las ciudades de Ceuta y Melilla designen a las autoridades encargadas de realizar las actividades de vigilancia del mercado de productos, de verificación de la conformidad de los servicios y de verificación de las evaluaciones de conformidad. Paralelamente, dicho enfoque se refuerza mediante la unidad técnica que ejercerá, una vez regulada reglamentariamente, funciones de representación, coordinación y apoyo técnico. En paralelo, esta unidad contará además con la potestad de ejercer la vigilancia del mercado de forma complementaria a las autoridades mencionadas en los casos que sea preciso.

El título II, que consta de un solo artículo, el 32, con el objeto de transponer de forma parcial la Directiva (UE) 2021/1883 del Parlamento Europeo y del Consejo, de 20 de octubre de 2021, relativa a las condiciones de entrada y residencia de nacionales de terceros países con fines de empleo de alta cualificación y por el que se deroga la Directiva 2009/50/CE del Consejo, introduce las correspondientes modificaciones en la Ley 14/2013, de 27 de septiembre; en concreto, en los artículos 22, 61, 62, 71, 73, 74 y 76, añadiendo un nuevo artículo 71 bis y una nueva disposición adicional vigésima. En su nueva redacción, la citada ley establece la complementariedad del régimen nacional de autorización de entrada y residencia de profesionales altamente cualificados respecto al régimen de Tarjeta azul-UE, introduce los requisitos documentales y las garantías procedimentales y de movilidad requeridos por la Directiva 2009/50/CE, de 25 de mayo de 2009. Asimismo, y por cuestiones de sistemática normativa, se incluye la modificación de la letra a) del artículo 22.1 de la mencionada Ley 14/2013, de 27 de septiembre, que amplía los trámites que podrán realizarse por vía telemática a través del Punto de Atención al Emprendedor; modificación que guarda relación con las previsiones que contiene el título IV, por el que se acomoda la regulación actualmente vigente a lo establecido en la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades.

El título III dedica su único artículo, el 33, a introducir las necesarias modificaciones en la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido, para proceder a la incorporación al ordenamiento interno de la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago. En particular, reforma el título X, denominado «Obligaciones de los sujetos pasivos», dividiéndolo en dos capítulos con objeto de sistematizar aquellas obligaciones que afectan a todos los sujetos pasivos de las obligaciones específicas derivadas del comercio electrónico.

El título IV se compone de seis artículos, del 34 al 39, que contienen modificaciones de diferentes normas, en concreto de la Ley del Notariado de 28 de mayo de 1862; del Código de Comercio, publicado por el Real Decreto de 22 de agosto de 1885; de la Ley Hipotecaria, aprobada por el Decreto de 8 de febrero de 1946; de la Ley 14/2000, de 29 de diciembre, de Medidas fiscales, administrativas y del orden social; de la Ley 24/2001, de 27 de diciembre, de Medidas fiscales, administrativas y del orden social; y del texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2020, de 2 de julio, con la finalidad de incorporar a nuestro ordenamiento la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del derecho de sociedades.

El título V contiene dos artículos con el objeto de transponer la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales, y la Directiva (UE) 2020/1151 del Consejo, de 29 de julio de 2020, por la que se modifica la Directiva 92183/CEE relativa a la armonización de las estructuras de los impuestos especiales sobre el alcohol y las bebidas alcohólicas, mediante la modificación de la Ley 38/1992, de 28 de diciembre, de Impuestos Especiales, y del Reglamento de los Impuestos Especiales, aprobado por el Real Decreto 1165/1995, de 7 de julio.

El título VI, que contiene un solo artículo, el 42, con el fin de adaptar la normativa a los convenios internacionales sobre responsabilidad civil por daños nucleares, introduce las necesarias modificaciones en la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos. Para ello, se da nueva redacción al primer párrafo del artículo 2.1; se añade una letra b) bis al artículo 3.2; se modifica el artículo 4.1, el artículo 7.2, el artículo 10, el primer párrafo del artículo 11.1 y la letra d) del mismo artículo, el artículo 11.2, el artículo 14.1, el artículo 16, el primer párrafo del artículo 17.1, las letras a) y b) del artículo 18.1, el artículo 20; se añade un apartado 3 al artículo 22; se modifica el artículo 23 y se añade una disposición adicional cuarta.

Las disposiciones adicionales primera y segunda hacen referencia a la labor de promoción que han de llevar a cabo las administraciones públicas para lograr que los requisitos de accesibilidad establecidos en el título I se cumplan incluso en aquellos supuestos exceptuados.

La disposición adicional tercera establece los requisitos de accesibilidad de las páginas web a las que se les aplica el contenido del título I.

La disposición adicional cuarta condiciona la aplicación de las previsiones del título I en las fuerzas armadas a la eficacia y operatividad de las mismas.

La disposición adicional quinta establece el calendario de implantación de las previsiones contenidas en el título IV referidas a los Registros de la Propiedad, Mercantiles y de Bienes Muebles con la finalidad de incorporar la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019.

La disposición adicional sexta hace referencia a las competencias para la celebración de acuerdos relativos a los procedimientos de reembolso en caso de insolvencia de entidades aseguradoras.

La disposición adicional séptima hace referencia a la ejecución de las subvenciones nominativas procedentes de la sección 37 «Otras relaciones financieras procedentes de entes territoriales».

La disposición adicional octava hace referencia a la creación del Centro Español de Documentación e Investigación sobre Discapacidad (CEDID).

La disposición adicional novena hace referencia a la creación del Centro Español sobre Trastornos del Espectro del Autismo (CETEA).

La disposición adicional décima hace referencia al pago de la ayuda extraordinaria y temporal prevista en el artículo 34 del Real Decreto-ley 20/2022, de 27 de diciembre, de medidas de respuesta a las consecuencias económicas y sociales de la Guerra de Ucrania y de apoyo a la reconstrucción de la isla de La Palma y a otras situaciones de vulnerabilidad a los nuevos beneficiarios.

La disposición adicional undécima hace referencia a la remisión de determinada información a la Agencia Estatal de Administración Tributaria para la gestión de la ayuda directa prevista en el artículo 38 del Real Decreto-ley 20/2022, de 27 de diciembre

La disposición adicional duodécima hace referencia al registro y depósito de los planes de igualdad de las cooperativas de trabajo asociado y otras cooperativas con socios y socias de trabajo para dotar a dichos planes de los efectos derivados de los artículos 45 y siguientes de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva entre hombres y mujeres en relación con los planes de igualdad en el ámbito laboral.

La disposición transitoria única recoge el período transitorio que, en materia de accesibilidad de determinados productos y servicios, establece la Directiva (UE) 2019/882 del Parlamento y del Consejo, de 17 de abril de 2019.

La disposición derogatoria única deja sin efecto las disposiciones de igual o inferior rango que se opongan a lo dispuesto en esta ley y, en concreto: el artículo 38 ter de la Ley Orgánica 4/2000, de 11 de enero, de naturaleza no orgánica de acuerdo con su disposición final cuarta; el capítulo V del título IV, el título IX y la disposición adicional primera.3, primer párrafo, del reglamento de la Ley Orgánica 4/2000, de 11 de enero, aprobado por el Real Decreto 557/2011, de 20 de abril; la disposición adicional quinta de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, al ser recogido su contenido en el artículo 2.2, epígrafes g), h) e i), y la tasa número 5.1.III. Autorizaciones de trabajo de profesionales altamente cualificados titulares de una Tarjeta azul-UE, a la que se refiere el anexo de la Orden PRE/1803/2011, de 30 de junio, por la que se establece el importe de las tasas por tramitación de autorizaciones administrativas, solicitudes de visados en frontera y documentos de identidad en materia de inmigración y extranjería, y el artículo 38 del Reglamento sobre Cobertura de Riesgos Nucleares, aprobado por Decreto 2177/1967, de 22 de julio.

La ley se completa con dieciocho disposiciones finales, que establecen, la primera, la modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico; la segunda, la modificación de la Ley 33/2003, de 3 de noviembre, del Patrimonio de las administraciones públicas; la tercera, la modificación de la Ley 29/2005, de 29 de diciembre, de Publicidad y Comunicación Institucional; la cuarta, la modificación de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del Sector Público; la quinta, la modificación del Texto Refundido de la Ley General de Derechos de las Personas con Discapacidad y de su Inclusión Social, aprobado por Real Decreto Legislativo 1/2013, de 29 de noviembre, para establecer la no discriminación de las personas con discapacidad en espectáculos públicos y actividades recreativas; la sexta, la modificación de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de las entidades de crédito; la séptima, la modificación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014; la octava, la modificación del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera; la novena, la de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, con motivo de la corrección de errores del Reglamento Europeo sobre Protección de Datos publicada en el DOUE del día 4 de marzo de 2021; la décima, la modificación de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza; la undécima, la modificación del Real Decreto-ley 16/2022, de 6 de septiembre, para la mejora de las condiciones de trabajo y de Seguridad Social de las personas trabajadoras al servicio del hogar; la duodécima, la modificación del Real Decreto-ley 20/2022, de 27 de diciembre, de medidas de respuesta a la consecuencias económicas y sociales de la Guerra de Ucrania y de apoyo a la reconstrucción de la isla de La Palma y a otras situaciones de vulnerabilidad; la decimotercera, revisión y actualización del Estatuto del Real Patronato sobre Discapacidad; la decimocuarta, los títulos competenciales; la decimoquinta, la incorporación al Derecho español de la Directiva 2019/882, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios; la Directiva (UE) 2021/1883 del Parlamento Europeo y del Consejo, de 20 de octubre de 2021, relativa a las condiciones de entrada y residencia de nacionales de terceros países con fines de empleo de alta cualificación, y por la que se deroga la Directiva 2009/50/CE del Consejo, esta de forma parcial, la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago, y la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades; la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales, y la Directiva (UE) 2020/1151 del Consejo, de 29 de julio de 2020, por la que se modifica la Directiva 92/83/CEE relativa a la armonización de las estructuras de los impuestos especiales sobre el alcohol y las bebidas alcohólicas; la decimosexta, la salvaguarda de rango de disposiciones reglamentarias; la decimoséptima, las facultades de desarrollo normativo y la decimoctava, la entrada en vigor.

La norma consta, por último, de siete anexos, relacionados todos con la accesibilidad de los productos y servicios, materia que es objeto de regulación en el título I.

III

A estos efectos, el aumento de la esperanza de vida en la sociedad europea y española está llevando a un proceso de envejecimiento de la población que hace prever un importante incremento del número de personas con limitaciones funcionales, al ser la edad un factor coadyuvante de esta situación. En España, actualmente, 4,3 millones de personas tienen algún tipo de discapacidad según la Encuesta de Discapacidad, Autonomía Personal y Situaciones de Dependencia, EDAD 2020, del Instituto Nacional de Estadística. Por lo tanto, y a la vista de los datos sobre envejecimiento poblacional, se prevé que esta cifra vaya aumentando a lo largo de los años, siendo la demanda de productos y servicios accesibles cada vez más alta, ya que permiten la autonomía personal y la vida independiente de este colectivo. Para lograr una sociedad más inclusiva debe garantizarse un entorno en el que los productos y servicios sean universalmente accesibles.

Las disparidades existentes entre las disposiciones legales, reglamentarias y administrativas de los Estados miembros de la Unión Europea en materia de accesibilidad de productos y servicios para personas con discapacidad constituyen obstáculos a la libre circulación de productos y servicios y distorsionan la competencia efectiva en el mercado interior.

Debido a las diferencias entre los requisitos de accesibilidad nacionales, los profesionales, las pymes y las microempresas son especialmente reacios a aventurarse en nuevos proyectos empresariales fuera de los mercados de sus países. Los requisitos de accesibilidad nacionales, o incluso regionales o locales, que han establecido los Estados miembros difieren actualmente tanto en cobertura como en nivel de detalle. Esas diferencias afectan de modo negativo a la competitividad y al crecimiento, debido a los costes adicionales derivados del desarrollo y la comercialización de productos y servicios accesibles para cada mercado nacional.

Los consumidores de productos y servicios accesibles y de tecnologías de apoyo se encuentran con precios elevados debido a la limitada competencia entre los proveedores. La fragmentación entre las normativas nacionales reduce los beneficios que podría tener compartir experiencias con homólogos nacionales e internacionales para hacer frente a la evolución de la tecnología y de la sociedad.

Por tanto, la aproximación de las medidas nacionales a escala de la Unión Europea es necesaria para un correcto funcionamiento del mercado interior con objeto de poner fin a la fragmentación del mercado de productos y servicios accesibles, crear economías de escala, facilitar el comercio y la movilidad transfronterizos y ayudar a los agentes económicos a concentrar sus recursos en la innovación en lugar de utilizarlos para cubrir los gastos derivados de una legislación fragmentada en la Unión Europea.

En definitiva, la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios, se aprobó con el fin de aproximar las disposiciones legales, reglamentarias y administrativas de los Estados miembros en lo relativo a los requisitos de accesibilidad de determinados productos y servicios, en particular, eliminando y evitando los obstáculos a la libre circulación de determinados productos y servicios accesibles, derivados de las divergencias en los requisitos de accesibilidad en los Estados miembros. La base jurídica utilizada para ello es el artículo 114 del Tratado de Funcionamiento de la Unión Europea, en el que se establecen las disposiciones que se deben aplicar para lograr el establecimiento del mercado interior o de garantizar su funcionamiento. Para ello sigue el esquema del denominado Nuevo Marco Legislativo, una serie de medidas destinadas a eliminar las barreras que pudieran existir para la libre comercialización de productos en la Unión Europea a la vez que se mantienen los niveles de seguridad y salud para los usuarios, que, en julio de 2008, adoptaron el Consejo y el Parlamento Europeo mediante la aprobación de dos instrumentos complementarios: el Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) n.º 339/93; y la Decisión 768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre un marco común para la comercialización de los productos y por la que se deroga la Decisión 93/465/CEE del Consejo.

Con la aprobación de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, se pretende mejorar la disponibilidad de productos y servicios accesibles en el mercado interior y aumentar la accesibilidad de la información. Pero además la directiva facilita la aplicación de la Convención Internacional sobre los derechos de las personas con discapacidad en la Unión Europea. Este tratado internacional, aprobado por Naciones Unidas el 13 de diciembre de 2006, ha sido ratificado por todos los Estados miembros, pero también por la propia Unión Europea al adherirse en su calidad de organización regional de integración el 22 de enero de 2011. Con la directiva se adoptan a la vez disposiciones comunes de la Unión Europea, y se apoya a los Estados miembros en su empeño por cumplir de forma armonizada sus compromisos nacionales, así como sus obligaciones derivadas de la Convención en lo relativo a la accesibilidad.

España ratificó la Convención el 3 de diciembre de 2007, y, desde su entrada en vigor el 3 de mayo de 2008, es de obligado cumplimiento, de acuerdo con lo establecido en los artículos 10.2 y 96 de la Constitución Española. Sus principios, tales como la autonomía individual o personal, la vida independiente, la libertad de tomar las propias decisiones y la participación e inclusión plenas efectivas en la sociedad, están presentes en el marco normativo de derechos, como por ejemplo en el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, aprobado por el Real Decreto Legislativo 1/2013, de 29 de noviembre; en la Ley 39/2006, de 14 de diciembre, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia; o en la Ley 8/2021, de 2 de junio, por la que se reforma la legislación civil y procesal para el apoyo a las personas con discapacidad en el ejercicio de su capacidad jurídica. En este sentido, la accesibilidad de los productos y servicios, de los entornos en los que se sitúan, y demás ámbitos, es la pieza clave para poder ejercer plenamente los derechos, y a la vez ser competitivos en una economía globalizada, ofreciendo calidad, seguridad, salud y accesibilidad a los usuarios frente a otros agentes económicos.

En el Real Decreto Legislativo 1/2013, de 29 de noviembre, se define la accesibilidad universal como la condición que deben cumplir los entornos, procesos, bienes, productos y servicios, así como los objetos, instrumentos, herramientas y dispositivos, para ser comprensibles, utilizables y practicables por todas las personas en condiciones de seguridad y comodidad y de la forma más autónoma y natural posible. La accesibilidad universal presupone la estrategia de «diseño universal o diseño para todas las personas», y se entiende sin perjuicio de los ajustes razonables que deban adoptarse. Se erige en esta norma la accesibilidad universal como una condición previa para garantizar el derecho de las personas con discapacidad a vivir de forma independiente y a participar plenamente en todos los aspectos de la vida. La directiva comparte este mismo objetivo, ya que promueve su participación equitativa, plena y efectiva en la sociedad, mediante la mejora del acceso a los principales productos y servicios que, bien mediante su concepción inicial, bien mediante su posterior adaptación, están dirigidos a las necesidades especiales de las personas con discapacidad. De estas dos estrategias, la directiva señala la preferencia para que se lleve a cabo a través de un planteamiento de diseño universal o «diseño para todas las personas», que se define en la legislación española como la actividad por la que se conciben o proyectan desde el origen, y siempre que ello sea posible, entornos, procesos, bienes, productos, servicios, objetos, instrumentos, programas, dispositivos o herramientas, de tal forma que puedan ser utilizados por todas las personas, en la mayor extensión posible, sin necesidad de adaptación ni diseño especializado. El «diseño universal o diseño para todas las personas» no excluirá los productos de apoyo para grupos particulares de personas con discapacidad, cuando lo necesiten. La accesibilidad y el diseño universal deben interpretarse en consonancia con la observación general n.º 2 (2014) sobre el artículo 9 de la Convención Internacional, relativa a la accesibilidad, emitida por el Comité de Naciones Unidas sobre los Derechos de las Personas con Discapacidad.

Los avances legislativos en accesibilidad durante los últimos años han sido crecientes en diferentes sectores, impulsados entre otras razones por la aprobación de directivas europeas en el ámbito de las telecomunicaciones, las páginas web, la contratación pública o los transportes.

En este contexto europeo, la Estrategia Europea sobre los Derechos de las Personas con Discapacidad 2021-2030, presentada el 3 de marzo de 2021, es una importante contribución para la aplicación de la Convención y además plantea la accesibilidad como prioritaria entre sus objetivos, con iniciativas bandera en este ámbito para aumentar la coherencia en las políticas de accesibilidad y facilitar el acceso a los conocimientos más relevantes en la materia. Este marco de cooperación europeo permitirá reunir a todas las autoridades nacionales responsables de la accesibilidad en los Estados miembros, promover el cumplimiento de las reglas de accesibilidad, en colaboración con los expertos y profesionales de todas las áreas relacionadas con la misma, compartir las mejores prácticas entre los diferentes sectores, inspirar avances políticos a nivel nacional y europeo, y desarrollar herramientas y estándares con el objetivo de facilitar la aplicación de las leyes europeas.

En línea con el principio de «diseño universal o diseño para todas las personas», la aplicación real de las medidas establecidas en la directiva y en esta ley no se limita a las personas con discapacidad, sino a todas las personas. En concreto, la directiva se refiere a las personas que tienen limitaciones funcionales, como por ejemplo las personas mayores, las mujeres embarazadas o las personas que viajan con equipaje, que también se benefician de sus efectos. El concepto de «personas con limitaciones funcionales», tal como se menciona en la directiva, engloba a personas que tienen alguna deficiencia física, mental, intelectual o sensorial, alguna deficiencia relacionada con la edad o con otras causas vinculadas al funcionamiento del cuerpo humano, permanente o temporal, que, al interactuar con diversas barreras, limitan su acceso a productos y servicios, dando lugar a una situación que exige una adaptación de tales productos y servicios a sus necesidades particulares.

Mediante la presente ley, en su título I, se incorpora al Derecho español la Directiva 2019/882, del Parlamento Europeo y del Consejo, de 17 de abril de 2019. Esta ley establece y especifica en sus anexos I a VII los requisitos de accesibilidad que deben cumplir los productos y servicios incluidos en su ámbito de aplicación para garantizar su libre circulación en el mercado interior y, en definitiva, para que puedan ser comercializados y prestados en España.

Los requisitos de accesibilidad funcional deben ser obligatorios, formularse como objetivos generales, y ser lo bastante precisos para crear obligaciones jurídicamente vinculantes y lo suficientemente detallados para permitir evaluar la conformidad a fin de garantizar el buen funcionamiento del mercado interior de los productos y servicios regulados en la presente ley, así como dejar cierto margen de flexibilidad con objeto de permitir la innovación.

Cuando los requisitos de accesibilidad establecidos en la presente ley no hagan referencia a una o más de las funciones o características específicas de los productos o servicios, deben aplicarse criterios de rendimiento funcional relacionados con los modos de utilización de esos productos y servicios a tales funciones o características específicas para hacerlos accesibles. Asimismo, en el supuesto de que un requisito de accesibilidad implique requisitos técnicos específicos y de que el producto o servicio ofrezca una solución técnica alternativa para dichos requisitos técnicos, esta solución técnica alternativa debe seguir siendo conforme con los requisitos de accesibilidad correspondientes y dar lugar a una accesibilidad equivalente o mayor mediante la aplicación de los criterios de rendimiento funcional pertinentes.

La determinación de los productos y servicios incluidos en el ámbito de aplicación de la ley se basa en un ejercicio de análisis que se llevó a cabo durante la preparación de la evaluación de impacto de la directiva, en la cual se determinaron los productos y servicios pertinentes para las personas con discapacidad y en relación con los cuales los Estados miembros han adoptado o van a adoptar probablemente requisitos de accesibilidad nacionales divergentes que alteran el funcionamiento del mercado interior.

La directiva y, por tanto, el título I de esta ley, respetan los derechos fundamentales y observan los principios reconocidos en la Carta de los Derechos Fundamentales de la Unión Europea. En particular, su objetivo es garantizar el pleno respeto de los derechos de las personas con discapacidad a beneficiarse de medidas diseñadas para garantizar su autonomía, su integración social y profesional y su participación en la vida de la comunidad, y fomentar la aplicación de los artículos 21, 25 y 26 de la citada Carta.

IV

Por su parte, la existencia de un entorno regulatorio favorable a la competitividad y la internacionalización es un elemento clave para la economía de un país, y a ello contribuyen las políticas públicas sectoriales en los ámbitos económico, fiscal y migratorio, entre otros. La Organización para la Cooperación y el Desarrollo Económicos (OCDE) ha identificado el entorno institucional y regulatorio como elemento clave a tal efecto, en un contexto en el que, a nivel global, se estarían produciendo dificultades para la captación de talento en determinados sectores como los de educación, sanidad, servicios sociales, Administración Pública, tecnologías de la información, telecomunicaciones, comunicaciones y medios de comunicación, banca, finanzas, seguros y sector inmobiliario. En esa línea, los países más avanzados cuentan con sistemas especialmente diseñados para atraer inversión y talento.

A la ambición de internacionalización y mejora de la competitividad se añade un contexto demográfico y del mercado laboral en el que la captación de profesionales cualificados juega un papel clave, tal y como queda reflejado en la Comunicación de la Comisión al Parlamento Europeo, el Consejo, el Consejo Económico y Social Europeo y el Comité de las Regiones sobre atracción de habilidades y talento a la Unión Europea del 27 de abril 2022. Según datos de Eurostat, de aquí a 2070, el porcentaje de la población en edad laboral disminuirá, pasando de alrededor del 65 % en 2019 a entre el 56 % y el 54 % de la población total de la Unión Europea. En el plano laboral, se presenta una situación de escasez de mano de obra que alcanza a todos los niveles de capacitación, encontrándose carencias en hasta veintiocho profesiones que empleaban al 14 % de la mano de obra de la Unión Europea en 2020, según datos de la Autoridad Laboral Europea.

Es probable que esa demanda de cualificaciones específicas aumente y cambie en función de la evolución de la sociedad y la tecnología. La pandemia del COVID-19 puso de manifiesto el rol esencial desempeñado por los migrantes en un contexto generalizado de cierre de fronteras. Asimismo, trajo consigo las transiciones digital y ecológica, que tiene su impacto en la composición del mercado de trabajo, tanto en términos de las habilidades, competencias y conocimientos demandados para ocupar nuevos puestos de trabajo, como de sustitución y transformación, con nuevas ocupaciones que requieren un elevado grado de especialización. De acuerdo con el Centro Europeo para el Desarrollo de la Formación Profesional, el 43 % de los puestos de trabajo que se creen de aquí a 2030 requerirán un alto nivel de formación, de tal forma que la demanda de cualificaciones de alto nivel supere a la oferta de mano de obra. Asimismo, se prevé que las ofertas de empleo hasta 2030 sean elevadas para ocupaciones como los profesionales de la administración y los negocios, pero también para ocupaciones que tradicionalmente se consideran de cualificación media.

En este contexto, una migración laboral, segura y ágil, libre de cuellos de botella y trámites burocráticos largos y en ocasiones innecesarios, puede contribuir activamente a cubrir algunas necesidades actuales y futuras tanto del mercado laboral español como del europeo.

La atracción de talento ha sido, en efecto, una ambición de la Unión Europea, entre cuyos instrumentos cuenta con la Tarjeta azul-UE, regulada en la Directiva 2009/50/CE del Consejo, de 25 de mayo de 2009, relativa a las condiciones de entrada y residencia de nacionales de terceros países para fines de empleo altamente cualificado, incorporada al ordenamiento jurídico español mediante la Ley Orgánica 2/2009, de 11 de diciembre, de reforma de la Ley Orgánica 4/2000, de 11 de enero, sobre derechos y libertades de los extranjeros en España y su integración social, y el Real Decreto 557/2011, de 20 de abril, por el que se aprueba el Reglamento de la Ley Orgánica 4/2000, sobre derechos y libertades de los extranjeros en España y su integración social, tras su reforma por Ley Orgánica 2/2009.

Sin embargo, el informe de aplicación de la Directiva 2009/50/CE puso de relieve algunas conclusiones que manifestaban la escasa eficacia de la directiva como vía legal de atracción de talento a la Unión Europea: transposiciones desiguales, en algunos casos excesivamente rígidas, y ausencia de información actualizada y suficiente sobre la Tarjeta azul-UE a potenciales candidatos altamente cualificados y empleadores.

En respuesta a ese fenómeno, varios Estados miembros, entre ellos España, optaron por adoptar regímenes nacionales de atracción de talento orientados a favorecer el incremento del atractivo del talento, la internacionalización de la economía a través de las empresas y el establecimiento de elementos que favoreciesen dicha atracción del talento internacional sin las trabas o exigencias derivadas de la directiva.

En España, la Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización, aprobada en un contexto de medidas de recuperación de la crisis económica y social, introdujo medidas adicionales de atracción de inversión y talento, así como procedimientos ágiles y cauces específicos para la tramitación de autorizaciones de residencia de profesionales altamente cualificados bajo el régimen nacional, que han demostrado su eficacia con 34.241 autorizaciones concedidas a titulares desde su puesta en marcha, lo que contrasta con los datos de concesión de Tarjetas azules-UE en España, por debajo de 200 en el mismo periodo.

El 28 de octubre de 2021 se publicó la Directiva (UE) 2021/1883 del Parlamento Europeo y del Consejo, de 20 de octubre de 2021, relativa a las condiciones de entrada y residencia de nacionales de terceros países con fines de empleo de alta cualificación, y por la que se deroga la Directiva 2009/50/CE del Consejo. La directiva mantiene los regímenes nacionales paralelos de atracción de talento e incorpora varios elementos orientados a mejorar la efectividad del régimen europeo de Tarjeta azul-UE frente a la anterior directiva y favorecer, globalmente, el atractivo de la Unión Europea en la carrera internacional por el talento. El plazo de transposición de la directiva finaliza el 18 de noviembre de 2023, por lo que es necesario incorporar las previsiones de la mencionada directiva a la legislación interna, lo que se materializa de forma parcial en la presente ley, en su título II. Se excepcionan de la transposición que se lleva a cabo en esta norma los artículos 3.2.d), 17.7, 18 y 19 de la directiva, relativos a la introducción de excepciones a la aplicación del estatuto de residente de larga duración y a la expedición de autorizaciones de residencia autónomas a los miembros de la familia de los titulares de la Tarjeta azul-UE, que se prevén transponer en un futuro real decreto de modificación del Reglamento de la Ley Orgánica 4/2000, de 11 de enero.

Entre las novedades de la Directiva (UE) 2021/1883, de 20 de octubre de 2021, se encuentra el establecimiento de criterios de admisión más inclusivos para los titulares de la Tarjeta azul-UE, la facilitación de la movilidad y la reagrupación familiar dentro de la Unión Europea, procedimientos simplificados para empleadores reconocidos, la concesión de un nivel más elevado de acceso al mercado laboral y la ampliación del ámbito de aplicación a los familiares extracomunitarios de ciudadanos de la Unión Europea y a los beneficiarios de protección internacional.

De forma adicional a la inclusión en el ordenamiento jurídico español de los nuevos elementos del régimen de Tarjeta azul-UE, el título II de esta ley introduce mejoras en el régimen nacional de autorización de entrada y residencia de profesionales altamente cualificados regulados en la Ley 14/2013, de 27 de septiembre, complementario al régimen de la Unión Europea, y destinado a atraer profesionales y especialistas no incluidos en el ámbito subjetivo de la Directiva (UE) 2021/1883, de 20 de octubre de 2021. Entre los principales avances en el marco nacional se encuentran la ampliación del marco subjetivo a titulados de formación profesional de grado superior, la eliminación de requisitos de tamaño y facturación de los empleadores, ampliando su alcance a pequeñas y medianas empresas, y la ampliación de la vigencia de todas las autorizaciones de residencia reguladas en la ley a tres años renovables por dos más.

Con el objetivo de mejorar la seguridad jurídica y la complementariedad de los regímenes de atracción de profesionales altamente cualificados nacional y de la Unión Europea, se ha optado por la transposición de la Directiva (UE) 2021/1883, de 20 de octubre de 2021, en la Ley 14/2013, de 27 de septiembre, a diferencia de la Directiva 2009/50/CE, de 25 de mayo de 2009, cuya transposición se realizó en el régimen general regulado por la Ley Orgánica 4/2000, de 11 de enero, y en su reglamento de desarrollo. De esta forma, se asegura un conjunto de garantías procedimentales comunes, requisito de la nueva directiva, y se aprovechan las sinergias derivadas de la asignación de la tramitación a un equipo único especializado: la Unidad de Grandes Empresas y Colectivos Estratégicos.

V

Por otro lado, el crecimiento exponencial del comercio electrónico en los últimos años ha generalizado la realización de compras transfronterizas. En el ámbito del IVA, la Directiva (UE) 2017/2455 del Consejo, de 5 de diciembre de 2017, por la que se modifican la Directiva 2006/112/CE y la Directiva 2009/132/CE en lo referente a determinadas obligaciones respecto del impuesto sobre el valor añadido para las prestaciones de servicios y las ventas a distancia de bienes, y la Directiva (UE) 2019/1995 del Consejo, de 21 de noviembre de 2019, por la que se modifica la Directiva 2006/112/CE en lo que respecta a las disposiciones relativas a las ventas a distancia de bienes y a ciertas entregas nacionales de bienes, han establecido nuevas reglas de tributación en destino en las ventas de bienes y servicios que, adquiridos por consumidores finales, principalmente a través de internet, son enviados desde otros territorios o prestados por empresarios o profesionales no establecidos en el Estado miembro de adquisición. Además, las nuevas reglas del comercio electrónico en el IVA han modernizado y simplificado la liquidación y gestión del IVA de forma sencilla mediante la generalización de los nuevos regímenes especiales de ventanilla única. La transposición a nuestro ordenamiento interno de este paquete normativo, de aplicación desde el 1 de julio de 2021, se ha realizado por el Real Decreto-ley 7/2021, de 27 de abril, de transposición de directivas de la Unión Europea en las materias de competencia, prevención del blanqueo de capitales, entidades de crédito, telecomunicaciones, medidas tributarias, prevención y reparación de daños medioambientales, desplazamiento de trabajadores en la prestación de servicios transnacionales y defensa de los consumidores, y por el Real Decreto 424/2021, de 15 de junio, por el que se modifican el Reglamento del Impuesto sobre el Valor Añadido, aprobado por el Real Decreto 1624/1992, de 29 de diciembre, el Reglamento por el que se regulan las obligaciones de facturación, aprobado por el Real Decreto 1619/2012, de 30 de noviembre, y el Reglamento General de las actuaciones y los procedimientos de gestión e inspección tributaria y de desarrollo de las normas comunes de los procedimientos de aplicación de los tributos, aprobado por Real Decreto 1065/2007, de 27 de julio, que han modificado respectivamente la Ley y el Reglamento del IVA.

No obstante, en este contexto y a pesar de las facilidades ofrecidas a los operadores para la liquidación del IVA devengado en cada Estado miembro, las autoridades tributarias comunitarias han detectado la aparición de empresarios y profesionales que, aprovechando que la mayoría de las transacciones del comercio electrónico constituyen pagos transfronterizos realizados a través de medios de pagos conectados con transferencias electrónicas, obtienen ventajas comerciales desleales eludiendo sus obligaciones de repercusión e ingreso del IVA. En efecto, dado que el destinatario tiene la condición de consumidor final que actúa de buena fe y que no queda sujeto a obligaciones contables y registrales, las administraciones tributarias comunitarias pueden tener dificultades para comprobar el destino de sus pagos transfronterizos por lo que se hace necesario disponer de instrumentos adecuados y un sistema de información que permita detectar estos pagos transfronterizos sin necesidad de imponer obligaciones a los consumidores finales y afectar al desarrollo del comercio y la ampliación del mercado. Esta información es relevante y puede suponer un indicio de que el beneficiario está realizando una actividad económica no declarada.

De esta forma, la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago, que ahora es objeto de transposición, ha diseñado un sistema sencillo que va a imponer a los proveedores de servicios de pago la obligación de mantener registros suficientemente detallados de los pagos transfronterizos realizados en los que intervengan y a suministrar esta información a la Administración tributaria.

Con el objeto de cumplir con el principio de proporcionalidad y asegurar que su cumplimiento genere las menores cargas de gestión en los proveedores de servicios de pago, únicamente será requerida aquella información considerada necesaria y suficiente para que las administraciones tributarias de los Estados miembros puedan combatir las situaciones de fraude y evasión fiscal. Así, únicamente será necesario registrar y comunicar los pagos transfronterizos cuando el ordenante esté ubicado en un Estado miembro y el beneficiario esté situado en otro Estado miembro o en un país o territorio tercero. Por otra parte, la única información relativa al ordenante del pago que deberá conservarse es la referente a su ubicación. Por lo que respecta al beneficiario será necesario conservar la información que pueda permitir a las autoridades tributarias detectar una posible actividad económica. En este sentido, se fija un límite mínimo de pagos recibidos por un mismo beneficiario en un trimestre natural como indicativo de la posible realización de una actividad económica. Una vez se alcance dicho límite, que se fija en 25 pagos transfronterizos trimestrales a un mismo beneficiario, surgiría la obligación de mantenimiento de registros y su notificación a la Administración tributaria.

Como en un único pago de un ordenante a un beneficiario pueden participar varios proveedores de servicios de pago será necesario que todos los proveedores de servicios de pago que participen en la cadena que asegura la transferencia de fondos del ordenante al beneficiario, salvo algunas exclusiones contenidas en la propia regulación, cumplan con la obligación de mantenimiento de los registros y su notificación. De esta forma, será posible la identificación del ordenante inicial y beneficiario final de cada transacción y su conexión con las operaciones del comercio electrónico.

Por tanto, las obligaciones de mantenimiento de registros y el suministro de la información afectarán tanto al proveedor de servicios de pago que transfiere fondos o emite instrumentos de pago para el ordenante, como al proveedor de servicios de pago que recibe dichos fondos o adquiere operaciones de pago por cuenta del beneficiario.

No obstante, estas obligaciones no serán de aplicación a aquellos proveedores de servicios de pago que se encuentran fuera del ámbito de aplicación del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

Los proveedores de servicios de pago conservarán los registros citados por un periodo de tres años naturales con el fin de que los Estados miembros dispongan de tiempo suficiente para realizar controles de manera eficaz y puedan investigar o detectar presuntos fraudes en el IVA.

Por último, debe señalarse que, aunque las obligaciones contenidas en la referida Directiva no serán de aplicación hasta el 1 de enero de 2024, resulta necesario que los proveedores de servicios de pagos conozcan con la suficiente antelación su contenido y ámbito de aplicación, a fin de que puedan adaptar sus sistemas y procedimientos informáticos para garantizar su cumplimiento. Por otra parte, será también necesario aprobar con anterioridad a su entrada en vigor el necesario desarrollo reglamentario de la medida y los requisitos técnicos que hagan posible su aplicación.

Así, pues, la transposición de la Directiva (UE) 2020/284 que ahora se acomete es parcial, toda vez que la transposición del contenido de los registros que deben realizar y mantener los proveedores de servicios de pago establecido en el artículo 243 quinquies de la Directiva 2006/112/CE se realizará por vía reglamentaria y culminará la de la referida Directiva (UE) 2020/284.

VI

Asimismo, desde comienzos del siglo XXI la Comisión Europea se ha ocupado de crear un marco regulador moderno para el Derecho de sociedades en el ámbito de la Unión. En este contexto, el 12 de diciembre de 2012 la Comisión Europea hizo pública la comunicación que presentó al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones denominada Plan de acción: Derecho de sociedades europeo y gobierno corporativo-un marco jurídico moderno para una mayor participación de los accionistas y la viabilidad de las empresas.

En este Plan de acción, la Comisión Europea fijaba como objetivos a alcanzar en el ámbito del Derecho de sociedades, por un lado, reforzar los derechos de los y las accionistas y la protección de terceros; y, por otro, promover la eficacia y competitividad de las empresas, habiéndose apreciado la necesidad de simplificar las operaciones transfronterizas de las empresas europeas, especialmente, en el caso de pequeñas y medianas empresas, así como de facilitar el procedimiento de constitución de compañías y sus sucursales.

En ejecución del Plan de Acción de 2012, la Comisión Europea publicó, con fecha 25 de abril de 2018, el llamado «Paquete de Derecho de Sociedades», cuya base jurídica se halla en el artículo 50 del Tratado de Funcionamiento de la Unión Europea, que responde a la finalidad de velar por la libertad de establecimiento, procurando la eliminación de aquellos obstáculos que supongan una restricción a tal libertad y que se componía de dos propuestas: por un lado, la relativa al uso de herramientas digitales en la constitución y registro de sociedades y, por otro, la propuesta de reforma de la Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre determinados aspectos del Derecho de sociedades (versión consolidada), en lo que respecta a las operaciones de fusiones, escisiones y transformaciones transfronterizas, que aborda las tres operaciones de «movilidad transfronteriza».

Junto con el Plan de Acción de 2012, el 6 de mayo de 2015, la Comisión Europea presentó al Parlamento Europeo, al Consejo, al Comité Económico y Social y al Comité de las Regiones su comunicación bajo el título «Una Estrategia para el Mercado Único Digital de Europa». En ella, fijaba como objetivo potenciar el uso de las nuevas tecnologías, para lograr crear un mercado digital único conectado, siendo el mercado único digital aquél en el que la libre circulación de mercancías, personas, servicios y capitales está garantizada y en el que personas y empresas pueden acceder fácilmente a las actividades y ejercerlas en línea en condiciones de competencia, con un alto nivel de protección de los datos personales y de los consumidores y consumidoras, con independencia de su nacionalidad o lugar de residencia.

De especial importancia en este campo era la aplicación del principio de «solo una vez», que permitía a las administraciones públicas reutilizar la información sobre ciudadanos y empresas que ya obraba en su poder sin tener que solicitarla de nuevo. En términos económicos, la ampliación de dicho principio, en cumplimiento de la normativa de protección de datos, se calculaba que generaría un ahorro neto anual importante en el espacio europeo.

Este documento sería el punto de partida de un nuevo Plan de Acción Europeo sobre Administración Electrónica 2016-2020 que incluiría

i) hacer realidad la interconexión de registros mercantiles para 2017,

ii) poner en marcha en 2016 una iniciativa con los Estados miembros para llevar a cabo una experiencia piloto del principio de «solo una vez»;

iii) ampliar e integrar los portales europeos y nacionales hacia un «portal digital único» con el fin de crear un sistema de información para ciudadanía y empresas de fácil manejo y

iv) acelerar la transición de los Estados miembros hacia una contratación pública electrónica plena y la interoperabilidad de la firma electrónica.

En este marco, elemento esencial para el funcionamiento de las medidas de digitalización fue la creación del Sistema de Interconexión de Registros centrales, mercantiles y de sociedades de todos los Estados miembros (SIRM o BRIS), materializado en la Directiva 2012/17, del Parlamento Europeo y del Consejo, de 13 de junio de 2012, por la que se modifican la Directiva 89/666/CEE del Consejo y las Directivas 2005/56/CE y 2009/101/CE del Parlamento Europeo y del Consejo, en lo que respecta a la interconexión de los registros centrales, mercantiles y de sociedades, operativo desde junio de 2017, tras la publicación del Reglamento de ejecución (UE) 2015/884, de la Comisión, de 8 de junio de 2015, por el que se establecen especificaciones y procedimientos técnicos necesarios para el sistema de interconexión de registros establecido por la Directiva 2009/101/CE del Parlamento Europeo y del Consejo.

La Comisión siguió trabajando en esta línea, adoptando medidas que implicaran una reducción de costes y supusieran la eliminación de obstáculos para las sociedades, desde el momento de su constitución hasta su extinción. Así, la Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, incluía ciertos elementos de digitalización, como la obligación de que los Estados miembros pusieran a disposición del público información en línea sobre las sociedades de responsabilidad limitada inscritas en los registros mercantiles. Sin embargo, estos requisitos eran limitados y carecían de precisión, lo que daba lugar a una aplicación muy diversa a nivel nacional.

Esta situación requería una intervención normativa de las instituciones europeas, a fin de introducir cierta armonización en este ámbito y a ello responde la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades que establece, entre otras disposiciones, normas sobre publicidad e interconexión de los registros centrales, mercantiles y de sociedades de los Estados miembros.

El texto parte de la idea de que resulta esencial asegurar un entorno jurídico y administrativo a la altura de los nuevos desafíos económicos y sociales de la globalización y la digitalización para ofrecer las garantías necesarias frente al abuso y el fraude, pero también para la consecución de otros objetivos, como fomentar el crecimiento económico, la creación de empleo, así como atraer inversiones a la Unión.

Las líneas esenciales sobre las que se apoya la norma se pueden englobar en cuatro grandes bloques.

En primer lugar, la Directiva es de mínimos. Prácticamente, solo impone una obligación a los Estados miembros y es que los mismos deben prever en sus respectivos ordenamientos jurídicos un sistema de constitución de las sociedades de capital íntegramente en línea, sin necesidad de que los solicitantes comparezcan en persona ante cualquier autoridad o persona u organismo habilitado en virtud del Derecho nacional para tratar cualquier aspecto de la constitución en línea de sociedades, incluyendo el otorgamiento de la escritura de constitución y la aportación del capital social, contemplándose como excepcional la posibilidad de requerir la presencia física del o la solicitante. En todo caso, este procedimiento de constitución íntegramente digital no supone la exclusión de otros procedimientos ya contemplados en las legislaciones nacionales de los Estados miembros. Para facilitar la constitución de las compañías en línea, los Estados miembros deben proporcionar unos documentos estandarizados o modelos, a fin de simplificar la operación.

El segundo elemento que caracteriza la Directiva es la extensión de este procedimiento íntegramente en línea a todo el ciclo vital de la sociedad, lo que supone que deberá facilitarse un sistema para la presentación online de los documentos necesarios.

El procedimiento íntegro en línea se extiende, también, al registro de sucursales. La Directiva contempla que sea posible abrir y registrar una sucursal en otro Estado miembro de manera enteramente telemática, por medio del sistema BRIS, y obliga a los Estados miembros a informarse mutuamente a través de dicho sistema sobre los cierres de sucursales y sobre las modificaciones de razón social o de domicilio social, tratando de aplicar el principio de «solo una vez» en el ámbito transfronterizo intraeuropeo.

En cuarto lugar, la Directiva introduce disposiciones que afectan al sistema de publicidad registral, al funcionamiento de los Registros mercantiles y al coste del servicio prestado.

Por medio del título IV de esta ley se procede, por tanto, a la incorporación a nuestro Derecho de la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, conocida como «directiva de digitalización de sociedades» o «directiva de herramientas digitales».

Teniendo en cuenta las líneas marcadas por la norma europea, y por lo que respecta al ámbito nacional, debe señalarse que en España no resulta desconocido el uso de herramientas digitales en la constitución de sociedades.

El sistema digital fue introducido por la Ley 7/2003, de 1 de abril, de la sociedad limitada Nueva Empresa, por la que se modifica la Ley 2/1995, de 23 de marzo, de Sociedades de Responsabilidad Limitada; para la que se estableció un procedimiento especial de constitución telemática (artículos 5 y 6 del Real Decreto 682/2003, de 7 de junio, por el que se regula el sistema de tramitación telemática a que se refiere el artículo 134 y la disposición adicional octava de la Ley 2/1995, de 23 de marzo, de Sociedades de Responsabilidad Limitada).

Más tarde, el Real Decreto-ley 13/2010, de 3 de diciembre, de actuaciones en el ámbito fiscal, laboral y liberalizadoras para fomentar la inversión y la creación de empleo, reguló con carácter general un procedimiento de constitución telemática aplicable a todas las sociedades de capital, al margen del DUE.

El último paso vino dado por la Ley 14/2013, de 27 de diciembre, de apoyo a los emprendedores y su internacionalización, que derogó el sistema introducido por el Real Decreto-ley 13/2010, de 3 de diciembre, y contempló la aplicación a todas las sociedades limitadas del sistema del DUE. El diseño de esta ley se completó mediante el Real Decreto 421/2015, de 29 de mayo, por el que se regulan los modelos de estatutos-tipo y de escritura pública estandarizados de las sociedades de responsabilidad limitada, se aprueba modelo de estatutos-tipo, se regula la Agenda Electrónica Notarial y la Bolsa de denominaciones sociales con reserva, y por la Orden JUS/1840/2015, de 9 de septiembre, en virtud de la cual se creó el modelo de escritura pública en formato estandarizado y campos codificados de la sociedad limitada, así como la relación de actividades que podían formar parte del objeto social.

En la actualidad, en España la disposición adicional tercera del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital, y la Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización, regula la constitución de sociedades de responsabilidad limitada por vía telemática a través del Centro de Información y Red de Creación de Empresas (CIRCE), que tan solo requiere la presencia física del fundador, o su representante, ante el notario.

Dicha ley regula dos procedimientos de constitución. En primer lugar, un procedimiento mediante el empleo de escritura pública y estatutos tipo en formato estandarizado, que sólo puede realizarse a través de CIRCE. La constitución de una sociedad de responsabilidad limitada por esta vía está sujeta a un plazo máximo de 24 horas, lo que es posible gracias a la utilización de instrumentos estandarizados y a aranceles notariales y registrales tasados.

Y en segundo lugar, un procedimiento de constitución sin estatutos tipo. Este procedimiento, a diferencia del anterior, puede realizarse o no a través de CIRCE. No fija un plazo máximo total para la constitución, pero sí para determinados trámites. Los aranceles notariales y registrales, al igual que el supuesto anterior, están tasados.

La utilización del Documento Único Electrónico y el sistema CIRCE permite no solo la constitución telemática de las sociedades de responsabilidad limitada sino, además, llevar a cabo trámites asociados al inicio de la actividad, tales como el alta en los censos tributarios, el alta de socios, administradores y trabajadores en los regímenes de la Seguridad Social, así como la presentación de declaraciones y solicitudes ante otras administraciones públicas, autonómicas y locales.

En cualquier caso, aunque el procedimiento de constitución telemática en España sea ágil y no excesivamente costoso, lo cierto es que exige la comparecencia personal ante la notaría de los fundadores (o sus representantes), al igual que los procedimientos de modificación posteriores a la constitución, que, como regla general, exigen la presencia física ante notario de los administradores, o de un apoderado con poder suficiente.

En consecuencia, el régimen de constitución telemática vigente en nuestro ordenamiento jurídico necesita ser modificado en algunos aspectos, para poder cumplir con el mandato del legislador europeo de contemplar un procedimiento íntegramente online, aplicable tanto al momento de constitución, como a las modificaciones societarias posteriores y al registro de sucursales por parte de solicitantes que sean ciudadanos o ciudadanas de la Unión Europea.

A ello responden las modificaciones que se introducen en el Código de Comercio y en el texto refundido de la Ley de Sociedades de Capital.

De igual modo, en cumplimiento de la normativa europea, se procede mediante el título IV a reformar la Ley Hipotecaria y la Ley del Notariado a fin de habilitar la intervención telemática notarial y registral con el objetivo de facilitar la prestación de los servicios notariales y registrales sin necesidad de presencia física, dando cumplimiento así a lo previsto en la disposición final decimoprimera de la Ley 3/2020, de 18 de septiembre, de medidas procesales y organizativas para hacer frente al COVID-19 en el ámbito de la Administración de Justicia.

En cuanto a la Ley Hipotecaria, las modificaciones se centran, fundamentalmente, en regular la sede electrónica general, la posibilidad de las comunicaciones de la ciudadanía y con otros organismos por medios electrónicos, la publicidad registral por estos mismos medios, la creación de un sistema informático registral adicional y un repositorio electrónico con información actualizada de las fincas.

La Ley del Notariado se modifica con el fin de regular un protocolo electrónico que refleje las matrices de los instrumentos públicos, la posibilidad de consulta digital motivada de un índice único informatizado general por el Consejo General del Notariado y las administraciones públicas y la introducción de un nuevo artículo que establece la posibilidad de otorgamiento de ciertos instrumentos a través de videoconferencia y comparecencia electrónica, así como disposiciones en materia de seguridad y archivos.

Se introducen las modificaciones pertinentes en la legislación sobre medidas fiscales, administrativas y de orden social para permitir la utilización por registradores de sistemas de videoconferencia e interoperabilidad con otros Registros, a los efectos del ejercicio de sus respectivas funciones públicas establecidas en la Ley Hipotecaria y demás leyes que le sean de aplicación y el acceso por los interesados en la aplicación abierta en la sede electrónica de los registradores utilizando los sistemas de identificación electrónica. Asimismo, se dispone que los sistemas de información y comunicación que se utilicen por registradores y notarios deberán ser interoperables entre sí para facilitar su comunicación e integración.

Por lo que respecta a la transposición de la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, las modificaciones afectan al artículo 17 del Código de Comercio, aprobado por Real Decreto de 22 de agosto de 1885, para la mejora en la obtención de información societaria relevante y al título II del texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio.

En España se ha optado por introducir las modificaciones necesarias para dar cumplimiento de manera estricta al mandato del legislador europeo. Por este motivo, el procedimiento íntegramente en línea resulta de aplicación únicamente a las sociedades de responsabilidad limitada. No obstante, el referido procedimiento no podrá utilizarse cuando la aportación de los socios al capital social se realice mediante aportaciones que no sean dinerarias.

Se modifica igualmente la Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización, en lo relativo a los Servicios de los Puntos de Atención al Emprendedor con ocasión del cese de la actividad.

Por último, la disposición final segunda procede a la modificación de ciertos preceptos, todos ellos de rango ordinario, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, con motivo de la corrección de errores del Reglamento Europeo sobre Protección de Datos publicada en el «Diario Oficial de la Unión Europea» del día 4 de marzo de 2021, y en consecuencia la eliminación del apercibimiento del catálogo de sanciones a imponer a responsables y encargados, sustituyéndolo por la realización de un requerimiento. La reforma introduce, además, un nuevo artículo que habilita y regula la realización de actuaciones de investigación a través de sistemas digitales, y se aumenta de nueve a doce meses la duración máxima del procedimiento sancionador, y de doce a dieciocho meses la de las actuaciones previas de investigación. Por otro lado, se hace necesario regular la sustitución de la persona titular de la Presidencia de la Agencia Española de Protección de Datos en los supuestos de ausencia, vacancia o enfermedad, así como en los de abstención o recusación, respecto de sus funciones relacionadas con los procedimientos regulados por el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, ya que el Consejo de Estado, en su dictamen 683/2020, relativo al proyecto de Real Decreto por el que se aprueba el Estatuto de la Agencia Española de Protección de Datos considera que, en su redacción actual, el ejercicio de esas funciones está reservado por ley a la Presidencia y no cabe, por tanto, su delegación ni la suplencia en su ejercicio, lo que afectaría negativamente al ejercicio de las competencias de la Agencia y a su independencia, ya que en el supuesto de que dichas circunstancias se produjeran, se impediría su actuación en los casos de posible vulneración de la normativa de protección de datos. Para ello, se modifica el apartado 2 del artículo 48, que tiene asimismo el carácter de ley ordinaria, para que esas competencias puedan ser asumidas por la persona titular del órgano directivo que desarrolle las funciones de inspección, dada su especialización en la materia y regulando de una manera completa el régimen de sustitución en el ejercicio de las distintas competencias que se atribuyen a la persona titular de la Presidencia.

Finalmente, se introduce una previsión en cuanto a la notificación de la admisión a trámite en aquellos procedimientos con un elevado número de reclamaciones, y el establecimiento de modelos obligatorios de reclamación ante la Agencia Española de Protección de Datos.

VII

La Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, es una versión refundida de la Directiva 2008/118/CE del Consejo, de 16 de diciembre de 2008, relativa al régimen general de los impuestos especiales que gravan directa o indirectamente el consumo de los productos energéticos y electricidad, el alcohol y bebidas alcohólicas, y las labores del tabaco, pues, habida cuenta de que la Directiva 2008/118/CE del Consejo, de 16 de diciembre de 2008, ha sido sustancialmente modificada en diversas ocasiones, con motivo de las últimas modificaciones se ha considerado preciso, en aras de una mayor claridad, proceder a su refundición.

Las modificaciones introducidas en esta directiva son fundamentalmente técnicas y tienen por objeto adaptarla a la terminología y a los procedimientos del Tratado de Lisboa, firmado el 13 de diciembre de 2007.

En la misma línea, actualiza los procedimientos y terminología incorporada al ámbito aduanero a través del Reglamento (UE) n.° 952/2013 del Parlamento Europeo y del Consejo, de 9 de octubre de 2013, por el que se establece el código aduanero de la Unión. En concreto, en dicho ámbito, se avanza en la coordinación de los procedimientos aduaneros y de los impuestos especiales y, al objeto de permitir el uso del régimen de tránsito externo tras el régimen de exportación, se habilita a la aduana de salida como posible destino de una circulación en régimen suspensivo de los impuestos especiales.

Adicionalmente, con el fin de informatizar los procedimientos aplicados a los movimientos dentro de la Unión Europea de productos sujetos a impuestos especiales despachados a consumo que vayan a ser entregados con fines comerciales, se crean dos nuevas figuras de operadores económicos, el expedidor certificado y el destinatario certificado, para permitir la identificación en el sistema informático de los operadores que utilizan estos procedimientos. También se procede a la estandarización de ciertos procedimientos que actualmente se aplican de forma diferente entre los Estados miembros para simplificar el trabajo de los operadores económicos.

Todas estas modificaciones se incorporan en la Ley de Impuestos Especiales y en el Reglamento de los Impuestos Especiales. Por su parte, la Directiva (UE) 2020/1151 del Consejo, de 29 de julio de 2020, modifica la Directiva 92/83/CEE relativa a la armonización de las estructuras de los impuestos especiales sobre el alcohol y las bebidas alcohólicas.

Como consecuencia de dicha modificación, se procede a actualizar en la Ley de Impuestos Especiales las referencias a los códigos de la nomenclatura combinada que se utilizan para la descripción de los productos derivados del alcohol. En concreto, se actualizan los códigos del «vino espumoso» y de «otras bebidas fermentadas espumosas».

VIII

La presente ley, además, procede, tal y como se ha señalado, a modificar la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos.

Los motivos que aconsejan la modificación de dicha norma son consecuencia de la entrada en vigor, el 1 de enero de 2022, de los Protocolos de 2004 de enmienda del Convenio de París, de 29 de julio de 1960, sobre la responsabilidad civil en materia de energía nuclear y de su Complementario de Bruselas, de 31 de enero de 1963.

Cabe recordar que el régimen jurídico que regula en España la responsabilidad civil por los daños causados por un accidente nuclear deriva de los citados Convenios, ambos desarrollados bajo los auspicios de la Agencia de Energía Nuclear de la Organización para la Cooperación y el Desarrollo Económicos (OCDE).

Estos Convenios establecen los principios internacionalmente reconocidos en la materia, entre otros, la responsabilidad objetiva del explotador; la canalización de la responsabilidad sobre el explotador; la obligatoriedad de establecer una garantía por una cuantía mínima; y la limitación en el tiempo de dicha responsabilidad.

Hasta el 31 de diciembre de 2021, sus disposiciones se habían implementado en España por medio de los capítulos VII a IX de la Ley 25/1964, de 29 de abril, sobre energía nuclear, así como por medio del Reglamento sobre Cobertura de Riesgos Nucleares, aprobado por Decreto 2177/1967, de 22 de julio.

Los citados Convenios han sido objeto de varias revisiones, siendo la última de ellas la llevada a cabo mediante los Protocolos de 2004 de enmienda a dichos Convenios. La entrada en vigor de estos Protocolos supone una revisión en profundidad del régimen de responsabilidad civil nuclear aplicable en las Partes Contratantes y redunda en una mayor protección de las víctimas en caso de un accidente nuclear.

En España, la necesidad de incorporar al ordenamiento jurídico los cambios resultantes de la aprobación de los referidos Protocolos de 2004 motivó la aprobación de la Ley 12/2011, de 27 de mayo, cuya entrada en vigor estaba supeditada a la de dichos Protocolos.

La Ley 12/2011, de 27 de mayo, deroga los capítulos VII a X de la Ley 25/1964, de 29 de abril, con la excepción del artículo 45, al que modifica, así como el referido Reglamento sobre Cobertura de Riesgos Nucleares, aprobado por Decreto 2177/1967, de 22 de julio, en lo que se oponga a ella.

No obstante, en el proceso de adaptación al nuevo régimen que se ha venido preparando desde la aprobación de la Ley 12/2011, de 27 de mayo, se han identificado diferentes cuestiones en esta ley que aconsejan su modificación, con el fin de garantizar una mejor adecuación de la misma a los Convenios ante la entrada en vigor de los referidos Protocolos de 2004.

Se trata de cuestiones técnicas que facilitarán la interpretación de la Ley 12/2011, de 27 de mayo, en caso de accidente nuclear, así como la mejor adecuación de sus disposiciones a las de los Convenios revisados, en todo caso, de una forma más garantista para las potenciales víctimas.

Adicionalmente y sin que derive de dichos Convenios ni de ninguna otra normativa internacional, la Ley 12/2011, de 27 de mayo, regula igualmente el régimen de responsabilidad civil por daños causados por materiales radiactivos que no sean sustancias nucleares, que venía regulándose también en la Ley 25/1964, de 29 de abril. Tras la publicación de la Ley 12/2011, de 27 de mayo, se han identificado algunas disposiciones de la misma, en relación con la responsabilidad civil por el daño causado por estos materiales, que también requieren ser reformuladas.

En primer lugar, el daño nuclear provocado por un accidente en el transporte de determinados materiales que no son considerados «sustancia nuclear» pero sí «combustible nuclear», como, por ejemplo, el uranio empobrecido o el uranio natural, no se encuentra sometido a las disposiciones del Convenio de París, pero sí lo está cuando tales materiales se encuentran en una instalación nuclear, tal y como se define «daño nuclear» en el artículo 1.a).vii) del Convenio. Una consideración análoga cabe efectuar en relación con las fuentes radiactivas, cuyo daño sería considerado daño nuclear conforme a la misma definición siempre que la fuente se encontrara «en el interior de una instalación nuclear». Sin embargo, el título I de la Ley 12/2011, de 27 de mayo, se refería únicamente al daño nuclear provocado por el almacenamiento, transformación, manejo, utilización en cualquier forma o transporte de sustancias nucleares, obviando el causado por esos otros materiales a los que, de encontrarse en una instalación nuclear, el referido Convenio también sería de aplicación, por lo que es necesario reformular los artículos 2 y 4 de dicha ley para hacerlos coherentes con el Convenio. De esta forma, el título I de la Ley 12/2011, de 27 de mayo, también será de aplicación al uranio natural y al empobrecido, así como a las fuentes radiactivas, cuando tales materiales se encuentren en el interior de una instalación nuclear, siéndoles de aplicación el título II en el resto de los casos.

Asimismo, la ley amplía, de acuerdo con lo establecido en este Convenio, el alcance geográfico de la responsabilidad del explotador en caso de un accidente ocurrido durante el transporte de sustancias nucleares efectuado entre territorio español y el territorio de un país que no sea Parte Contratante del mismo. Para estos casos, la Ley 12/2011, de 27 de mayo, establecía la responsabilidad del explotador sobre los daños causados por los accidentes nucleares que ocurrieran en territorio español, mientras que el Convenio lo extiende a los provocados por todo accidente ocurrido antes de que las sustancias nucleares se hayan descargado del medio de transporte en el cual hayan llegado al territorio de dicho Estado no-Contratante o después de que se hayan cargado en el medio de transporte por el cual abandonen el territorio de dicho Estado no-Contratante. En todo caso, a pesar de que la ley amplíe para estos transportes el alcance geográfico de la responsabilidad del explotador, ello es sin perjuicio de que únicamente se habrá de responder por aquellos daños nucleares provocados sujetos al ámbito de aplicación del Convenio y, por tanto, de la ley.

En relación con el tránsito de sustancias nucleares por el territorio nacional, la ley reformula el tratamiento que les confería la Ley 12/2011, de 27 de mayo, con un doble propósito: por un lado, conseguir una mejor adecuación a nuestro ordenamiento jurídico de las disposiciones del Convenio de París, de 29 de julio de 1960, relativas a los tránsitos; y por otro, permitir un tratamiento diferenciado frente a aquellos tránsitos que no se efectúen bajo la responsabilidad de una instalación nuclear o transportista autorizado de una Parte Contratante del referido Convenio.

Este Convenio establece que las cuantías de responsabilidad establecidas para los explotadores de instalaciones nucleares situadas en el territorio de una Parte Contratante por los daños ocasionados por un accidente nuclear se aplican a la responsabilidad de dichos explotadores cualquiera que sea el lugar del accidente nuclear, lo cual es de aplicación también durante los transportes y supone que, por defecto, la cuantía de responsabilidad exigible a un explotador durante los tránsitos sea la exigida por la referida Parte Contratante para dicho transporte.

No obstante lo anterior, el Convenio prevé también que una Parte Contratante pueda subordinar el tránsito de sustancias nucleares a través de su territorio a la condición de que la cuantía máxima de la responsabilidad del explotador extranjero de que se trate se incremente, si considera que tal cuantía no cubre de forma adecuada los riesgos de un accidente nuclear durante este tránsito. En todo caso, la cuantía máxima así incrementada no podría exceder a la cuantía máxima de la responsabilidad de los explotadores de instalaciones nucleares situadas en el territorio de esa Parte Contratante.

Por tanto, el Convenio de París establece, para los tránsitos por el territorio nacional de sustancias nucleares bajo la responsabilidad de un explotador de una instalación nuclear o transportista autorizado de otra Parte Contratante del Convenio, que la responsabilidad civil exigible al explotador durante el tránsito sea la misma que dicha Parte Contratante requiere para su transporte, pero, a su vez, permite subordinar el tránsito por España a la condición de que dicha responsabilidad se vea incrementada hasta la cuantía de responsabilidad exigible a los explotadores nacionales, en caso de que esta última sea superior.

Teniendo esto en cuenta, esta ley viene a modificar la anterior redacción de la Ley 12/2011, de 27 de mayo, que equiparaba de forma automática la responsabilidad exigible en los tránsitos a la requerida a los transportes cuyo origen o destino estuviera situado dentro del territorio nacional, con independencia de la responsabilidad exigible por la Parte Contratante bajo cuya autoridad estuviera el explotador responsable.

Asimismo, la ley modifica dicha redacción al contemplar un trato diferenciado en función de si el tránsito se efectúa bajo la responsabilidad de un explotador de una Parte Contratante del Convenio de París o no. Con ello se busca evitar, en este segundo caso, que ante la ausencia de una Parte Contratante que responda de los daños provocados en el territorio nacional a consecuencia de un accidente cuya cuantía exceda de la garantía requerida a su explotador, sea el Estado español el que tenga que hacerse cargo del correspondiente exceso mediante fondos públicos, por lo que, para estos tránsitos, se remite a la cuantía general de responsabilidad establecida en la Ley 12/2011, de 27 de mayo, debiendo valorarse, caso por caso, posibles reducciones.

En relación con la necesaria prelación en el pago de las indemnizaciones presentadas en función del tipo de daño y del momento de presentación de la reclamación, esta ley hace extensibles las reglas de prioridad ya establecidas en la referida Ley 12/2011, de 27 de mayo, que llegaban hasta el límite de responsabilidad exigible al explotador, para incluir en esa misma prelación el reparto de los fondos públicos, tanto nacionales como internacionales, previstos por dicha ley en caso necesario, que, de otro modo, se verían desprovistos de un orden en su distribución. Se subsana además el momento en el que el Estado habría de arbitrar medios legales adicionales para hacer frente a las indemnizaciones tanto patrimoniales como por muerte y daño físico causados dentro de España en el caso de que la responsabilidad del explotador no fuera suficiente para atenderlas, con objeto de no solaparse con los mecanismos ya previstos en su artículo 5.

Adicionalmente, se ha considerado necesario introducir una disposición relativa a la función del Consejo de Seguridad Nuclear en el procedimiento de reclamación de responsabilidad por daños nucleares similar a la que, para la extinta Junta de Energía Nuclear, ya se contenía en el artículo 66 de la Ley 25/1964, de 29 de abril, sobre energía nuclear, actualmente derogado. Dicha disposición sería igualmente de aplicación en el caso de las reclamaciones de responsabilidad por el daño provocado a las personas y a los bienes y las pérdidas económicas como consecuencia de un accidente que involucrara materiales radiactivos que no fueran sustancias nucleares.

Por otra parte, el título II de la Ley 12/2011, de 27 de mayo, establece, como se señala en el propio objeto de dicha ley, un régimen específico de responsabilidad civil por daños causados por accidentes que provoquen la emisión de radiaciones ionizantes que pudieran producirse en el manejo, almacenamiento y transporte de materiales radiactivos que no sean sustancias nucleares. Sin embargo, los artículos que lo desarrollaban imponían obligaciones únicamente a las instalaciones radiactivas, obviando que las instalaciones nucleares pueden manejar, almacenar y transportar materiales radiactivos y deberían, por tanto, estar igualmente sujetas a dicho régimen de responsabilidad. Por ello, esta ley hace extensible la regulación contenida en el título II de la Ley 12/2011, de 27 de mayo, relativo a la responsabilidad por daños producidos en accidentes que involucren materiales radiactivos que no sean sustancias nucleares a las instalaciones nucleares, cuando a dichos materiales no les sea de aplicación el título I.

Adicionalmente, teniendo en cuenta que este título II, por un lado, disponía una responsabilidad limitada en su cuantía hasta el límite que se señalara en la propia ley y, por otro, no establecía dicho límite, sino, únicamente, las cuantías mínimas de la garantía obligatoria para hacer frente a dicha responsabilidad en el caso de los daños a personas y bienes, y las pérdidas económicas derivadas de estos, por lo que, de facto, esta responsabilidad sería ilimitada, se considera necesario modificar el articulado con objeto de clarificar el carácter ilimitado en cuantía de esta responsabilidad.

La limitación de responsabilidad en el caso de los materiales radiactivos que no sean sustancias nucleares era una particularidad asimilada en la Ley 12/2011, de 27 de mayo, del régimen de responsabilidad civil por daño nuclear provocado por sustancias nucleares, régimen que, a su vez, se deriva de los ya referidos Convenios de París y de Bruselas. Sin embargo, como ya se ha indicado, no existen regímenes internacionales que regulen la responsabilidad civil por daños causados por materiales radiactivos que no sean sustancias nucleares, ni que establezcan este principio para tales materiales, siendo por tanto una disposición cuyo origen tenía un carácter exclusivamente nacional.

Asimismo, antes de la entrada en vigor de la Ley 12/2011, de 27 de mayo, el artículo 53 de la Ley 25/1964, de 29 de abril, regulaba, tanto para los explotadores de las instalaciones nucleares como para los de las instalaciones radiactivas, las condiciones en las que dichos explotadores podían ejercer el derecho de repetición de las indemnizaciones pagadas por los daños producidos. Sin embargo, dicho derecho ha sido desarrollado únicamente por el título I de la Ley 12/2011, de 27 de mayo, siendo conveniente que siga siendo de aplicación, igualmente y en aras de la seguridad jurídica, a los explotadores de las instalaciones radiactivas, para lo cual se modifica en consecuencia el artículo 22. Cabe precisar que el derecho de repetición de los explotadores de instalaciones radiactivas, en el caso de los daños al medioambiente, se encuentra regulado por la Ley 26/2007, de 23 de octubre, de Responsabilidad Medioambiental.

Adicionalmente, en relación con los daños producidos al medio ambiente a causa de un accidente que produzca la liberación de radiaciones ionizantes en la que se vean involucrados materiales radiactivos que no sean sustancias nucleares, la Ley 12/2011, de 27 de mayo, confería al entonces Ministerio de Industria, Turismo y Comercio, previos informes del entonces Ministerio de Medio Ambiente y Medio Rural y Marino, y del Consejo de Seguridad Nuclear, la determinación de la cuantía mínima que debería quedar garantizada por el explotador para responder de dichos daños, según la intensidad o gravedad del daño medioambiental que pudiera producirse como consecuencia de un accidente en el que intervinieran dichos materiales.

Sin embargo, tras la publicación de la Ley 12/2011, de 27 de mayo, los trabajos emprendidos a tal efecto han puesto de manifiesto la amplitud de la casuística que habría que tener en cuenta, lo que ha llevado a la conclusión de la imposibilidad de llevar a cabo la valoración económica necesaria que permitiera determinar las coberturas a exigir. Por ello, se considera necesario modificar el texto de los artículos 17, 20 y 23 de la Ley 12/2011, de 27 de mayo, de forma que, sin que la responsabilidad de los explotadores de las instalaciones en las que se manejen materiales radiactivos que no sean sustancias nucleares, así como en los transportes de dichos materiales, se vea limitada y manteniéndose la obligación de reparar los daños medioambientales que se produzcan en un potencial accidente, se elimine la obligación de constituir una garantía financiera específica para tales daños.

Finalmente, se ha considerado necesario modificar la disposición derogatoria única de la Ley 12/2011, de 27 de mayo, al objeto de derogar, explícitamente, el artículo 38 del Reglamento sobre Cobertura de Riesgos Nucleares, aprobado por Decreto 2177/1967, de 22 de julio. Dicho artículo dispone que «El contrato de Seguro de Responsabilidad Civil por Daños Nucleares será concertado por el explotador separadamente por cada una de las instalaciones de la que sea o haya de ser titular […]». Tras la entrada en vigor de la Ley 12/2011, de 27 de mayo, se han puesto de manifiesto las dificultades que dicho artículo ocasiona a la hora de encontrar en el mercado privado de seguros la capacidad de aseguramiento necesaria para dar cobertura por separado a dos instalaciones que, perteneciendo a un mismo titular, estén ubicadas en un mismo emplazamiento, habiéndose tenido que recurrir para complementar la capacidad, donde se ha dado esta situación, al reaseguramiento por parte del Consorcio de Compensación de Seguros para poder dar cumplimiento a las disposiciones de la ley y de los Convenios.

La contratación de pólizas separadas para este tipo de casos supone una circunstancia excepcional tanto a nivel nacional como internacional, no siendo en todo caso un requisito del Convenio de París, que, en previsión de estos casos, establece, al contrario, que «Toda Parte Contratante podrá decidir que serán consideradas como una instalación nuclear única varias instalaciones nucleares que tengan el mismo explotador y se encuentren en el mismo emplazamiento, así como toda otra instalación situada en ese emplazamiento que contenga combustibles nucleares o productos o desechos radiactivos».

IX

Esta ley se adapta a los principios de buena regulación previstos en el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, esto es, los principios de necesidad, eficacia, proporcionalidad, seguridad jurídica, transparencia y eficiencia.

Así, se cumplen los principios de necesidad y eficacia, por cuanto la aprobación de una ley es indispensable para la incorporación al ordenamiento jurídico español de las seis directivas que se trasponen. Más en concreto, y más allá de esta obligación formal, la regulación de los requisitos de accesibilidad permite incorporar a los productos y servicios incluidos en el ámbito de aplicación del título I características básicas que condicionan su uso por parte de personas con limitaciones funcionales; la incorporación de dichos requisitos al ordenamiento permite, en consecuencia, el pleno ejercicio de derechos de buena parte de la ciudadanía. Además, con las disposiciones contenidas en el título II se permite, de forma más amplia, abordar los retos que se presentan derivados del contexto demográfico y del mercado laboral español. Por otro lado, se introducen en el título III las modificaciones necesarias en el ámbito tributario para la transposición de la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, modificando su título X, dividiéndolo en dos capítulos, con objeto de sistematizar aquellas obligaciones que afectan a todos los sujetos pasivos de las obligaciones específicas derivadas del comercio electrónico. Por lo que respecta al título IV, se trata de una iniciativa normativa necesaria para asegurar un marco jurídico que no obstaculice el desarrollo de la transformación digital de las sociedades, pero que al mismo tiempo dote este desarrollo de las necesarias garantías de seguridad jurídica y de respeto a los principios y garantías procesales; la eficacia de la norma deriva de constituir el instrumento idóneo, y el único posible, para asegurar el objetivo de conseguir una plena transformación digital de la Administración, en concreto, en lo que se refiere a la constitución íntegramente en línea de las sociedades de responsabilidad limitada. En el título V se introducen las modificaciones derivadas de la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, y de la Directiva (UE) 2020/1151 del Consejo, de 29 de julio de 2020, mediante dos capítulos, uno modifica la Ley de Impuestos Especiales y otro el Reglamento de los Impuestos Especiales.

En relación con el contenido del título VI, la ley cumple igualmente con estos dos principios, pues las modificaciones propuestas obedecen al interés general al facilitar la interpretación de la norma y conseguir una mejor adaptación de la misma a los Protocolos de 2004 de enmienda a los Convenios de París y Bruselas sobre la responsabilidad civil en materia de energía nuclear, redundando en una mayor protección de las potenciales víctimas y del medio ambiente en caso de un accidente nuclear.

Se cumple también el principio de proporcionalidad, por cuanto se ha observado de forma estricta la manera de atender a los objetivos exigidos. Asimismo, y dado que se trata de una norma de transposición de directivas y de adecuación normativa a Convenios internacionales, se da cumplimiento a este principio habida cuenta de que la regulación se limita a lo dispuesto en las normas internacionales, sin perjuicio de la incorporación al ámbito de aplicación de la ley de los servicios contenidos en la disposición adicional quinta de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, que es objeto de derogación, únicamente a efectos de simplificación normativa.

El contenido del título II cumple también el principio de proporcionalidad, pues las innovaciones normativas que la ley produce en el ordenamiento jurídico son las imprescindibles para llevar a cabo el grueso de la transposición de la mencionada directiva y la reforma del régimen nacional de atracción de profesionales altamente cualificados. Este principio se cumple, asimismo, en el título IV, puesto que se introduce la regulación imprescindible para la consecución de los objetivos perseguidos de transformación digital del Derecho de sociedades.

El contenido del título VI, por su lado, no pretende generar ningún impacto ni carga adicional, salvo los estrictamente necesarios para conseguir una mejor adecuación de la legislación española a lo establecido por los Convenios de París y Bruselas sobre la responsabilidad civil en materia de energía nuclear, tras su enmienda por los Protocolos de 2004; actuando así en consecuencia con el principio de eficiencia, siendo así que las obligaciones impuestas a los administrados son las meramente imprescindibles y lo menos restrictivas posible con sus derechos para garantizar el cumplimiento de los referidos Convenios y la coherencia interna de la Ley 12/2011, de 27 de mayo, asegurando así el principio de proporcionalidad.

Respecto del principio de seguridad jurídica, se ha garantizado la coherencia del proyecto normativo con el resto del ordenamiento jurídico nacional, así como con el de la Unión Europea. De hecho, la norma responde a la necesidad de transposición de seis directivas de la Unión Europea al Derecho español.

Además, este principio se ve reforzado con el contenido del título VI, puesto que es coherente con la normativa ya existente en la materia, garantizando asimismo la coherencia de la Ley 12/2011, de 27 de mayo, con los Convenios revisados de París y de Bruselas, al tiempo que precisa algunas cuestiones identificadas durante el proceso de adaptación al nuevo régimen de responsabilidad civil que dicha ley establece.

En cuanto al principio de transparencia, para la elaboración del título I de la ley se ha seguido el principio del diálogo civil que el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, define en su artículo 2.n) como el principio en virtud del cual las organizaciones representativas de personas con discapacidad y de sus familias participan, en los términos que establecen las leyes y demás disposiciones normativas, en la elaboración, ejecución, seguimiento y evaluación de las políticas oficiales que se desarrollan en la esfera de las personas con discapacidad.

La participación de dichas organizaciones ha sido intensa a lo largo de la tramitación de la ley, lo cual ha perfeccionado el texto. En cuanto al título II, su objetivo se define y justifica en esta parte expositiva, habiéndose realizado los trámites de consulta previa y de audiencia e información pública a través del portal web del Ministerio de Inclusión, Seguridad Social y Migraciones; así como de consulta al Foro para la Integración Social de los Inmigrantes y a la Comisión Laboral Tripartita de Inmigración.

Por su parte, el contenido de los títulos III y V también se ha sometido al trámite de audiencia e información pública, mediante su publicación en la sede electrónica del Ministerio de Hacienda y Función Pública, a efectos de que su texto pudiera ser conocido por todos los ciudadanos. Asimismo, el contenido del título IV ha sido sometido al trámite de consulta pública previa y al de audiencia e información pública, recogiendo numerosas aportaciones recibidas en ambos; habiéndose concedido también audiencia a las comunidades autónomas.

Por último, el contenido del título VI fue sometido a consulta de los agentes económicos sectoriales y sociales interesados y las comunidades autónomas, así como a los trámites de audiencia e información pública, y se ha recabado el informe del Consejo de Seguridad Nuclear.

Finalmente, y en relación con el principio de eficiencia, la norma genera las cargas y costes estrictamente necesarios para la consecución de los objetivos que se pretenden. En cuanto al cumplimiento de los requisitos de accesibilidad, contenidos en el título I, son los propios agentes económicos los responsables de evaluar la conformidad de productos y servicios, lo cual únicamente deberá acreditarse previa solicitud de la autoridad correspondiente; además, la regulación responde a una utilización eficiente de los recursos públicos en relación con su estructura de vigilancia.

Por lo que se refiere al contenido del título II, se limitan asimismo las cargas administrativas a las imprescindibles y se aprovechan las sinergias de una ventanilla electrónica única para la tramitación de las autorizaciones de los esquemas nacional y de la Unión Europea de profesionales altamente cualificados.

En relación con el título III, se ha procurado que la norma genere las menores cargas administrativas para los proveedores de servicios de pago, así como los menores costes indirectos, fomentando el uso racional de los recursos públicos; es más, incluso alguna de las medidas que se incorporan conllevan una reducción de tales cargas.

En cuanto al título IV, este principio alumbra todo su contenido, pretendiendo facilitar la tramitación de cara a la ciudadanía y los profesionales que son los principalmente afectados y beneficiados por el espíritu de la normativa europea de digitalización de sociedades, evitando cargas innecesarias.

Respecto del título V, la estandarización y la informatización de los procedimientos va a redundar en una simplificación del trabajo de los operadores económicos.

En relación con el título VI, y como se ha dicho anteriormente, cumple asimismo con este principio de eficiencia, al no generar ningún impacto adicional, salvo los estrictamente necesarios para conseguir una mejor adecuación de la legislación española a lo establecido por los Convenios de París y Bruselas sobre la responsabilidad civil en materia de energía nuclear, tras su enmienda por los Protocolos de 2004.

El título I de la presente norma se dicta al amparo de lo dispuesto en el artículo 149.1.1.ª y 149.1.13.ª de la Constitución Española, que atribuye al Estado las competencias para «la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales» y, en materia de «bases y coordinación de la planificación general de la actividad económica», respectivamente.

El título II se dicta al amparo del artículo 149.1.2.ª de la Constitución Española, que atribuye al Estado competencia exclusiva en materia de nacionalidad, inmigración, extranjería y derecho de asilo.

Los títulos III y V se dictan al amparo de lo establecido en el artículo 149.1. 14.ª de la Constitución Española que atribuye al Estado la competencia en materia de Hacienda general.

El título IV se dicta al amparo de lo dispuesto en el artículo 149.1.6.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de legislación mercantil; y en el artículo 149.1.8.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de legislación civil, sin perjuicio de la conservación, modificación y desarrollo por las comunidades autónomas de los derechos civiles, forales o especiales, allí donde existan, y de la ordenación de los registros e instrumentos públicos.

El título VI se dicta al amparo de lo dispuesto en el artículo 149.1.8.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva para dictar la legislación civil, salvo el apartado nueve del artículo 34, mediante el que se modifica el artículo 14.1 de la Ley 12/2011, de 27 de mayo, que se dicta al amparo de lo dispuesto en el artículo 149.1.6.ª de la Constitución, que atribuye al Estado la competencia exclusiva para dictar la legislación procesal.

TÍTULO I. Transposición de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios

CAPÍTULO I. Disposiciones generales

Artículo 1. Objeto.

El objeto de este título es establecer los requisitos de accesibilidad universal de los productos y servicios incluidos en el ámbito de aplicación del artículo 2, necesarios para optimizar su utilización previsible de manera autónoma por todas las personas y, en particular por las personas con discapacidad.

Artículo 2. Ámbito de aplicación.

1. Las disposiciones del presente título se aplican a los siguientes productos:

a) Equipos informáticos de uso general de consumo y sistemas operativos para dichos equipos informáticos.

b) Los siguientes terminales de autoservicio:

1.º) Terminales de pago.

2.º) Los siguientes terminales de autoservicio dedicados a la prestación de servicios contemplados en el presente título:

i) Cajeros automáticos.

ii) Máquinas expendedoras de billetes.

iii) Máquinas de facturación.

iv) Terminales de autoservicio interactivos que faciliten información, con exclusión de los terminales instalados como partes integradas de vehículos, aeronaves, buques o material rodante.

v) Terminales de gestión de turno, tanto quioscos expendedores como dispositivos donde se anuncie el turno.

3.º) Equipos terminales de consumo con capacidad informática interactiva, utilizados para la prestación de servicios de comunicaciones electrónicas.

4.º) Equipos terminales de consumo con capacidad de informática interactiva, utilizados para acceder a servicios de comunicación audiovisual.

5.º) Lectores electrónicos.

2. Las disposiciones de este título se aplican a los siguientes servicios que se presten a los consumidores:

a) Servicios de comunicaciones electrónicas, a excepción de los servicios de transmisión utilizados para la prestación de servicios de máquina a máquina.

b) Servicios que proporcionan acceso a los servicios de comunicación audiovisual.

c) Los siguientes elementos de los servicios de transporte aéreo de viajeros, de transporte regular de viajeros por autobús, de transporte de viajeros por ferrocarril y de transporte de pasajeros por mar y por vías navegables, salvo los servicios de transporte urbanos, suburbanos y regionales para los cuales serán de aplicación únicamente los elementos del inciso v):

1.º) Sitios web.

2.º) Servicios mediante dispositivos móviles, incluidas las aplicaciones para dispositivos móviles.

3.º) Billetes electrónicos y servicios de expedición de billetes electrónicos.

4.º) Distribución de información sobre servicios de transporte, en particular información sobre viajes en tiempo real; en lo que respecta a las pantallas informativas, se limitará a las pantallas interactivas situadas dentro del territorio de la Unión Europea.

5.º) Terminales de servicio interactivos situados dentro del territorio de la Unión Europea, excepto los instalados como partes integradas en vehículos, aeronaves, buques y material rodante empleados para la prestación de cualquier parte de dichos servicios de transporte de viajeros.

d) Servicios bancarios para consumidores.

e) Libros electrónicos y sus programas especializados.

f) Servicios de comercio electrónico.

g) Los siguientes elementos de los servicios de suministro eléctrico, de agua y gas a consumidores:

1.º) Sitios web.

2.º) Servicios mediante dispositivos móviles, incluidas las aplicaciones para dispositivos móviles.

h) Los siguientes elementos de los servicios de agencia de viajes y turoperadores:

1.º) Sitios web.

2.º) Servicios mediante dispositivos móviles, incluidas las aplicaciones para dispositivos móviles.

i) Las redes sociales.

3. Asimismo, las disposiciones de este título se aplican a las respuestas a las comunicaciones de emergencia al número único europeo de emergencia «112».

4. Sin perjuicio de lo indicado en los apartados anteriores, están excluidos del ámbito de aplicación del presente título los siguientes contenidos de sitios web y aplicaciones para dispositivos móviles:

a) Contenidos multimedia pregrabados de base temporal publicados antes del 28 de junio de 2025.

b) Formatos de archivo de ofimática publicados antes del 28 de junio de 2025.

c) Servicios de mapas y cartografía en línea, cuando la información esencial se proporcione de manera accesible digitalmente en el caso de mapas destinados a fines de navegación.

d) Contenidos de terceros que no estén financiados ni desarrollados por el agente económico en cuestión ni estén bajo su control.

e) Contenidos de sitios web y aplicaciones para dispositivos móviles considerados como archivos, en el sentido de que contienen únicamente contenidos que no se actualizan ni editan después del 28 de junio de 2025.

5. Las disposiciones del presente título se entenderán sin perjuicio de lo establecido en las normas que transponen al ordenamiento jurídico español la Directiva (UE) 2017/1564, y en particular, el Texto Refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril, y en el Reglamento (UE) 2017/1563.

CAPÍTULO II. Requisitos de accesibilidad y libre circulación

Artículo 3. Requisitos de accesibilidad universal.

1. Los productos y servicios incluidos en el ámbito de aplicación de este título deberán cumplir los requisitos de accesibilidad universal que figuran en el anexo I, sin perjuicio de lo regulado en el artículo 16.

En concreto, todos los productos deberán cumplir los requisitos de accesibilidad universal que figuran en las secciones I y II del anexo I, a excepción de los terminales de autoservicio que sólo deberán cumplir los requisitos de accesibilidad que figuran en la sección I del anexo I.

Asimismo, todos los servicios deberán cumplir los requisitos de accesibilidad universal que figuran en las secciones III y IV del anexo I, a excepción de los servicios de transporte urbanos y suburbanos y los servicios de transporte regionales que sólo deberán cumplir los requisitos de accesibilidad que figuran en la sección IV del anexo I.

2. El entorno construido utilizado por los clientes de los servicios objeto del presente título I deberá cumplir los requisitos de accesibilidad universal que figuran en el anexo III, de acuerdo con la normativa sectorial vigente.

3. Las microempresas que presten servicios estarán exentas de cumplir los requisitos de accesibilidad a que se refiere el párrafo tercero del apartado 1 y cualquier obligación relativa al cumplimiento de dichos requisitos.

4. La respuesta a las comunicaciones de emergencia al número único europeo de emergencia «112» por el punto de respuesta de seguridad pública (PSAP) más apropiado deberá cumplir los requisitos de accesibilidad universal específicos que figuran en la sección V del anexo I de la manera más adecuada a la estructuración de los dispositivos nacionales de emergencia.

5. Los requisitos de accesibilidad universal que figuran en el anexo I deberán entenderse en el marco de los actos delegados que la Comisión Europea pudiera adoptar para precisarlos, al amparo del artículo 4.9 de la Directiva (UE) 2019/882 del Parlamento y del Consejo, de 17 de abril de 2019.

Artículo 4. Derecho de la Unión Europea vigente en el ámbito del transporte de viajeros.

Se considerará que los servicios que cumplan los requisitos de suministro de información accesible y de información sobre accesibilidad establecidos en el Reglamento (CE) n.º 261/2004 del Parlamento Europeo y del Consejo, de 11 de febrero de 2004, por el que se establecen normas comunes sobre compensación y asistencia a los pasajeros aéreos en caso de denegación de embarque y de cancelación o gran retraso de los vuelos, y se deroga el Reglamento (CEE) n.º 295/91, el Reglamento (CE) n.º 1107/2006 del Parlamento Europeo y del Consejo, de 5 de julio de 2006, sobre los derechos de las personas con discapacidad o movilidad reducida en el transporte aéreo; el Reglamento (UE) 2021/782 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre los derechos y las obligaciones de los viajeros de ferrocarril; el Reglamento (UE) n.º 1177/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, sobre los derechos de los pasajeros que viajan por mar y por vías navegables y por el que se modifica el Reglamento (CE) n.º 2006/2004, y el Reglamento (UE) n.º 181/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, sobre los derechos de los viajeros de autobús y autocar y por el que se modifica el Reglamento (CE) n.º 2006/2004, y que cumplan los actos pertinentes adoptados sobre la base de la Directiva 2016/797 del Parlamento y del Consejo, de 11 de mayo de 2016, sobre la interoperabilidad del sistema ferroviario dentro de la Unión Europea, satisfacen los requisitos correspondientes establecidos en el presente título.

Cuando el presente título establezca requisitos adicionales a los previstos en dichos Reglamentos y actos, los requisitos adicionales se aplicarán plenamente.

Artículo 5. Libre circulación.

En territorio español no se impedirá, por razones relacionadas con los requisitos de accesibilidad, la comercialización de productos ni la prestación de servicios que cumplan lo establecido en este título.

Artículo 6. Centros de referencia estatales y autonómicos especializados en accesibilidad.

A los efectos de la dispuesto en este título, son centros de referencia estatales y autonómicos especializados en accesibilidad el Centro de Referencia Estatal de Autonomía Personal y Ayudas Técnicas del Instituto de Mayores y Servicios Sociales, así como el Real Patronato sobre Discapacidad y sus centros asesores y de referencia, así como las instituciones o entidades, tanto públicas como privadas, de ámbito autonómico.

CAPÍTULO III. Obligaciones de los agentes económicos que guardan relación con los productos

Artículo 7. Obligaciones de los fabricantes.

1. Cuando introduzcan sus productos en el mercado, los fabricantes se asegurarán de que éstos se han diseñado y fabricado de conformidad con los requisitos de accesibilidad universal establecidos en el artículo 3.

2. Con anterioridad a su puesta en el mercado, los fabricantes elaborarán la documentación técnica con arreglo al anexo IV y aplicarán o mandarán aplicar el procedimiento de evaluación de la conformidad establecido en dicho anexo.

Cuando mediante ese procedimiento de evaluación de la conformidad se haya demostrado que el producto cumple los requisitos de accesibilidad aplicables, los fabricantes elaborarán una declaración UE de conformidad y colocarán el marcado CE.

3. Los fabricantes conservarán la documentación técnica y la declaración UE de conformidad durante cinco años después de la introducción del producto en el mercado.

4. Los fabricantes se asegurarán de que existen procedimientos para que la producción en serie mantenga su conformidad con lo establecido en el presente título I. Deberán tomarse debidamente en consideración los cambios en el diseño o las características del producto y los cambios en las normas armonizadas, o en las especificaciones técnicas, con arreglo a las cuales se declara la conformidad de un producto.

5. Los fabricantes se asegurarán de que sus productos llevan un número de tipo, lote o serie o cualquier otro elemento que permita su identificación o, si el tamaño o la naturaleza del producto no lo permite, de que la información requerida figura en el embalaje o envase o en un documento que acompañe al producto.

6. Los fabricantes indicarán en el producto su nombre, su nombre comercial registrado o marca registrada y su dirección de contacto o, cuando no sea posible, en su embalaje o envase o en un documento que acompañe al producto. La dirección deberá indicar un punto único en el que pueda contactarse con el fabricante. Los datos de contacto figurarán en una lengua fácilmente comprensible para los usuarios finales y las autoridades de vigilancia y se ofrecerán igualmente en formatos accesibles cuando ello sea posible físicamente, debiendo en caso contrario hacerse referencia al punto donde pueda encontrar dicha información.

7. Los fabricantes garantizarán que el producto vaya acompañado de las instrucciones y la información relativa a la seguridad en una lengua fácilmente comprensible para los consumidores y otros usuarios finales, al menos en castellano y en la lengua oficial del territorio donde se vaya a comercializar, si se introduce el producto en el mercado español. Dichas instrucciones e información, así como cualquier etiquetado, deberán cumplir los criterios de lenguaje claro, con el fin de asegurar que la información sea pertinente, esté localizable y sea perceptible y comprensible para todas las personas.

8. Los fabricantes que consideren o tengan motivos para pensar que un producto que han introducido en el mercado no es conforme con lo dispuesto en este título I adoptarán inmediatamente las medidas correctoras necesarias para hacerlo conforme, o, si procede, retirarlo del mercado. Además, cuando el producto no cumpla los requisitos de accesibilidad establecidos, los fabricantes informarán inmediatamente de ello a la autoridad de vigilancia competente y a las autoridades nacionales competentes de los otros Estados miembros en los que haya comercializado el producto y darán detalles, en particular, sobre la no conformidad y las medidas correctoras adoptadas. En tales casos, los fabricantes llevarán un registro de los productos que no cumplan los requisitos de accesibilidad aplicables y de las quejas correspondientes.

9. Sobre la base de una solicitud motivada de una autoridad nacional competente, los fabricantes le facilitarán toda la información y documentación necesarias para demostrar la conformidad del producto, en una lengua fácilmente comprensible para dicha autoridad, al menos en castellano y en lengua oficial del territorio donde se vaya a comercializar. Cooperarán con dicha autoridad, a petición suya, en cualquier acción emprendida para subsanar el incumplimiento de los requisitos de accesibilidad aplicables de los productos que hayan introducido en el mercado, en particular haciendo que los productos cumplan los requisitos de accesibilidad aplicables.

Artículo 8. Obligaciones de los representantes autorizados.

1. Los fabricantes podrán designar, mediante mandato escrito, a un representante autorizado.

Las obligaciones establecidas en el artículo 7.1, y la elaboración de la documentación técnica no formarán parte del mandato del representante autorizado.

2. Los representantes autorizados efectuarán las tareas especificadas en el mandato recibido del fabricante. El mandato deberá permitir al representante autorizado realizar como mínimo las tareas siguientes:

a) Mantener la declaración UE de conformidad y la documentación técnica a disposición de las autoridades de vigilancia durante cinco años.

b) Sobre la base de una solicitud motivada de una autoridad nacional competente, facilitar a dicha autoridad toda la información y documentación necesarias para demostrar la conformidad del producto.

c) Cooperar con las autoridades nacionales competentes, a petición de estas, en cualquier acción emprendida para subsanar el incumplimiento de los requisitos de accesibilidad aplicables de los productos objeto de su mandato.

Artículo 9. Obligaciones de los importadores.

1. Los importadores solo introducirán en el mercado productos conformes.

2. Antes de introducir un producto en el mercado, los importadores se asegurarán de que el fabricante haya aplicado el procedimiento de evaluación de la conformidad establecido en el anexo IV. Los importadores se asegurarán de que el fabricante haya elaborado la documentación técnica exigida por dicho anexo, de que el producto lleve el marcado CE y vaya acompañado de los documentos necesarios y de que el fabricante haya cumplido los requisitos de etiquetado establecidos en el artículo 7, apartados 5 y 6.

3. Si un importador considera o tiene motivos para pensar que un producto no cumple los requisitos de accesibilidad aplicables, no lo introducirá en el mercado hasta que el producto sea conforme. Además, en los casos en los que el producto no cumpla los requisitos de accesibilidad aplicables, el importador informará al fabricante y a las autoridades de vigilancia al respecto.

4. Los importadores indicarán en el producto su nombre, su nombre comercial registrado o marca registrada y su dirección de contacto o, cuando no sea posible, en su embalaje o envase o en un documento que lo acompañe. Los datos de contacto figurarán en una lengua fácilmente comprensible para los usuarios finales y las autoridades de vigilancia del mercado, al menos en castellano y en la lengua oficial del territorio donde se vaya a comercializar.

5. Los importadores garantizarán que el producto vaya acompañado de las instrucciones y la información relativa a la seguridad en una lengua fácilmente comprensible para los consumidores y otros usuarios finales, al menos en castellano y en la lengua oficial del territorio donde se vaya a comercializar. Dichas instrucciones e información deberán cumplir los criterios de lectura fácil, con el fin de asegurar que la información sea pertinente, esté localizable y sea perceptible y comprensible para todas las personas.

6. Los importadores se asegurarán de que, mientras un producto esté bajo su responsabilidad, las condiciones de almacenamiento o transporte no comprometan el cumplimiento de los requisitos de accesibilidad aplicables.

7. Durante un período de cinco años los importadores mantendrán una copia de la declaración UE de conformidad a disposición de las autoridades de vigilancia y se asegurarán de que, previa petición, la documentación técnica se pueda poner a disposición de dichas autoridades.

8. Los importadores que consideren o tengan motivos para pensar que un producto que han introducido en el mercado no es conforme con lo establecido en el presente título adoptarán inmediatamente las medidas correctoras necesarias para hacerlo conforme o, si procede, retirarlo del mercado. Además, cuando el producto no cumpla los requisitos de accesibilidad aplicables, los importadores informarán inmediatamente de ello a la autoridad de vigilancia competente y a las autoridades nacionales competentes de los otros Estados miembros en los que hayan comercializado el producto y darán detalles, en particular, sobre el incumplimiento y las medidas correctoras adoptadas. En tales casos, los importadores llevarán un registro de los productos que no cumplan los requisitos de accesibilidad aplicables y de las quejas correspondientes.

9. Sobre la base de una solicitud motivada de una autoridad nacional competente, los importadores le facilitarán toda la información y documentación necesarias para demostrar la conformidad de un producto en una lengua fácilmente comprensible para dicha autoridad y, al menos, en castellano. Cooperarán con dicha autoridad, a petición suya, en cualquier acción emprendida para subsanar el incumplimiento de los requisitos de accesibilidad aplicables de los productos que hayan introducido en el mercado.

Artículo 10. Obligaciones de los distribuidores.

1. Al comercializar un producto, los distribuidores actuarán de acuerdo con los requisitos contemplados en el presente título.

2. Antes de comercializar un producto, los distribuidores comprobarán que este lleve el marcado CE, que vaya acompañado de los documentos necesarios y de las instrucciones y la información relativa a la seguridad en una lengua fácilmente comprensible para los consumidores y otros usuarios finales y, al menos, en castellano, y se ofrecerán igualmente en formatos accesibles para personas con discapacidad cuando ello sea posible físicamente, debiendo en caso contrario hacerse referencia al punto donde pueda encontrar dicha información, y que el fabricante y el importador hayan cumplido los requisitos establecidos en el artículo 7, apartados 5, 6 y 7, y en el artículo 9, apartados 4 y 5, respectivamente.

3. Si un distribuidor considera o tiene motivos para pensar que un producto no es conforme con los requisitos de accesibilidad aplicables del presente título, no lo comercializará hasta que sea conforme. Además, cuando el producto no cumpla los requisitos de accesibilidad aplicables, el distribuidor informará de ello al fabricante o al importador y a las autoridades de vigilancia.

4. Los distribuidores se asegurarán de que, mientras un producto esté bajo su responsabilidad, las condiciones de almacenamiento o transporte no comprometan el cumplimiento de los requisitos de accesibilidad aplicables.

5. Los distribuidores que consideren o tengan motivos para pensar que un producto que han comercializado no es conforme con el presente título, se asegurarán de que se adopten las medidas correctoras necesarias para hacerlo conforme o, si procede, retirarlo del mercado. Además, cuando el producto no cumpla los requisitos de accesibilidad aplicables, los distribuidores informarán inmediatamente de ello a la autoridad de vigilancia competente y a las autoridades nacionales competentes de los otros Estados miembros en los que hayan comercializado el producto y darán detalles, en particular, sobre el incumplimiento y las medidas correctoras adoptadas.

6. Sobre la base de una solicitud motivada de la autoridad nacional competente, los distribuidores le facilitarán toda la información y documentación necesarias para demostrar la conformidad de un producto en una lengua fácilmente comprensible para dicha autoridad y, al menos, en castellano. Cooperarán con dicha autoridad, a petición suya, en cualquier acción emprendida para subsanar el incumplimiento de los requisitos de accesibilidad aplicables de los productos que hayan comercializado.

Artículo 11. Casos en los que las obligaciones de los fabricantes se aplican a los importadores y los distribuidores.

A los efectos de lo establecido en el presente título, se considerará fabricante y, por consiguiente, estará sujeto a las obligaciones del fabricante con arreglo a lo dispuesto en el artículo 7, el importador o distribuidor que introduzca un producto en el mercado con su nombre o marca o que modifique un producto ya introducido en el mercado de tal modo que pueda quedar afectado el cumplimiento de los requisitos contemplados en el presente título.

Artículo 12. Identificación de los agentes económicos que guardan relación con los productos.

Previa solicitud, los agentes económicos a los que se refieren los artículos 7 a 10 identificarán ante las autoridades de vigilancia:

a) A cualquier otro agente económico que les haya suministrado un producto.

b) A cualquier otro agente económico al que hayan suministrado un producto.

Los agentes económicos estarán obligados a dicha identificación durante un período de cinco años después de la fecha en la que se les haya suministrado el producto y durante un período de cinco años después de la fecha en la que ellos hayan suministrado el producto.

CAPÍTULO IV. Obligaciones de los prestadores de servicios

Artículo 13. Obligaciones de los prestadores de servicios.

1. Los prestadores de servicios garantizarán que diseñan y prestan servicios de conformidad con los requisitos de accesibilidad establecidos en el presente título.

2. Los prestadores de servicios incluirán, en las condiciones generales o documento equivalente, la información que evalúe de qué manera el servicio cumple los requisitos de accesibilidad establecidos en el artículo 3. La información describirá los requisitos aplicables y contemplará el diseño y el funcionamiento del servicio, en la medida en que sea pertinente para la evaluación.

Además de los requisitos de información previstos en la normativa sobre la defensa de los consumidores y usuarios la información incluirá cuando proceda, al menos los siguientes elementos:

a) Una descripción general del servicio en formatos universalmente accesibles.

b) Las descripciones y explicaciones necesarias para la comprensión del funcionamiento del servicio en formatos universalmente accesibles.

c) Una descripción de la forma en que el proceso de prestación del servicio y su seguimiento garantizan la conformidad del mismo y cumplen los requisitos de accesibilidad pertinentes establecidos en el presente título.

3. Los prestadores de servicios podrán aplicar, total o parcialmente, las normas armonizadas y especificaciones técnicas cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea para cumplir con el apartado 2.

4. La información se pondrá a disposición del público en formato escrito y oral, y también de forma que sea accesible para las personas con discapacidad. Los prestadores de servicios deberán conservar y mantener actualizada la información mientras el servicio esté en funcionamiento.

5. Sin perjuicio de lo dispuesto en la disposición transitoria única, los prestadores de servicios se asegurarán de que existan procedimientos que garanticen que la prestación de servicios siga siendo conforme con los requisitos de accesibilidad aplicables. Los prestadores de servicios tendrán debidamente en cuenta los cambios en las características de la prestación del servicio, los cambios en los requisitos de accesibilidad aplicables y los cambios en las normas armonizadas o en las especificaciones técnicas en relación con las cuales se declara que el servicio cumple los requisitos de accesibilidad.

6. Asimismo, los prestadores de servicios proporcionarán información que demuestre que el proceso de prestación del servicio y su seguimiento garantizan la conformidad del servicio con lo establecido en el apartado 2 y con los requisitos de accesibilidad aplicables del presente título.

7. En caso de no conformidad, los prestadores de servicios adoptarán las medidas correctoras necesarias para hacer conforme el servicio con los requisitos de accesibilidad aplicables. Además, cuando el servicio no cumpla los requisitos de accesibilidad aplicables, los prestadores de servicios informarán inmediatamente de ello a las autoridades nacionales competentes de los Estados miembros en los que prestan el servicio y darán detalles, en particular, sobre el incumplimiento y las medidas correctoras adoptadas.

8. Sobre la base de una solicitud motivada de una autoridad competente, los prestadores de servicios le facilitarán toda la información necesaria para demostrar la conformidad del servicio con los requisitos de accesibilidad aplicables. Cooperarán con dicha autoridad, a petición de esta, en cualquier acción emprendida para hacer conforme el servicio con dichos requisitos.

Artículo 14. Productos utilizados en la prestación de servicios.

1. A fin de garantizar la accesibilidad de los servicios incluidos en el ámbito de aplicación del presente título, los productos utilizados en la prestación de aquellos servicios con los que interactúa el consumidor deben ajustarse igualmente a los requisitos de accesibilidad aplicables dispuestos en este título.

2. Aun en el supuesto de que un servicio, o parte de un servicio, se subcontrate a un tercero, la accesibilidad de dicho servicio no debe verse comprometida y los prestadores de servicios deben cumplir las obligaciones del presente título.

Artículo 15. Formación del personal.

Los prestadores de servicios deben garantizar una formación adecuada y continua de su personal a fin de asegurar que adquiera conocimientos sobre cómo utilizar productos y servicios accesibles. Esa formación ha de incluir cuestiones como el suministro de información, el asesoramiento, la publicidad y la atención a la diversidad.

CAPÍTULO V. Modificación sustancial de productos o servicios y carga desproporcionada sobre los agentes económicos

Artículo 16. Modificación sustancial y carga desproporcionada.

1. Con carácter excepcional, se podrá exceptuar el cumplimiento de los requisitos de accesibilidad regulados en el artículo 3 en el caso de que se produzca alguna de las siguientes circunstancias:

a) Cuando exijan un cambio significativo en un producto o servicio cuyo resultado sea la modificación sustancial de su naturaleza básica, o

b) cuando provoquen la imposición de una carga desproporcionada sobre los agentes económicos afectados. En todo caso, los agentes económicos deberán garantizar que el producto o servicio sea lo más accesible posible aplicando los requisitos de accesibilidad en la medida en que no supongan una carga desproporcionada.

Las excepciones al cumplimiento de los requisitos de accesibilidad deberán estar debidamente justificadas.

2. Los agentes económicos llevarán a cabo una evaluación de si el cumplimiento de los requisitos de accesibilidad originaría una modificación sustancial o de si impondrían una carga desproporcionada, con arreglo a los criterios correspondientes que figuran en el anexo V.

3. Los agentes económicos documentarán la evaluación a que se refiere el apartado 2. Los agentes económicos conservarán todos los resultados pertinentes durante un período de cinco años calculado a partir de la última comercialización de un producto o después de la última prestación de un servicio, según corresponda. A instancia de las autoridades de vigilancia del mercado o de las autoridades responsables de verificar la conformidad de los servicios, según el caso, los agentes económicos les facilitarán una copia de la evaluación.

4. Como excepción a lo dispuesto en el apartado 3, las microempresas que guarden relación con los productos estarán exentas del requisito de documentar su evaluación. No obstante, si una autoridad de vigilancia del mercado lo solicita, las microempresas que guarden relación con los productos y que hayan optado por acogerse a lo dispuesto en el apartado 1, facilitarán a la autoridad la información pertinente a efectos de la evaluación a que se refiere el apartado 2.

5. Los prestadores de servicios que invoquen el apartado 1.b) renovarán, respecto de cada categoría o tipo de servicio, su evaluación sobre si una carga es desproporcionada:

a) Cuando se modifique el servicio ofrecido, o

b) cuando así lo soliciten las autoridades responsables de verificar la conformidad de los servicios, y

c) en cualquier caso, cada cinco años.

6. Cuando los agentes económicos reciban financiación procedente de fuentes distintas de los recursos propios del agente, ya sean públicas o privadas, que se facilite con el fin de mejorar la accesibilidad, no tendrán derecho a invocar la letra b) del apartado 1.

7. Cuando los agentes económicos se acojan a lo dispuesto en el apartado 1 para un producto o servicio determinado remitirán información a tal fin a las correspondientes autoridades de vigilancia o a las autoridades responsables de verificar el cumplimiento de los servicios del Estado miembro en el que se introduce en el mercado el producto concreto o se preste el servicio concreto.

Este apartado no será aplicable a las microempresas.

CAPÍTULO VI. Normas armonizadas y especificaciones técnicas de los productos y servicios

Artículo 17. Presunción de conformidad.

1. Se presumirá que los productos y servicios conformes con normas armonizadas o partes de estas cuyas referencias se hayan publicado en el «Diario Oficial de la Unión Europea» cumplen los requisitos de accesibilidad establecidos en el artículo 3, en la medida en que dichas normas o partes de ellas sean aplicables a dichos requisitos.

2. En caso de que no se hayan publicado las referencias de las normas armonizadas a que se refiere el apartado 1, se presumirá que los productos y servicios conformes con las especificaciones técnicas que la Comisión haya adoptado mediante los correspondientes actos de ejecución haciendo uso de la facultad prevista en el artículo 15.3 de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, o con partes de estas, cumplen los requisitos de accesibilidad establecidos en el artículo 3, en la medida en que dichas especificaciones técnicas o partes de ellas sean aplicables a dichos requisitos.

CAPÍTULO VII. Conformidad de los productos y marcado CE

Artículo 18. Declaración UE de conformidad de los productos.

1. La declaración UE de conformidad es un documento mediante el cual el fabricante de un producto declara y confirma que se ha demostrado el cumplimiento de los requisitos de accesibilidad aplicables. Cuando se haya aplicado alguna de las excepciones al cumplimiento de los requisitos de accesibilidad reguladas en el artículo 16, en la declaración UE de conformidad constarán los requisitos de accesibilidad que están sujetos a dicha excepción.

2. La declaración UE de conformidad se ajustará a la estructura del modelo establecido en el anexo VI, contendrá los elementos especificados en el anexo IV y se mantendrá actualizada continuamente. Los requisitos relativos a la documentación técnica evitarán imponer una carga injustificada a las microempresas y las pymes. Esta declaración deberá realizarse, al menos en castellano y en la lengua oficial del territorio donde se vaya a comercializar cuando se introduzcan los productos en el mercado español o en el idioma requerido por el Estado miembro donde se introduzca o se comercialice el producto.

3. Cuando un producto esté sujeto a más de un acto de la Unión Europea que exija una declaración UE de conformidad, se elaborará una declaración única que contendrá la identificación de los actos correspondientes, incluidas las referencias de publicación.

4. Al elaborar una declaración UE de conformidad, el fabricante asumirá la responsabilidad de la conformidad del producto con los requisitos establecidos en este título.

Artículo 19. Principios generales del marcado CE de los productos.

El marcado CE estará sujeto a los principios generales establecidos en el artículo 30 del Reglamento (CE) n.º 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos y por el que se deroga el Reglamento (CEE) n.º 339/93.

Artículo 20. Reglas y condiciones para la colocación del marcado CE.

1. El marcado CE se colocará en el producto o su placa de datos de manera visible, legible e indeleble. Cuando esto no sea posible o no pueda garantizarse debido a la naturaleza del producto, se colocará en el embalaje, etiquetado o envase y en los documentos adjuntos.

2. El marcado CE se colocará antes de la introducción del producto en el mercado.

CAPÍTULO VIII. Vigilancia del mercado de los productos y procedimiento de salvaguardia de la Unión Europea

Artículo 21. Vigilancia del mercado de los productos.

1. Serán aplicables a los productos el artículo 2.3; artículo 10, apartados 1, 2, 5 y 6; artículo 11, apartados 2, 3, 5 y 7; artículo 13; artículo 14, apartados 1 y 2; artículo 14.4, párrafos a), b), e) y j); artículo 16.3.g) y artículo 16.5; artículo 17; artículo 18; artículo 22; artículo 25, apartados 2, 3 y 4; artículo 26, apartados 1 y 2; artículo 27; artículo 28, apartados 2 y 3; artículo 31.2, párrafos f), g), m) y o); artículo 33.1, párrafos i) y k); artículo 34, apartados 1, 3.a) y 4 del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativo a la vigilancia del mercado y la conformidad de los productos y por el que se modifican la Directiva 2004/42/CE y los Reglamentos (CE) 765/2008 y (UE) 305/2011.

2. Cuando el agente económico se haya acogido a alguna de las excepciones al cumplimiento de los requisitos de accesibilidad del producto reguladas en el artículo 16, las autoridades de vigilancia pertinentes, en el ejercicio de sus funciones de vigilancia del mercado de los productos:

a) Comprobarán que el agente económico ha llevado a cabo la evaluación a que se refiere el artículo 16.

b) Examinarán dicha evaluación y sus resultados, en particular la correcta aplicación de los criterios que figuran en el anexo V.

c) Comprobarán el cumplimiento de los requisitos de accesibilidad aplicables.

3. La información en poder de las autoridades de vigilancia del mercado sobre la conformidad de los agentes económicos con los requisitos de accesibilidad aplicables establecidos en el artículo 3 y la evaluación prevista en el artículo 16, será puesta a disposición de los consumidores, previa solicitud y en un formato accesible, excepto cuando dicha información no pueda facilitarse por motivos de confidencialidad con arreglo al artículo 17 del Reglamento (UE) 2019/1020.

4. Las autoridades de vigilancia, para la realización de sus funciones de vigilancia del mercado de los productos, podrán solicitar la colaboración de las personas con discapacidad y de las organizaciones que las representan a ellas y sus intereses.

Artículo 22. Procedimiento para los productos que no cumplen los requisitos de accesibilidad aplicables.

1. Cuando las autoridades de vigilancia tengan indicios de que un producto incluido en el ámbito de aplicación no cumple los requisitos de accesibilidad aplicables, efectuarán una evaluación del producto con respecto a todos los requisitos establecidos en este título. Los agentes económicos correspondientes cooperarán plenamente a este fin con las autoridades de vigilancia.

Si, en el transcurso de la evaluación a que se refiere el párrafo primero, las autoridades de vigilancia constatan que el producto no cumple los requisitos establecidos en este título I, pedirán, en el plazo razonable, proporcional a la naturaleza del incumplimiento desde dicha constatación, al agente económico en cuestión que adopte todas las medidas correctoras adecuadas para que el producto cumpla dichos requisitos en el plazo razonable, proporcional a la naturaleza del incumplimiento, que ellas prescriban.

Las autoridades de vigilancia exigirán al agente económico en cuestión que retire el producto del mercado en un plazo adicional razonable, únicamente si dicho agente económico no hubiera adoptado las medidas correctoras adecuadas en el plazo mencionado en el párrafo segundo.

En relación con las citadas medidas correctoras será de aplicación lo establecido en el artículo 18 del Reglamento (UE) 2019/1020 del Parlamento Europeo y del Consejo, de 20 de junio de 2019.

2. Cuando las autoridades de vigilancia consideren que los efectos del incumplimiento no se limitan al territorio nacional, informarán a la Comisión y a los demás Estados miembros de los resultados de la evaluación y de las medidas que hayan pedido al agente económico que adopte.

3. El agente económico se asegurará de que se adopten todas las medidas correctoras oportunas en relación con todos los productos afectados que haya comercializado en España o en cualquier otro Estado miembro de la Unión Europea.

4. Si el agente económico en cuestión no adoptara las medidas correctoras adecuadas en el plazo de tiempo indicado en el apartado 1, párrafo tercero, las autoridades de vigilancia adoptarán todas las medidas provisionales que resulten adecuadas para prohibir o restringir la comercialización del producto en el mercado nacional o para retirarlo de él.

5. Las autoridades de vigilancia informarán sin demora a la Comisión y a los demás Estados miembros de las medidas a las que se refiere el apartado anterior, incluyendo todos los detalles disponibles, en particular los datos necesarios para la identificación del producto no conforme, el origen del producto, la naturaleza de la supuesta no conformidad y los requisitos de accesibilidad que el producto incumple, la naturaleza y duración de las medidas nacionales adoptadas, así como los argumentos expresados por el agente económico en cuestión. En particular, las autoridades de vigilancia del mercado indicarán si la no conformidad se debe a uno de los motivos siguientes:

a) El producto no cumple los requisitos de accesibilidad aplicables.

b) Existen defectos en las normas armonizadas o en las especificaciones técnicas a que se refiere el artículo 17 que confieren la presunción de conformidad.

6. Asimismo, cuando se reciba de un Estado miembro de la Unión Europea o de la Comisión Europea información sobre la adopción de una medida restrictiva, tal como la retirada del producto, por un Estado miembro de la Unión Europea y de cualquier dato adicional sobre la no conformidad del producto en cuestión que tengan a su disposición, la autoridad de vigilancia procederá a su análisis y, en caso de desacuerdo con la misma, formulará las objeciones que estime pertinentes y las comunicará a la Comisión Europea. Si en el plazo de tres meses a partir de la recepción de dicha información, ningún Estado miembro ni la Comisión Europea presentan objeción alguna sobre la medida provisional adoptada, la misma se considerará justificada, debiéndose adoptar sin demora, por la autoridad de vigilancia, las medidas restrictivas adecuadas en relación con el producto afectado.

7. Si conforme al procedimiento de salvaguardia de la Unión Europea establecido en la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, la Comisión Europea declarase que una medida adoptada por la autoridad de vigilancia no está justificada, dicha medida será retirada.

Artículo 23. Incumplimiento formal.

1. Sin perjuicio de lo dispuesto en el artículo 22, si la autoridad de vigilancia constata una de las siguientes situaciones, pedirá al agente económico correspondiente que subsane la no conformidad en cuestión:

a) El marcado CE se haya colocado incumpliendo el artículo 30 del Reglamento (CE) n.º 765/2008 o el artículo 17 de la presente ley.

b) El marcado CE no se haya colocado.

c) La declaración UE de conformidad no se haya elaborado.

d) La declaración UE de conformidad no se haya elaborado correctamente.

e) La documentación técnica no esté disponible o esté incompleta.

f) La información a que se refiere el artículo 7.6, o el artículo 9.4, falte, sea falsa o esté incompleta.

g) No se haya cumplido algún otro requisito administrativo establecido en el artículo 7 o en el artículo 9.

2. Si la no conformidad a que se refiere el apartado 1 persiste, las autoridades competentes adoptarán todas las medidas adecuadas para restringir o prohibir la comercialización del producto o para asegurarse de que sea retirado del mercado.

CAPÍTULO IX. Conformidad de los servicios

Artículo 24. Conformidad de los servicios.

1. Las autoridades de vigilancia que se designen de acuerdo con el artículo 27.3 serán las responsables de la elaboración, aprobación, ejecución y actualización periódica de los procedimientos establecidos, aplicados y actualizados periódicamente que sean adecuados para:

a) Comprobar la conformidad de los servicios con los requisitos establecidos en el presente título I, en particular la evaluación a que se refiere el artículo 13, respecto de la cual el artículo 18.2, se aplicará mutatis mutandis.

b) Hacer un seguimiento de las quejas o los informes sobre no conformidad de los servicios con los requisitos de accesibilidad establecidos en el presente título I.

c) Verificar que el agente económico haya adoptado las medidas correctoras necesarias.

2. Las autoridades de vigilancia deberán informar a la ciudadanía sobre sus responsabilidades, su identidad, su labor y las decisiones a que se refiere el apartado primero. Dicha información será puesta a disposición de todas las personas en formatos accesibles.

3. Las autoridades de vigilancia, para la realización de sus funciones de verificación de la conformidad de los servicios, podrán solicitar el apoyo y asesoramiento de los centros de referencia estatales y autonómicos especializados en accesibilidad, así como la colaboración de las personas con discapacidad y las organizaciones que las representan a ellas y sus intereses.

4. Para evaluar la conformidad de los servicios, hacer un seguimiento de las quejas y verificar que el agente económico haya adoptado las medidas correctoras necesarias serán de aplicación por las autoridades de vigilancia los procedimientos en materia de vigilancia del mercado de productos, de verificación de la conformidad de los servicios o de verificación de las evaluaciones de conformidad, según el caso, y supletoriamente la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las administraciones públicas.

CAPÍTULO X. Requisitos de accesibilidad en otros actos de la Unión Europea

Artículo 25. Accesibilidad en virtud de otros actos de la Unión Europea.

1. En lo que se refiere a los productos y servicios incluidos en el ámbito de aplicación del presente título, los requisitos de accesibilidad que figuran en el anexo I constituirán requisitos de accesibilidad obligatorios con arreglo al artículo 126.3 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, y al artículo 45.2 a) del Real Decreto-ley 3/2020, de 4 de febrero, de medidas urgentes por el que se incorporan al ordenamiento jurídico español diversas directivas de la Unión Europea en el ámbito de la contratación pública en determinados sectores; de seguros privados; de planes y fondos de pensiones; del ámbito tributario y de litigios fiscales.

2. Se presumirá que todo producto o servicio cuyas características, elementos o funciones sean conformes con los requisitos de accesibilidad que figuran en el anexo I, de conformidad con la sección VI del mismo, cumple con las obligaciones relativas a la accesibilidad establecidas en actos de la Unión Europea distintos de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, salvo que dichos actos establezcan otra cosa.

Artículo 26. Normas armonizadas y especificaciones técnicas para otros actos de la Unión Europea.

La conformidad con las normas armonizadas y especificaciones técnicas adoptadas con arreglo al artículo 17, o parte de ellas, conllevará la presunción de conformidad con el artículo 25.2 en la medida en que dichas normas y especificaciones técnicas, o parte de ellas, se ajusten a los requisitos de accesibilidad establecidos en el presente título.

CAPÍTULO XI. Autoridades de vigilancia, medios de control y régimen sancionador

Artículo 27. Autoridades de vigilancia.

1. A los efectos de lo dispuesto en este título, se entiende por autoridades de vigilancia las que lleven a cabo las actividades de vigilancia del mercado de productos, de verificación de la conformidad de los servicios o de verificación de las evaluaciones de conformidad, según el caso, en los términos previstos en los artículos 21, 22 y 24.

2. Las autoridades de vigilancia, son las responsables de llevar a cabo actividades de control y adoptar las medidas necesarias, con el objetivo de velar por el cumplimiento de los requisitos de accesibilidad previstos en este título.

3. Corresponde a las comunidades autónomas y a las ciudades de Ceuta y Melilla, en el ámbito de sus competencias, determinar sus autoridades de vigilancia, sin perjuicio de las atribuciones que otras autoridades pudieran tener por aplicación de reglamentación complementaria sobre los bienes y servicios objeto del ámbito de aplicación del presente título. Las comunidades autónomas y las ciudades de Ceuta y Melilla comunicarán los datos de las autoridades designadas, así como cualquier modificación posterior, a la unidad técnica de apoyo y coordinación, a la que se refiere el artículo 28, a fin de posibilitar, mediante el procedimiento establecido, la información de los mismos a la Comisión Europea y a los demás Estados miembros. Dichas autoridades ejercerán las siguientes funciones:

a) Comprobar los requisitos de accesibilidad, conforme a lo establecido en este título.

b) Trasladar, a solicitud de la unidad técnica y apoyo y coordinación, la información relativa a la aplicación de lo contemplado en el presente título.

c) Aplicar el régimen de infracciones y sanciones de acuerdo con el presente título.

4. Los instrumentos de cooperación entre el Estado y las comunidades autónomas precisos para la aplicación de lo dispuesto en este título se establecerán mediante Acuerdo de las conferencias sectoriales existentes en el ordenamiento jurídico.

Téngase en cuenta que este artículo entra en vigor el 28 de junio de 2025, salvo el apartado 4, que entra en vigor el 29 de mayo de 2023, según establece la disposición final 18 de esta ley.

Artículo 28. Unidad técnica de apoyo y coordinación.

1. Reglamentariamente se creará en la Administración General del Estado una unidad técnica de apoyo y coordinación de las actuaciones relativas a este título.

2. La unidad técnica actuará como órgano de asesoramiento y coordinación de las autoridades de vigilancia. El reglamento que la cree y determine sus funciones deberá incluir, al menos, las siguientes:

a) Prestar apoyo técnico a las autoridades de vigilancia en materia de accesibilidad, así como a las autoridades que ejercen su control en frontera, para el cumplimiento de los requisitos establecidos en el presente título.

b) Coordinar las comunicaciones de la Unión Europea en relación con los productos y servicios contemplados en el presente título y trasladarlas, cuando sea preciso, a la correspondiente autoridad de vigilancia.

c) Trasladar a la Unión Europea la información correspondiente a España en lo que respecta a la aplicación de la directiva objeto de trasposición, recibida de las autoridades de vigilancia.

d) Representar a España en el Comité y grupo de trabajo previstos en los artículos 27 y 28 de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019.

e) Recabar, cuando sea necesario, la información sobre infracciones y sanciones impuestas al amparo del régimen sancionador previsto en este título.

f) Ser punto de contacto de información y comunicación con la ciudadanía y los operadores económicos respecto de la aplicación de lo establecido en este título I, así como facilitar los medios adecuados para la recepción de denuncias y reclamaciones respecto a su cumplimiento.

g) Ejercer como autoridad de vigilancia en aquellos ámbitos en los que no se haya designado la autoridad de vigilancia.

h) Coordinar, cuando sea preciso, actividades de vigilancia del mercado con otras autoridades y representar la posición nacional en lo que se refiere a la vigilancia y aplicación de los requisitos previstos en el presente título.

i) Establecer canales estrechos y fluidos de consulta, contraste y discusión con las organizaciones representativas de personas con discapacidad y sus familias en todo lo referido a las funciones que se le confieren en este artículo.

Artículo 29. Medios de control del cumplimiento.

1. Las autoridades de vigilancia competentes para los productos y servicios incluidos en el ámbito de aplicación garantizarán los medios adecuados y eficaces para asegurar su cumplimiento, mediante los procedimientos establecidos en materia de sugerencias y reclamaciones y de tramitación de denuncias frente a los incumplimientos de los requisitos de accesibilidad, sin perjuicio de la posibilidad de acceso al vigente procedimiento de arbitraje en materia de igualdad de oportunidades, no discriminación y accesibilidad por razón de discapacidad o de los procedimientos establecidos en materia de consumo.

2. Sin perjuicio de lo anterior, las personas consumidoras y sus representantes, los organismos públicos, las asociaciones, organizaciones, las entidades del sector social de la discapacidad u otras personas jurídicas con interés legítimo podrán recurrir a los órganos administrativos y a los tribunales competentes para exigir el cumplimiento de las obligaciones previstas en este título.

3. Las autoridades de vigilancia establecerán mecanismos de seguimiento y evaluación específicos para verificar a posteriori que la excepción contenida en el artículo 16 respecto de la aplicación de los requisitos de accesibilidad está justificada.

4. El presente artículo no será aplicable a los procedimientos de contratación sujetos a la Ley 9/2017, de 8 de noviembre, ni al Real Decreto-ley 3/2020, de 4 de febrero.

Artículo 30. Régimen sancionador.

1. Los incumplimientos de lo dispuesto en el presente título serán sancionados conforme al régimen de infracciones y sanciones establecido en la legislación sectorial correspondiente.

En lo no previsto en la legislación sectorial, se aplicará de manera supletoria el título III del Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, aprobado por el Real Decreto Legislativo 1/2013, de 29 de noviembre.

2. El presente artículo no será aplicable a los procedimientos de contratación sujetos a la Ley 9/2017, de 8 de noviembre, ni al Real Decreto-ley 3/2020, de 4 de febrero.

Artículo 31. Informe y revisión.

1. La unidad técnica de apoyo y coordinación, a la que se refiere el artículo 28, tras recabar la información por parte de las autoridades de vigilancia, comunicará a la Comisión Europea puntualmente toda la información necesaria para que ésta pueda elaborar el informe sobre aplicación de la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, a que se refiere su artículo 33.

2. La información que se comunique a la Comisión tendrá en cuenta las opiniones de los agentes económicos y de las organizaciones no gubernamentales pertinentes, incluidas aquellas que representan a las personas con discapacidad. A tal efecto, se recabará el correspondiente informe del Consejo Nacional de la Discapacidad y cuantas otras aportaciones se consideren pertinentes.

TÍTULO II. Transposición parcial de la Directiva (UE) 2021/1883 del Parlamento Europeo y del Consejo, de 20 de octubre de 2021, relativa a las condiciones de entrada y residencia de nacionales de terceros países con fines de empleo alta cualificación y por el que se deroga la Directiva 2009/50/CE del Consejo

Artículo 32. Modificación de la Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización.

La Ley 14/2013, de 27 de septiembre, de apoyo a los emprendedores y su internacionalización, queda modificada como sigue:

Uno. Se modifica la rúbrica y el apartado 1 del artículo 22, que queda redactada como sigue:

«Artículo 22. Servicios de los Puntos de Atención al Emprendedor.

1. Las personas físicas y jurídicas podrán realizar a través de los Puntos de Atención al Emprendedor todos los trámites administrativos necesarios para el cese de la actividad de empresarios individuales y para la extinción y cese de la actividad de sociedades mercantiles.

En particular, podrá encargarse la realización de los siguientes trámites:

a) Las actividades relativas a la constitución de sociedades y otros actos posteriores.

b) La solicitud de la inscripción al Registro Mercantil de la disolución, liquidación y extinción de la sociedad, del nombramiento de los liquidadores, del cierre de sucursales y, en general, cancelación del resto de asientos registrales.

c) La comunicación de la extinción de la empresa o el cese definitivo de su actividad y baja de los trabajadores a su servicio a la Dirección Provincial de la Tesorería General de la Seguridad Social.

d) La declaración de baja en el Censo de Empresarios, Profesionales y Retenedores y declaración de baja en el Impuesto de Actividades Económicas.

e) La comunicación de la baja en los Registros sectoriales estatales, autonómicos y municipales en los que se hubiese inscrito la empresa o sus instalaciones.

f) La comunicación de cese de actividad a las autoridades estatales, autonómicas y municipales cuando ésta sea preceptiva.

g) En caso de empresarios de responsabilidad limitada, la solicitud de cancelación de las inscripciones que resulten necesarias en el Registro Mercantil, en el Registro de la Propiedad, de Bienes Muebles y en cualesquiera otros Registros en los que estuvieren inmatriculados los bienes inembargables por deudas empresariales o profesionales.»

Dos. El apartado 2 del artículo 61 queda redactado del siguiente modo:

«2. Lo dispuesto en esta sección no será de aplicación a los ciudadanos de la Unión Europea y a aquellos extranjeros que disfruten de derechos de libre circulación equivalentes a los de los ciudadanos de la Unión con base en acuerdos entre la Unión Europea y los Estados miembros, por una parte, y terceros países, por otra.»

Tres. El apartado 4 del artículo 62 queda redactado del siguiente modo:

«4. El cónyuge o persona con análoga relación de afectividad, los hijos menores de edad o mayores que, dependiendo económicamente del titular, no hayan constituido por sí mismos una unidad familiar y los ascendientes a cargo, que se reúnan o acompañen a los extranjeros enumerados en el artículo 61.1, podrán solicitar, conjunta y simultánea o sucesivamente, la autorización y, en su caso, el visado. Para ello deberá quedar acreditado el cumplimiento de los requisitos previstos en el apartado anterior. En el caso de que las solicitudes de los familiares se presenten simultáneamente con la del titular, la autorización y, en su caso, el visado, se resolverán también de forma simultánea.»

Cuatro. Se añade un apartado 7 al artículo 62, con la siguiente redacción:

«7. Se revocarán, denegarán o no renovarán las autorizaciones de residencia y los visados previstos en esta sección cuando la persona extranjera interesada pueda representar una amenaza para el orden público, la seguridad pública, la salud pública o la seguridad nacional, de así valorarlo el órgano competente para resolver, con base en un informe policial, del Centro Nacional de Inteligencia o del Departamento de Seguridad Nacional que así lo acrediten.»

Cinco. El artículo 71 queda redactado del siguiente modo:

«Artículo 71. Autorización de residencia para profesionales altamente cualificados.

1. Se podrá solicitar una autorización de residencia para profesionales altamente cualificados, que tendrá validez en todo el territorio nacional, cuando una empresa requiera la incorporación en territorio español de un profesional extranjero para el desarrollo de una relación laboral o profesional de alta cualificación, en los términos establecidos en este artículo.

La solicitud a que se refiere el párrafo anterior podrá ser presentada por la empresa o por el profesional extranjero cuya incorporación se requiera, en cuyo caso la Unidad de Grandes Empresas y Colectivos Estratégicos comunicará a la empresa la recepción de la solicitud.

2. La autorización de residencia para profesionales altamente cualificados tendrá dos modalidades:

a) Autorización de residencia para profesionales altamente cualificados titulares de una Tarjeta azul-UE. Procederá esta autorización en el supuesto de trabajadores extranjeros que vayan a desempeñar una actividad laboral para la que se requiera contar con una cualificación derivada de una formación de enseñanza superior de duración mínima de tres años y equivalente al menos al Nivel 2 del Marco Español de Cualificaciones para la Educación Superior, correspondiente con el nivel 6 del Marco Español de Cualificaciones para el Aprendizaje Permanente y mismo nivel del Marco Europeo de Cualificaciones (EQF), o acrediten un mínimo de cinco años de conocimientos, capacidades y competencias avalados por una experiencia profesional que pueda considerarse equiparable a dicha cualificación y que sea pertinente para la profesión o sector especificado en el contrato de trabajo o en la oferta firme de empleo.

En el caso de profesionales y directores de tecnología de la información y las comunicaciones, la duración mínima de la experiencia profesional equiparable y pertinente para el sector o profesión exigida será de tres años comprendidos en los siete años anteriores a la solicitud de la Tarjeta azul-UE.

b) Autorización de residencia nacional para profesionales altamente cualificados. Procederá esta autorización en el supuesto de trabajadores extranjeros que vayan a desempeñar una actividad laboral o profesional para la que se requiera contar con una titulación equiparable al menos al nivel 1 del Marco Español de Cualificaciones para la Educación Superior, correspondiente con el nivel 5A del Marco Español de Cualificaciones para el Aprendizaje Permanente, o conocimientos, capacidades y competencias avaladas por una experiencia profesional de al menos tres años que pueda considerarse equiparable a dicha cualificación, en los términos que se establezcan en las instrucciones a las que se refiere la disposición adicional vigésima de esta ley.

3. La validez de la autorización de residencia será de tres años, o igual a la duración del contrato más un periodo adicional de tres meses en el caso de que la duración del contrato sea inferior a tres años, no pudiendo superar la validez de la autorización más de tres años. Durante los sesenta días anteriores al fin de la vigencia de la autorización de residencia se podrá solicitar su renovación por dos años si se mantienen los requisitos que generaron el derecho, pudiendo obtener la residencia de larga duración a los cinco años cuando se cumplan los requisitos previstos para ello.»

Seis. Se introduce un nuevo artículo 71 bis, que queda redactado como sigue:

«Artículo 71 bis. Profesionales altamente cualificados titulares de una Tarjeta azul-UE.

1. Para la concesión de una Tarjeta azul-UE, será necesario cumplir los siguientes requisitos:

a) El extranjero deberá acreditar la posesión de la cualificación establecida en el artículo 71.2 a) y, en el caso del ejercicio de profesiones reguladas, acreditar su homologación conforme a la normativa sectorial relativa al ejercicio de profesiones reguladas.

b) El solicitante deberá presentar un contrato de trabajo válido o una oferta firme de empleo de alta cualificación para un período de al menos seis meses que garantice al trabajador una actividad continuada durante el periodo de vigencia de la Tarjeta azul-UE.

c) Las condiciones fijadas en el contrato de trabajo deberán ajustarse a las establecidas por la normativa vigente y el convenio colectivo aplicable. El salario bruto anual especificado en el contrato de trabajo no deberá ser inferior a un umbral salarial de referencia que se definirá reglamentariamente, previa consulta con los interlocutores sociales de acuerdo con la normativa vigente, y que será como mínimo de 1,0 veces y como máximo de 1,6 veces el salario bruto anual medio.

No obstante, siempre que el contrato se ajuste a la normativa vigente y al convenio colectivo aplicable, el umbral salarial inferior será un 80 % del umbral establecido en el párrafo anterior, siempre que no sea inferior a 1,0 veces el salario bruto medio, en cualquiera de los siguientes casos:

1.º Para aquellas profesiones en las que haya una necesidad particular de trabajadores nacionales de terceros países y que pertenezcan a los grupos 1 y 2 de la Clasificación Internacional Uniforme de Ocupaciones.

2.º Para los nacionales de terceros países que hayan obtenido la cualificación establecida en el artículo 71.2 a) como máximo tres años antes de la presentación de la solicitud de Tarjeta azul-UE.

Si la Tarjeta azul-UE expedida durante este periodo se renueva, el umbral salarial seguirá siendo de aplicación en caso de que el período inicial de tres años no haya concluido aún, o no hayan transcurrido aún veinticuatro meses desde la expedición de la primera Tarjeta azul-UE.

Se denegará la autorización de Tarjeta azul-UE cuando no se cumpla con los requisitos establecidos en este artículo, o cuando los documentos presentados hayan sido obtenidos de manera fraudulenta, falsificados o adulterados.

2. En el caso de que la persona a la que se haya concedido una Tarjeta azul-UE requiera un visado para su entrada en España, las autoridades consulares del país donde se encuentre concederán el visado correspondiente sin que se exija ningún requisito adicional a los previstos en esta ley y en la normativa vigente en materia de visados.

3. Se revocará o se denegará la renovación de la Tarjeta azul-UE, tras analizar las circunstancias específicas y de acuerdo con el principio de proporcionalidad, cuando el extranjero ya no esté en posesión de un contrato de trabajo válido para un empleo de alta cualificación, y acumule un periodo de desempleo superior a tres meses habiendo sido titular de la Tarjeta azul-UE durante menos de dos años, o acumule un periodo de desempleo superior a seis meses habiendo sido titular de la Tarjeta azul-UE durante al menos dos años. También se revocará la Tarjeta azul-UE cuando su titular se haya desplazado a un Estado miembro de la Unión Europea distinto de España y haya obtenido una Tarjeta azul-UE en este Estado miembro.

Cuando concurran las circunstancias previstas en el párrafo anterior para la retirada o no renovación de la Tarjeta azul-UE se concederá al interesado un plazo de tres meses para la búsqueda de un nuevo empleo, o seis meses en el caso de que el interesado haya sido titular de una Tarjeta azul-UE durante al menos dos años.

4. Cuando el titular de una Tarjeta azul-UE expedida por un Estado miembro de la Unión Europea se desplace a España con el fin de desarrollar una actividad profesional durante un periodo de noventa días en cualquier periodo de 180 días, no se le requerirá ninguna autorización distinta a la Tarjeta azul-UE expedida por el Estado miembro de la Unión Europea para ejercer dicha actividad.

La persona que haya residido al menos doce meses en un Estado miembro de la Unión Europea diferente de España como titular de una Tarjeta azul-UE, o seis meses en el caso de que haya residido en más de un Estado miembro como titular de una Tarjeta azul-UE, tendrá derecho a entrar, residir y trabajar en España, para lo cual deberá solicitar una Tarjeta azul-UE en España. La solicitud podrá presentarse por el empleador o el empleado a las autoridades competentes mientras el titular de la Tarjeta azul-UE está residiendo en el territorio del primer Estado miembro. En el caso de que el titular de la Tarjeta azul-UE expedida por un Estado miembro de la Unión Europea diferente de España se encuentre ya en territorio español, la solicitud deberá presentarse ante el órgano competente para su tramitación antes de transcurrir el plazo máximo de un mes desde su entrada en España.

La presentación de la solicitud deberá acompañarse de la Tarjeta azul-UE expedida en el primer Estado miembro, un documento de viaje válido, un contrato de trabajo u oferta firme de empleo de alta cualificación por un periodo de al menos seis meses, pruebas de que cumple el umbral salarial al que se refiere el apartado 2 de este artículo y, en caso de profesión regulada, la acreditación del reconocimiento de las cualificaciones que corresponda de acuerdo con la normativa sectorial de aplicación.

El titular de una Tarjeta azul-UE expedida por un Estado miembro de la Unión Europea estará autorizado para comenzar a trabajar en España desde el momento de la solicitud completa de la Tarjeta azul-UE en España, sin perjuicio del sentido de la resolución que se realizará, tras analizar las circunstancias específicas y de acuerdo con el principio de proporcionalidad, en los términos del artículo 76.

5. Lo dispuesto en el apartado anterior será aplicable, en lo que a ellos se refiera, a los miembros de la familia previstos en el artículo 62.4 que acompañen al titular de la Tarjeta azul-UE o se reúnan con él. En el caso de que las solicitudes de los miembros de la familia no se presenten de forma simultánea a la del titular de la Tarjeta azul-UE, éstas deberán presentarse en el plazo máximo de un mes desde la entrada de los familiares en España.

6. En el caso de que la persona solicitante o titular de una Tarjeta azul-UE sea a su vez beneficiaria de protección internacional concedida por España u otro Estado miembro de la Unión Europea, serán de aplicación las siguientes especialidades:

a) Los familiares de un solicitante de Tarjeta azul-UE que sea beneficiario de protección internacional concedida por otro Estado miembro de la Unión Europea, podrán ser reagrupados en los términos previstos en esta ley.

b) La reagrupación de los familiares del solicitante de Tarjeta azul-UE, que a su vez ha obtenido protección internacional en España, se regirá por lo dispuesto en la normativa vigente en materia de protección internacional.

c) En el caso de que España tramite la concesión, retirada o no renovación de una Tarjeta azul-UE de una persona beneficiaria de protección internacional concedida por otro Estado miembro de la Unión, se solicitará al Estado miembro que concedió ésta que confirmen que la persona afectada sigue siendo beneficiaria de protección internacional en dicho Estado miembro antes de proceder, en su caso, a su expulsión del territorio español. En caso de que fuera así, en todo caso se preservará el principio de no devolución al país de origen.

En el caso de que un Estado miembro de la Unión realice a España una solicitud de confirmación sobre la condición de beneficiario de protección internacional concedida por España, esta se responderá en el plazo máximo de un mes.»

Siete. La letra b) del artículo 73.2 queda redactado como sigue:

«b) Titulación superior equiparable al menos al nivel 1 del Marco Español de Cualificaciones para la Educación Superior, correspondiente al nivel 5A del Marco Español de Cualificaciones para el Aprendizaje Permanente, o conocimientos, capacidades y competencias avaladas por una experiencia profesional de al menos 3 años que pueda considerarse equiparable a dicha cualificación.»

Ocho. El artículo 74 queda redactado del siguiente modo:

«Artículo 74. Traslados intraempresariales de grupos de profesionales y procedimiento simplificado.

1. Las empresas o grupos de empresas podrán solicitar la tramitación colectiva de autorizaciones, que estará basada en la gestión planificada de un cupo temporal de autorizaciones presentadas por la empresa o grupos de empresas.

A tal efecto, podrán solicitar su inscripción en la Unidad de Grandes Empresas y Colectivos Estratégicos. La inscripción tendrá una validez de 3 años renovables.

Las empresas inscritas estarán exentas de acreditar, en el momento de la solicitud, los requisitos previstos en el artículo 73.2.a), b) y c). No obstante, la Administración podrá efectuar de oficio comprobaciones del cumplimiento de estos requisitos para lo cual la entidad deberá disponer de la documentación acreditativa.

2. Este artículo no será de aplicación a las empresas o grupos de empresas que en los tres años inmediatamente anteriores a la solicitud de autorización:

a) Hayan sido sancionadas por infracción grave o muy grave en materia de extranjería e inmigración.

b) No hayan acreditado el cumplimiento de los requisitos en las comprobaciones de oficio efectuadas por la Administración.»

Nueve. En el artículo 76 se añade un nuevo apartado 4 y el actual apartado 4 pasa a numerarse como 5, en los términos siguientes:

«4. La acreditación del cumplimiento de los requisitos por la empresa en la tramitación de las autorizaciones previstas en los capítulos IV y V de esta sección se efectuará una única vez, quedando la empresa inscrita en la Unidad de Grandes Empresas y Colectivos Estratégicos. Dicha inscripción tendrá una validez de 3 años renovables si se mantienen los requisitos. Cualquier modificación de las condiciones deberá ser comunicada a la Unidad de Grandes Empresas y Colectivos Estratégicos en el plazo de 30 días. En caso de no comunicar dicha modificación, la empresa dejará de estar inscrita en la Unidad.

5. El pasaporte será documento acreditativo suficiente para darse de alta en la Seguridad Social durante los primeros seis meses de residencia o estancia en las categorías reguladas por esta sección y en aquellos supuestos en que el extranjero no esté en posesión del número de identificación de extranjero (NIE), sin perjuicio de que posteriormente se solicite el NIE.»

Diez. Se modifica la disposición adicional vigésima, que queda redactada de la siguiente forma:

«Disposición adicional vigésima. Instrucciones con los requisitos para los visados y autorizaciones de residencia.

1. Se habilita a los órganos competentes para dictar unas instrucciones con los requisitos específicos que deberán cumplir los solicitantes de los visados y de las autorizaciones de residencia regulados en la sección 2.ª del título V.

2. Para la elaboración de estas instrucciones técnicas, el Gobierno constituirá un grupo de trabajo en el que participarán representantes de los ministerios y de las comunidades autónomas con competencias en la materia.

3. Los umbrales de los importes económicos utilizados para evaluar los recursos económicos de los solicitantes se referenciarán al salario mínimo interprofesional.»

TÍTULO III. Transposición parcial de la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago

Artículo 33. Modificación de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido.

El título X de la Ley 37/1992, de 28 de diciembre, del Impuesto sobre el Valor Añadido, queda redactado de la siguiente forma:

«TÍTULO X. Obligaciones de los sujetos pasivos

CAPÍTULO I. Normas generales

Artículo 164. Obligaciones de los sujetos pasivos.

Uno. Sin perjuicio de lo establecido en el título anterior, los sujetos pasivos del Impuesto estarán obligados, con los requisitos, límites y condiciones que se determinen reglamentariamente, a:

1.º) Presentar declaraciones relativas al comienzo, modificación y cese de las actividades que determinen su sujeción al Impuesto.

2.º) Solicitar de la Administración el número de identificación fiscal y comunicarlo y acreditarlo en los supuestos que se establezcan.

3.º) Expedir y entregar factura de todas sus operaciones, ajustada a lo que se determine reglamentariamente.

4.º) Llevar la contabilidad y los registros que se establezcan en la forma definida reglamentariamente, sin perjuicio de lo dispuesto en el Código de Comercio y demás normas contables.

5.º) Presentar periódicamente, o a requerimiento de la Administración, información relativa a sus operaciones económicas con terceras personas y, en particular, una declaración recapitulativa de operaciones intracomunitarias.

6.º) Presentar las declaraciones-liquidaciones correspondientes e ingresar el importe del Impuesto resultante.

Sin perjuicio de lo previsto en el párrafo anterior, los sujetos pasivos deberán presentar una declaración-resumen anual.

En los supuestos del artículo 13, número 2.º, de esta ley deberá acreditarse el pago del Impuesto para efectuar la matriculación definitiva del medio de transporte.

7.º) Nombrar un representante a efectos del cumplimiento de las obligaciones impuestas en esta ley cuando se trate de sujetos pasivos no establecidos en la Comunidad, salvo que se encuentren establecidos en Canarias, Ceuta o Melilla, o en un Estado con el que existan instrumentos de asistencia mutua análogos a los instituidos en la Comunidad.

Dos. La obligación de expedir y entregar factura por las operaciones efectuadas por los empresarios o profesionales se podrá cumplir, en los términos que reglamentariamente se establezcan, por el cliente de los citados empresarios o profesionales o por un tercero, los cuales actuarán, en todo caso, en nombre y por cuenta del mismo.

Cuando la citada obligación se cumpla por un cliente del empresario o profesional, deberá existir un acuerdo previo entre ambas partes. Asimismo, deberá garantizarse la aceptación por dicho empresario o profesional de cada una de las facturas expedidas en su nombre y por su cuenta, por su cliente.

La expedición de facturas por el empresario o profesional, por su cliente o por un tercero, en nombre y por cuenta del citado empresario o profesional, podrá realizarse por cualquier medio, en papel o en formato electrónico, siempre que, en este último caso, el destinatario de las facturas haya dado su consentimiento.

La factura, en papel o electrónica, deberá garantizar la autenticidad de su origen, la integridad de su contenido y su legibilidad, desde la fecha de expedición y durante todo el periodo de conservación.

Reglamentariamente se determinarán los requisitos a los que deba ajustarse la expedición, remisión y conservación de facturas.

Tres. Lo previsto en los apartados anteriores será igualmente aplicable a quienes, sin ser sujetos pasivos de este Impuesto, tengan sin embargo la condición de empresarios o profesionales a los efectos del mismo, con los requisitos, límites y condiciones que se determinen reglamentariamente.

Cuatro. La Administración tributaria, cuando lo considere necesario a los efectos de cualquier actuación dirigida a la comprobación de la situación tributaria del empresario o profesional o sujeto pasivo, podrá exigir una traducción al castellano, o a cualquier otra lengua oficial, de las facturas correspondientes a entregas de bienes o prestaciones de servicios efectuadas en el territorio de aplicación del Impuesto, así como de las recibidas por los empresarios o profesionales o sujetos pasivos establecidos en dicho territorio.

Artículo 165. Reglas especiales en materia de facturación.

Uno. Las facturas recibidas, los justificantes contables y las copias de las facturas expedidas, deberán conservarse, incluso por medios electrónicos, durante el plazo de prescripción del Impuesto. Esta obligación se podrá cumplir por un tercero, que actuará en nombre y por cuenta del sujeto pasivo.

Cuando los documentos a que se refiere el párrafo anterior se refieran a adquisiciones por las cuales se hayan soportado o satisfecho cuotas del Impuesto sobre el Valor Añadido cuya deducción esté sometida a un período de regularización, deberán conservarse durante el período de regularización correspondiente a dichas cuotas y los cuatro años siguientes.

Reglamentariamente se establecerán los requisitos para el cumplimiento de las obligaciones que establece este apartado.

Dos. Reglamentariamente podrán establecerse fórmulas alternativas para el cumplimiento de las obligaciones de facturación y de conservación de los documentos a que se refiere el apartado anterior con el fin de impedir perturbaciones en el desarrollo de las actividades empresariales o profesionales.

Tres. Cuando el sujeto pasivo conserve por medios electrónicos los documentos a que se refiere el apartado uno de este artículo, se deberá garantizar a la Administración tributaria tanto el acceso en línea a los mismos como su carga remota y utilización. La anterior obligación será independiente del lugar de conservación.

Artículo 166. Obligaciones contables.

Uno. La contabilidad deberá permitir determinar con precisión:

1.º El importe total del Impuesto sobre el Valor Añadido que el sujeto pasivo haya repercutido a sus clientes.

2.º El importe total del Impuesto soportado por el sujeto pasivo.

Dos. Todas las operaciones realizadas por los sujetos pasivos en el ejercicio de sus actividades empresariales o profesionales deberán contabilizarse o registrarse dentro de los plazos establecidos para la liquidación y pago del Impuesto.

Tres. La persona titular del Ministerio de Hacienda y Función Pública podrá disponer adaptaciones o modificaciones de las obligaciones registrales de determinados sectores empresariales o profesionales.

CAPÍTULO II. Disposiciones especiales

Sección 1.ª Obligaciones de las interfaces digitales

Artículo 166 bis. Registro de operaciones.

Uno. Cuando un empresario o profesional, actuando como tal, utilizando una interfaz digital como un mercado en línea, una plataforma, un portal u otros medios similares, facilite la entrega de bienes o la prestación de servicios a personas que no sean empresarios o profesionales, actuando como tales, y no tenga la condición de sujeto pasivo respecto de dichas entregas de bienes o prestaciones de servicios, tendrá la obligación de llevar un registro de dichas operaciones.

Su contenido se ajustará a lo dispuesto en el artículo 54 quater.2 del Reglamento (UE) n.º 282/2011 del Consejo, de 15 de marzo de 2011, por el que se establecen disposiciones de aplicación de la Directiva 2006/112/CE relativa al sistema común del impuesto sobre el valor añadido, y deberá estar por vía electrónica, previa solicitud, a disposición de los Estados miembros interesados.

El registro se mantendrá por un período de diez años a partir del final del año en que se haya realizado la operación.

Dos. Cuando un empresario o profesional, actuando como tal, utilizando una interfaz digital como un mercado en línea, una plataforma, un portal u otros medios similares, facilite la entrega de bienes en los términos del artículo 8 bis de esta ley o cuando participe en una prestación de servicios por vía electrónica para la cual se considere que actúa en nombre propio de conformidad con el artículo 9 bis del mencionado Reglamento (UE) n.º 282/2011, tendrá la obligación de llevar los siguientes registros:

a) Los registros establecidos en el artículo 63 quater del citado Reglamento (UE) n.º 282/2011 cuando dicho empresario o profesional se encuentre acogido a los regímenes especiales previstos en el capítulo XI del título IX de esta ley.

b) Los registros establecidos en el artículo 164.Uno.4.º de esta ley cuando no se encuentre acogido a los regímenes especiales previstos en el capítulo XI del título IX de esta ley.

Sección 2.ª Obligaciones de los proveedores de los servicios de pago

Artículo 166 ter. Definiciones.

A efectos de la presente sección, se entenderá por:

a) “proveedor de servicios de pago”: las entidades y organismos contemplados en los apartados 1 y 2 del artículo 5 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, y las personas físicas o jurídicas que se acojan a las exenciones previstas en los artículos 14 y 15 de dicho Real Decreto-ley;

b) “servicio de pago”: una o más actividades empresariales enumeradas en las letras c) a f) del artículo 1.2 del Real Decreto-ley 19/2018;

c) “pago”: a reserva de las exclusiones que contempla el artículo 4 del Real Decreto-ley 19/2018, una “operación de pago” según se define en el artículo 3, punto 26, de dicho Real Decreto-ley, o un “servicio de envío de dinero” según se define en el artículo 3, punto 36, del citado Real Decreto-ley;

d) “ordenante”: la persona física o jurídica titular de una cuenta de pago que autoriza una orden de pago a partir de dicha cuenta o, en el caso de que no exista una cuenta de pago, la persona física o jurídica que dicta una orden de pago;

e) “beneficiario”: la persona física o jurídica que sea el destinatario previsto de los fondos que hayan sido objeto de una operación de pago;

f) “Estado miembro de origen”: uno de los siguientes:

a’ El Estado miembro de la Unión Europea en el que el proveedor de servicio de pago tenga fijado su domicilio social, o

b’ Si el proveedor de servicio de pago no posee domicilio social con arreglo a la legislación nacional, el Estado miembro de la Unión Europea en el que tenga fijada su administración central;

g) “Estado miembro de acogida”: el Estado miembro de la Unión Europea distinto del Estado miembro de origen en el cual el proveedor de servicio de pago tiene un agente o una sucursal o presta servicios de pago;

h) “cuenta de pago”: una cuenta a nombre de uno o varios usuarios de servicios de pago que sea utilizada para la ejecución de operaciones de pago;

i) “IBAN”: número identificador de una cuenta de pago internacional que identifica inequívocamente una cuenta de pago individual en un Estado miembro y cuyos elementos son especificados por la Organización Internacional de Normalización (ISO);

j) “BIC”: código identificador de la entidad que identifica inequívocamente a un proveedor de servicios de pago, y cuyos elementos son especificados por la ISO.

Artículo 166 quater. Obligaciones de proveedores de servicios de pago.

Los proveedores de servicio de pago cuyo Estado miembro de origen o de acogida sea el Reino de España, en las condiciones que se determinen reglamentariamente, estarán obligados a:

a) Mantener un registro suficientemente detallado de los beneficiarios y de los pagos en relación con los servicios de pago que presten en cada trimestre natural.

La obligación anterior se aplicará exclusivamente a los servicios de pago que se presten en relación con pagos transfronterizos. Un pago se considerará transfronterizo cuando el ordenante esté ubicado en un Estado miembro y el beneficiario esté situado en otro Estado miembro o en un país o territorio tercero.

Esta obligación se aplicará cuando, en el transcurso de un trimestre natural, un proveedor de servicios de pago preste servicios de pago correspondientes a más de 25 pagos transfronterizos al mismo beneficiario.

El número de pagos transfronterizos a que se refiere el párrafo anterior se calculará con referencia a los servicios de pago prestados por el proveedor de servicios de pago por cada Estado miembro y por cada uno de los identificadores a los que se refiere el artículo 166 quinquies.Dos. Cuando el proveedor de servicios de pago disponga de información según la cual el beneficiario posee varios identificadores, el cálculo se efectuará por beneficiario.

Esta obligación no se aplicará a los servicios de pago prestados por los proveedores de servicios de pago del ordenante por lo que respecta a cualquier pago cuando al menos uno de los proveedores de servicios de pago del beneficiario esté situado en un Estado miembro, tal como muestre el BIC de dicho proveedor de servicios de pago o cualquier otro código identificador de la entidad que identifique inequívocamente al proveedor de servicios de pago y su ubicación. No obstante, los proveedores de servicios de pago del ordenante incluirán esos servicios de pago en el cálculo mencionado en los párrafos tercero y cuarto de esta letra a).

Los registros serán conservados por los proveedores de servicios de pago en formato electrónico durante un período de tres años naturales contados desde el final del año natural de la fecha del pago.

b) Poner a disposición de la Administración tributaria los registros mencionados en la letra anterior.

Artículo 166 quinquies. Ubicación del ordenante y beneficiario.

Uno. A efectos de aplicación de lo dispuesto en el artículo 166 quater, letra a), segundo párrafo, de esta ley, se considerará que la ubicación del ordenante se encuentra en el Estado miembro que corresponda:

a) al número IBAN de la cuenta de pago del ordenante o a cualquier otro medio identificativo que permita identificar inequívocamente y proporcionar la ubicación del ordenante, o en ausencia de dichos medios identificativos;

b) al código BIC o a cualquier otro código identificador de la entidad que identifique inequívocamente y proporcione la ubicación del proveedor de servicios de pago que actúe en nombre del ordenante.

Dos. A efectos de aplicación de lo dispuesto en el artículo 166 quater, letra a), segundo párrafo, de esta ley, se considerará que la ubicación del beneficiario se encuentra en el Estado miembro o tercer territorio o país que corresponda:

a) al número IBAN de la cuenta de pago del beneficiario o a cualquier otro medio identificativo que permita identificar inequívocamente y proporcionar la ubicación del beneficiario, o en ausencia de dichos medios identificativos;

b) al código BIC o a cualquier otro código identificador de la entidad que identifique inequívocamente y proporcione la ubicación del proveedor de servicios de pago que actúe en nombre del beneficiario.»

TÍTULO IV. Transposición de la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades

Artículo 34. Modificación de la Ley del Notariado de 28 de mayo de 1862.

La Ley del Notariado de 28 de mayo de 1862 queda modificada como sigue:

Uno. Se modifican los apartados 2 y 3 y se añade un nuevo apartado 4 al artículo 17, que quedan redactados como sigue:

«2. Las matrices de los instrumentos públicos tendrán igualmente reflejo informático en el correspondiente protocolo electrónico bajo la fe del notario. La incorporación al protocolo electrónico o libro registro de operaciones electrónico se producirá en cada caso con la autorización o intervención de la escritura pública o póliza, de lo que se dejará constancia mediante diligencia en la matriz en papel expresiva de su traslado informático. Los instrumentos incorporados al protocolo electrónico se considerarán asimismo originales o matrices. En caso de contradicción entre el contenido de la matriz en soporte papel y del protocolo electrónico prevalecerá el contenido de aquella sobre el de este.

Corresponde al Consejo General del Notariado la adopción de las medidas técnicas que garanticen la integridad, indemnidad y no manipulación de ese protocolo electrónico.

Tales medidas serán comunicadas a la Dirección General de Seguridad Jurídica y Fe Pública, que podrá ordenar su modificación o adaptación de considerarlas inadecuadas.

El protocolo electrónico se custodiará por el notario que esté a cargo de su conservación mediante su depósito electrónico en el Consejo General del Notariado. Dicho depósito electrónico se efectuará encriptando su contenido, pudiendo acceder al mismo exclusivamente el notario custodio del protocolo titular de las claves de encriptación. Las medidas de encriptación y conservación íntegra que permita la legibilidad de su contenido, con independencia del cambio de soporte electrónico, serán adoptadas por el Consejo General del Notariado que las comunicará para su aprobación a la Dirección General de Seguridad Jurídica y Fe Pública. Una matriz en papel que haya sido extraviada o sustraída, sin perjuicio de la responsabilidad en la que, en su caso, pudiera incurrir el notario custodio, será reconstituida mediante nuevo traslado desde el protocolo electrónico, que deberá realizarse en papel notarial y deberá incluir la totalidad de notas o diligencias unidas a la matriz electrónica. Se hará constar en una nueva diligencia esta circunstancia, que además será comunicada al Colegio Notarial del territorio, de lo que asimismo se dejará constancia.

En el protocolo electrónico constarán, en cada instrumento público, el traslado de las notas y diligencias previstas en la legislación notarial de modificación jurídica y de coordinación con otros instrumentos públicos autorizados o intervenidos por el notario titular del protocolo o por otros notarios respecto de aquellas escrituras o pólizas que rectifiquen las anteriores. Las comunicaciones cursadas por otros notarios se remitirán a través de la sede electrónica notarial, debiendo incorporarse al protocolo electrónico en el mismo día o inmediato hábil posterior. Se habilita al Consejo General del Notariado para la adopción de las medidas técnicas que garanticen la realización de dichas comunicaciones.

El notario titular del protocolo electrónico consignará en éste en el mismo día o inmediato hábil posterior las comunicaciones recibidas de las autoridades judiciales o administrativas atinentes a resoluciones, hechos o actos jurídicos que por disposición legal deban consignarse en el instrumento público de que se trate. Las comunicaciones se efectuarán electrónicamente a través del Consejo General del Notariado.

3. Corresponderá al Consejo General del Notariado proporcionar información estadística en el ámbito de su competencia, así como suministrar cuanta información del índice sea precisa a las administraciones públicas que, conforme a la ley, puedan acceder a su contenido.

A los efectos de la debida colaboración del notario y de su organización corporativa con las administraciones públicas, los notarios estarán obligados a llevar índices informatizados y, en su caso, en soporte papel de los documentos protocolizados e intervenidos. El notario deberá velar por la más estricta veracidad de dichos índices, así como por su correspondencia con los documentos públicos autorizados e intervenidos, y será responsable de cualquier discrepancia que exista entre aquellos y estos, así como del incumplimiento de sus plazos de remisión. Reglamentariamente se determinará el contenido de los índices, pudiéndose delegar en el Consejo General del Notariado la adición de nuevos datos, así como la concreción de sus características técnicas de elaboración, remisión y conservación.

El Consejo General del Notariado formará un índice único informatizado con la agregación de los índices informatizados que los notarios deben remitir a los Colegios Notariales. A estos efectos, con la periodicidad y en los plazos reglamentariamente establecidos, los notarios remitirán los índices telemáticamente a través de su red corporativa y con las garantías debidas de confidencialidad a los Colegios Notariales, que los remitirán, por idéntico medio, al Consejo General del Notariado.

En particular, y sin perjuicio de otras formas de colaboración que puedan resultar procedentes, el Consejo General del Notariado suministrará a las administraciones tributarias la información contenida en el índice único informatizado con trascendencia tributaria que precisen para el cumplimiento de sus funciones estando a lo dispuesto en el artículo 94.5 de la Ley 58/2003, de 17 de diciembre, General Tributaria, permitirá el acceso telemático directo de las administraciones tributarias al índice y recabará del notario para su posterior remisión la copia del instrumento público a que se refiera la solicitud de información cuando ésta se efectúe a través de dicho Consejo.

El otorgante o quien acredite interés legítimo, previa su comparecencia electrónica en la sede electrónica notarial mediante sistemas de identificación electrónica debidamente homologados, podrá solicitar al notario a cargo del protocolo, copia electrónica o en papel.

Mediante idéntico sistema electrónico de comparecencia e identificación, cualquier persona podrá solicitar al Consejo General del Notariado que a través del Índice Único informatizado identifique el notario, número de protocolo y fecha de aquellos documentos públicos notariales en los que estuviese interesado con el fin de solicitar copia de los mismos, siempre que acredite su legitimación al notario competente al efecto. Si el solicitante no fuere el otorgante del documento, deberá acreditar un principio de prueba sobre su interés legítimo. La expedición por el Consejo General del Notariado de dicha información en ningún caso sustituirá el juicio del notario al que se pida la copia, quien deberá valorar el derecho o interés legítimo para su expedición.

La sede electrónica notarial estará integrada en el Consejo General del Notariado, siendo general y única a nivel nacional, y correspondiéndole al mismo su titularidad, desarrollo, gestión y administración. Sus características técnicas serán comunicadas a la Dirección General de Seguridad Jurídica y Fe Pública. Deberá ser accesible y disponible para los ciudadanos a través de redes de comunicación seguras.

4. El Consejo General del Notariado podrá acceder al índice único informatizado para el ejercicio de las competencias previstas en la legislación notarial, pudiendo las administraciones públicas conocer su contenido en tanto que sea necesario para el cumplimiento de sus funciones, siempre que una norma con rango de ley les habilite para ello. Dicho acceso se efectuará en los términos y a través del soporte que determine la norma habilitante.»

Dos. Se modifica el apartado 3 del artículo 17 bis, que queda redactado como sigue:

«3. El notario podrá expedir copias autorizadas con su firma electrónica cualificada bajo las mismas condiciones que las copias en papel, con la indicación al pie de copia del destinatario, previa comprobación de su interés legítimo. La copia autorizada se remitirá a través de la sede electrónica notarial. Del mismo modo remitirá copia simple electrónica con mero valor informativo, incorporando la sede electrónica notarial sello electrónico con marca de tiempo confiable.»

Tres. Se suprime el apartado 7 del artículo 17 bis.

Cuatro. Se introduce un nuevo artículo 17 ter, con la siguiente redacción:

«Artículo 17 ter.

1. Se podrá realizar el otorgamiento y autorización a través de videoconferencia como cauce para el ejercicio de la función pública notarial, en los siguientes actos o negocios jurídicos:

a) Las pólizas mercantiles. En este caso, la remisión de la póliza por la entidad de crédito a la sede electrónica notarial, implicará su consentimiento al negocio documentado, salvo que en el texto de la póliza se dispusiere lo contrario.

b) La constitución de sociedades, nombramientos y apoderamientos mercantiles de toda clase previstos en la legislación mercantil, así como el otorgamiento de cualquier otro acto societario, siempre que en caso de contener aportaciones de los socios al capital social sean dinerarias.

c) Los poderes de representación procesal, para la actuación ante las administraciones públicas, así como los electorales, y los poderes para actos concretos. No será posible la autorización por videoconferencia de poderes generales o preventivos.

d) La revocación de poderes, excepto los generales preventivos.

e) Las cartas de pago y las cancelaciones de garantías.

f) Las actas de junta general y las de referencia en sentido estricto.

g) Los testimonios de legitimación de firmas.

h) Los testamentos en situación de epidemia declarada mientras dure la obligación de confinamiento.

i) Las declaraciones de obra nueva sin extinción de condominio, ni adjudicación de propiedad, y la división de la propiedad horizontal.

j) La conciliación, salvo que el notario considere conveniente la presencia física para el buen fin del expediente.

k) Aquellos actos y negocios jurídicos para los que, conforme a su naturaleza, se establezca reglamentariamente.

2. El otorgante accederá a la aplicación abierta en la sede electrónica notarial utilizando los sistemas de identificación electrónica previstos en el artículo 9 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas. Dicha aplicación deberá garantizar los principios de neutralidad tecnológica e interoperabilidad para todos aquellos que accedan a su uso.

3. En el acto del otorgamiento mediante videoconferencia, el notario habrá de exhibir al compareciente el documento a través de la plataforma, de modo que pueda hacer uso de su derecho a leerlo, sin perjuicio de la lectura alternativa por parte del notario y del asesoramiento que debe prestar acerca de su contenido.

4. Si el otorgante no dispusiera de firma electrónica, se le podrá dotar gratuitamente de la misma, conforme a los medios previstos en el artículo 10 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las administraciones públicas. El sistema proporcionado deberá limitar su ámbito y vigencia al documento público objeto de autorización o intervención.

5. El notario habrá de denegar la intervención o autorización del documento cuando no concurran los presupuestos establecidos en la Ley del Notariado.

6. Finalmente, el notario autorizará el documento con su firma electrónica cualificada.»

Cinco. Se modifica el artículo 23, de forma que su actual contenido conformará el apartado 1 y se añade un apartado 2 con la siguiente redacción:

«2. El interesado o la interesada podrá comparecer electrónicamente en la sede electrónica notarial operativa en la dirección electrónica correspondiente, mediante la utilización de los sistemas de identificación electrónica previstos en el artículo 9 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, debiendo proporcionar su teléfono, correo electrónico y, en su caso, los datos expresivos de su representación. La sede electrónica notarial deberá permitir al otorgante ejercer su derecho a la elección de notario con arreglo a la legislación aplicable, así como la apreciación de su capacidad jurídica, asegurando la inmediación electrónica.

En todo caso, el notario verificará la documentación remitida para su identificación por el otorgante, y podrá, previo su consentimiento, contrastarla con la información obrante en el índice único y las bases de datos del Ministerio del Interior. El notario archivará copia electrónica de los documentos de identidad solo en los casos en los que lo exija la legislación de prevención de blanqueo de capitales y financiación del terrorismo.

El interesado o la interesada podrá mediante la comparecencia electrónica:

a) Aportar los antecedentes precisos para la ulterior autorización de un documento público notarial.

b) Otorgar electrónicamente los actos o negocios jurídicos que se determine.

c) Solicitar que se le expida copia simple o autorizada previa apreciación de su interés.

d) Solicitar previa acreditación de su interés legítimo que se le identifiquen los documentos públicos notariales en que aquél hubiera podido intervenir, a los efectos de solicitar al notario que custodia el protocolo, su sustituto o sucesor, la expedición de copia autorizada electrónica.»

Seis. Se modifica el artículo 31, que queda redactado como sigue:

«Artículo 31.

1. Solo el notario a cuyo cargo esté el protocolo podrá dar copias de él.

2. El notario insertará en la copia autorizada electrónica un código seguro de verificación. Compete al Consejo General del Notariado la adopción de las medidas técnicas de elaboración de tal código, que será individualizado para cada copia autorizada electrónica de la escritura pública o testimonio electrónico de la intervención de póliza mercantil que se expida debiendo comunicar a la Dirección General de Seguridad Jurídica y Fe Pública aquellas medidas, que podrán ser modificadas mediante Instrucción de esta.

3. El código seguro de verificación será el instrumento técnico para que el otorgante o tercero a quien aquel entregue dicho código pueda, a través de la sede electrónica notarial, acceder con carácter permanente a la verificación de la autenticidad e integridad de la copia autorizada electrónica del documento notarial, así como conocer las notas ulteriores de modificación jurídica y de coordinación con otros instrumentos públicos.

4. Si no se dispusiera de código seguro de verificación, el notario a cuyo cargo esté legalmente el protocolo valorará el interés legítimo del solicitante, concediendo el acceso solicitado de considerarlo suficiente. En caso contrario y de manera motivada denegará el mismo, pudiendo ser recurrida su decisión ante la Dirección General de Seguridad Jurídica y Fe Pública.

Si lo solicitara el otorgante, el notario podrá además entregarle un traslado informativo de la escritura matriz o acta autorizada o de la póliza intervenida a la que se adicionará el código seguro de verificación que se remitirá, en todo caso, a través de la sede electrónica notarial.»

Siete. Se modifica el artículo 36, que queda redactado como sigue:

«Artículo 36.

El protocolo, cualquiera que sea su naturaleza bien en soporte papel o electrónico, pertenece al Estado. Los notarios los conservarán, con arreglo a las leyes, como archiveros de los mismos y bajo su responsabilidad.»

Ocho. Se modifica el artículo 37, que queda redactado como sigue:

«Artículo 37.

1. En cada Colegio Notarial se formará un Archivo General de Protocolos en el que se custodiarán de manera ordenada aquellos protocolos y libros registros de operaciones mercantiles y libros indicadores, que cuenten con una antigüedad de, al menos, cinco años.

2. Corresponde a cada Colegio Notarial la adopción de las medidas precisas para conservar en perfecto estado de guarda y conservación los protocolos y libros de su territorio notarial, debiendo comunicar al Consejo General del Notariado para su remisión a la Dirección General de Seguridad Jurídica y Fe Pública su localización y medidas adoptadas para su custodia y conservación.

La Dirección General de Seguridad Jurídica y Fe Pública podrá autorizar la destrucción completa por anualidades de los tomos de protocolos especiales de protestos de letras de cambio y de otros documentos mercantiles, que cuenten con una antigüedad de, al menos, cinco años. En caso de autorizarse la destrucción completa, la Dirección General podrá dar instrucciones especiales sobre cómo se efectuará la citada destrucción, así como sobre la conservación de algunas de las actas de protesto de los tomos a destruir, a efecto de preservar una muestra representativa de esta actividad.

3. Los ficheros relativos al protocolo en soporte electrónico serán remitidos transcurridos veinticinco años desde la autorización o intervención de la escritura matriz, acta o póliza a los Archivos Generales de Protocolos de cada Colegio. Corresponde al Consejo General del Notariado la adopción de las medidas técnicas para garantizar la indemnidad de dicho soporte, así como su traslación o volcado a un nuevo tipo y acceso al mismo por quienes tengan derecho. Del mismo modo tales medidas deberán permitir la práctica de notas en aquéllos, conforme a la legislación notarial que resulte vigente.

El coste por la entrega del protocolo y demás libros y documentación oficial, cualquiera que sea su naturaleza en soporte papel o electrónico, como consecuencia de la amortización de una notaría efectuada por una demarcación será soportado por el notario titular de la notaría amortizada.»

Nueve. Se modifica el artículo 38, que queda redactado como sigue:

«Artículo 38.

1. En los casos de vacancia de una Notaría, y de inhabilitación o incapacidad de un notario, quien con arreglo al artículo 6 de esta ley deba encargarse de la Notaría recibirá bajo inventario el protocolo, libro registro de operaciones, y demás documentación oficial para su entrega con igual formalidad al mismo notario, si se habilitase, o en otro caso a su sucesor en el oficio.

2. En los supuestos indicados, se entregará al notario para su custodia el Protocolo y, el Libro Registro de operaciones mercantiles, cualquiera que sea su naturaleza en soporte papel o electrónica, correspondiendo a los Colegios Notariales velar por la correcta entrega de estos.

El Delegado o Subdelegado de las Juntas en el distrito correspondiente hará constar tal circunstancia en el Protocolo, y en el Libro Registro de operaciones, cualquiera que sea su naturaleza en soporte papel o electrónica, expresando la causa por la que queda vacante y los instrumentos públicos autorizados o intervenidos obrantes en aquélla.

En el protocolo electrónico solo podrán practicarse las diligencias previstas en el artículo 17 de esta ley.»

Diez. Se introduce una disposición adicional segunda con la siguiente redacción:

«Disposición adicional segunda.

Los sistemas electrónicos notariales serán interoperables con los sistemas de la Administración de Justicia para el cumplimiento de las disposiciones previstas en las leyes procesales.»

Artículo 35. Modificación del Código de Comercio, publicado por el Real Decreto de 22 de agosto de 1885.

El Código de Comercio queda modificado como sigue:

Uno. Se modifica el apartado 5 del artículo 17 que queda redactado como sigue:

«5. El Registro Mercantil asegurará la interconexión con la plataforma central europea en la forma que se determine por las normas de la Unión Europea y las normas reglamentarias que las desarrollen. El intercambio de información a través del sistema de interconexión facilitará gratuitamente información sobre las indicaciones referentes a:

a) La denominación y forma jurídica de la sociedad, su domicilio social, el Estado miembro en el que estuviera registrada, su número de registro y su Identificador Único Europeo (EUID).

b) Detalles del sitio web de la sociedad, cuando consten en el Registro.

c) Estado de la sociedad, como si ha sido cerrada, suprimida del Registro, disuelta, liquidada o está económicamente activa o inactiva.

d) Objeto de la sociedad.

e) Datos de las personas que, como órgano o como miembros de tal órgano, estén actualmente autorizadas por la sociedad para representarla en las relaciones con terceros y en los procedimientos jurídicos, y si las personas autorizadas a representar a la sociedad pueden hacerlo por sí solas o deben actuar conjuntamente.

f) Información sobre cualquier sucursal de la sociedad en otro Estado miembro, que incluya la denominación, el número de registro EUID y el Estado miembro en que esté registrada la sucursal.

El Registro Mercantil facilitará igualmente de manera gratuita información sobre las indicaciones antes señaladas, bien de manera directa o bien redirigiendo al interesado a la plataforma central europea.»

Dos. Se añade un nuevo apartado 6 al artículo 17 con la siguiente redacción:

«6. El acceso a la información del sistema de interconexión de registros se producirá a través del portal y de los puntos de acceso opcionales que el Gobierno decida establecer, conectados con la plataforma central europea.

Tales puntos de acceso opcionales también podrán ser establecidos por la Comisión Europea.»

Artículo 36. Modificación de la Ley Hipotecaria, aprobada por el Decreto de 8 de febrero de 1946.

La Ley Hipotecaria queda modificada como sigue:

Uno. Se modifica el artículo 19 bis, que queda redactado como sigue:

«Artículo 19 bis.

Si la calificación es positiva, el registrador practicará los asientos registrales procedentes y expedirá certificación electrónica expresiva de ello, identificando los datos del asiento de presentación y título que lo haya motivado, las incidencias más relevantes del procedimiento registral iniciado con dicho asiento de presentación, y reseña de los concretos asientos practicados en los libros de inscripciones, insertando para cada finca el texto literal del acta de inscripción practicada. Asimismo, expedirá certificación electrónica en extracto y con información estructurada de la nueva situación registral vigente de cada finca resultante tras la práctica de los nuevos asientos.

La calificación negativa, incluso cuando se trate de inscripción parcial en virtud de solicitud del interesado, deberá ser firmada por el registrador, y en ella habrán de constar las causas impeditivas, suspensivas o denegatorias y la motivación jurídica de las mismas, ordenada en hechos y fundamentos de derecho, con expresa indicación de los medios de impugnación, órgano ante el que debe recurrirse y plazo para interponerlo, sin perjuicio de que el interesado ejercite, en su caso, cualquier otro que entienda procedente.

Si el registrador califica negativamente el título, sea total o parcialmente, dentro o fuera del plazo a que se refiere el artículo 18 de la ley, el interesado podrá recurrir ante la Dirección General de Seguridad Jurídica y Fe Pública o bien instar la aplicación del cuadro de sustituciones previsto en el artículo 275 bis de la ley.

Los interesados tendrán el derecho a solicitar al registrador del cuadro de sustituciones la calificación de los títulos presentados, en los supuestos previstos en el párrafo anterior, conforme a las siguientes reglas:

1.ª El interesado deberá ejercer su derecho en los quince días siguientes a la notificación de la calificación negativa, durante la vigencia del asiento de presentación, mediante la aportación al registrador sustituto del testimonio íntegro del título presentado y de la documentación complementaria.

2.ª El registrador sustituto que asuma la inscripción del título lo comunicará al registrador sustituido, pudiendo con carácter previo y en orden a esta finalidad solicitar que se le aporte información registral completa, de no existir o ser insuficiente la remitida con el testimonio íntegro del título.

El registrador sustituido hará constar dicha comunicación, en el mismo día de su recepción o el siguiente hábil, por asiento electrónico relacionado con el de presentación, indicando que se ha ejercido el derecho a solicitar la calificación de los títulos a un registrador de los incluidos en el cuadro de sustituciones, la identidad de éste y el Registro del que sea titular. A partir de la fecha de recepción de la comunicación referida, el registrador sustituido deberá suministrar al registrador sustituto información continuada relativa a cualquier nueva circunstancia registral que pudiera afectar a la práctica del asiento.

3.ª Si el registrador sustituto calificara positivamente el título, en los diez días siguientes al de la fecha de la comunicación prevista en la regla anterior, ordenará al registrador sustituido que extienda el asiento solicitado, remitiéndole el texto comprensivo de los términos en que deba practicarse aquél, junto con el testimonio íntegro del título y documentación complementaria.

En todo caso, en el asiento que se extienda, además de las circunstancias que procedan de conformidad con su naturaleza, deberá constar la identidad del registrador sustituto y el registro del que fuera titular.

Extendido el asiento, el registrador sustituido lo comunicará al registrador sustituto, y devolverá el título al presentante con la certificación electrónica a que se refiere el párrafo primero de este artículo.

4.ª Si el registrador sustituto asumiera la inscripción parcial del título se procederá del modo previsto en las reglas segunda y tercera. Dicha inscripción parcial sólo podrá practicarse si media consentimiento del presentante o del interesado.

5.ª Si el registrador sustituto calificara negativamente el título, devolverá éste al interesado a los efectos de interposición del recurso frente a la calificación del registrador sustituido ante la Dirección General de Seguridad Jurídica y Fe Pública, el cual deberá ceñirse a los defectos señalados por el registrador sustituido con los que el registrador sustituto hubiera manifestado su conformidad.

En la calificación el registrador sustituto se ajustará a los defectos señalados por el registrador sustituido y respecto de los que los interesados hubieran motivado su discrepancia en el escrito en el que soliciten su intervención, no pudiendo versar sobre ninguna otra pretensión basada en otros motivos o en documentos no presentados en tiempo y forma. Para fundar su decisión podrá pedir informe al Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España, que lo evacuará a través de sus servicios de estudios, todo ello bajo responsabilidad del registrador y sin que pueda excederse del plazo de calificación.

6.ª Practicado el asiento solicitado, corresponderá al registrador sustituto el cincuenta por ciento de los aranceles devengados y al registrador sustituido el cincuenta por ciento restante.

Los derechos arancelarios se abonarán por el interesado a cada registrador en su parte correspondiente.

7.ª Las comunicaciones que se deban practicar conforme a las reglas precedentes se realizarán por medios electrónicos que permitan tener constancia de su recepción.»

Dos. Se modifican los apartados 2 y 9 del artículo 222, que quedan redactados como sigue:

«2. La manifestación, que debe realizar el Registrador, del contenido de los asientos registrales tendrá lugar por nota simple informativa o por certificación, mediante el tratamiento profesional de los mismos, de modo que sea efectiva la posibilidad de publicidad sin intermediación, asegurando, al mismo tiempo, la imposibilidad de su manipulación o televaciado.

La publicidad registral se emitirá siempre en formato y soporte electrónico, sin perjuicio de su traslado a papel si fuera necesario. Las notas simples se garantizarán en cuanto a su origen e integridad con el sello electrónico del Registro y las certificaciones con el certificado electrónico cualificado de firma del registrador. En uno y otro caso estarán dotadas de un código electrónico de verificación.»

«9. Al objeto de dar cumplimiento a lo dispuesto en este artículo, se dispondrá de los instrumentos necesarios para proporcionar a todos ellos información por comunicación electrónica, y con el valor de nota simple informativa, sobre el contenido del Libro Diario, en su caso, del Libro de Entrada, del Libro de Inscripciones y del Libro sobre administración y disposición de bienes inmuebles, salvo en lo atinente a las resoluciones judiciales que establezcan medidas de apoyo a personas con discapacidad. En ningún supuesto, salvo en caso justificado de imposibilidad técnica para ser enviada electrónicamente, podrá remitirse información registral por fax.»

Tres. Se modifica el artículo 238, que queda redactado como sigue:

«Artículo 238.

1. El Registro de la Propiedad se llevará bajo la técnica del folio real en formato y soporte electrónico, mediante un sistema informático registral.

Se entenderá por sistema informático registral el conjunto de elementos informáticos, físicos y lógicos, situados en cada oficina registral, debidamente interconectados entre sí y con los servicios centrales del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España, a través de la correspondiente red corporativa.

Solo los asientos registrales, extendidos y firmados por el registrador competente y la publicidad registral expedida en la forma y con los medios previstos en esta ley y demás normas concordantes, tendrán los efectos previstos en esta ley.

2. El folio real en soporte electrónico de cada finca se creará con ocasión de su inmatriculación o primera inscripción, o bien con ocasión de la realización de cualquier operación registral sobre aquella, con excepción de asientos accesorios.

En todo caso, el folio real en soporte electrónico incluirá necesariamente en el primer asiento que se realice la descripción actualizada de la finca y la relación de las titularidades, cargas y derechos vigentes que recaigan sobre aquella, con sus datos esenciales, que incluirán siempre las cantidades y conceptos garantizados por las cargas y las fechas de vencimiento, domicilio de notificación y tasación si constan.

Todas las diligencias judiciales o extrajudiciales que exijan la visualización o cotejo de los asientos registrales se practicarán en la oficina del Registro.

3. Los asientos registrales de los libros de inscripciones constarán en soporte digital, firmado electrónicamente por el registrador. El asiento digital será firmado electrónicamente con su certificado con firma electrónica cualificada, haciendo constar, la identificación del registrador firmante, la fecha de su firma, la huella digital y otros elementos relacionados con dicha firma electrónica que permitan comprobar la trazabilidad e integridad del asiento practicado. Dicha huella digital deberá incluirse también en el asiento relacionado con el asiento de presentación a que se refiere el artículo 249 de esta ley. Sólo los asientos extendidos conforme a lo dispuesto en este artículo producirán los efectos que les atribuyen las leyes.

4. Los asientos registrales se visualizarán a través de la aplicación de gestión registral. Los asientos de inscripciones, anotaciones preventivas y cancelaciones de cada finca se visualizarán a continuación unos de otros, por su orden correlativo, y las notas marginales, al margen del asiento al que correspondan. La representación gráfica de las fincas será objeto de inscripción específica conforme a lo dispuesto en los artículos 9 y 10 de esta ley, y se visualizará igualmente a través de la aplicación de gestión registral, conforme a las reglas de publicidad previstas en los artículos 9 y 10 de esta ley. Mediante enlaces electrónicos se visualizarán los documentos y otros elementos que hubieran sido incorporados mediante inscripción o anotación al folio real. Los folios reales se visualizarán en tres columnas en las que, de izquierda a derecha figurarán: las notas marginales, el número de orden de la inscripción o anotación y las inscripciones y anotaciones propiamente dichas.

5. Los archivos digitalizados, los documentos y libros físicos anteriores a la implantación del folio real en formato electrónico forman parte del archivo del Registro y seguirán produciendo plenos efectos jurídicos.

Harán fe los libros y asientos en soporte digital que lleven los registradores conforme a lo dispuesto en esta ley.»

Cuatro. Se modifica el artículo 239, que queda redactado como sigue:

«Artículo 239.

Los Registros aplicarán con carácter obligatorio un esquema de seguridad electrónica que se definirá con arreglo al modelo de oficina registral que se determine por el órgano correspondiente del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España y que se reflejará en una guía técnica que deberá ser elevada a la Dirección General de Seguridad Jurídica y Fe Pública para la aprobación por la misma. Se atenderá especialmente a garantizar la lectura y verificación de los asientos y documentos registrales en el tiempo, con los procesos necesarios para la actualización periódica de los sistemas, aplicaciones y datos, de forma que se asegure la permanencia de estos en el largo plazo, incluyendo cuando proceda el resellado electrónico de los documentos o técnicas similares que puedan desarrollarse.

Los documentos registrales electrónicos tendrán el formato que determine el Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España, pero siempre dentro del catálogo de estándares que recoja en cada momento la correspondiente norma técnica de interoperabilidad. En todo caso elevará motivadamente a la Dirección General de Seguridad Jurídica y Fe Pública su propuesta al respecto del formato, para la aprobación por la misma.

Tanto la base de datos de cada Registro como el archivo conformado por los asientos registrales, del que derivan los efectos previstos por las leyes y reglamentos debe radicar en la oficina registral, bajo la custodia del registrador. No obstante, los datos y asientos en soporte electrónico deberán replicarse de la forma más inmediata posible en al menos dos centros de proceso de datos seguros, distantes geográficamente entre sí, establecidos bajo la responsabilidad del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España, a donde llegarán encriptados en origen mediante un certificado electrónico exclusivo de cada oficina registral a cargo del registrador titular del distrito hipotecario en cada momento, que será el único que podrá autorizar su desencriptado y uso. El protocolo técnico de replicación se establecerá por el Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España previo informe favorable de la Dirección General de Seguridad Jurídica y Fe Pública y será idéntico y obligatorio para todos los Registros, debiendo prever los casos de división personal, accidentalidades, interinidades, cese fallecimiento o incapacidad del registrador titular.

Los asientos electrónicos perdidos o deteriorados se restaurarán con su correspondiente copia de seguridad electrónica. En caso de que no fuera posible su restauración con dicha copia de seguridad electrónica, se restaurarán a partir de la información que resulte del título presentado.»

Cinco. Se modifica el artículo 240, que queda redactado como sigue:

«Artículo 240.

Los registradores dispondrán de una sede electrónica general y única a nivel nacional cuya titularidad, desarrollo, gestión y administración corresponderá al Colegio de Registradores de la Propiedad Mercantiles y de Bienes Muebles de España, disponible para las personas a través de redes de comunicación y por medio de la cual puedan, en sus relaciones con los Registros, presentar, tramitar y acceder a toda la información y a los servicios registrales disponibles.

Todas las comunicaciones, cualquiera que sea su forma y objeto, que como consecuencia de los diferentes procedimientos registrales hayan de realizar los registradores de la propiedad, mercantiles y de bienes muebles comprenderán certificación de los extremos que hayan de ser objeto de aquellas y se realizaran preferentemente por vía telemática.

La publicación de actos y comunicaciones que, por disposición legal o reglamentaria deban efectuar los registradores en tablón de anuncios o edictos, se realizará a través de la sede electrónica del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España. Todo ello sin perjuicio de la remisión que haya de hacerse de los mismos a través de dicha sede al Boletín Oficial correspondiente cuando también esté prevista su publicación en el mismo.»

Seis. Se modifica el artículo 241, que queda redactado como sigue:

«Artículo 241.

1. Las resoluciones registrales, las certificaciones registrales, diligencias de cierre del Diario y en general cualquier documento que deba ser firmado por el registrador, así como los asientos electrónicos, se firmarán con su firma electrónica cualificada.

Cuando concurra causa técnica justificada que impida al registrador durante más de seis horas acceder al sistema informático podrán realizarse las operaciones registrales imprescindibles de forma manual y en soporte papel, que será llevado en el plazo más breve posible a soporte electrónico.

2. A los efectos de crear un repositorio electrónico con la información actualizada de las fincas, en el momento de la realización de una operación registral en la que se constituya, reconozca, transmita, modifique o extinga cualquier derecho real o, en general, cualquier otra alteración registral, se generará con los datos extraídos de la aplicación un documento electrónico con información estructurada que contendrá la descripción actualizada de la finca, la referencia catastral, indicación sobre si se ha inscrito la base gráfica de la finca y el carácter de finca coordinada con Catastro, cuando consten dichos datos, su titularidad y las cargas vivas que pesen sobre aquella. Este documento electrónico permitirá al registrador comprobar la coherencia de los datos obrantes en la aplicación con los asientos registrales antes de firmar el asiento correspondiente. El documento deberá ser firmado con el sello electrónico del Registro en el mismo momento de la firma electrónica del asiento por el registrador. Lo mismo ocurrirá cuando se emita alguna información en línea a la que se refieren los artículos 222.10 y 222 bis de esta ley o alguna información permanentemente actualizada a las que se refiere el artículo 667 de la Ley de Enjuiciamiento Civil. Los datos contenidos en el último de los documentos electrónicos generados de la finca, junto con los datos de entrada y presentación, servirán para la preparación de la información registral.

3. A salvo de lo dispuesto para los asientos de presentación, todos los asientos registrales comenzarán con el Código Registral Único de la finca, facilitado desde los servicios centrales del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España; el número o letra de orden de la inscripción o anotación y, si se tratase de notas marginales, la inscripción o anotación a la que correspondan. Al final del asiento figurará el nombre, apellidos y DNI del registrador firmante y la denominación del distrito del que sea titular, todo ello extraído del certificado de firma del registrador, así como el código electrónico de verificación del asiento y la huella digital del asiento firmado electrónicamente y su fecha, suministrada por los servidores de tiempo correspondientes.»

Siete. Se modifica el artículo 242, que queda redactado como sigue:

«Artículo 242.

En los folios reales de cada finca se practicarán las inscripciones, anotaciones preventivas, cancelaciones y notas de todos los títulos sujetos a inscripción, según los artículos segundo y cuarto.

Los Registros dispondrán de una base de datos auxiliar para la gestión registral. Deberá asegurarse la correspondencia entre los datos de la base de datos auxiliar de los Registros y los asientos registrales. Para ello, sin perjuicio del contenido esencialmente literario del asiento, sus datos fundamentales solamente podrán incorporarse al asiento mediante su previa introducción en la base de datos y únicamente podrán corregirse modificando la base de datos y generando un nuevo asiento antes de su firma que sustituya al anterior. Firmado el asiento no podrá alterarse la base de datos sin rectificar el asiento, conforme a la legislación hipotecaria.

El Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España determinará los campos de la base de datos que se consideren de cumplimentación obligatoria, conforme a un modelo semántico común a todos los Registros de la Propiedad e interoperable que deberá ser aprobado por la Dirección General de Seguridad Jurídica y Fe Pública. En todo caso se considerarán datos esenciales a los efectos de lo dispuesto en este artículo los relativos a los nombres, apellidos o denominaciones y documentos identificativos de los titulares registrales, el carácter y porcentaje de su titularidad, así como las responsabilidades por cantidades y plazos de las garantías dinerarias.»

Ocho. Se modifica el artículo 243, que queda redactado como sigue:

«Artículo. 243.

El Registro de la Propiedad se llevará por fincas, abriendo un folio real en soporte electrónico particular a cada una de ellas. La calificación de los títulos referentes a una finca, la gestión, modificación y publicidad formal del contenido de dicho folio real se realizará por el registrador competente en cada caso, en función de la ubicación de la finca y la demarcación del Registro de la Propiedad correspondiente, conforme a las normas vigentes. Todas las inscripciones, anotaciones y cancelaciones posteriores relativas a la misma finca se practicarán a continuación en el folio real correspondiente a aquella.

El folio real en soporte electrónico se encabezará con la denominación oficial del Registro que corresponda y la del ayuntamiento en cuyo término municipal se encuentre la finca. La Dirección General de Seguridad Jurídica y Fe Pública podrá acordar, por razones de conveniencia pública, que un término municipal se divida en dos o más secciones, en cuyo caso se incorporará también su ordinal.

Se abrirá una sección para cada término municipal que en todo o en parte esté enclavado en el territorio de un Registro.»

Nueve. Se modifica el artículo 244, que queda redactado como sigue:

«Artículo 244.

Cuando un título comprenda varios inmuebles o derechos reales que radiquen en un mismo término municipal, la primera inscripción que se verifique contendrá todas las circunstancias prescritas en el artículo noveno, y en las otras sólo se describirá la finca, si fuere necesario, o se determinará el derecho real objeto de cada una de ellas, y se expresarán la naturaleza del acto o contrato y los nombres del transferente y adquirente, refiriéndose en todo lo demás a aquella primera inscripción y citándose su código registral único.

Si el título a que se refiere el párrafo anterior fuere de constitución de hipoteca, deberá expresarse, además de lo prescrito anteriormente, la parte de crédito de que responda cada una de las fincas o derechos y el valor que se les haya asignado para caso de subasta.»

Diez. Se modifica el artículo 245, que queda redactado como sigue:

«Artículo 245.

El procedimiento registral se iniciará mediante la presentación presencial o telemática en el Registro de la correspondiente solicitud, en la que figurará una dirección postal o electrónica a efectos de notificaciones y a la que se acompañará el documento que se trate de presentar. El modelo de solicitud de presentación será accesible, para los casos de presentación telemática, desde la Sede Electrónica del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España, para ser cumplimentado y firmado electrónicamente. También podrá cumplimentarse la solicitud en la sede electrónica para ser impresa con un código de identificación que permita la carga automática en el momento de la presentación presencial de los datos ya introducidos, e igualmente podrá descargarse el modelo sin cumplimentar, para completarlo de forma manual. Los registradores sólo admitirán la presentación en soporte papel de documentos durante las horas de apertura al público del Registro. No obstante, podrán ejecutar fuera de ellas las demás operaciones de su cargo.

Los documentos electrónicos presentados en el Registro y las copias digitalizadas de los documentos presentados en formato papel, se archivarán electrónicamente en el Registro a los efectos de su conservación y custodia en un solo legajo electrónico ordenado por número de entrada.»

Once. Se modifica el artículo 246, que queda redactado como sigue:

«Artículo 246.

1. El Libro Diario se llevará en formato y soporte electrónico. Los documentos ingresados en el Registro que puedan causar algún asiento serán presentados en el Diario electrónico mediante asientos de presentación.

A cada asiento de presentación se le asignará un código único identificador que incluirá el año y el número de presentación correlativo que corresponda. El contador se iniciará cada 1 de enero.

La prioridad registral de los títulos susceptibles de inscripción se determinará respecto de cada finca o derecho por el asiento de presentación en el que hará constar necesariamente: el momento en que éste se practique; el nombre y apellidos del presentante; el modo de ingreso, físico, telemático, o por correo, del título al que se refiere; el momento exacto de su recepción; la especie del título presentado, su fecha y autoridad o funcionario que lo expida; el derecho que se constituya, modifique, trasmita o extinga; la persona a cuyo favor se ha de practicar la inscripción, y la finca o fincas registrales a que se refiere. En caso de solicitud de constitución de hipoteca, se hará constar la responsabilidad por principal garantizada por cada finca.

2. Cuando se realice la presentación de un título que afecte a varias fincas, a todos los efectos legales, se entenderá que se trata de tantos asientos de presentación distintos como fincas registrales comprenda aquel. Por tanto, la suspensión de la calificación por existencia de asientos anteriores, la prórroga o el desistimiento se computará finca a finca.

3. Solo podrá denegarse el asiento de presentación del documento mediante causa motivada cuando el documento no sea título inscribible, resulte incompleto su contenido para extender el asiento o se refiriera a una finca para la que el Registro fuera manifiestamente incompetente. La denegación del asiento de presentación deberá notificarse en el mismo día. Contra la denegación del asiento de presentación cabrá recurso ante la Dirección General de Seguridad Jurídica y Fe Pública, que habrá de tener entrada en el Registro en el plazo de tres días hábiles desde la notificación de la denegación y deberá ser resuelto de forma expresa en los cinco días hábiles siguientes. La Dirección General notificará telemáticamente su resolución al Registro correspondiente en el mismo día en que se produzca.»

Doce. Se modifica el artículo 247, que queda redactado como sigue:

«Artículo 247.

La solicitud presencial de inscripción, acompañada de la documentación necesaria para ello, podrá presentarse en cualquier Registro de la Propiedad, Mercantil, o de Bienes Muebles.

En caso de que la presentación se efectúe en Registro distinto del competente, el registrador, a instancia del interesado, en el más breve plazo posible y en todo caso dentro del mismo día, remitirá electrónicamente al Registro competente los datos precisos para extender el asiento de presentación que proceda.

El registrador que reciba la comunicación del Registro de origen, previa calificación de su competencia y confirmación de la recepción extenderá el asiento de presentación solicitado, el cual caducará a los diez días, si no fueran presentados electrónica o presencialmente los documentos originales para la práctica del asiento. Si fueren varias las comunicaciones los asientos se practicarán por el orden de su recepción.»

Trece. Se modifica el artículo 248, que queda redactado como sigue:

«Artículo 248.

1. Se entenderá como hora de presentación de los documentos ingresados en el Registro la que conste en el asiento de presentación. Los asientos de presentación se extenderán por el orden de recepción en el libro de entrada de los respectivos títulos en el Registro.

El registrador extenderá el asiento de presentación de los títulos que reciba por correo postal certificado o servicios análogos de mensajería en el momento en que sean entregados; si se tratase de correo postal ordinario sin entrega acreditada, se extenderá al final del día, consignando en todo caso como presentante al remitente del documento.

2. Se expedirá al presentante un recibo para cada documento presentado, en el que se expresará la clase de título recibido, el día y hora de su presentación y, si procede, los datos registrales.

Todas las actuaciones del presentante en relación con el asiento de presentación se entenderán suficientemente acreditadas a los efectos del procedimiento registral a través de su oportuno reflejo en el sistema informático y en el asiento relacionado con el de presentación correspondiente.»

Catorce. Se modifica el artículo 249, que queda redactado como sigue:

«Artículo 249.

Todos los días no feriados, a la hora previamente señalada para cerrar el Registro, se cerrará el Diario por medio de una diligencia que extenderá y firmará electrónicamente el registrador inmediatamente después del último asiento que hubiere hecho. En ella se hará constar el número de asientos extendidos en el día, o la circunstancia, en su caso, de no haberse practicado ninguno.

Cuando el registrador extienda el asiento que corresponda en el libro de inscripciones lo expresará en un asiento electrónico relacionado con el Libro Diario. Estos asientos se firmarán electrónicamente e incluirán necesariamente los datos específicos de cada inscripción, la huella digital y código electrónico de verificación de todas las inscripciones que hubiera causado el título.

Las huellas digitales de los distintos asientos relacionados con los del Libro Diario se relacionarán en un sistema, diseñado y mantenido por el Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España, a los efectos de garantizar la imposibilidad de su alteración o manipulación.»

Quince. Se modifica el artículo 250, que queda redactado como sigue:

«Artículo 250.

1. Extendido el asiento de presentación, y si el registrador no hubiera aún resuelto, el presentante o el interesado podrán retirar el título presentado en formato papel, previa firma de la solicitud de devolución, sin otra nota que la expresiva de haber sido presentado y la fecha y número de presentación, la cual podrá incorporarse mediante sellado o etiqueta automatizada. La firma o conformidad de presentantes e interesados podrá recibirse en todo caso mediante tabletas digitalizadoras de firma o huella, u otros dispositivos biométricos que aseguren su autenticidad.

Respecto de los documentos presentados de forma electrónica, bastará para considerarlos igualmente retirados, si no hubieran sido despachados, la firma y remisión del formulario electrónico de solicitud de devolución que estará disponible en la sede electrónica del Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España.

Presentado un título se presumirá la solicitud de inscripción de todo el documento salvo desistimiento o solicitud de inscripción parcial del interesado o su representante o de la autoridad presentante.

No se prorrogarán los asientos de presentación de los documentos que se reintegren al Registro en los últimos quince días de su vigencia, sin que se aporten los medios de subsanación de los defectos indicados en el acuerdo de calificación, salvo interposición de recurso en tiempo y forma. Igualmente, no procederá la prórroga de los asientos de presentación de los documentos mientras se encuentren retirados, aunque se aportara durante la vigencia del asiento algún título o documento, incluso telemático, referente a los mismos, salvo que fuera aportado por quien retiró el título.

2. El desistimiento por el presentante o los interesados de su solicitud de inscripción, deberá formularse antes del efectivo despacho del título y podrá solicitarse en documento privado suscrito con firma electrónica; en documento público o en documento privado en soporte papel con firmas legitimadas notarialmente o ratificadas ante el registrador.

El desistimiento no podrá admitirse cuando del mismo se derive la imposibilidad de despachar otro documento presentado salvo que la petición del desistimiento se refiera también a éste y se trate del mismo interesado o, siendo distinto, lo solicite también éste.

Respecto de los documentos judiciales o administrativos solo procederá el desistimiento cuando se solicite por la autoridad judicial o el órgano competente que los hubiese ordenado y remitido.»

Dieciséis. Se modifica el artículo 251, que queda redactado como sigue:

«Artículo 251.

1. El contenido del Diario electrónico deberá ser actualizado en el menor plazo posible y siempre dentro del mismo día en que se presenten los títulos a inscripción, si dicha presentación se efectúa en horas de oficina. La actualización deberá realizarse con independencia del medio utilizado para la presentación de los títulos. El registrador deberá disponer de los medios materiales y personales necesarios para cumplir con la obligación de actualización.

2. Para cumplir con la obligación de actualización inmediata del contenido del Libro Diario, los registradores llevarán un Libro de Entrada electrónico donde se hará constar de modo inmediato el ingreso de los títulos o de cualquier otra comunicación o notificación dirigida al Registro, por el riguroso orden en que lo hubieran hecho, con la sola excepción de las peticiones de notas simples ordinarias.

En caso de presentación electrónica, no podrá realizarse sin que el presentante determine la finca o fincas a las que afecte el título a presentar no siendo responsable el registrador de los perjuicios que se puedan causar por una defectuosa identificación de la finca. Si fuera una entrada complementaria de otra anterior, deberá especificar, también bajo la responsabilidad del presentante, el número de entrada o asiento de presentación que complementa.

Cada entrada estará dotada de un código que estará formado por el año y el número correlativo que corresponda. El contador se iniciará cada 1 de enero.

Se adoptarán las cautelas necesarias para que en ningún caso sea posible la manipulación o alteración del orden de presentación de los títulos o de los asientos ya practicados.

El libro de entrada correspondiente a cada finca deberá ser accesible telemáticamente y de forma directa a los funcionarios y empleados a los que se les presume su interés en la consulta, de conformidad con lo dispuesto en el segundo párrafo del artículo 221 y mediante el acceso previsto en el artículo 222.10.»

Diecisiete. Se modifica el artículo 252, que queda redactado como sigue:

«Artículo 252.

1. Los títulos sujetos a inscripción en el Registro podrán presentarse en soporte papel o electrónico.

Los documentos en soporte papel podrán ser aportados al Registro dentro de las horas de apertura al público de la oficina, acudiendo personalmente o remitiéndolos por correo postal o servicio de mensajería. Efectuada la presentación de cada documento se procederá a su digitalización y vinculación electrónica al correspondiente asiento de presentación y a las fincas en él contenidas y también cuando el documento deba incorporarse a un archivo electrónico o así se establezca reglamentariamente.

En caso de presentación electrónica, el documento deberá presentarse en un formato de lenguaje natural legible por el ser humano y se acompañará o estará incluido en un fichero en formato estructurado con los datos esenciales de aquel a los efectos de su proceso electrónico, previa comprobación por el registrador. En todo caso el objeto de la calificación será el documento legible presentado siendo el fichero estructurado un elemento auxiliar, de forma que, si existiera discordancia entre ellos, prevalecerá aquel.

2. Si el título se hubiera presentado electrónicamente, se estará a las siguientes reglas:

1.ª El sistema telemático de comunicación empleado deberá generar un acuse de recibo digital mediante un sistema de sellado temporal acreditativo del tiempo exacto con expresión de la unidad temporal precisa de ingreso del título en el Registro y el código registral único de las fincas objeto del asiento, en su caso.

2.ª Si el título hubiera ingresado en horas de oficina, el registrador procederá en el mismo día a practicar el asiento de presentación correspondiente al título presentado atendiendo al orden de presentación. Si no fuera posible extender el asiento de presentación, se estará a lo dispuesto reglamentariamente. Si el título se presentara fuera de las horas de oficina, se deberá extender el asiento de presentación en el día hábil siguiente atendiendo, igualmente, al orden riguroso de presentación de aquél, de conformidad con el sellado temporal.

3.ª El registrador notificará telemáticamente en el mismo día en que se hubiera extendido el asiento de presentación su práctica, así como, en su caso, la denegación de aquel. En este último supuesto se deberán motivar suficientemente las causas impeditivas, de conformidad con el apartado cuarto del artículo 258 de la Ley Hipotecaria.

3. Los documentos solamente podrán presentarse por telefax en caso justificado de imposibilidad técnica para ser presentados electrónicamente y se asentarán en el Diario de conformidad con la regla general a excepción de los que se reciban fuera de las horas de oficina que se asentarán en el día hábil siguiente, en el momento de la apertura del Diario y tras todos los presentados electrónicamente conforme a la regla 2.ª del apartado anterior, y atendiendo al orden riguroso de recepción por telefax.

En caso de presentación por telefax el asiento de presentación caducará si en el plazo de diez días hábiles siguientes no se presenta en el Registro el título original o su copia autorizada, salvo que el documento presentado estuviera dotado de código electrónico de verificación y fuera posible comprobar su integridad y veracidad.»

Dieciocho. Se introduce una disposición adicional primera del siguiente tenor literal:

«Disposición adicional primera. Adaptación e incorporación de los principios de la administración electrónica a los procedimientos y actuaciones previstos en la legislación hipotecaria y aplicación a los Registros Mercantiles y Registros de Bienes Muebles de los procedimientos electrónicos.

1. Los Registradores de la Propiedad y Mercantiles utilizarán las tecnologías de la información, garantizando la seguridad, la disponibilidad, el acceso, la integridad, la autenticidad, la interoperabilidad, la confidencialidad y la conservación de los datos, informaciones y servicios que gestionen en el ejercicio de sus competencias.

2. Las personas naturales y jurídicas tendrán en relación con la utilización de los medios electrónicos en la actividad registral, y en los términos previstos en esta ley, los siguientes derechos:

a) A relacionarse directamente con el Registro de la Propiedad y con el Registro Mercantil y de Bienes Muebles por medios electrónicos y así podrán presentar documentos, obtener informaciones y certificaciones, realizar consultas, formular solicitudes, manifestar consentimientos, efectuar pagos, y recurrir los actos registrales de acuerdo con lo dispuesto en esta ley.

b) A no aportar los datos y documentos que obren en otros registros jurídicos, pudiendo los Registradores, en interés y por cuenta de los interesados, utilizar medios electrónicos para recabar dicha información, la cual sólo podrá ser utilizada en el concreto ámbito del procedimiento registral para el que haya sido obtenida y con la finalidad a que legalmente responda tal procedimiento.

Lo dispuesto en esta letra no afectará al propio título o documento inscribible, que deberá ser aportado al Registro en todo caso para su presentación e inicio del procedimiento registral.

c) A la igualdad en el acceso electrónico a los servicios de los Registros de la Propiedad, Mercantiles y de Bienes Muebles.

d) A conocer por medios electrónicos el estado de tramitación de los procedimientos registrales en los que sean interesados, salvo en los supuestos en que la normativa de aplicación establezca restricciones al acceso a la información sobre aquéllos.

e) A obtener certificaciones electrónicas de los documentos que formen parte de procedimientos registrales en los que tengan la condición de interesado y a solicitar información por medios telemáticos de cuantas vicisitudes afecten a sus derechos inscritos.

f) A la conservación en formato electrónico por los Registros de la Propiedad, Mercantiles y de Bienes Muebles de los documentos electrónicos que formen parte de un procedimiento registral, por el tiempo y en los términos que, de acuerdo con la normativa, señale la Dirección General de Seguridad Jurídica y Fe Pública.

g) A la utilización de sistemas que resulten adecuados para garantizar la identificación de los interesados y, en su caso, la autenticidad, integridad, confidencialidad y no repudio de los documentos electrónicos suscritos o para cualquier trámite electrónico con cualquier Registro de la Propiedad, Mercantil o de Bienes Muebles, pudiendo las personas físicas utilizar en todo caso los sistemas de firma electrónica previstos en la legislación vigente.

h) A la garantía de la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de los Registros, sin perjuicio de la publicidad registral en los términos previstos por la normativa vigente.

i) A que se garantice la accesibilidad universal a la información y a los servicios registrales electrónicos en los términos establecidos por la normativa vigente en esta materia, con objeto de que todas las personas puedan ejercer sus derechos en igualdad de condiciones, incorporando las características necesarias para garantizar la accesibilidad de aquellos colectivos que lo requieran.

3. Las previsiones recogidas en los artículos 19 bis, 222.2 y 9, y 238 a 252 así como en esta disposición adicional se aplicarán igualmente a los Registros Mercantiles y a los Registros de Bienes Muebles, en cuanto sean adecuadas a la naturaleza de los citados registros.»

Diecinueve. Se introduce una disposición adicional segunda, que queda redactada como sigue:

«Disposición adicional segunda.

Los sistemas electrónicos registrales serán interoperables con los sistemas de la Administración de Justicia para el cumplimiento de las disposiciones previstas en las leyes procesales.»

Artículo 37. Modificación de la Ley 14/2000, de 29 de diciembre, de Medidas fiscales, administrativas y del orden social.

Se introduce en el apartado Dos del artículo 43 de la Ley 14/2000, de 29 de diciembre, de Medidas fiscales, administrativas y del orden social, una letra i) en el subapartado 2 A), con la siguiente redacción:

«i) La autorización de cualquier instrumento público por videoconferencia sin observar los requisitos establecidos al efecto en la Ley del Notariado o en sus disposiciones concordantes con rango legal.»

Artículo 38. Modificación de la Ley 24/2001, de 27 de diciembre, de Medidas fiscales, administrativas y del orden social.

Uno. Se introduce un artículo 111 bis, que queda redactado como sigue:

«Artículo 111 bis. Utilización por registradores de sistemas de videoconferencia e interoperabilidad con otros Registros.

1. Los registradores podrán utilizar sistemas de videoconferencia para el ejercicio de sus respectivas funciones públicas establecidas en la Ley Hipotecaria y demás leyes que le sean de aplicación.

2. El interesado accederá a la aplicación abierta en la sede electrónica de los registradores utilizando los sistemas de identificación electrónica previstos en el artículo 9 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las administraciones públicas. Dicha aplicación deberá garantizar los principios de neutralidad tecnológica e interoperabilidad para todos aquellos que accedan a su uso.

3. Con la utilización de los sistemas de identificación y firma a que se refiere el apartado anterior se entenderá realizada válidamente la identificación, pero el interesado deberá proporcionar su teléfono, correo electrónico y, en su caso, los datos expresivos de su representación.

4. Cuando una actuación realizada por videoconferencia exija la firma de la persona interviniente por este mismo medio, requerirá, de manera general:

a) La verificación previa de la información a firmar por parte de la persona interviniente.

b) La autenticación de la persona interviniente de conformidad con lo establecido en este artículo.

c) La firma se realizará por cualquiera de los medios previstos en el artículo 10 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas. Si la persona interviniente no dispusiera de firma electrónica, se le podrá dotar gratuitamente de la misma, conforme a los medios previstos en el artículo 10 de la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las administraciones públicas. El sistema proporcionado deberá limitar su ámbito y vigencia a esa intervención.

5. Si los documentos resultantes de la actuación realizada por videoconferencia debieran ser presentados en el Registro, la presentación podrá realizarse el mismo acto por el registrador, actuando por cuenta del interesado.»

Dos. Se introduce un artículo 111 ter, que queda redactado como sigue:

«Artículo 111 ter. Interoperabilidad de los sistemas de información y comunicación de registradores y notarios.

Los sistemas de información y comunicación que se utilicen por registradores y notarios deberán ser interoperables entre sí para facilitar su comunicación e integración.»

Tres. Se introduce un apartado sexto en el artículo 112, con la siguiente redacción:

«6. En el caso de que los interesados opten por relacionarse electrónicamente con los Registros de la Propiedad, Mercantiles y de Bienes Muebles podrán utilizar, además del certificado cualificado de firma, cualquiera de los medios previstos en el artículo 10.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las administraciones públicas.»

Artículo 39. Modificación del texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio.

El texto refundido de la Ley de Sociedades de Capital, aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, queda modificado como sigue:

Uno. Se introduce un nuevo artículo 20 bis con la siguiente redacción:

«Artículo 20 bis. Definiciones.

A las normas contenidas en este título se aplicarán las definiciones que se enuncian seguidamente:

1) “Medio de identificación electrónica”: un medio de identificación electrónica tal como se define en el artículo 3, punto 2, del Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo y la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

2) “Sistema de identificación electrónica”: un sistema de identificación electrónica tal como se define en el artículo 3, punto 4, del Reglamento (UE) n.º 910/2014 y la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

3) “Medios electrónicos”: los equipos electrónicos utilizados para el tratamiento, incluida la compresión digital, y el almacenamiento de datos, a través de los cuales la información se envía desde la fuente y se recibe en su destino, siendo esa información enteramente transmitida, canalizada y recibida del modo establecido por la legislación española.

4) “Constitución”: todo el proceso de la fundación de una sociedad con arreglo a la presente ley, incluidos el otorgamiento de la escritura de constitución, así como todas las fases necesarias para la inscripción de la sociedad en el registro.

5) “Registro de una sucursal”; el proceso que conduce a la publicidad de documentos e información relativos a una sucursal de nueva apertura en un Estado miembro.

6) “Modelo”; modelo electrónico de constitución de una sociedad elaborado por los Estados miembros de conformidad con su Derecho nacional y que se utiliza para la constitución en línea de sociedades con arreglo al artículo 26 bis.»

Dos. Se modifica la rúbrica del capítulo II, título II, con la siguiente redacción:

«CAPÍTULO II. Constitución de sociedades»

Tres. Se introduce un nuevo artículo 22 bis con la siguiente redacción:

«Artículo 22 bis. Constitución de sociedades en línea.

Las sociedades de responsabilidad limitada podrán ser constituidas mediante el procedimiento íntegramente en línea sin perjuicio de la posibilidad de utilizar cualquier otro tipo de procedimiento legalmente establecido. También podrán realizarse en línea las demás operaciones inscribibles y las dirigidas al cumplimiento de obligaciones legales de la vida de dichas sociedades.

En el procedimiento íntegramente en línea para la constitución de una sociedad de responsabilidad limitada, los otorgantes podrán utilizar en la escritura pública notarial el modelo de constitución con estatutos tipo, cuyo contenido se determinará reglamentariamente.

No podrá utilizarse el procedimiento íntegramente en línea cuando la aportación de los socios al capital social se realice mediante aportaciones que no sean dinerarias.

Tanto la constitución de la sociedad como las operaciones en línea se regirán por lo dispuesto en el presente título y en la normativa sectorial que le sea de aplicación.»

Cuatro. Se introduce un nuevo capítulo, el capítulo III bis, en el título II, que se integra por los artículos 40 bis a 40 quinquies, con la siguiente redacción:

«CAPÍTULO III BIS. La constitución electrónica de la sociedad de responsabilidad limitada (constitución en línea)

Artículo 40 bis. Modelos electrónicos para la constitución electrónica.

El Ministerio de Industria, Comercio y Turismo conjuntamente con el Ministerio de Justicia, procederán a introducir las modificaciones necesarias en el Documento Único Electrónico, estatutos tipo y escritura pública estandarizada e incluirlos en su respectiva sede electrónica Estos documentos habrán de ser accesibles, también, a través de la pasarela digital única europea. Se preverá además un nudo de comunicación con la plataforma notarial.

Tales documentos modelos deberán de estar redactados en español, en las lenguas cooficiales y en inglés. El otorgamiento de la escritura pública y su inscripción, se realizará conforme a la normativa notarial y registral, respectivamente.

Artículo 40 ter. Aportaciones.

1. Las aportaciones dinerarias serán efectuadas mediante un instrumento de pago electrónico de amplia disposición en la Unión Europea. El instrumento ha de permitir la identificación de la persona que realizó el pago y debe ser proporcionado por un prestador de servicios de pago electrónico o entidad financiera establecida en un Estado miembro.

2. La documentación, valoración y transmisión de las aportaciones dinerarias serán instrumentadas electrónicamente. El notario, sin perjuicio de la calificación registral, conforme a las reglas generales, comprobará, asimismo, cuando sea necesario, que se ha acreditado la realidad y, en su caso, la valoración de las aportaciones efectuadas al capital social de la sociedad.

3. No obstante, de acuerdo con lo establecido en el apartado 2 del artículo 62 no será necesario acreditar la realidad de las aportaciones dinerarias en la constitución de sociedades de responsabilidad limitada si los fundadores manifiestan en la escritura que responderán solidariamente frente a la sociedad y frente a los acreedores sociales de la realidad de las mismas.

Artículo 40 quater. Registro mercantil e inscripción.

El Registro Mercantil competente para recibir la escritura pública de constitución y sus anexos documentales electrónicos será el del domicilio social de la sociedad que se constituya.

El procedimiento de constitución en línea, cuando se utilicen escrituras en formato estandarizado con campos codificados y estatutos tipo, se llevará a cabo en el plazo de las seis horas hábiles contadas desde el día siguiente al de la fecha del asiento de presentación o, en su caso, al de la fecha de devolución del documento retirado; a estos efectos se consideran horas hábiles las que queden comprendidas dentro del horario de apertura fijado para los registros. En los demás casos, la calificación e inscripción se llevará a cabo en un plazo máximo de cinco días laborables contados desde el siguiente al de la fecha del asiento de presentación o, en su caso, al de la fecha de devolución del documento retirado. Si la inscripción definitiva se practica vigente el asiento de presentación los efectos se retrotraerán a esta fecha.

En caso de existencia de causa justificada por razones técnicas o por especial complejidad del asunto que impida el cumplimento de dicho plazo, el Registrador mercantil deberá notificar esta circunstancia al interesado.

Artículo 40 quinquies. Excepciones.

1. La constitución electrónica de la sociedad, en la observancia de los requisitos establecidos por los artículos precedentes, se llevará a cabo íntegramente en línea y sin necesidad de que los fundadores comparezcan presencialmente ante el notario. No obstante:

(i) por razones de interés público y en orden a evitar cualquier falsificación de identidad, el notario podrá, a los efectos de comprobar la identidad exacta del fundador, requerir la comparecencia física del interesado por una sola vez.

(ii) del mismo modo dicha comparecencia física podrá ser exigida por el notario en orden a la completa comprobación de la capacidad del otorgante y, en su caso, sus efectivos poderes de representación.

En estos supuestos, el notario deberá anexar a la escritura los motivos por los que se ha exigido la presencia de los comparecientes.

2. Esta presencia física no impedirá que las restantes etapas y elementos del procedimiento electrónico de constitución de la sociedad puedan ser completadas electrónicamente.»

Cinco. En el artículo 213 se introduce un nuevo apartado, el tercero, con la siguiente redacción:

«3. A los efectos de lo dispuesto en este artículo, podrá tomarse en consideración cualquier inhabilitación o información pertinente a efectos de inhabilitación vigente en otro Estado miembro de la Unión Europea.»

TÍTULO V. Transposición de la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales, y de la Directiva (UE) 2020/1151 del Consejo, de 29 de julio de 2020, por la que se modifica la Directiva 92/83/CEE relativa a la armonización de las estructuras de los impuestos especiales sobre el alcohol y las bebidas alcohólicas

Artículo 40. Modificación de la Ley 38/1992, de 28 de diciembre, de Impuestos Especiales.

Se introducen las siguientes modificaciones en la Ley 38/1992, de 28 de diciembre, de Impuestos Especiales:

Uno. Se modifica el apartado 1 del artículo 1, que queda redactado de la siguiente forma:

«1. Los impuestos especiales son tributos de naturaleza indirecta que recaen sobre consumos específicos y gravan, en fase única, la fabricación, incluida la fabricación irregular, la importación, la entrada irregular y, en su caso, la introducción, en el ámbito territorial interno de determinados bienes, así como la matriculación de determinados medios de transporte, el suministro de energía eléctrica y la puesta a consumo de carbón, de acuerdo con las normas de esta Ley.»

Dos. Se modifica el artículo 4, que queda redactado de la siguiente forma:

«Artículo 4. Conceptos y definiciones.

A efectos de este título, se entenderá por:

1. “Ámbito territorial interno”: El territorio en el que se exigirán los impuestos especiales de fabricación conforme a lo dispuesto en el artículo 3 de esta Ley.

2. “Ámbito territorial de la Unión no interno”: El territorio de la Unión excluido el ámbito territorial interno.

3. “Autoconsumo”: El consumo o utilización de los productos objeto de los impuestos especiales de fabricación efectuado en el interior de los establecimientos donde permanecen dichos productos en régimen suspensivo.

4. “Aviación privada de recreo”: La realizada mediante la utilización de una aeronave, que no sea de titularidad pública, por su propietario o por la persona que pueda utilizarla, mediante arrendamiento o por cualquier otro título, para fines no comerciales y, en particular, para fines distintos del transporte de pasajeros o mercancías o de la prestación de servicios a título oneroso.

5. “Código Administrativo de Referencia”: Número de referencia asignado por las autoridades competentes del Estado miembro de expedición al documento administrativo electrónico, una vez que los datos del borrador han sido validados. Las referencias a este código se harán mediante las siglas «ARC».

6. “Códigos NC”: Los códigos de la nomenclatura combinada establecida por el Reglamento (CEE) n.° 2658/87, de 23 de julio de 1987. Para la determinación del ámbito objetivo de aplicación de los impuestos especiales de fabricación, serán de aplicación, con carácter general, los criterios establecidos para la clasificación de mercancías en la nomenclatura combinada y, en particular, las reglas generales para la interpretación de la nomenclatura combinada, las notas de sección y de capítulo de dicha nomenclatura, las notas explicativas del sistema armonizado de designación y codificación de mercancías del Consejo de Cooperación Aduanera, los criterios de clasificación adoptados por dicho Consejo, y las notas explicativas de la nomenclatura combinada de la Unión Europea.

No obstante, los códigos NC a que se hace referencia en los impuestos especiales sobre el alcohol y las bebidas alcohólicas se entenderán referidos a los códigos de la nomenclatura combinada contenida en el Reglamento de Ejecución (UE) 2018/1602 de la Comisión, por el que se modifica el anexo I del Reglamento (CEE) n.° 2658/87 del Consejo relativo a la nomenclatura arancelaria y estadística y al arancel aduanero común. Los códigos NC a que hace referencia el Impuesto sobre Hidrocarburos son los del Reglamento (CE) n.° 2031/2001 de la Comisión, de 6 de agosto de 2001, por el que se modifica el anexo I del Reglamento (CEE) n.° 2658/87 del Consejo relativo a la nomenclatura arancelaria y estadística y al arancel aduanero común.

7. “Depositario autorizado”: La persona o entidad a la que se refiere el apartado 4 del artículo 35 de la Ley 58/2003, de 17 de diciembre, General Tributaria, titular de una fábrica o de un depósito fiscal.

8. “Depósito de recepción”: El establecimiento del que es titular un destinatario registrado que no sea ocasional donde, en el ejercicio de su profesión y en virtud de la autorización concedida por las autoridades competentes del Estado miembro de destino, pueden recibirse productos objeto de los impuestos especiales que circulen en régimen suspensivo procedentes del territorio de otro Estado miembro.

9. “Depósito fiscal”: El establecimiento o la red de oleoductos o gaseoductos donde, en virtud de la autorización concedida y con cumplimiento de las condiciones y requisitos que se establezcan reglamentariamente, se almacenen, reciban, expidan y, en su caso, se transformen productos objeto de los impuestos especiales de fabricación en régimen suspensivo.

10. “Destinatario certificado”: Cualquier persona o entidad a la que se refiere el apartado 4 del artículo 35 de la Ley 58/2003, de 17 de diciembre, General Tributaria, registrada ante las autoridades competentes del Estado miembro de destino con el fin de recibir productos sujetos a impuestos especiales que, en el ejercicio de la profesión de dicha persona, hayan sido despachados a consumo en el territorio de un Estado miembro y posteriormente trasladados al territorio de otro Estado miembro.

11. “Destinatario registrado”: Cualquier persona o entidad a la que se refiere el apartado 4 del artículo 35 de la Ley 58/2003, de 17 de diciembre, General Tributaria, autorizada en el ejercicio de su profesión y en las condiciones que se establezcan reglamentariamente, a recibir, en un depósito de recepción del que será titular, productos sujetos a impuestos especiales que circulen en régimen suspensivo procedentes del territorio de otro Estado miembro. El destinatario registrado podrá ser autorizado, con cumplimiento de las condiciones y requisitos que se establezcan reglamentariamente, a recibir solo a título ocasional, en régimen suspensivo, una determinada expedición de productos objeto de los impuestos especiales de fabricación procedentes del territorio de otro Estado miembro. En este último caso, no será necesariamente titular de un depósito de recepción.

12. “Entrega directa”: La circulación de productos objeto de los impuestos especiales en régimen suspensivo hasta un lugar de entrega directa autorizado por las autoridades competentes del Estado miembro de destino, en las condiciones que reglamentariamente se establezcan, si dicho lugar ha sido designado por el depositario autorizado en ese Estado miembro o por el destinatario registrado.

13. “Entrada irregular”: La entrada en el territorio de la Unión de productos que no estén incluidos en el régimen de despacho a libre práctica con arreglo al artículo 201 del Reglamento (UE) n.° 952/2013 y con respecto a los que se haya contraído una deuda aduanera en virtud del artículo 79, apartado 1, de dicho Reglamento, o una deuda que se habría contraído si los bienes hubieran estado sometidos a derechos de aduana.

14. “Envíos garantizados”: El procedimiento de circulación intracomunitaria de productos objeto de los impuestos especiales de fabricación, por los que ya se ha devengado el impuesto en el territorio del Estado miembro de origen, con destino a un destinatario certificado en el Estado miembro de destino, con las restricciones que se establecen en el artículo 63 de esta Ley en cuanto a recepciones en el ámbito territorial interno, siempre que tales productos no sean expedidos o transportados, directa o indirectamente, por el expedidor o a cargo del mismo y que se cumplan las condiciones y requisitos que se establezcan reglamentariamente.

15. “Expedidor certificado”: Cualquier persona o entidad a la que se refiere el apartado 4 del artículo 35 de la Ley 58/2003, de 17 de diciembre, General Tributaria, registrada ante las autoridades competentes del Estado miembro de expedición con el fin de enviar productos sujetos a impuestos especiales que en el ejercicio de la profesión de dicha persona hayan sido despachados a consumo en el territorio de un Estado miembro y posteriormente trasladados al territorio de otro Estado miembro.

16. “Expedidor registrado”: Cualquier persona o entidad a la que se refiere el apartado 4 del artículo 35 de la Ley 58/2003, de 17 de diciembre, General Tributaria, autorizada por las autoridades competentes del Estado miembro de importación a expedir, en el ejercicio de su profesión y en las condiciones que fijen dichas autoridades, productos objeto de los impuestos especiales en régimen suspensivo solo desde el lugar de su importación en el momento de su despacho de aduana de conformidad con el artículo 201 del Reglamento (UE) n.º 952/2013.

17. “Exportación”: La salida del ámbito territorial interno de productos objeto de los impuestos especiales de fabricación con destino fuera del territorio de la Unión. No obstante, no se considerará exportación la salida del territorio de la Unión de los carburantes contenidos en los depósitos normales de vehículos y contenedores especiales y utilizados en el funcionamiento de los mismos con ocasión de su circulación de salida del referido ámbito.

18. “Fábrica”: El establecimiento donde, en virtud de la autorización concedida, con las condiciones y requisitos que se establezcan reglamentariamente, pueden extraerse, fabricarse, transformarse, almacenarse, recibirse y expedirse, en régimen suspensivo, productos objeto de los impuestos especiales de fabricación.

19. “Fabricación”: La extracción de productos objeto de los impuestos especiales de fabricación y cualquier otro proceso por el que se obtengan dichos productos a partir de otros, incluida la transformación, tal como se define en el apartado 34 de este artículo, todo ello sin perjuicio de lo establecido en el apartado 3 del artículo 15 de esta Ley.

Tendrá la consideración de fabricación irregular la realizada sin cumplir las condiciones establecidas en esta Ley y en su normativa de desarrollo.

20. “Importación”: El despacho a libre práctica de conformidad con el artículo 201 del Reglamento (UE) n.° 952/2013.

21. “Navegación marítima o aérea internacional”: La realizada partiendo del ámbito territorial interno y que concluya fuera del mismo o viceversa. Asimismo, se considera navegación marítima internacional la realizada por buques afectos a la navegación en alta mar que se dediquen al ejercicio de una actividad industrial, comercial o pesquera, distinta del transporte, siempre que la duración de la navegación, sin escala, exceda de cuarenta y ocho horas.

22. “Navegación privada de recreo”: La realizada mediante la utilización de una embarcación, que no sea de titularidad pública, por su propietario o por la persona que pueda utilizarla, mediante arrendamiento o por cualquier otro título, para fines no comerciales y, en particular, para fines distintos del transporte de pasajeros o mercancías o de la prestación de servicios a título oneroso.

23. “Productos de avituallamiento”: Las provisiones de a bordo, los combustibles, carburantes, lubricantes y demás aceites de uso técnico.

24. “Productos objeto de los impuestos especiales de fabricación”: Los productos incluidos en el ámbito objetivo de cada uno de dichos impuestos.

25. “Provisiones de a bordo”: Los productos destinados exclusivamente al consumo de la tripulación y los pasajeros.

26. “Régimen suspensivo”: El régimen fiscal, consistente en la suspensión de impuestos especiales, aplicable a la fabricación, transformación, tenencia, almacenamiento o circulación de productos objeto de los impuestos especiales.

27. “Representante fiscal”: La persona o entidad designada por un expedidor dentro del sistema de ventas a distancia, establecido en el territorio de otro Estado miembro de la Unión y autorizada por la Administración Tributaria española, previo cumplimiento de los requisitos que se establezcan reglamentariamente, para garantizar el pago, así como para efectuarlo posteriormente, en lugar del expedidor, de los impuestos especiales de fabricación correspondientes a los productos expedidos por el expedidor que representa.

28. “Terceros países”: Todo Estado o territorio al que no se le apliquen los Tratados.

29. “Terceros territorios”:

a) Los siguientes territorios comprendidos en el territorio aduanero de la Unión:

1.° En el Reino de España: Islas Canarias.

2.° Los territorios franceses a que se refieren los artículos 349 y 355, apartado 1, del Tratado de Funcionamiento de la Unión Europea.

3.° En la República de Finlandia: Islas Aland.

b) Los siguientes territorios no comprendidos en el territorio aduanero de la Unión:

1.° En la República Federal de Alemania: Isla de Heligoland y el territorio de Büsingen.

2.° En el Reino de España: Ceuta y Melilla.

3.° En la República Italiana: Livigno.

c) Los territorios comprendidos en el ámbito de aplicación del artículo 355, apartado 3, del Tratado de Funcionamiento de la Unión Europea.

30. “Territorio de un Estado miembro”: El territorio de uno de los Estados miembros a los que son aplicables los Tratados, conforme a lo previsto en los artículos 349 y 355 del Tratado de Funcionamiento de la Unión Europea, salvedad hecha de terceros territorios.

31. “Territorio de la Unión”: Los territorios de los Estados miembros.

32. “Tiendas libres de impuestos”: Establecimientos situados en el recinto de un aeropuerto o de un puerto, en la zona bajo control aduanero destinada al embarque, tránsito o llegada del viajero una vez superado el control de seguridad y/o el control de pasaporte para su acceso, ubicados en el territorio español peninsular o en las Islas Baleares que, cumpliendo los requisitos establecidos reglamentariamente, efectúen entregas de bebidas alcohólicas o de labores del tabaco libres de impuestos, a viajeros que los transporten como equipaje personal, en un vuelo o travesía marítima, con destino a un tercer país o a un territorio tercero.

Los establecimientos a que se refiere el párrafo anterior no podrán efectuar entregas de cerveza, productos intermedios y bebidas derivadas, libres de impuestos, a viajeros que las transporten como equipaje personal con destino a las Islas Canarias.

También se consideran tiendas libres de impuestos los establecimientos situados en el recinto de un aeropuerto o de un puerto de las Islas Canarias que, cumpliendo los requisitos establecidos reglamentariamente, efectúen entregas de cerveza, productos intermedios y bebidas derivadas a viajeros que las transporten como equipaje personal, en un vuelo o en una travesía marítima, con destino fuera del ámbito territorial interno.

Se asimilarán a entregas de productos efectuadas por tiendas libres de impuestos las efectuadas a bordo de una aeronave o de un buque durante un vuelo o una travesía marítima de las señaladas en los párrafos anteriores.

33. “Transformación”: Cualquier proceso de fabricación por el que se obtengan productos objeto de los impuestos especiales de fabricación a partir, total o parcialmente, de otros productos que también lo son y en el que concurra alguna de las siguientes circunstancias:

a) El producto de partida y el producto obtenido se incluyen en ámbitos objetivos de impuestos especiales de fabricación diferentes.

b) El producto de partida y el producto obtenido se incluyen en el ámbito objetivo del mismo impuesto especial de fabricación, pero el epígrafe o tipo impositivo aplicable es diferente.

c) El producto de partida y el producto obtenido se incluyen en el ámbito objetivo del mismo impuesto especial de fabricación y en el mismo epígrafe o tipo impositivo aplicable, pero, como resultado del proceso, la cantidad de producto obtenido es mayor que la cantidad empleada de producto de partida.

d) Se trate de una operación de desnaturalización o de adición de trazadores o marcadores.

34. “Ventas a distancia”: Sistema de circulación intracomunitaria de productos objeto de impuestos especiales de fabricación por los que ya se ha devengado el impuesto en el territorio de un Estado miembro de origen, que sean adquiridos por una persona distinta de un depositario autorizado, un destinatario registrado o un destinatario certificado establecida en otro Estado miembro, y que no ejerza actividades económicas independientes en relación con dichos productos, con las restricciones que se establecen en el artículo 63 de esta Ley, siempre que tales productos sean expedidos o transportados, directa o indirectamente, por un expedidor que ejerza una actividad económica independiente o por cuenta de este, y que se cumplan las condiciones y requisitos que se establezcan reglamentariamente.»

Tres. Se modifica el apartado 1 del artículo 5, que queda redactado de la siguiente forma:

«1. Están sujetas a los impuestos especiales de fabricación, la fabricación, la importación o la entrada irregular de los productos objeto de dichos impuestos dentro del territorio de la Unión.»

Cuatro. Se modifica el artículo 6, que queda redactado de la siguiente forma:

«Artículo 6. Supuestos de no sujeción.

No están sujetas en concepto de fabricación o importación:

1. Las pérdidas parciales debidas a la naturaleza de los productos objeto de los impuestos especiales de fabricación, acaecidas en régimen suspensivo durante los procesos de fabricación, transformación, tenencia, almacenamiento y transporte, siempre que, de acuerdo con las normas que reglamentariamente se establezcan, no excedan de los porcentajes fijados y se cumplan las condiciones establecidas al efecto.

No obstante, no serán de aplicación los porcentajes reglamentarios a las pérdidas parciales debidas a la naturaleza de los productos objeto de los impuestos especiales de fabricación, acaecidas en régimen suspensivo durante una circulación intracomunitaria, cuando las autoridades competentes prueben la existencia de fraude o irregularidad.

Se entiende por irregularidad toda situación que se produzca durante la circulación de productos sujetos a impuestos especiales en régimen suspensivo, excepto las mencionadas en este apartado y en el siguiente, debido a la cual una circulación, o parte de esta, de productos sujetos a impuestos especiales, no haya finalizado conforme a lo previsto reglamentariamente.

2. La destrucción total o la pérdida irremediable, total o parcial, de productos objeto de los impuestos especiales de fabricación, acaecidas en régimen suspensivo, por caso fortuito o de fuerza mayor, cuando no excedan de los porcentajes que se fijen reglamentariamente o, cuando excediendo de los mismos, se haya probado su existencia ante la Administración tributaria, por cualquiera de los medios de prueba admisibles en derecho.

3. La destrucción total o pérdida irremediable, total o parcial, de los productos objeto de los impuestos especiales de fabricación como consecuencia de la autorización de las autoridades competentes del Estado miembro en el que dicha destrucción o pérdida se haya producido, siempre que los productos se encuentren en régimen suspensivo. Se considerará que los productos han sido destruidos totalmente o han sufrido una pérdida irremediable cuando no puedan utilizarse como productos sujetos a impuestos especiales y se demuestre a satisfacción de las autoridades competentes del Estado miembro en que se hayan producido o detectado.»

Cinco. Se modifica el artículo 7, que queda redactado de la siguiente forma:

«Artículo 7. Devengo.

1. Sin perjuicio de lo establecido en los artículos 23, 28, 37 y 40, el Impuesto se devengará:

a) En los supuestos de fabricación, en el momento de la salida de los productos objeto de los impuestos especiales de fabricación de la fábrica o depósito fiscal o en el momento de su autoconsumo.

No obstante, se efectuará en régimen suspensivo la salida de los citados productos de fábrica o depósito fiscal cuando se destinen:

1.° Directamente a otras fábricas, depósitos fiscales, a una entrega directa, a un destinatario registrado o a la exportación.

2.° A la fabricación de productos que no sean objeto de los impuestos especiales de fabricación con destino a la exportación, siempre que se cumplan las condiciones que reglamentariamente se establezcan.

3.° A uno de los destinatarios a los que se refiere el artículo 16.1, letra a), apartado iv), de la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales.

4.° A la aduana de salida, cuando se prevea con arreglo al artículo 329, apartado 5, del Reglamento de Ejecución (UE) n.° 2015/2447, que sea al mismo tiempo la aduana de partida para el régimen de tránsito externo cuando así se prevea en virtud del artículo 189, apartado 4, del Reglamento Delegado (UE) n.° 2015/2446. En este supuesto el régimen suspensivo finalizará cuando los productos sean incluidos en el régimen de tránsito externo.

b) En los supuestos de importación, en el momento de su despacho de aduana de conformidad con el artículo 201 del Reglamento (UE) n.° 952/2013. No obstante, cuando los productos importados se destinen directamente a su introducción en una fábrica o un depósito fiscal, a una entrega directa, cuando circulen con destino a un destinatario registrado, a un lugar donde se produzca la salida del territorio de la Unión de los productos sujetos a impuestos especiales o a uno de los destinatarios, situados en el ámbito territorial de la Unión no interno, a los que se refiere el artículo 16.1, letra a), apartado iv), de la Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, o a la aduana de salida, cuando se prevea con arreglo al artículo 329, apartado 5, del Reglamento de Ejecución (UE) n.° 2015/2447, que sea al mismo tiempo la aduana de partida para el régimen de tránsito externo cuando así se prevea en virtud del artículo 189, apartado 4, del Reglamento Delegado (UE) n.° 2015/2446, la importación se efectuará en régimen suspensivo.

c) En los supuestos de expediciones con destino a un destinatario registrado, en el momento de la recepción por este de los productos en el lugar de destino.

d) En los supuestos de entregas directas, el devengo se producirá en el momento de la recepción de los productos sujetos en el lugar de su entrega directa.

e) En el momento de producirse las pérdidas distintas de las que originan la no sujeción al impuesto o, en caso de no conocerse este momento, en el de la comprobación de tales pérdidas, en los supuestos de tenencia, almacenamiento o circulación en régimen suspensivo de los productos objeto de los impuestos especiales de fabricación.

f) En los supuestos de ventas a distancia, en el momento de la entrega de los productos al destinatario.

g) En los supuestos de expediciones con destino a un destinatario certificado, en el momento de la recepción por este de los productos en el lugar de destino.

h) En el supuesto de irregularidades en la circulación en régimen suspensivo, en la fecha de inicio de la circulación, salvo que se pruebe cuándo fue cometida, en cuyo caso este será el momento del devengo.

i) En el supuesto de irregularidades en la circulación intracomunitaria de productos sujetos a impuestos especiales de fabricación con el impuesto devengado en otro Estado miembro, en el momento de su comisión y, de no conocerse, en el momento de su descubrimiento.

j) En el supuesto de no justificación del destino o uso indebido en la circulación de productos objeto de los impuestos especiales de fabricación que se han beneficiado de una exención o de la aplicación de un tipo reducido en razón de su destino, en el momento de su entrega al destinatario facultado para recibirlos, salvo prueba fehaciente de la fecha en la que se ha procedido a su uso indebido, en cuyo caso este será el momento del devengo. Cuando la entrega de estos productos fuese a un destinatario no facultado para recibirlos, en el momento de inicio de la circulación.

k) En los supuestos a los que se refiere la letra h) del apartado 2 del artículo 8 de esta Ley, en el momento del devengo que corresponda de acuerdo con los apartados anteriores; en caso de no conocerse ese momento, en la fecha de adquisición o inicio de la posesión de los productos por el obligado y, en su defecto, el momento de su descubrimiento.

l) En los supuestos de entrada irregular en el territorio de la Unión, en el momento del nacimiento de la deuda aduanera, a menos que la deuda aduanera se extinga en virtud del artículo 124, apartado 1, letras e), f), g) o k), del Reglamento (UE) n.° 952/2013.

m) En los supuestos de expediciones desde el territorio de otro Estado miembro con destino a los destinatarios a los que se refiere el artículo 16.1, letra a), apartado iv), de la Directiva 2020/262 del Consejo, de 19 de diciembre de 2019, en el momento de su recepción.

n) En los supuestos de fabricación irregular, en el momento en el que se tenga constancia de la obtención de los productos objeto de los impuestos especiales de fabricación.

2. No obstante lo establecido en la letra a) del apartado 1 de este artículo, cuando los productos salidos de fábrica o depósito fiscal, fuera del régimen suspensivo, no hayan podido ser entregados al destinatario, total o parcialmente, por causas ajenas al depositario autorizado expedidor, los productos podrán volver a introducirse en los establecimientos de salida, siempre que se cumplan las condiciones que se establezcan reglamentariamente, considerándose que no se produjo el devengo del impuesto con ocasión de la salida.

3. No obstante lo establecido en los apartados anteriores de este artículo, cuando la salida del gas natural de las instalaciones consideradas fábricas o depósitos fiscales se produzca en el marco de un contrato de suministro de gas natural efectuado a título oneroso, el devengo del Impuesto sobre Hidrocarburos se producirá en el momento en que resulte exigible la parte del precio correspondiente al gas natural suministrado en cada período de facturación. Lo anterior no será de aplicación cuando el gas natural sea enviado a otra fábrica, depósito fiscal o destinatario registrado, ni cuando el suministro se realice por medios diferentes a tuberías fijas.

Para la aplicación de lo previsto en la letra a) del apartado 1 de este artículo, en relación con los suministros de gas natural distintos de aquellos a los que se refiere el párrafo anterior, los sujetos pasivos podrán considerar que el conjunto del gas natural suministrado durante períodos de hasta sesenta días consecutivos ha salido de fábrica o depósito fiscal el primer día del mes natural siguiente a la conclusión del referido período.»

Seis. Se modifican los apartados 2, 3, 4 y 8 del artículo 8, que quedan redactados de la siguiente forma:

«2. Son sujetos pasivos en calidad de contribuyentes:

a) Los depositarios autorizados en los supuestos en que el devengo se produzca a la salida de una fábrica o depósito fiscal, o con ocasión del autoconsumo.

b) El declarante, como se define en el artículo 5, punto 15, del Reglamento (UE) n.° 952/2013, o cualquier otra persona, a que se refiere el artículo 77, apartado 3, de dicho Reglamento, cuando el devengo se produzca con motivo de una importación.

c) Los destinatarios registrados en relación con el impuesto devengado a la recepción de los productos.

d) Los destinatarios certificados en relación con el impuesto devengado con ocasión de la recepción de los productos a ellos destinados.

e) Los depositarios autorizados y los destinatarios registrados en los supuestos de entregas directas.

f) Cualquier persona que realice o que participe en la entrada irregular de mercancías en el territorio de la Unión.

g) Cualquier persona que realice o que participe en la fabricación irregular de productos objeto de los impuestos especiales de fabricación.

h) Quienes posean, almacenen, utilicen, comercialicen o transporten productos objeto de los impuestos especiales de fabricación, fuera de los casos previstos en el artículo 16 de esta Ley, cuando no acrediten que tales impuestos han sido satisfechos con arreglo a las disposiciones aplicables del Derecho de la Unión y de la legislación nacional.

3. Son sujetos pasivos, en calidad de sustitutos del contribuyente, los representantes fiscales a que se refiere el apartado 27 del artículo 4 de esta Ley.

También son sujetos pasivos, en calidad de sustitutos del contribuyente, quienes realicen los suministros de gas natural a título oneroso en el supuesto previsto en el párrafo primero del apartado 3 del artículo 7 de esta Ley.

4. Los depositarios autorizados estarán obligados al pago de la deuda tributaria en relación con los productos expedidos en régimen suspensivo a cualquier Estado miembro, que no hayan sido recibidos por el destinatario. A tal efecto prestarán una garantía en la forma y cuantía que se establezca reglamentariamente, con validez en toda la Unión Europea. Asimismo, los obligados tributarios de otros Estados miembros que presten en ellos la correspondiente garantía estarán obligados al pago en España de la deuda tributaria correspondiente a las irregularidades en la circulación intracomunitaria que se produzcan en el ámbito territorial interno respecto de los bienes expedidos por aquellos.

Cuando el depositario autorizado y el transportista hubiesen acordado compartir la responsabilidad a que se refiere este apartado, la Administración Tributaria podrá dirigirse contra dicho transportista a título de responsable solidario.

La responsabilidad cesará una vez que se pruebe que el destinatario se ha hecho cargo de los productos o que se ha realizado la exportación.»

«8. Cuando existan varios deudores para una misma deuda de impuestos especiales, estarán obligados al pago de dicha deuda con carácter solidario.»

Siete. Se modifican las letras c) y d) del apartado 1 del artículo 10, que quedan redactadas de la siguiente forma:

«c) Los empresarios que introduzcan productos objeto de los impuestos especiales de fabricación por los que se hubiera devengado el impuesto dentro del ámbito territorial interno, en una fábrica o en un depósito fiscal, con el fin de ser posteriormente enviados a otro Estado miembro de la Unión Europea. La devolución abarcará a las cuotas correspondientes a los productos introducidos y queda condicionada a que se acredite la recepción en el Estado de destino de acuerdo con las normas que regulan la circulación intracomunitaria en régimen suspensivo.

d) Los expedidores certificados que entreguen productos objeto de los impuestos especiales de fabricación por los que se hubiera devengado el impuesto dentro del ámbito territorial interno a destinatarios certificados en otro Estado miembro de la Unión Europea. La devolución se extenderá a las cuotas correspondientes a los productos entregados y quedará condicionada al pago del impuesto en el Estado miembro de destino.»

Ocho. Se modifican los apartados 8 y 10 del artículo 15, que quedan redactados de la siguiente forma:

«8. Con objeto de determinar que los productos a que se refiere el apartado 7 de este artículo y el apartado 1 del artículo 16 están destinados a fines comerciales, se tendrán en cuenta, entre otros, los siguientes elementos:

a) condición mercantil del tenedor de los productos sujetos a impuestos especiales y motivos por los que los tiene en su poder;

b) lugar en que se encuentran dichos productos sujetos a impuestos especiales o, en su caso, modo de transporte utilizado;

c) todo documento referente a los productos sujetos a impuestos especiales;

d) naturaleza de los productos sujetos a impuestos especiales;

e) cantidad de productos sujetos a impuestos especiales.»

«10. Con respecto a los productos objeto del Impuesto sobre Hidrocarburos, se considerará que se tienen con fines comerciales siempre que el transporte de dichos productos se efectúe mediante formas atípicas realizadas por particulares o por cuenta de estos. Se considerarán formas de transporte atípicas el transporte de carburantes que no se realice dentro del depósito de los vehículos ni en bidones de emergencia adecuados, así como el transporte de combustibles líquidos que no se realice en camiones cisterna utilizados por cuenta de operadores económicos.»

Nueve. Se modifica el artículo 16, que queda redactado de la siguiente forma:

«Artículo 16. Circulación intracomunitaria.

1. Los productos objeto de los impuestos especiales de fabricación, adquiridos por particulares en el territorio de otro Estado miembro, dentro del territorio de la Unión, en el que se ha satisfecho el impuesto vigente en el mismo, para satisfacer sus propias necesidades y transportados por ellos mismos, no estarán sometidos al impuesto vigente en el ámbito territorial interno y su circulación y tenencia por dicho ámbito no estará sujeta a condición alguna, siempre que no se destinen a fines comerciales.

2. La destrucción total o pérdida irremediable, total o parcial, de los productos sujetos a impuestos especiales, durante su transporte en el territorio de un Estado miembro distinto del Estado miembro en que se ha producido el devengo, por caso fortuito o fuerza mayor, o bien como consecuencia de la autorización de las autoridades competentes de dicho Estado miembro para destruir dichos productos, no producirá el devengo de los impuestos especiales en dicho Estado miembro.

Los productos se considerarán totalmente destruidos o perdidos de forma irremediable cuando ya no puedan utilizarse como productos sujetos a impuestos especiales.

En caso de pérdida parcial debida a la naturaleza de los productos que se produzca durante su transporte en el territorio de un Estado miembro distinto del Estado miembro en que se haya producido el devengo, el impuesto especial no será exigible en dicho Estado miembro cuando la cuantía de la pérdida se sitúe por debajo del porcentaje reglamentario establecido, a menos que las autoridades competentes del Estado miembro prueben la existencia de fraude o de irregularidad.

3. Con independencia de los supuestos contemplados en el apartado 1 anterior, los productos objeto de impuestos especiales de fabricación con origen o destino en el territorio de otro Estado miembro circularán dentro del ámbito territorial interno, con cumplimiento de los requisitos que reglamentariamente se establezcan, al amparo de alguno de los siguientes procedimientos:

a) En régimen suspensivo entre fábricas o depósitos fiscales.

b) En régimen suspensivo con destino a un destinatario registrado.

c) En régimen suspensivo desde un establecimiento del que es titular un depositario autorizado a todo lugar de salida del territorio de la Unión tal como está definido en el apartado 31 del artículo 4 de esta Ley.

d) En régimen suspensivo desde el establecimiento de un depositario autorizado establecido en el territorio de un Estado miembro distinto del de la sede del beneficiario, a los destinos a los que se refiere el artículo 11.1 de la Directiva 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales.

e) En régimen suspensivo desde el establecimiento del que es titular un depositario autorizado a la aduana de salida, cuando se prevea con arreglo al artículo 329, apartado 5, del Reglamento de Ejecución (UE) 2015/2447, que sea al mismo tiempo la aduana de partida para el régimen de tránsito externo cuando así se prevea en virtud del artículo 189, apartado 4, del Reglamento Delegado (UE) n.° 2015/2446. En este supuesto el régimen suspensivo finalizará cuando los productos sean incluidos en el régimen de tránsito externo.

f) En régimen suspensivo desde el lugar de importación, expedidos por un expedidor registrado, a un lugar en el que se haya autorizado la recepción de productos en este régimen. A efectos del presente artículo se entenderá por «lugar de importación» el sitio en el que los productos se despachen a libre práctica con arreglo al artículo 201 del Reglamento (UE) n° 952/2013.

g) En régimen suspensivo, desde el establecimiento de un depositario autorizado a un lugar de entrega directa.

h) Fuera de régimen suspensivo, con destino a un destinatario certificado.

i) Fuera de régimen suspensivo, dentro del sistema de ventas a distancia.

4. La circulación intracomunitaria en régimen suspensivo se realizará únicamente si tiene lugar al amparo de un documento administrativo electrónico tramitado de acuerdo con los requisitos que reglamentariamente se establezcan, sin perjuicio del inicio de la circulación en un documento de acompañamiento de emergencia en caso de indisponibilidad del sistema informatizado y con cumplimiento de las condiciones fijadas reglamentariamente.»

Diez. Se modifica el artículo 17, que queda redactado de la siguiente forma:

«Artículo 17. Irregularidades en la circulación intracomunitaria.

Si en el curso de una circulación entre el territorio de dos Estados miembros, o entre el territorio de un Estado miembro y un tercer país o territorio tercero a través del territorio de otro Estado miembro, una expedición de productos objeto de impuestos especiales de fabricación, o parte de ella, no es recibida por el destinatario de los productos en el territorio de la Unión o no abandona efectivamente el territorio de la Unión, si su destino era la exportación, por causas distintas a las que dan lugar a la no sujeción a estos impuestos, de acuerdo con lo establecido en el artículo 6 o en el artículo 16, apartados 1 y 2, de esta Ley, se considerará producida una irregularidad.

A) Circulación en régimen suspensivo.

1. En el caso de que, en el curso de una circulación intracomunitaria de productos objeto de impuestos especiales de fabricación en régimen suspensivo:

a) Se produzca una irregularidad en el ámbito territorial interno que dé lugar al devengo de los impuestos especiales de fabricación, dichos impuestos serán exigibles por la Administración Tributaria española.

b) Se produzca una irregularidad que dé lugar al devengo de los impuestos especiales de fabricación, no sea posible determinar el Estado miembro en que se produjo y se detecte en el ámbito territorial interno, se considerará que la irregularidad se ha producido en dicho ámbito territorial y en el momento en que se ha observado, y los impuestos especiales serán exigibles por la Administración Tributaria española.

2. Cuando los productos sujetos a impuestos especiales que circulen en régimen suspensivo desde el ámbito territorial interno no hayan llegado a destino y no se haya observado durante la circulación irregularidad alguna que entrañe el devengo de los impuestos especiales, se considerará que se ha producido una irregularidad en el Estado miembro de expedición, y los impuestos especiales serán exigibles por la Administración Tributaria española excepto si, en un plazo de cuatro meses a partir del inicio de la circulación, se aporta la prueba, a satisfacción de dicha Administración, de que los productos han sido entregados al destinatario o que la irregularidad ha tenido lugar fuera del ámbito territorial interno.

3. En los supuestos contemplados en las letras a) y b) del apartado 1 anterior, la Administración Tributaria española informará, en su caso, a las autoridades competentes del Estado miembro de expedición.

4. No obstante, si, en los supuestos contemplados en la letra b) del apartado 1 o en el apartado 2 anteriores, antes de la expiración de un período de tres años, a contar desde la fecha de comienzo de la circulación, llegara a determinarse el Estado miembro, distinto de España, en el que se ha producido realmente la irregularidad, los impuestos especiales serán exigibles por dicho Estado miembro. En ese caso, la Administración Tributaria española procederá a la devolución de los impuestos especiales percibidos, una vez que se aporten pruebas de la percepción de tales impuestos en el Estado miembro en el que realmente se produjo la irregularidad.

5. Si, en supuestos similares a los que se ha hecho referencia en la letra b) del apartado 1 o en el apartado 2 anteriores, habiéndose presumido que una irregularidad ha tenido lugar en el ámbito territorial de la Unión no interno, antes de la expiración de un período de tres años a contar desde la fecha de comienzo de la circulación, llegara a determinarse que dicha irregularidad se había producido realmente dentro del ámbito territorial interno, los impuestos especiales serán exigibles por la Administración Tributaria española, que informará de ello a las autoridades competentes del Estado miembro en que inicialmente se hubieran percibido dichos impuestos.

B) Circulación fuera del régimen suspensivo.

1. En el caso de que, en el curso de una circulación intracomunitaria de productos objeto de impuestos especiales de fabricación por los que ya se haya devengado el impuesto en el Estado miembro de expedición situado en el ámbito territorial comunitario no interno:

a) Se produzca una irregularidad en el ámbito territorial interno que dé lugar al devengo de los impuestos especiales de fabricación, dichos impuestos serán exigibles por la Administración Tributaria española.

b) Se produzca una irregularidad que dé lugar al devengo de los impuestos especiales de fabricación, no sea posible determinar el Estado miembro en que se produjo y se observe en el ámbito territorial interno, se considerará que la irregularidad se ha producido en dicho ámbito territorial y los impuestos especiales serán exigibles por la Administración Tributaria española.

2. No obstante, si, en el supuesto contemplado en la letra b) del apartado 1 anterior, antes de la expiración de un periodo de tres años, a contar desde la fecha de adquisición de los productos, llegara a determinarse el Estado miembro, distinto de España, en el que se ha producido realmente la irregularidad, los impuestos especiales serán exigibles por dicho Estado miembro. En ese caso, la Administración Tributaria española procederá a la devolución de los impuestos especiales percibidos, una vez que se aporten pruebas de la percepción de tales impuestos en el Estado miembro en el que realmente se produjo la irregularidad.

3. En el caso de productos objeto de impuestos especiales de fabricación por los que ya se haya devengado el impuesto en el ámbito territorial interno que, habiendo sido expedidos desde dicho ámbito con destino al ámbito territorial de la Unión no interno, sean objeto de una irregularidad fuera del ámbito territorial interno que dé lugar a que los impuestos especiales sean percibidos en el Estado miembro en el que dicha irregularidad haya sido producida o comprobada, la Administración Tributaria española procederá a la devolución de los impuestos especiales percibidos, una vez que se aporten pruebas de la percepción de tales impuestos en dicho Estado miembro.»

Once. Se modifica el apartado 5 del artículo 18, que queda redactado de la siguiente forma:

«5. En las importaciones o entradas irregulares, el impuesto se liquidará en la forma prevista para la deuda aduanera según lo dispuesto en la normativa aduanera.»

Doce. Se modifica el apartado 2 del artículo 21, que queda redactado de la siguiente forma:

«2. Las siguientes importaciones de bebidas alcohólicas:

a) Las conducidas personalmente por los viajeros mayores de diecisiete años procedentes de terceros países, siempre que no superen los límites cuantitativos siguientes:

1.° Un litro de alcohol o bebidas derivadas; o

2.° Dos litros de productos intermedios o vinos espumosos y bebidas fermentadas, y

3.° Cuatro litros de vino tranquilo y dieciséis litros de cerveza.

b) Los pequeños envíos expedidos, con carácter ocasional, desde un tercer país, por un particular con destino a otro particular, sin que medie pago de ninguna clase y dentro de los siguientes límites cuantitativos:

1.° Una botella con un contenido máximo de un litro de alcohol o bebidas derivadas; o

2.° Una botella con un contenido máximo de un litro de productos intermedios o vinos o bebidas fermentadas espumosos, y

3.° Dos litros de vinos y bebidas fermentadas tranquilos.»

Trece. Se modifican los apartados 1, 9, 10 y 12 del artículo 23, que quedan redactados de la siguiente forma:

«1. Sin perjuicio de lo establecido en el artículo 5, estará sujeta a los Impuestos sobre la Cerveza, sobre los Productos Intermedios y sobre el Alcohol y las Bebidas Derivadas, la introducción en las Islas Canarias de los productos comprendidos en los ámbitos objetivos de dichos impuestos, procedentes de otros Estados miembros de la Unión Europea.»

«9. Sin perjuicio de lo establecido en los artículos 9, 21 y 42, estarán exentas de los Impuestos sobre la Cerveza, sobre los Productos Intermedios y sobre el Alcohol y Bebidas Derivadas, en las condiciones que reglamentariamente se establezcan, las operaciones siguientes:

a) Las relacionadas en los artículos 9, 21 y 42, cuando sean realizadas con productos introducidos en las Islas Canarias procedentes de otros Estados miembros de la Unión Europea.

b) La expedición, desde Canarias a otros Estados miembros de la Unión Europea, de productos objeto de dichos impuestos que se encuentren en el archipiélago en régimen suspensivo, el cual se considerará así ultimado.

10. Sin perjuicio de lo establecido en los artículos 10 y 43, tendrán derecho a la devolución, parcial o total, de las cuotas previamente satisfechas, siempre que se cumplan las condiciones que se establezcan reglamentariamente:

a) Los expedidores, desde la península e Islas Baleares, de productos objeto de los Impuestos sobre Productos Intermedios y sobre el Alcohol y Bebidas Derivadas, con destino a Canarias, por el importe de las cuotas resultantes de aplicar la diferencia de tipos impositivos existentes entre dichos territorios en el momento del inicio de la expedición.

b) Los expedidores, desde Canarias, de productos objeto de los Impuestos sobre la Cerveza, sobre los Productos Intermedios y sobre el Alcohol y Bebidas Derivadas, con destino a otro Estado miembro de la Unión Europea, por el importe total de las cuotas satisfechas correspondientes a los productos expedidos.»

«12. No serán de aplicación, por lo que se refiere a las Islas Canarias, las siguientes disposiciones de esta Ley:

a) Los apartados 8, 10, 11, 12, 14, 15, 16, 27 y 34 del artículo 4.

b) Las letras d), e), g) y h) del apartado 1 del artículo 7.

c) Las letras c), d) y e) del apartado 2 y los apartados 3, 6 y 9 del artículo 8.

d) Los apartados c), d) y e) del apartado 1 del artículo 10.

e) El apartado 2 del artículo 13.

f) Los apartados 2, 3 y 4 del artículo 16.

g) El artículo 17.

h) El apartado 4 del artículo 8 y el apartado 7 del artículo 15, por lo que respecta exclusivamente, en ambos casos, a la circulación intracomunitaria.»

Catorce. Se modifica el primer párrafo de los apartados 3 y 5 del artículo 27, que quedan redactados de la siguiente forma:

«3. A efectos de esta Ley tendrán la consideración de vinos espumosos, todos los productos clasificados en los códigos NC 2204.10, 2204.21.06, 2204.21.07, 2204.21.08, 2204.21.09 y 2205, siempre que:»

«5. A efectos de esta Ley tendrán la consideración de bebidas fermentadas espumosas todos los productos incluidos en los códigos NC 2206.00.31 y 2206.00.39, así como los productos incluidos en los códigos NC 2204.10, 2204.21.06, 2204.21.07, 2204.21.08, 2204.21.09, 2204.29.10 y 2205, que no estén comprendidos en los apartados 2 y 3 anteriores, siempre que:»

Quince. Se modifican los apartados 1 y 4 del artículo 42, que quedan redactados de la siguiente forma:

«1. La fabricación e importación de alcohol que se destine a ser totalmente desnaturalizado, así como la importación de alcohol totalmente desnaturalizado, de acuerdo con el procedimiento que se establezca reglamentariamente o, en los supuestos de circulación intracomunitaria, de acuerdo con las disposiciones de otro Estado miembro de la Unión Europea.»

«4. La fabricación e importación de alcohol que se destine a la fabricación de medicamentos a que se refieren la Directiva 2001/82/CE del Parlamento Europeo y del Consejo, de 6 de noviembre de 2001, por la que se establece un código comunitario sobre medicamentos veterinarios y la Directiva 2001/83/CE del Parlamento Europeo y del Consejo, de 6 de noviembre de 2001, por la que se establece un código comunitario sobre medicamentos para uso humano.»

Dieciséis. Se modifica el apartado 2 del artículo 61, que queda redactado de la siguiente forma:

«2. Estarán igualmente exentas las siguientes importaciones de labores del tabaco:

a) Las conducidas personalmente por los viajeros mayores de diecisiete años procedentes de terceros países, siempre que no superen los límites cuantitativos siguientes:

1.° 200 cigarrillos, o

2.° 100 cigarritos, o

3.° 50 cigarros, o

4.° 250 gramos de las restantes labores.

b) Los pequeños envíos expedidos, con carácter ocasional, desde un tercer país por un particular con destino a otro particular, sin que medie pago de ninguna clase y dentro de los siguientes límites cuantitativos:

1.° 50 cigarrillos, o

2.° 25 cigarritos, o

3.° 10 cigarros, o

4.° 50 gramos de las restantes labores.»

Diecisiete. Se modifica el artículo 63, que queda redactado de la siguiente forma:

«Artículo 63. Normas particulares de gestión.

La recepción de labores del tabaco procedentes de otros Estados miembros de la Unión quedará restringida a los depositarios autorizados, destinatarios registrados, destinatarios certificados o destinatarios en el sistema de ventas a distancia que reúnan, en todos los casos, las condiciones previstas en la normativa reguladora del mercado de tabacos.»

Artículo 41. Modificación del Reglamento de los Impuestos Especiales, aprobado por el Real Decreto 1165/1995, de 7 de julio.

Se introducen las siguientes modificaciones en el Reglamento de los Impuestos Especiales, aprobado por el Real Decreto 1165/1995, de 7 de julio:

Uno. Se modifican los apartados 1, 3, 4, 5, 6, 8 y 14 del artículo 1, que quedan redactados de la siguiente forma:

«1. Albaranes de circulación. Los documentos que amparan la circulación de productos objeto de los impuestos especiales de fabricación, distintos del documento administrativo electrónico, del documento de acompañamiento de emergencia, del documento administrativo electrónico simplificado, de las marcas fiscales y de los documentos aduaneros.»

«3. Código Administrativo de Referencia. Número de referencia asignado por las autoridades competentes del Estado miembro de expedición al correspondiente documento electrónico, una vez que los datos del borrador han sido validados.

Las referencias al Código Administrativo de Referencia asignado por las autoridades competentes del Estado miembro de expedición al documento administrativo electrónico, una vez que los datos del borrador han sido validados, se harán mediante las siglas ”ARC”.

4. Documento administrativo electrónico. El documento electrónico establecido por la Directiva 2020/262/UE del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen especial de los impuestos especiales, y por el Reglamento (CE) n.° 684/2009, de la Comisión, de 24 de julio de 2009, para amparar la circulación intracomunitaria, en régimen suspensivo, de productos objeto de los impuestos especiales de fabricación.

El documento administrativo electrónico, con las adaptaciones y excepciones previstas en este Reglamento y en la normativa de desarrollo, se utilizará también para amparar la circulación de productos objeto de los impuestos especiales de fabricación en régimen suspensivo o con aplicación de una exención o a tipo reducido, con origen y destino en el ámbito territorial interno.

5. Documento administrativo electrónico simplificado. El documento electrónico establecido por la Directiva 2020/262/UE para amparar la circulación intracomunitaria de productos objeto de los impuestos especiales de fabricación, según el procedimiento de envíos garantizados.

6. Documento de acompañamiento de emergencia. El documento establecido por la Directiva 2020/262/UE y por el Reglamento (CE) n.° 684/2009, para acompañar la circulación intracomunitaria cuando el sistema de control informatizado no esté disponible en el momento de la expedición de los productos. En tales supuestos, el expedidor podrá dar inicio a la circulación con cumplimiento de los requisitos establecidos en este Reglamento y normas de desarrollo.

El documento de acompañamiento de emergencia, con las adaptaciones y excepciones previstas en este Reglamento y en la normativa de desarrollo, también se utilizará, en caso de indisponibilidad del sistema informatizado, en todos los supuestos de circulación con origen y destino en el ámbito territorial interno, que deban estar amparados en un documento administrativo electrónico.»

«8. Lugar de importación. El sitio en el que los productos se despachen a libre práctica con arreglo a lo dispuesto en el artículo 201 del Reglamento (UE) n.° 952/2013 del Parlamento Europeo y del Consejo, de 9 de octubre de 2013, por el que se establece el código aduanero de la Unión.»

«14. Sistema informatizado. Sistema de control mediante procedimientos informáticos de los movimientos de los productos objeto de los impuestos especiales.

La referencia al sistema informatizado de los movimientos de los productos objeto de los impuestos especiales basados en el documento administrativo electrónico se hará mediante las siglas ”EMCS”.»

Dos. Se modifican el primer párrafo del apartado 1 y el apartado 2 del artículo 3, que quedan redactados de la siguiente forma:

«1. Los fabricantes, a que se refiere el número 2.° de la letra a) del apartado 1 del artículo 7 de la Ley, solicitarán de la oficina gestora correspondiente al establecimiento donde se van a utilizar los productos objeto de los impuestos especiales en la fabricación de productos compensadores, autorización para recibir aquellos productos en régimen suspensivo. La solicitud irá acompañada de la siguiente documentación:»

«2. Será condición necesaria para la concesión de la autorización a que se refiere el apartado 1 anterior, la prestación de una garantía por un importe del 2,5 por 100 de las cuotas correspondientes a la cantidad máxima anual a que se refiere el apartado siguiente. Si el proveedor fuese un depositario autorizado establecido en el ámbito territorial de la Unión no interno, esta garantía surtirá también efectos en relación con la recepción de productos en régimen suspensivo como destinatario registrado.»

Tres. Se modifican los apartados 2, 4 y 5 del artículo 4, que quedan redactados de la siguiente forma:

«2. En el supuesto de la exención relativa a las adquisiciones efectuadas por las fuerzas armadas a que se refieren los párrafos c) y g) del apartado 1 del artículo 9 de la Ley, cuando se trate de los productos objeto de los impuestos sobre el alcohol y las bebidas alcohólicas, del Impuesto sobre las Labores del Tabaco o de los combustibles incluidos en el ámbito objetivo del Impuesto sobre Hidrocarburos, el procedimiento para la aplicación del beneficio se iniciará con la petición al Ministerio de Defensa de la acreditación del cumplimiento de las condiciones fijadas en los respectivos Convenios internacionales suscritos por España en el ámbito de la OTAN o en las disposiciones aplicables del Derecho de la Unión, según proceda en cada caso. Una vez obtenida dicha acreditación, el beneficiario de la exención solicitará su aplicación a la oficina gestora. En esta solicitud, a la que se acompañará la referida acreditación, se precisará la clase y cantidad de productos que se desea adquirir con exención, de acuerdo con las necesidades previstas.

La oficina gestora expedirá la autorización de suministro con exención de los impuestos especiales de fabricación, por la cantidad adecuada a las necesidades de consumo justificadas. En el certificado de exención se especificarán la naturaleza, cantidad de los productos sujetos a impuestos especiales que puedan entregarse con exención, el valor de los productos y la identidad del destinatario exento.»

«4. El suministro de los productos a que se refieren los apartados 2 y 3 anteriores deberá efectuarse del siguiente modo:

a) Si se trata de productos importados o con estatuto aduanero de mercancía no perteneciente a la Unión, desde la aduana de despacho a libre práctica o, en su caso, desde una zona franca o desde un depósito aduanero.

b) Si se trata de productos situados en el ámbito territorial interno, desde una fábrica, depósito fiscal o almacén fiscal.

c) Los asientos de data de las contabilidades de los establecimientos a que se refieren los párrafos a) y b) anteriores se justificarán con cargo a las correspondientes autorizaciones de suministro y a los ejemplares del documento de circulación a que se refiere el párrafo e) siguiente.

d) Si se trata de productos que se suministran desde el ámbito territorial de la Unión no interno, los beneficiarios de las exenciones podrán recibirlos directamente en régimen suspensivo. En este supuesto, las autorizaciones de suministro deberán expedirse en forma de «certificado de exención», en el que se especificarán la naturaleza y la cantidad de los productos sujetos a impuestos especiales que deban entregarse, el valor de los productos y la identidad del destinatario exento, cuyo modelo se establecerá por la persona titular del Ministerio de Hacienda y Función Pública y que acompañará al documento en el que esté reflejado el ARC. El beneficiario de la exención cumplimentará la notificación electrónica de recepción.

e) Cuando, en los casos previstos en los párrafos a) y b) anteriores, los productos circulen con origen y destino en el ámbito territorial interno, su circulación desde el lugar de expedición hasta su destino se amparará en un documento administrativo electrónico. El beneficiario de la exención formalizará la notificación de recepción. La oficina gestora podrá autorizar, a solicitud de dicho beneficiario, que la notificación se realice por medios distintos de los electrónicos.

5. En los supuestos de exención a que se refieren los párrafos e) y f) del apartado 1 del artículo 9 de la Ley, en relación con los impuestos especiales sobre el alcohol y las bebidas alcohólicas y el Impuesto sobre las Labores del Tabaco, el destino se acreditará conforme a lo previsto en la normativa aduanera vigente.

La persona titular del Ministerio de Hacienda y Función Pública determinará la cantidad máxima de bebidas alcohólicas y de labores del tabaco con que podrán ser avituallados, con exención del impuesto, los buques y aeronaves que vayan a efectuar una navegación marítima o aérea internacional, teniendo en cuenta la duración de dicha navegación, así como el número de tripulantes y de pasajeros.»

Cuatro. Se modifican los apartados 1, 3 y se añade el apartado 8 al artículo 5, que quedan redactados de la siguiente forma:

«1. La aplicación de las exenciones a que se refieren las letras c), d) y g) del apartado 1 del artículo 9 de la Ley se efectuará, cuando se trate del suministro de carburantes incluidos en el ámbito objetivo del Impuesto sobre Hidrocarburos, mediante la devolución de las cuotas del impuesto incluidas en el precio de los carburantes adquiridos, de acuerdo con el procedimiento que se establece en los apartados siguientes.»

«3. Cuando se trate de la adquisición de carburantes con destino a las instalaciones de las fuerzas armadas a que se refieren las letras c) y g) del apartado 1 del artículo 9 de la Ley, se seguirá el procedimiento establecido en el apartado 2 del artículo 4 de este Reglamento.

La entrega de los carburantes podrá también efectuarse por el proveedor mediante el suministro directo a los vehículos de los miembros de dichas fuerzas o del personal civil a su servicio; con este fin, el mando de las fuerzas armadas remitirá a la oficina gestora, a través del Ministerio de Defensa, una relación de los beneficiarios y de los vehículos propiedad de estos, con expresión de nombres y apellidos, números de las tarjetas especiales de identificación y matrícula de dichos vehículos. El suministro de carburantes deberá efectuarse de acuerdo con el procedimiento establecido en el apartado 2 anterior, a cuyo efecto se hará constar en la relación la entidad que cada beneficiario elija para la emisión de las tarjetas a que se refiere dicho apartado.»

«8. No obstante lo anterior, cuando se trate de importaciones de carburantes destinados a ser utilizados por los vehículos de las fuerzas armadas a que se refieren las letras c) y g) del apartado 1 del artículo 9 de la Ley, la aplicación de la exención del Impuesto sobre Hidrocarburos se efectuará por la Aduana, acreditándose ante esta su procedencia mediante la presentación, junto con los documentos exigidos por la legislación aduanera para su importación, de un certificado acreditativo del destino de los bienes, presentado por persona debidamente autorizada por la fuerza armada del Estado miembro o por el Ministerio de Defensa.»

Cinco. Se modifican la letra d) del apartado 4 y la letra c) del apartado 7 del artículo 6, que quedan redactadas de la siguiente forma:

«d) Los justificantes de haberse efectuado el pago del impuesto, cuando el solicitante sea sujeto pasivo del impuesto con ocasión de operaciones de importación o de recepciones de los productos procedentes del ámbito territorial de la Unión no interno.»

«c) En los procedimientos contemplados en los artículos 8, 9 y 10, devoluciones por envíos al ámbito territorial de la Unión no interno, el cómputo del plazo indicado comenzará a partir de la fecha en que tenga entrada en el registro de la oficina gestora la solicitud a que se refieren, respectivamente, los apartados 5, 4 y 4 de cada uno de dichos artículos.»

Seis. Se modifica el apartado 3 del artículo 7, que queda redactado de la siguiente forma:

«3. La fecha de salida del territorio de la Unión será la que se tenga en cuenta a efectos de la determinación de la cuota a devolver, si resultara de aplicación lo establecido en el apartado 2 del artículo 6 de este Reglamento.»

Siete. Se modifican el título y los apartados 1 y 7 del artículo 8, que quedan redactados de la siguiente forma:

«Artículo 8. Devoluciones por introducción en fábrica o depósito fiscal.

1. El procedimiento para la devolución del impuesto prevista en la letra c) del apartado 1 del artículo 10 de la Ley, con respecto a las cuotas correspondientes a los productos objeto de los impuestos especiales de fabricación que se introducen en una fábrica o en un depósito fiscal para su posterior envío a un destinatario domiciliado o establecido dentro del ámbito territorial de la Unión no interno, se regirá por lo que se establece en el presente artículo.»

«7. El empresario conservará a disposición de la oficina gestora y de los servicios de inspección, durante un periodo de cuatro años, las copias a que se refiere el apartado 4 de este artículo y los documentos que acrediten el pago o cargo contable de los impuestos especiales de fabricación en el ámbito territorial de la Unión no interno. Estos últimos documentos podrán sustituirse por una diligencia acreditativa de los siguientes datos:

a) La dirección de la oficina competente de las autoridades fiscales del Estado de destino.

b) La fecha en que dicha oficina aceptó la declaración y el número de referencia o de registro de esta declaración.»

Ocho. Se modifica el artículo 9, que queda redactado de la siguiente forma:

«Artículo 9. Devolución en el sistema de envíos garantizados.

1. El procedimiento para la devolución del impuesto prevista en el párrafo d) del apartado 1 del artículo 10 de la Ley, con respecto a las cuotas correspondientes a los productos objeto de los impuestos especiales de fabricación entregados por un empresario, dentro del ámbito territorial interno, para ser enviados al ámbito territorial de la Unión no interno mediante el sistema de envíos garantizados, se regirá por lo que se establece en el presente artículo.

2. El expedidor certificado deberá cerciorarse, antes de entregar los productos, que el destinatario certificado ha garantizado el pago de los impuestos especiales de fabricación en el Estado de destino.

3. Los productos circularán amparados por un documento administrativo electrónico simplificado, expedido por el expedidor certificado.

4. El expedidor certificado presentará, en la oficina gestora correspondiente a cada establecimiento desde el que se ha efectuado la entrega, una solicitud de devolución, ajustada al modelo que se apruebe por la persona titular del Ministerio de Hacienda y Función Pública, comprensiva de las entregas efectuadas por el procedimiento de envíos garantizados, por los que se haya pagado el impuesto en el ámbito territorial de la Unión no interno, durante cada trimestre.

5. La solicitud se presentará dentro de los veinte primeros días del mes siguiente al de finalización del trimestre y en ella se anotarán, por cada operación:

a) El número de referencia del documento administrativo electrónico simplificado expedido.

b) La fecha de salida.

c) El Estado miembro de destino.

d) El nombre, apellidos o razón social y domicilio del destinatario, así como su número de identificación fiscal a efectos del IVA.

e) La clase y cantidades de productos entregados de cada uno de los epígrafes de cada impuesto, expresadas en las unidades de cada epígrafe, por los que se solicita la devolución.

f) La fecha de recepción por el destinatario certificado.

g) La fecha y referencia del pago del impuesto en el Estado miembro de destino, y

h) El importe de la devolución que se solicita, calculado de acuerdo con lo establecido en el apartado 1, o, en su caso, en el apartado 2, del artículo 6 de este Reglamento.

6. A efectos de la aplicación de lo establecido en el apartado 2 del artículo 6 de este Reglamento, se considera que la operación que origina el derecho a la devolución es el pago o cargo contable del impuesto en el Estado miembro de destino.

7. El expedidor certificado conservará a disposición de la oficina gestora y de los servicios de inspección, durante un período de cuatro años, los ejemplares de los documentos administrativos electrónicos simplificados expedidos, los documentos acreditativos de haberse satisfecho el impuesto dentro del ámbito territorial interno, por los productos entregados, las notificaciones de recepción emitidas por los destinatarios certificados y los justificantes de haberse satisfecho el impuesto en el Estado miembro de destino.

8. La oficina gestora resolverá el expediente de devolución acordando, en su caso, el pago de las cuotas que correspondan.

9. Cuando se trate de productos por los que se ha devengado el impuesto con aplicación de un tipo cero, el expedidor certificado que los envíe deberá cumplimentar lo dispuesto en los apartados 2, 3 y 7 de este artículo.»

Nueve. Se modifican los apartados 1, 2 y 4 del artículo 10, que quedan redactados de la siguiente forma:

«1. El procedimiento para la devolución del impuesto prevista en el párrafo e) del apartado 1 del artículo 10 de la Ley, con respecto a las cuotas correspondientes a los productos objeto de los impuestos especiales de fabricación enviados desde el establecimiento de un empresario situado en el ámbito territorial interno, con destino a una persona domiciliada en el ámbito territorial de la Unión no interno, mediante el sistema de ventas a distancia, se regirá por lo que se establece en el presente artículo.

2. Los empresarios que deseen enviar productos objeto de los impuestos especiales de fabricación al ámbito territorial de la Unión no interno, por el procedimiento de ventas a distancia, deben solicitar su inscripción como tales en la oficina gestora correspondiente al establecimiento desde el que se efectuarán los envíos.»

«4. El empresario presentará en la oficina gestora correspondiente a cada establecimiento una solicitud de devolución, ajustada al modelo que se apruebe por la persona titular del Ministerio de Hacienda y Función Pública, comprensiva de los envíos efectuados por el procedimiento de ventas a distancia, por los que se haya pagado el impuesto en el ámbito territorial de la Unión no interno, durante cada trimestre.»

Diez. Se modifican el número 6′ de la letra a) del apartado 2 y el apartado 6 del artículo 11, que quedan redactados de la siguiente forma:

«6′. Los que se dediquen exclusivamente al almacenamiento de alcohol envasado sin desnaturalizar, fabricado por el mismo titular y que tenga un destino exento en el ámbito territorial interno o se destine al ámbito territorial de la Unión no interno o a la exportación.

Los depósitos fiscales a que se refieren los puntos 1′ y 2′ de este número podrán también expedir bebidas alcohólicas y labores del tabaco, o solo alguno de estos productos, con destino a depósitos fiscales exclusivamente autorizados para las mismas operaciones que el depósito fiscal remitente, así como efectuar las devoluciones de los productos a los proveedores de origen.»

«6. Los depósitos fiscales podrán autorizarse en instalaciones habilitadas para almacenar mercancías en cualquier régimen aduanero especial, en locales o zonas habilitadas como almacenes de depósito temporal o en zonas francas. Tal posibilidad quedará condicionada a que el control de dichas instalaciones a efectos aduaneros se integre en la contabilidad de existencias a la que se refiere la letra e) del apartado 2 de este artículo de modo que en todo momento sea posible conocer el estatuto fiscal o aduanero de las mercancías introducidas en dichas instalaciones.»

Once. Se modifican los apartados 1 y 2 del artículo 12, que quedan redactados de la siguiente forma:

«1. Los destinatarios registrados, para poder recibir productos objeto de los impuestos especiales de fabricación, en régimen suspensivo, procedentes del ámbito territorial de la Unión no interno, deberán inscribir los depósitos de recepción en los registros territoriales de las oficinas gestoras correspondientes a cada uno de estos depósitos.

2. La inscripción de los depósitos de recepción a que se refiere el apartado anterior estará condicionada a que su titular reciba habitualmente productos en régimen suspensivo procedentes del ámbito territorial de la Unión no interno. El incumplimiento de este requisito podrá dar lugar a la baja del depósito de recepción en el registro territorial en el que se hubiera inscrito.»

Doce. Se modifica el apartado 2 del artículo 13, que queda redactado de la siguiente forma:

«2. Sin perjuicio de lo establecido en el apartado 5 del artículo 15 de la Ley, los almacenes fiscales podrán autorizarse en almacenes, depósitos de recepción e instalaciones habilitadas para almacenar mercancías en cualquier régimen aduanero especial, en locales o zonas habilitadas como almacenes de depósito temporal o en zonas francas, siempre que se lleve un control contable integrado de las mercancías almacenadas, que permita conocer el estatuto aduanero y fiscal de cada una de ellas.

Podrán ser autorizadas como almacén fiscal de gas natural cualquiera de las instalaciones que comprenden el sistema gasista tal y como este se describe en el artículo 59 de la Ley 34/1998, de 7 de octubre, del Sector de Hidrocarburos. Podrán autorizarse como un único almacén fiscal varias de las referidas instalaciones siempre que su titular sea la misma persona y exista un control centralizado de estas.»

Trece. Se modifica el artículo 14, que queda redactado de la siguiente forma:

«Artículo 14. Ultimación del régimen suspensivo.

1. Las salidas de fábrica o depósito fiscal, con destino al ámbito territorial interno, de productos objeto de los impuestos especiales de fabricación, no acogidas al régimen suspensivo, se registrarán en la contabilidad de existencias del establecimiento, expidiéndose el documento de circulación que proceda.

Las operaciones de autoconsumo que generen el devengo del impuesto deberán quedar igualmente registradas en la contabilidad de existencias.

2. Cuando los productos salgan de fábrica o depósito fiscal con destino a la exportación, con salida del territorio de la Unión por una aduana situada en el ámbito territorial interno, en las casillas correspondientes del documento administrativo electrónico se hará constar el nombre y número de identificación fiscal del declarante en el lugar de exportación.

La Aduana de salida del territorio de la Unión cumplimentará la salida en el sistema electrónico de control de exportación (ECS-Export Control System) y, a través de este sistema, se volcará en el EMCS nacional.

En los supuestos a los que se refieren las letras c) y e) del apartado 3 del artículo 16 de la Ley, cuando la aduana de salida esté situada en el ámbito territorial interno, en las casillas correspondientes del documento administrativo electrónico se hará constar el nombre y número de identificación fiscal del declarante en el lugar de exportación.

La Aduana de salida del territorio de la Unión cumplimentará la salida en el sistema electrónico de control de exportación (ECS-Export Control System) y, a través de este sistema, se volcará en el EMCS nacional.

3. Los productos salidos de una fábrica o depósito fiscal, en régimen suspensivo, con destino a la exportación, podrán almacenarse durante ciento veinte días en los lugares autorizados por la autoridad aduanera competente para la presentación de las mercancías a la exportación, sin perder la condición de productos en régimen suspensivo. Tales introducciones deberán contabilizarse en el registro del titular de la autorización anteriormente mencionada, con referencia al documento administrativo electrónico que justifica el asiento de cargo y el documento de despacho de exportación que justifica el asiento de data. Durante ese mismo plazo, estos productos, o parte de ellos, podrán ser devueltos a la fábrica o depósito fiscal de salida, previa autorización de la oficina gestora en cuyo registro territorial se encuentra inscrito dicho establecimiento, amparándose la circulación en dicha autorización.

Transcurrido ese plazo de ciento veinte días, a contar desde la fecha de recepción de los productos en los lugares autorizados por la autoridad aduanera competente para la presentación de las mercancías a la exportación, sin que los productos hayan sido efectivamente exportados o devueltos a la fábrica o depósito fiscal de origen, se entenderá ultimado el régimen suspensivo. El titular de la fábrica o del depósito fiscal de salida de los productos, responsable del cumplimiento de las obligaciones tributarias derivadas de esta circunstancia, deberá comunicarla, en el plazo de quince días naturales, a la oficina gestora correspondiente al lugar en el que se encuentran los productos para que por esta se proceda a practicar la correspondiente liquidación. A los efectos que procedan, se considerará que la ultimación del régimen suspensivo se produjo el primer día hábil siguiente al del vencimiento del referido plazo.

En el supuesto señalado en el párrafo anterior, los productos en cuestión solo podrán ser retirados de los lugares autorizados por la autoridad aduanera competente para la presentación de las mercancías a la exportación, previa autorización de la oficina gestora correspondiente al lugar en que se encuentran, una vez que por esta se haya constatado que se ha procedido en los términos señalados en el párrafo anterior y que las cuotas de impuestos especiales han sido ingresadas. La salida de los productos deberá ampararse en los documentos previstos reglamentariamente.

4. Si los productos se incluyeran a un régimen especial para su posterior exportación con salida del territorio aduanero de la Unión por una aduana situada en el ámbito territorial interno, el régimen suspensivo se ultimará al producirse la inclusión.

Sin perjuicio de lo anterior, para los productos incluidos en el ámbito objetivo del Impuesto sobre Hidrocarburos se ultima el régimen suspensivo al incluirse en un régimen especial.

En la casilla correspondiente del documento administrativo electrónico se hará constar el código de la aduana que autorice la vinculación al régimen especial.

5. En los supuestos a que se refiere el artículo 3 de este Reglamento, el régimen suspensivo se ultimará con la exportación de los productos compensadores. La salida de tales productos del territorio de la Unión se acreditará en la forma prevista en la normativa aduanera.

6. En los envíos al ámbito territorial de la Unión no interno, con destino a un depositario autorizado o a un destinatario registrado, la ultimación del procedimiento de circulación intracomunitaria en régimen suspensivo se acreditará mediante una notificación de recepción de los productos objeto de los impuestos especiales presentada por el destinatario a través del EMCS.

7. En los supuestos de pérdidas, acaecidas mientras los productos se encuentran en régimen suspensivo, superiores a las correspondientes a la aplicación de los porcentajes reglamentarios de pérdidas, se estará a lo dispuesto en los artículos 15, 16 y 17 de este Reglamento.

8. En los supuestos contemplados en las letras a), b), d), f) y g) del apartado 3 del artículo 16 de la Ley, la circulación de productos en régimen suspensivo finalizará en el momento en el que el destinatario haya recibido la entrega de dichos productos. En los supuestos contemplados en la letra c) del apartado 3 del artículo 16 de la Ley, la circulación de productos en régimen suspensivo finalizará en el momento en el que los productos hayan abandonado el territorio de la Unión.

9. En los supuestos de exportaciones de productos amparadas en documentos administrativos electrónicos, desde una fábrica o depósito fiscal establecidos en el ámbito territorial interno, con salida de los productos del territorio de la Unión por una aduana no situada en dicho ámbito territorial o en los supuestos previstos en la letra e) del apartado 3 del artículo 16 de la Ley, la Agencia Estatal de Administración Tributaria cumplimentará una notificación de exportación, sobre la base de la información sobre la salida de los productos que hayan recibido de la aduana de salida en virtud del artículo 329 del Reglamento de Ejecución (UE) 2015/2447, o de la aduana en la que se realicen los trámites para la salida de los productos del territorio aduanero, en la que se certifique que los productos sujetos a impuestos especiales han abandonado el territorio de la Unión, utilizando el sistema informatizado y procederá a su remisión al titular de la fábrica o del depósito fiscal desde el que se realice la exportación.

La Aduana de salida del territorio de la Unión cumplimentará la salida en el sistema electrónico de control de exportación (ECS-Export Control System) y, a través de este sistema, se volcará en el EMCS nacional.

En los supuestos de exportaciones de productos amparadas en documentos administrativos electrónicos, desde una fábrica o depósito fiscal establecidos en el ámbito territorial de la Unión no interno, con salida de los productos del territorio de la Unión por una aduana situada en el ámbito territorial interno, la Agencia Estatal de Administración Tributaria verificará por vía electrónica los datos con base en los cuales debe cumplimentarse la notificación de exportación de conformidad con lo establecido en los párrafos anteriores de este apartado y enviará la notificación de exportación a las autoridades competentes del Estado miembro de expedición.

10. La prueba de que una circulación intracomunitaria, en régimen suspensivo, de productos objeto de impuestos especiales ha finalizado, no obstante, lo dispuesto en el artículo 32, la constituye la notificación de recepción prevista en el artículo 31.A.1 de este Reglamento o, en su caso, la notificación de exportación prevista en el apartado 9 anterior.

11. No obstante lo previsto en el apartado anterior, en el caso de la circulación intracomunitaria en los supuestos recogidos en las letras a), b), d), f) y g) del apartado 3 del artículo 16 de la Ley, en ausencia de la notificación de recepción o, en su caso, de la notificación de exportación por motivos distintos a los expuestos en el artículo 32, la prueba de que la circulación ha finalizado podrá aportarse mediante una confirmación por parte de las autoridades competentes del Estado miembro de destino, sobre la base de pruebas adecuadas, que indique que los productos han llegado efectivamente a su destino declarado.

En los supuestos a que se refieren las letras c) y e) del apartado 3 del artículo 16 de la Ley, en ausencia de la notificación de recepción o, en su caso, de la notificación de exportación por motivos distintos a los expuestos en el artículo 32, a fin de determinar que los productos sujetos a impuestos especiales han salido del territorio de la Unión:

a) Se aceptará una confirmación, por parte de las autoridades competentes del Estado miembro en que esté situada la aduana de salida, en la que se certifique que los productos sujetos a impuestos especiales han salido del territorio de la Unión, o han sido incluidos en el régimen de tránsito externo de conformidad con la letra e) del apartado 3 del artículo 16 de la Ley, como prueba adecuada de que los productos han salido del territorio de la Unión.

b) Se podrá tener en cuenta cualquiera de las siguientes pruebas:

1.º Un albarán.

2.º Un documento firmado o autenticado por el operador económico que haya sacado los productos sujetos a impuestos especiales del territorio aduanero de la Unión que certifique la salida de los mismos.

3.º Un documento en el que las autoridades aduaneras de un Estado miembro o de un tercer país certifiquen la entrega de conformidad con las normas y los procedimientos aplicables a dicha certificación en dicho Estado o país.

4.º Registros de los productos suministrados a buques, aeronaves o instalaciones en alta mar conservados por los operadores económicos.

5.º Cualquier otro medio de prueba admitido en Derecho en virtud del cual quede acreditado ante la Agencia Estatal de Administración Tributaria que los productos han salido del territorio de la Unión.

Cuando la Agencia Estatal de Administración Tributaria haya admitido la prueba adecuada de acuerdo con lo establecido en este apartado, dará por ultimada la circulación en el EMCS.

En ausencia de notificación de recepción, la oficina gestora, a solicitud del expedidor, en la que pruebe que no ha podido obtenerla por los medios que se encuentran a su disposición, podrá iniciar los procedimientos previstos en el Reglamento (UE) n.° 389/2012 del Consejo, de 2 de mayo, sobre cooperación administrativa en el ámbito de los impuestos especiales y por el que se deroga el Reglamento (CE) 2073/2004.

12. En el caso de circulación con origen y destino en el ámbito territorial interno, en ausencia de la notificación de la recepción, por motivos distintos de los expuestos en el artículo 32, la prueba de que la circulación ha finalizado podrá acreditarse ante la oficina gestora competente del expedidor mediante cualquier medio de prueba admisible en Derecho que contenga los mismos datos que la notificación de recepción.

Cuando la Agencia Estatal de Administración Tributaria haya admitido la prueba adecuada de acuerdo al párrafo anterior, dará por ultimada la circulación en el documento administrativo electrónico interno.»

Catorce. Se modifica el primer párrafo del apartado 1 de la letra B) del artículo 16, que queda redactado de la siguiente forma:

«1. Sin perjuicio de lo dispuesto en el artículo 17 de este Reglamento, las pérdidas a que se refiere el artículo 1.12 de este Reglamento, ocurridas durante la circulación intracomunitaria tanto en régimen suspensivo como fuera de él, se determinarán mediante la diferencia existente entre la cantidad consignada en el documento de circulación utilizado y la cantidad que reciba el destinatario en el ámbito territorial interno o se presente en una aduana española para su salida del territorio de la Unión.»

Quince. Se modifican los apartados 3 y 6 del artículo 17, que quedan redactados de la siguiente forma:

«3. Cuando los productos enviados desde el ámbito territorial interno, con destino al ámbito territorial de la Unión no interno o a un tercer país o territorio tercero, no lleguen a su destino o no salgan efectivamente del territorio de la Unión y no fuera posible determinar el lugar en que se produjo la irregularidad, transcurridos cuatro meses a partir de expedición sin que se haya presentado prueba suficiente de la regularidad de la operación o del lugar en que se cometió realmente la irregularidad, se considerará que esta se ha producido dentro del ámbito territorial interno, iniciándose el procedimiento para la liquidación de la deuda tributaria.»

«6. Cuando se trate de una expedición iniciada en el ámbito territorial interno, con devengo del impuesto en dicho territorio y destino en el ámbito territorial de la Unión no interno y se produzca una irregularidad fuera del ámbito territorial interno que implique la recaudación del impuesto por el Estado miembro donde aquella se produjo o comprobó, la Agencia Estatal de Administración Tributaria procederá a la devolución de los impuestos especiales percibidos, una vez que se aporten pruebas de la percepción de tales impuestos en dicho Estado miembro.»

Dieciséis. Se modifican la letra a) del apartado 3 y los apartados 6 y 7 del artículo 19, que quedan redactados de la siguiente forma:

«a) Adquisiciones efectuadas en el ámbito territorial de la Unión no interno. Cuando los bienes adquiridos:

1.° No excedan de las cantidades que figuran en el apartado 9 del artículo 15 de la Ley si se trata de bebidas alcohólicas o de tabaco, o de 5 litros si se trata de alcohol no desnaturalizado o de alcohol totalmente desnaturalizado.

2.° No circulen mediante formas de transporte atípicas, tal y como se definen en el apartado 10 del artículo 15 de la Ley, si se trata de hidrocarburos y sin perjuicio de lo dispuesto en el párrafo 3.º siguiente.

3.° No excedan de 40 kilogramos de contenido neto si se trata de gases licuados de petróleo en bombonas o de 20 kilogramos si se trata de queroseno.»

«6. Sin perjuicio de las disposiciones nacionales y de la Unión en materia de regímenes aduaneros, se considerará que están en régimen suspensivo los productos objeto de los impuestos especiales de fabricación cuando sean enviados con procedencia en el ámbito territorial interno y destino en el ámbito territorial de la Unión no interno o viceversa,

a) a través de uno o varios Estados o territorios terceros no incluidos en el territorio aduanero de la Unión Europea al amparo del régimen de tránsito interno de la Unión, conforme lo previsto en el artículo 227 del Código Aduanero de la Unión, o

b) a través de uno o varios Estados o territorios terceros no incluidos en el territorio aduanero de la Unión Europea, al amparo del Convenio TIR (Convenio de Transporte Terrestre internacional) o de conformidad con el Convenio de Estambul (Convenio ATA), en los términos admitidos por las autoridades aduaneras de la Unión.

7. La circulación de productos objeto de los impuestos especiales de fabricación, fuera de régimen suspensivo, que se inicie y finalice en el ámbito territorial interno a través del territorio de otro Estado miembro deberá ampararse por un documento administrativo electrónico simplificado. Además, el expedidor y destinatario de los bienes gravados deberán comunicar la expedición y recepción de aquellos a las oficinas gestoras de que dependan.»

Diecisiete. Se modifica el apartado 2 del artículo 20, que queda redactado de la siguiente forma:

«2. Cuando se trate de envíos al ámbito territorial de la Unión no interno por el procedimiento de envíos garantizados, el documento administrativo electrónico simplificado será expedido por el expedidor certificado que efectúe el envío en dicho procedimiento.»

Dieciocho. Se modifican los apartados 1 y 2 del artículo 21, que quedan redactados de la siguiente forma:

«1. Los documentos aptos para amparar la circulación de productos objeto de los impuestos especiales de fabricación son los siguientes:

a) Documento administrativo electrónico.

b) Documento de acompañamiento de emergencia.

c) Documento administrativo electrónico simplificado.

d) Recibos y comprobantes de entrega.

e) Marcas fiscales.

f) Albaranes de circulación.

g) Documentos aduaneros.

2. En los supuestos de expedición de un documento de circulación en soporte papel, en caso de extravío de un documento de circulación, hará sus veces una fotocopia, diligenciada por el expedidor, del ejemplar del documento de circulación que obra en su poder.»

Diecinueve. Se modifica el artículo 23, que queda redactado de la siguiente forma:

«Artículo 23. Documento administrativo electrónico simplificado.

Este documento amparará la circulación intracomunitaria de productos objeto de los impuestos especiales de fabricación, por el procedimiento de envíos garantizados.»

Veinte. Se modifican los apartados 1 y 5 del artículo 24, que quedan redactados de la siguiente forma:

«1. Cuando los productos objeto de impuestos especiales deban circular al amparo de un documento de circulación y no sea exigible la expedición de documentos administrativos electrónicos o documentos administrativos electrónicos simplificados, ni proceda la utilización de un documento aduanero, su circulación será amparada por un albarán de circulación, sin perjuicio de que, además, proceda la utilización de marcas fiscales con arreglo a lo dispuesto en el artículo 26 de este Reglamento.»

«5. En el supuesto de envíos de productos, desde el ámbito territorial de la Unión no interno con destino al ámbito territorial interno, por el procedimiento de ventas a distancia, hará las veces de albarán de circulación el ejemplar de la autorización de recepción a que se refiere el artículo 33 de este Reglamento, en los términos establecidos en el artículo 39.4 o, en su defecto, un documento comercial del expedidor y en el que se consignarán los datos señalados en el segundo párrafo del apartado 2.»

Veintiuno. Se modifican los apartados 1 y 3 del artículo 25, que quedan redactados de la siguiente forma:

«1. La circulación de productos objeto de los impuestos especiales de fabricación por el ámbito territorial interno, vinculados a un régimen aduanero especial o mientras se mantengan en situación de depósito temporal, quedará amparada, a efectos de este Reglamento, por el documento previsto en la normativa aduanera. Asimismo, se utilizará el documento aduanero de despacho para amparar la circulación de productos despachados de importación con devengo del impuesto especial a tipo general desde el lugar de importación en el ámbito territorial interno a un destino en el mismo ámbito.»

«3. Las posibles indicaciones complementarias que deban figurar en los documentos de transporte o en los documentos comerciales que sirvan de documentos de tránsito, así como las modificaciones necesarias para adaptar el procedimiento de ultimación, cuando los bienes objeto de impuestos especiales de fabricación circulen al amparo de un procedimiento simplificado de tránsito interno de la Unión, se determinarán conforme al procedimiento previsto en el artículo 52 de la Directiva 2020/262/UE.»

Veintidós. Se modifica el artículo 29, que queda redactado de la siguiente forma:

«Artículo 29. Expedición de productos que circulan al amparo de un documento administrativo electrónico.

A) Circulación intracomunitaria en régimen suspensivo.

1. La circulación de productos sujetos a impuestos especiales en régimen suspensivo al amparo de un documento administrativo electrónico se realizará en los siguientes términos:

1.° El expedidor presentará a la Agencia Estatal de Administración Tributaria un borrador de documento administrativo electrónico a través del sistema informatizado establecido en la Decisión (UE) 2020/263, EMCS, con una antelación no superior a los siete días anteriores a la fecha indicada en el documento como fecha de expedición y según las instrucciones contenidas en el Reglamento (CE) n.° 684/2009 y las normas complementarias que se establezcan.

2.° La Agencia Estatal de Administración Tributaria verificará por vía electrónica los datos consignados en el borrador de documento administrativo electrónico. Si dichos datos no son válidos, informará de ello sin demora al expedidor. Si dichos datos son válidos, la Agencia Estatal de Administración Tributaria asignará al documento un ARC y lo comunicará al expedidor.

3.° En los supuestos a que se refieren las letras a), b), d), f) y g) del apartado 3 del artículo 16 de la Ley, la Agencia Estatal de Administración Tributaria enviará sin demora el documento administrativo electrónico a las autoridades competentes del Estado miembro de destino, las cuales lo remitirán al destinatario si este es un depositario autorizado o un destinatario registrado.

Cuando los productos sujetos a impuestos especiales estén destinados a un depositario autorizado en el Estado miembro de expedición, la Agencia Estatal de Administración Tributaria remitirá directamente a dicho depositario el documento administrativo electrónico.

4.° En el supuesto a que se refieren las letras c) y e) del apartado 3 del artículo 16 de la Ley, cuando la aduana de salida esté situada fuera del ámbito territorial interno, la Agencia Estatal de Administración Tributaria enviará el documento administrativo electrónico a las autoridades competentes del Estado miembro en el que se presente la declaración de exportación en virtud del artículo 221, apartado 2, del Reglamento de Ejecución (UE) 2015/2447 (”Estado miembro de exportación”), si este difiere del Estado miembro de expedición.

El declarante deberá facilitar a las autoridades competentes del Estado miembro de exportación el código administrativo de referencia único que designa a los productos sujetos a impuestos especiales a que se refiere la declaración de exportación.

Las autoridades competentes del Estado miembro de exportación verificarán, antes de que se proceda al levante para la exportación de los productos, si los datos que figuran en el documento administrativo electrónico se corresponden con los que figuran en la declaración de exportación.

Cuando existan incoherencias entre el documento administrativo electrónico y la declaración de exportación, las autoridades competentes del Estado miembro de exportación notificarán este extremo a la Agencia Estatal de Administración Tributaria utilizando el sistema informatizado.

Cuando los productos ya no vayan a salir del territorio aduanero de la Unión, las autoridades competentes del Estado miembro de exportación notificarán este extremo a la Agencia Estatal de Administración Tributaria por medio del sistema informatizado, tan pronto como tengan conocimiento de que los productos ya no vayan a salir del territorio aduanero de la Unión. La Agencia Estatal de Administración Tributaria remitirá sin demora la notificación al expedidor. A la recepción de la notificación, el expedidor anulará el documento administrativo electrónico conforme a lo dispuesto en el apartado 6.° de este artículo, o cambiará el destino de los productos, conforme a lo dispuesto en el apartado 7.°, según convenga.

5.° El expedidor entregará a la persona que acompañe los productos sujetos a impuestos especiales, o cuando ninguna persona los acompañe, al transportista, el código administrativo de referencia único. La persona que acompañe los productos o el transportista entregará dicho código siempre que lo requieran las autoridades competentes durante toda la circulación en régimen suspensivo de impuestos especiales. No obstante, en su caso, las autoridades competentes podrán solicitar una copia impresa del documento administrativo electrónico o cualquier otro documento comercial que contenga de forma claramente identificable el código administrativo de referencia único.

6.° El expedidor podrá anular el documento administrativo electrónico en tanto no haya comenzado la circulación. Se considera que la circulación ha comenzado, en los casos contemplados en el apartado 3 del artículo 16 de la Ley, letras a), b), c), d), e) y g), en el momento en que los productos abandonan el establecimiento de expedición y, en el caso de la letra f), en el momento de su despacho de aduana.

7.° Durante la circulación en régimen suspensivo, el expedidor podrá modificar el destinatario o destino a través del EMCS, a fin de indicar uno nuevo, que habrá de ser uno de los contemplados en las letras a), b), c), e), o, en su caso, g) del apartado 3 del artículo 16 de la Ley. El procedimiento de modificación se realizará de acuerdo con el Reglamento (CE) n.° 684/2009 y las disposiciones complementarias que se establezcan. A tal efecto, el expedidor presentará, utilizando el sistema informatizado, un borrador de documento electrónico de cambio de destino a las autoridades competentes del Estado miembro de expedición.

8.° En caso de circulación de productos objeto del Impuesto sobre Hidrocarburos por vía marítima o vías de navegación interior, cuyo destinatario no se conozca con exactitud en el momento en el que el expedidor presente el borrador de documento administrativo electrónico, la oficina gestora podrá autorizar al expedidor, bien para una única expedición o bien para el conjunto de las que realice en un plazo determinado, la emisión de dicho documento sin los datos relativos al destinatario. El expedidor comunicará los citados datos relativos al destinatario a la oficina gestora tan pronto como los conozca y, a más tardar, al final de la circulación, de acuerdo con lo dispuesto en el apartado 7.º anterior. Lo dispuesto en este apartado no se aplicará a la circulación a la que se refieren las letras c) y e) del apartado 3 del artículo 16 de la Ley.

2. La Agencia Estatal de Administración Tributaria pondrá a disposición del expedidor la notificación de recepción que reciba de las autoridades competentes del Estado miembro de destino en relación con expediciones iniciadas en el ámbito territorial interno.

B) Circulación con origen y destino en el ámbito territorial interno en régimen suspensivo o con aplicación de una exención o de un tipo impositivo reducido.

1. En los supuestos de circulación en régimen suspensivo, los depositarios autorizados y expedidores registrados estarán obligados a formalizar un borrador de documento administrativo electrónico por cada expedición, cumplimentado según las instrucciones contenidas en este Reglamento y las normas complementarias que se establezcan, que será tramitado como sigue:

a. El expedidor presentará a la Agencia Estatal de Administración Tributaria un borrador de documento administrativo electrónico a través del EMCS con una antelación no superior a los siete días anteriores a la fecha indicada en el documento como fecha de expedición.

b. La Agencia Estatal de Administración Tributaria verificará por vía electrónica los datos del borrador de documento administrativo electrónico. Si dichos datos no son válidos, informará de ello sin demora al expedidor. Si dichos datos son válidos, la Agencia Estatal de Administración Tributaria asignará al documento un ARC y lo comunicará al expedidor.

c. El expedidor pondrá a disposición de la persona que acompañe los productos sujetos a impuestos especiales una copia del documento administrativo electrónico o cualquier otro documento comercial que identifique el transporte y que mencione de forma claramente identificable el ARO. Dicho documento deberá poderse presentar siempre que lo requieran las autoridades competentes durante toda la circulación en régimen suspensivo de impuestos especiales.

d. El expedidor podrá anular el documento administrativo electrónico en tanto no haya comenzado la circulación. Se considera que la circulación ha comenzado, en los casos contemplados en el apartado 3 del artículo 16 de la Ley, letras a), b), c), d), e) y g), en el momento en que los productos abandonan el establecimiento de expedición y, en el caso de la letra f), en el momento de su despacho de aduana.

e. Durante la circulación en régimen suspensivo, el expedidor podrá modificar el destino o el destinatario a través del EMCS, a fin de indicar uno nuevo, que habrá de ser un destino autorizado. El procedimiento de modificación se realizará de acuerdo con las disposiciones complementarias que se establezcan.

f. En caso de circulación de productos objeto del Impuesto sobre Hidrocarburos por vía marítima o vías de navegación interior, cuyo destinatario no se conozca con exactitud en el momento en el que el expedidor presente el borrador de documento administrativo electrónico, la oficina gestora podrá autorizar al expedidor, bien para una única expedición o bien para el conjunto de las que realice en un plazo determinado, la emisión de dicho documento sin los datos relativos al destinatario. El expedidor comunicará los citados datos relativos al destinatario a la oficina gestora tan pronto como los conozca y, a más tardar, al final de la circulación, de acuerdo con lo dispuesto en el apartado e) anterior.

2. En los supuestos de circulación de productos objeto de los impuestos especiales de fabricación con impuesto devengado con aplicación de una exención o de un tipo impositivo reducido, la formalización del documento administrativo electrónico por el expedidor se realizará de conformidad con el artículo 29.B)1.

No obstante, cuando el destinatario no esté obligado a inscribirse en el registro territorial de la oficina gestora, la circulación se realizará de acuerdo con el siguiente procedimiento:

a. El expedidor cumplimentará el borrador de documento administrativo electrónico de conformidad con lo dispuesto en el artículo 29.B).1, lo enviará a la Agencia Estatal de Administración Tributaria a través del sistema informático, y dispondrá de tres ejemplares del documento administrativo electrónico, una vez el borrador haya sido validado por esta.

b. Uno de los ejemplares deberá ser conservado en poder del expedidor y los otros dos acompañarán a los productos durante la circulación hasta su destino.

c. De los dos ejemplares que deberán acompañar a los productos durante la circulación, uno será diligenciado por el destinatario en el momento de la recepción de los productos en la forma y plazos indicados en el artículo 31.B).3 de este Reglamento, y será devuelto al expedidor en el plazo máximo de cinco días a contar desde la recepción. El expedidor comunicará a la Agencia Estatal de Administración Tributaria la falta de recepción de dicho ejemplar a través de un sistema informático que cumpla las instrucciones que se establezcan en las disposiciones de desarrollo de este Reglamento, en un plazo máximo de un mes desde la fecha de envío de los productos.

El otro ejemplar deberá ser también diligenciado y permanecerá en poder del destinatario.

d. La normativa de desarrollo regulará el tratamiento de las incidencias que se hayan podido producir durante la circulación o con motivo de la recepción de los productos.»

Veintitrés. Se modifican los apartados 4 y 5 y se añaden los apartados 6 y 7 al artículo 30, que quedan redactados de la siguiente forma:

«4. El expedidor deberá conservar el documento de acompañamiento de emergencia durante cuatro años.

5. En caso de indisponibilidad del sistema informatizado, el expedidor podrá cambiar el destino o el destinatario de los productos, tal como se prevé en el artículo 29, y comunicará dicha información a la Agencia Estatal de Administración Tributaria a través de cualquier medio que permita tener constancia de la recepción de la comunicación. A tal fin, el expedidor informará a la Agencia Estatal de Administración Tributaria antes de que tenga lugar el cambio de destino. Los apartados 2 y 4 de este artículo se aplicarán mutatis mutandis.

6. En caso de que el sistema informatizado no esté disponible en los supuestos mencionados en las letras c) y e) del apartado 3 del artículo 16 de la Ley, el expedidor facilitará al declarante una copia del documento de acompañamiento de emergencia a que se refiere la letra a) del apartado 1 de este artículo.

El declarante facilitará a las autoridades competentes del Estado miembro de exportación una copia de dicho documento de acompañamiento de emergencia cuyo contenido se corresponda con los productos sujetos a impuestos especiales declarados en la notificación de exportación, o el identificador único del documento de acompañamiento de emergencia.

7. La persona titular del Ministerio de Hacienda y Función Pública podrá establecer un modelo de documento de acompañamiento de emergencia para los casos de indisponibilidad del EMCS.»

Veinticuatro. Se modifican el primer párrafo del apartado 1 y los apartados 2, 5 y 6 de la letra A) del artículo 31, que quedan redactados de la siguiente forma:

«1. En los supuestos contemplados en las letras a), b), d) y g) del apartado 3 del artículo 16 de la Ley, los receptores de productos objeto de los impuestos especiales de fabricación que hayan circulado en régimen suspensivo, procedentes del ámbito territorial de la Unión no interno, estarán obligados a presentar, ante la Agencia Estatal de Administración Tributaria, una notificación de recepción que cumpla los siguientes requisitos:»

«2. Cuando se trate de la recepción de productos que deban llevar incorporados trazadores, marcadores o desnaturalizantes, recibidos por un destinatario registrado, tales productos deberán permanecer en los lugares de recepción al menos durante el primer día hábil siguiente a la formalización de la notificación de recepción electrónica.»

«5. No obstante lo dispuesto en los apartados anteriores, la oficina gestora podrá establecer que la notificación de recepción por los destinatarios previstos en las letras a), b), c), d) y g) del artículo 9 de la Ley se realice, por todos o por alguno de tales destinatarios, a través de procedimientos distintos de la notificación de recepción electrónica.

6. Los destinatarios registrados que reciban productos sujetos a impuestos especiales de manera ocasional, para poder recibir productos en régimen suspensivo procedentes del ámbito territorial de la Unión no interno, deberán obtener previamente una autorización de recepción, conforme a las normas siguientes:

a) Deberán presentar en la oficina gestora correspondiente al lugar de recepción de los productos, una solicitud, por cada operación, sujeta al modelo que se establezca por la persona titular del Ministerio de Hacienda y Función Pública, en la que harán constar la clase y cantidad de productos que se desea recibir, el lugar de recepción, el nombre, domicilio y números de identificación fiscal, a efectos del IVA y, en su caso, de los impuestos especiales, del expedidor y del destinatario. A la solicitud se deberá acompañar la documentación necesaria para acreditar su condición empresarial y, en su caso, el cumplimiento de las obligaciones establecidas por disposiciones específicas. En una solicitud no podrán incluirse más que productos expedidos por un solo proveedor y comprendidos en el ámbito objetivo del impuesto sobre Hidrocarburos, del Impuesto sobre las Labores del Tabaco o de los impuestos especiales sobre el alcohol y las bebidas alcohólicas.

b) Junto con la solicitud a que se refiere el apartado anterior, deberá prestarse garantía por un importe equivalente a las cuotas correspondientes a los productos que se pretende recibir. Esta garantía responde del pago de los impuestos que se devenguen.

No obstante, no será exigible la prestación de la garantía cuando se haya prestado la garantía a que se refiere el apartado 2 del artículo 3 de este Reglamento.

c) La oficina gestora, una vez comprobado, en su caso, que la garantía que se presta cubre el importe a que se refiere el apartado anterior, expedirá una autorización de recepción, sujeta al modelo que se apruebe por la persona titular del Ministerio de Hacienda y Función Pública, que pondrá a disposición del solicitante.

d) La autorización de recepción deberá contener la referencia completa de la oficina gestora que la expide, la clase y cantidad de los productos cubiertos por la garantía prestada, así como la cuantía y fecha de aceptación de la garantía. Esta autorización tendrá una validez de seis meses, a partir de la fecha de su expedición, pudiendo prorrogarse, a petición del interesado, por un período máximo de tres meses. Transcurrido el período de validez y, en su caso, el de la prórroga, sin haberse cancelado la garantía mediante alguno de los procedimientos establecidos en este artículo, se procederá a ejecutar la garantía prestada.

e) El destinatario conservará los productos recibidos en el lugar de entrega que figura en el documento administrativo electrónico o en el documento de acompañamiento de emergencia, al menos durante el primer día hábil siguiente al de la presentación de la notificación de recepción, a disposición de la administración tributaria, para que por esta puedan realizarse las comprobaciones que estime necesarias, teniendo la obligación de presentar los productos en cuanto sea requerido para ello.

f) Las cuotas devengadas deberán ingresarse, mediante autoliquidación, en el lugar, forma, plazos e impresos que establezca la persona titular del Ministerio de Hacienda y Función Pública.

No obstante lo establecido en el párrafo anterior, los productos recibidos podrán destinarse, en el propio lugar de entrega, a alguno de los fines que originen el derecho a la exención de los impuestos especiales de fabricación, siempre que se cumplan las condiciones establecidas en este Reglamento en relación con la recepción de productos con exención del impuesto.

g) La garantía prestada se cancelará con la documentación acreditativa de haber efectuado el pago del impuesto.

h) También se procederá a la cancelación de la garantía cuando se comunique a la oficina gestora haber desistido de realizar la operación proyectada devolviendo el ejemplar de la autorización de recepción a que se refiere la letra c) de este apartado 6, en el que constará la declaración del interesado, de que los productos incluidos en la autorización no se han recibido. En el supuesto de que la autorización de recepción hubiera sido expedida por medios telemáticos bastará con la comunicación del desistimiento a la oficina gestora, haciendo constar en la comunicación una declaración expresa del interesado de que los productos incluidos en la autorización no se han recibido.

i) En los supuestos a que se refiere el párrafo segundo de la letra f) anterior, se sustituirá, para la cancelación de la garantía, el documento acreditativo de haber pagado el impuesto por una fotocopia compulsada del documento contable en que conste el cargo de los productos recibidos.»

Veinticinco. Se modifica el artículo 33, que queda redactado de la siguiente forma:

«Artículo 33. Ventas a distancia.

Las reglas generales de aplicación a las autorizaciones de recepción para productos objeto de los impuestos especiales de fabricación expedidos desde el ámbito territorial de la Unión no interno, fuera del régimen suspensivo, con destino al ámbito territorial interno, por el procedimiento de ventas a distancia es el siguiente:

a) Los representantes fiscales de los expedidores deberán presentar en la oficina gestora en cuyo registro territorial estén inscritos una solicitud, sujeta al modelo que se establezca por la persona titular del Ministerio de Hacienda y Función Pública, en la que harán constar la clase y cantidad de productos que se desea recibir. En una solicitud no podrán incluirse más que productos expedidos por un solo expedidor y comprendidos en el ámbito objetivo del Impuesto sobre Hidrocarburos o del Impuesto sobre las Labores del Tabaco o de los impuestos sobre el alcohol y las bebidas alcohólicas. Se deberá respetar, en todo caso, si las hubiera, las condiciones previstas en la normativa sectorial en materia de distribución.

La solicitud de autorización de recepción de ventas a distancia podrá referirse a una operación o a un conjunto de operaciones por cada periodo de liquidación.

En la solicitud de autorización de recepción referida a una sola operación deberá hacerse constar el nombre y el número de identificación fiscal, tanto a efectos del Impuesto sobre el Valor Añadido como de los impuestos especiales, del expedidor y de su representante fiscal, así como el nombre y número de identificación fiscal del adquirente.

En la solicitud de autorización de recepción referida a varias operaciones deberá hacerse constar el nombre y el número de identificación fiscal, tanto a efectos del Impuesto sobre el Valor Añadido como de los impuestos especiales, del expedidor y de su representante fiscal. Adicionalmente, el representante fiscal deberá comunicar el nombre y número de identificación fiscal de cada uno de los adquirentes de los productos antes de la finalización del periodo de liquidación, con indicación de la clase y cantidad de productos entregados a cada uno de ellos.

b) La oficina gestora, una vez comprobado que las garantías prestadas, por el representante fiscal, según lo establecido en el apartado 8 del artículo 43, cubren el importe de las cuotas correspondientes a los productos que se pretende recibir, expedirá una autorización de recepción sujeta al modelo que se apruebe por la persona titular del Ministerio de Hacienda y Función Pública, que pondrá a disposición del solicitante.

c) La autorización de recepción deberá contener la referencia completa de la oficina gestora que la expide, la clase y cantidad de los productos cubiertos por la garantía prestada, así como la cuantía y fecha de aceptación de la garantía. Esta autorización tendrá una validez de seis meses, a partir de la fecha de su expedición, pudiendo prorrogarse, a petición del interesado, por un periodo máximo de tres meses. Transcurrido el periodo de validez y, en su caso, el de la prórroga, sin haberse cancelado la garantía, se procederá a la ejecución de la misma.

d) Las cuotas devengadas deberán ingresarse, mediante autoliquidación, por los representantes fiscales de los expedidores, en el lugar, forma, plazos e impresos que establezca la persona titular del Ministerio de Hacienda y Función Pública.

e) En el caso de que los productos a que se refiere la solicitud de autorización de recepción fueran de los que, según el apartado 1 del artículo 26, deben contenerse en recipientes o envases provistos de una precinta fiscal, tales precintas deberán ser colocadas en origen, debiendo procederse en la forma señalada en el apartado 6.b) del mencionado artículo.

f) No se autorizará la recepción de productos por el procedimiento de ventas a distancia en aquellos supuestos en que a los productos les pueda ser de aplicación un supuesto de exención o un tipo impositivo reducido.

g) Para la cancelación de la garantía prestada, el interesado deberá presentar en la oficina gestora el documento acreditativo de haber efectuado el pago del impuesto.

h) También se procederá a la cancelación de la garantía cuando se comunique a la oficina gestora haberse desistido de realizar la operación proyectada. En el supuesto de que la autorización de recepción hubiera sido expedida por medios telemáticos bastará con la comunicación del desistimiento a la oficina gestora, haciendo constar en la comunicación una declaración expresa del interesado de que los productos incluidos en la autorización no se han recibido.»

Veintiséis. Se añade el artículo 33 bis, que queda redactado de la siguiente forma:

«Artículo 33 bis. Envíos garantizados.

Las reglas generales de aplicación a las autorizaciones de recepción para productos objeto de los impuestos especiales de fabricación expedidos desde el ámbito territorial de la Unión no interno, fuera del régimen suspensivo, con destino al ámbito territorial interno, por el procedimiento de envíos garantizados son las siguientes:

a) Los destinatarios certificados que de manera ocasional reciban productos sujetos a impuestos especiales deberán presentar en la oficina gestora correspondiente al lugar donde se pretenden recibir los productos una solicitud, sujeta al modelo que se establezca por la persona titular del Ministerio de Hacienda y Función Pública, en la que harán constar la clase y cantidad de productos que se desea recibir. En una solicitud no podrán incluirse más que productos expedidos por un solo proveedor y comprendidos en el ámbito objetivo del Impuesto sobre Hidrocarburos o del Impuesto sobre las Labores del Tabaco o de los impuestos sobre el alcohol y las bebidas alcohólicas. Se deberá respetar, en todo caso, si las hubiera, las condiciones previstas en la normativa sectorial en materia de distribución.

En la solicitud de autorización deberá hacerse constar el nombre y el número de identificación fiscal, a efectos del IVA, del expedidor certificado y del destinatario certificado, así como, en su caso, el número de identificación fiscal del expedidor a efectos de los impuestos especiales. Junto con la solicitud, el destinatario certificado que reciba productos de manera ocasional deberá prestar garantía por un importe equivalente a las cuotas de impuestos especiales de fabricación que resultarían de no aplicarse ningún supuesto de exención o tipo reducido correspondientes a los productos que se pretende recibir. Esta garantía responde del pago de los impuestos especiales que se devenguen en el ámbito territorial interno.

b) Los destinatarios certificados que, de manera habitual, reciban productos sujetos a impuestos especiales deberán prestar una garantía global conforme a lo establecido en el apartado 7 del artículo 43 de este Reglamento.

c) La oficina gestora, una vez comprobado que las garantías prestadas cubren el importe de las cuotas correspondientes a los productos que se pretende recibir, expedirá una autorización de recepción sujeta al modelo que se apruebe por la persona titular del Ministerio de Hacienda y Función Pública, que pondrá a disposición del solicitante.

d) La autorización de recepción deberá contener la referencia completa de la oficina gestora que la expide, la clase y cantidad de los productos cubiertos por la garantía prestada, así como la cuantía y fecha de aceptación de la garantía. Esta autorización tendrá una validez de seis meses, a partir de la fecha de su expedición, pudiendo prorrogarse, a petición del interesado, por un periodo máximo de tres meses. Transcurrido el periodo de validez y, en su caso, el de la prórroga, sin haberse cancelado la garantía, se procederá a la ejecución de la misma.

e) Las cuotas devengadas deberán ingresarse, mediante autoliquidación, por los destinatarios certificados en el lugar, forma, plazos e impresos que establezca la persona titular del Ministerio de Hacienda y Función Pública.

No obstante lo establecido en el párrafo anterior, los productos recibidos por un destinatario certificado podrán destinarse, en el propio lugar de entrega, a alguno de los fines que originen el derecho a la exención de los impuestos especiales de fabricación, siempre que se cumplan las condiciones establecidas en este Reglamento en relación con la recepción de productos con exención del impuesto.

f) Para la cancelación de la garantía prestada, el interesado deberá presentar en la oficina gestora el documento acreditativo de haber efectuado el pago del impuesto.

g) También se procederá a la cancelación de la garantía cuando se comunique a la oficina gestora haberse desistido de realizar la operación proyectada. En el supuesto de que la autorización de recepción hubiera sido expedida por medios telemáticos bastará con la comunicación del desistimiento a la oficina gestora, haciendo constar en la comunicación una declaración expresa del interesado de que los productos incluidos en la autorización no se han recibido.»

Veintisiete. Se añade el artículo 33 ter, que queda redactado de la siguiente forma:

«Artículo 33 ter. Expedición de productos que circulan al amparo de un documento administrativo electrónico simplificado.

1. Cuando vayan a circular productos sujetos a impuestos especiales en virtud del procedimiento de envíos garantizados, el expedidor certificado presentará, valiéndose del sistema informatizado, un borrador de documento administrativo electrónico simplificado a la Agencia Estatal de Administración Tributaria.

2. La Agencia Estatal de Administración Tributaria verificará por vía electrónica los datos consignados en el borrador de documento administrativo electrónico simplificado.

Si dichos datos no son válidos, se informará de ello sin demora al expedidor certificado. Si dichos datos son válidos, la Agencia Estatal de Administración Tributaria asignará al documento un único código administrativo de referencia simplificado y lo comunicará al expedidor certificado.

3. La Agencia Estatal de Administración Tributaria transmitirá sin demora el documento administrativo electrónico simplificado a las autoridades competentes del Estado miembro de destino, que lo transmitirán al destinatario certificado.

4. El expedidor certificado entregará a la persona que acompañe los productos sujetos a impuestos especiales o, si nadie lo hace, al transportista, el código administrativo de referencia simplificado único. La persona que acompañe los productos sujetos a impuestos especiales o el transportista facilitarán dicho código a las autoridades competentes, previa solicitud, a lo largo de la circulación.

5. Durante la circulación de productos sujetos a impuestos especiales, el expedidor certificado podrá cambiar, valiéndose del sistema informatizado, el destino a otro lugar de entrega en el mismo Estado miembro explotado por el mismo destinatario certificado, o al lugar de expedición. A tal efecto, el expedidor certificado presentará, utilizando el sistema informatizado, un borrador del documento electrónico de cambio de destino a la Agencia Estatal de Administración Tributaria.»

Veintiocho. Se añade el artículo 33 quater, que queda redactado de la siguiente forma:

«Artículo 33 quater. Recepción de productos que circulan al amparo de un documento administrativo electrónico simplificado.

1. En el momento de la recepción de los productos sujetos a impuestos especiales, el destinatario certificado deberá presentar, sin demora y a más tardar en cinco días hábiles después de finalizar la circulación, salvo en casos debidamente justificados a satisfacción de las autoridades competentes, una notificación de su recepción a la Agencia Estatal de Administración Tributaria, sirviéndose del sistema informatizado.

2. La Agencia Estatal de Administración Tributaria verificará por vía electrónica los datos consignados en la notificación de recepción.

Si dichos datos no son válidos, se informará sin demora al destinatario certificado. Si dichos datos son válidos, la Agencia Estatal de Administración Tributaria facilitará a los destinatarios certificados la confirmación del registro de la notificación de recepción y la enviarán a las autoridades competentes del Estado miembro de expedición.

La notificación de recepción se considerará prueba suficiente de que el destinatario certificado ha cumplido todas las formalidades necesarias y ha efectuado, en su caso, todos los pagos de impuestos especiales adeudados en el ámbito territorial interno, o bien de que se aplica un régimen suspensivo, o de que los productos sujetos a impuestos especiales están exentos del pago del impuesto especial.

3. Las autoridades competentes del Estado miembro de expedición remitirán la notificación de recepción al expedidor certificado.

4. Los impuestos especiales pagados en el Estado miembro de expedición se devolverán, previa solicitud y sobre la base de la notificación de recepción a que hace referencia el apartado 1 anterior.»

Veintinueve. Se añade el artículo 33 quinquies, que queda redactado de la siguiente forma:

«Artículo 33 quinquies. Procedimiento a seguir al inicio de la circulación al amparo de un documento administrativo electrónico simplificado en caso de indisponibilidad del sistema informático.

1. No obstante lo dispuesto en el artículo 33 ter, cuando el sistema informatizado no esté disponible, el expedidor podrá dar inicio a la circulación de productos sujetos a impuestos especiales a condición de que:

a) Los productos vayan acompañados de un documento de acompañamiento de emergencia que contenga los mismos datos que el borrador de documento administrativo electrónico simplificado.

b) Informe a la Agencia Estatal de Administración Tributaria antes del comienzo de la circulación.

La Agencia Estatal de Administración Tributaria podrá exigir al expedidor certificado una copia del documento mencionado en la letra a) del apartado 1 de este artículo, la verificación de los datos contenidos en ella y, si la indisponibilidad del sistema informatizado es debida al expedidor, información adecuada sobre los motivos de esta antes del comienzo de la circulación.

2. Tan pronto como el sistema informatizado vuelva a estar disponible, el expedidor certificado presentará un borrador de documento administrativo electrónico simplificado, de conformidad con lo dispuesto en el artículo 33 ter.

Tan pronto como se haya verificado la validez de los datos que figuran en el borrador de documento administrativo electrónico simplificado, dicho documento sustituirá al documento de acompañamiento de emergencia mencionado en la letra a) del apartado 1 anterior. El apartado 3 del artículo 33 ter y el artículo 33 quater se aplicarán mutatis mutandis.

3. Una copia del documento de acompañamiento de emergencia deberá ser conservada por el expedidor certificado.

4. En caso de indisponibilidad del sistema informatizado en el Estado miembro de expedición, el expedidor certificado podrá cambiar el destino de los productos tal como se prevé en el apartado 5 del artículo 33 ter, y comunicará dicha información a la Agencia Estatal de Administración Tributaria por cualquier medio que permita tener constancia de la recepción de la comunicación. El expedidor certificado informará a la Agencia Estatal de Administración Tributaria antes de que comience el cambio de destino. Los apartados 2 y 3 de este artículo se aplicarán mutatis mutandis.»

Treinta. Se añade el artículo 33 sexies, que queda redactado de la siguiente forma:

«Artículo 33 sexies. Procedimiento de recepción de productos que circulan al amparo de un documento administrativo electrónico simplificado en caso de indisponibilidad del sistema informático.

1. En caso de que productos sujetos a impuestos especiales que circulen en virtud del procedimiento de envíos garantizados para los que no pueda presentarse la notificación de recepción al finalizar la circulación de conformidad con lo previsto en el artículo 33 quater, bien porque el sistema informatizado no esté disponible, bien porque aún no se hayan llevado a cabo los procedimientos a que se refiere el apartado 2 del artículo 33 quinquies, el destinatario certificado deberá presentar, salvo en casos debidamente justificados, un documento de acompañamiento de emergencia que contenga los mismos datos que la notificación de recepción y en el que se declare a la Agencia Estatal de Administración Tributaria que la circulación ha finalizado.

2. Salvo en el caso de que el destinatario certificado pueda presentar la notificación de recepción con prontitud a través del sistema informatizado con arreglo a lo dispuesto en el apartado 1 del artículo 33 quater, o salvo en casos debidamente justificados, la Agencia Estatal de Administración Tributaria enviará una copia del documento de acompañamiento de emergencia a las autoridades competentes del Estado miembro de expedición. Las autoridades competentes del Estado miembro de expedición transmitirán la copia al expedidor certificado o lo mantendrán a su disposición.

3. En cuanto el sistema informatizado vuelva a estar disponible en el Estado miembro de destino o se hayan llevado a cabo los procedimientos a que se refiere el apartado 2 del artículo 33 quinquies, el destinatario certificado presentará una notificación de recepción de conformidad con lo dispuesto el apartado 1 del artículo 33 quater. Los apartados 2 y 3 del artículo 33 quater se aplicarán mutatis mutandis.»

Treinta y uno. Se añade el artículo 33 septies, que queda redactado de la siguiente forma:

«Artículo 33 septies. Pruebas de recepción alternativas.

1. No obstante lo dispuesto en el artículo anterior, la notificación de recepción exigida en el apartado 1 del artículo 33 quater, constituirá la prueba de que los productos sujetos a impuestos especiales han sido entregados al destinatario certificado.

2. No obstante lo dispuesto en el apartado anterior, a falta de notificación de recepción por motivos distintos de los mencionados en el artículo 33 sexies, podrá aportarse una prueba alternativa de la entrega de los productos sujetos a impuestos especiales por medio de una confirmación de la Agencia Estatal de Administración Tributaria, sobre la base de elementos probatorios adecuados, de que los productos sujetos a impuestos especiales expedidos han llegado a su destino en el ámbito territorial interno.

El documento de acompañamiento de emergencia a que se refiere el artículo 33 sexies se considerará prueba suficiente a efectos del párrafo primero del presente apartado.

3. Cuando la confirmación de la Agencia Estatal de Administración Tributaria haya sido aceptada por las autoridades competentes del Estado miembro de expedición, se considerará prueba suficiente de que el destinatario certificado ha cumplido todas las formalidades necesarias y ha efectuado los pagos de los impuestos especiales adeudados al Estado miembro de destino.

4. Cuando las autoridades competentes del Estado miembro de destino confirmen la llegada de las mercancías al destinatario certificado, y esa confirmación sea aceptada por la Agencia Estatal de Administración Tributaria, se considerará probado que el destinatario certificado ha cumplido todas las formalidades necesarias y que ha efectuado los pagos de los impuestos especiales en el Estado miembro de destino.»

Treinta y dos. Se modifica el apartado 4 del artículo 39, que queda redactado de la siguiente forma:

«4. A los efectos de la letra b) del apartado 1 anterior, la acreditación de que los productos objeto de los impuestos especiales de fabricación se encuentran al amparo de un procedimiento de circulación intracomunitaria fuera del régimen suspensivo se efectuará mediante el correspondiente documento administrativo electrónico simplificado. Cuando se trate de circulación por el procedimiento de ventas a distancia, se acreditará la situación de los productos objeto de los impuestos especiales de fabricación mediante un ejemplar de la autorización de recepción a que se refiere el artículo 33 de este Reglamento en que figure la referencia al pago del impuesto y la diligencia del representante fiscal que ha intervenido en la operación.»

Treinta y tres. Se modifica el apartado 5 del artículo 40, que queda redactado de la siguiente forma:

«5. Los representantes fiscales, los expedidores y destinatarios certificados deberán inscribirse en el registro territorial de la oficina gestora correspondiente a su domicilio fiscal. Para efectuar dicha inscripción presentarán:

a) La documentación a que se refieren los párrafos a), c) y g) del apartado 2 anterior.

b) En el supuesto de representantes fiscales, el documento por el cual el expedidor establecido en el ámbito territorial de la Unión no interno le designa como su representante fiscal. En dicho documento debe constar el nombre o razón social del expedidor representado, su domicilio y los números de identificación que, a efectos del Impuesto sobre el Valor Añadido y de los Impuestos Especiales, le hayan sido asignados por la administración fiscal del Estado miembro donde esté establecido.»

Treinta y cuatro. Se modifican el apartado 7 y el primer párrafo y las letras b) y c) del apartado 11 del artículo 43, que quedan redactados de la siguiente forma:

«7. Destinatarios registrados y destinatarios certificados:

a) Base de la garantía: Importe de las cuotas devengadas durante el año anterior por el destinatario registrado a título de contribuyente o por el destinatario certificado. En su defecto, las que se estime que pudieran devengarse en un año.

b) Importe de la garantía:

1.° Destinatarios registrados de alcohol y bebidas alcohólicas (incluidos extractos y concentrados alcohólicos): 2 por 100.

El importe de esta garantía no podrá ser superior a 20.000.000 euros.

2.° Destinatarios registrados y destinatarios certificados de hidrocarburos o labores del tabaco: 0,5 por 1.000.

c) Importe mínimo: 30.000 euros, salvo en el caso de destinatarios registrados y destinatarios certificados que reciban exclusivamente cerveza, productos intermedios y extractos y concentrados alcohólicos, que se reducirá a 3.000 euros. El importe mínimo no será exigible cuando el depósito de recepción se dedique al almacenamiento exclusivo de vino y bebidas fermentadas.

d) No obstante, la garantía contemplada en este apartado no será exigible, siempre que la garantía constituida en cada uno de ellos tenga un importe igual o superior al que sería exigible por aplicación de este apartado y siempre que en la misma se indique explícitamente que responderá también de las responsabilidades que incumben al interesado en calidad de destinatario registrado:

1.° Cuando se haya prestado la garantía prevista en el apartado 2 del artículo 3 de este Reglamento.

2.° En los casos en que el titular de un almacén fiscal inscriba este en el registro territorial como depósito de recepción a efectos de adquirir la condición de destinatario registrado.

e) Los destinatarios registrados ocasionales prestarán únicamente la garantía prevista en el artículo 31.A.6.b de este Reglamento.»

«11. Depositarios autorizados expedidores de productos en régimen suspensivo con destino al ámbito territorial de la Unión no interno:

b) La garantía global a que se refiere este apartado 11 se considerará prestada por los fabricantes y titulares de depósitos fiscales por medio de las que hayan constituido con arreglo a lo previsto en los apartados 2 y 3 de este artículo, respectivamente, siempre que tales garantías:

a’) Tengan un importe superior al que resulte de la aplicación de las reglas del presente apartado.

b’) Se exprese explícitamente que es válida en todo el ámbito territorial de la Unión para responder de las obligaciones derivadas de la circulación intracomunitaria de los productos expedidos por aquellos.

c) En los envíos al ámbito territorial de la Unión no interno de productos objeto del Impuesto sobre Hidrocarburos por vía marítima o a través de conducciones fijas, podrá eximirse de la prestación de esta garantía por medio de un expediente de dispensa que se iniciará a petición del interesado dirigido a la oficina gestora, que acordará, en su caso, la dispensa previo acuerdo favorable de los Estados miembros de tránsito y destino. Las salidas de fábrica o depósito fiscal amparadas por esta garantía no computarán a efectos de la que han de prestar como establecimiento, de acuerdo con lo previsto en los apartados 2.a) y 3.a) de este artículo.»

Treinta y cinco. Se modifica el tercer párrafo del apartado 1 del artículo 105, que queda redactado de la siguiente forma:

«La aplicación de la exención requerirá la previa introducción de los biocarburantes en una fábrica o depósito fiscal situados en el ámbito territorial interno, si no se hallasen previamente en uno de estos establecimientos, o bien, tratándose de biocarburantes recibidos del ámbito territorial de la Unión no interno sin pasar por dichos establecimientos, que el receptor tenga la condición de destinatario registrado. En caso de importaciones de biocarburantes fuera de régimen suspensivo, el derecho a la aplicación de la exención se justificará ante la aduana de despacho a libre práctica.»

Treinta y seis. Se modifica el apartado 2 del artículo 112 bis, que queda redactado de la siguiente forma:

«2. Para ello presentarán, en la oficina gestora correspondiente a cada establecimiento desde el que se ha efectuado la entrega, una solicitud de devolución, ajustada al modelo que se apruebe por la persona titular del Ministerio de Hacienda y Función Pública, comprensiva de las entregas por las que se haya pagado el impuesto en el ámbito territorial de la Unión no interno, durante cada trimestre.»

Treinta y siete. Se modifica el apartado 1 del artículo 128, que queda redactado de la siguiente forma:

«1. Sin perjuicio de lo establecido en la Ley 13/1998, de 4 de mayo, de Ordenación del Mercado de Tabacos y Normativa Tributaria, y en sus disposiciones de desarrollo, los fabricantes de labores del tabaco establecidos en el territorio de la Unión o, en su caso, sus representantes o mandatarios en la Unión, así como los importadores de países terceros, comunicarán con anterioridad a la oficina gestora las labores que van a comercializar o importar en el ámbito territorial interno.»

Treinta y ocho. Se modifica la letra c) del apartado 4 del artículo 139, que queda redactada de la siguiente forma:

«c) los justificantes de haberse efectuado el pago del impuesto, cuando el solicitante sea sujeto pasivo del impuesto con ocasión de operaciones de importación o de recepciones de los productos procedentes del ámbito territorial de la Unión.»

Treinta y nueve. Se modifica el primer párrafo del apartado 2 del artículo 143, que queda redactado de la siguiente forma:

«2. En el supuesto de la exención relativa a la electricidad suministrada a las Fuerzas Armadas a que se refieren los números 3 y 10 del citado artículo 94 de la Ley, el procedimiento para la aplicación del beneficio se iniciará con la petición al Ministerio de Defensa de la acreditación del cumplimiento de las condiciones fijadas en los respectivos Convenios internacionales suscritos por España en el ámbito de la OTAN o en las disposiciones aplicables del Derecho de la Unión según proceda en cada caso. Una vez obtenida dicha acreditación, el beneficiario de la exención solicitará su aplicación a la oficina gestora. En esta solicitud, a la que se acompañará la referida acreditación, se indicará la cantidad de energía eléctrica, expresada en kilovatios hora (kWh), que se precisa que sea suministrada al amparo de la exención, de acuerdo con las necesidades previstas. La oficina gestora expedirá, en su caso, la autorización para la aplicación de la exención respecto del suministro de energía eléctrica que se considere adecuado a las necesidades de consumo justificadas.»

Cuarenta. Se introduce una disposición transitoria cuarta, que queda redactada de la siguiente forma:

«Disposición transitoria cuarta. Recepción de productos mediante el sistema de envíos garantizados.

Hasta el 31 de diciembre de 2023 se permitirá la recepción de productos sujetos a impuestos especiales con arreglo a los trámites establecidos en los artículos 33, 34 y 35 de la Directiva 2008/118/CE del Consejo, de 16 de diciembre de 2008, relativa al régimen general de los impuestos especiales, y por la que se deroga la Directiva 92/12/CEE.»

TÍTULO VI. Modificación de la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos

Artículo 42. Modificación de la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos.

Se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos, en los siguientes términos:

Uno. Se modifica el primer párrafo del artículo 2.1, que queda redactado en los siguientes términos:

«1. El título I de esta ley se aplica a los daños nucleares definidos en el artículo 3.1.h) que se produzcan en el territorio de; o en la zona marítima establecida según el derecho internacional perteneciente a; o, excepto en el caso de aquellos Estados que no sean Parte del Convenio de París y que no cumplan los requisitos establecidos en los apartados b), c) y d) de este artículo, a bordo de un buque o aeronave matriculado por:»

Dos. Se añade una letra b) bis al artículo 3.2, con la siguiente redacción:

«b bis) “Instalaciones Nucleares” son aquellas recogidas en los párrafos 1.º a 7.º, ambos inclusive, del artículo 3.1.b).»

Tres. Se modifica el artículo 4.1, que queda redactado en los siguientes términos:

«1. El explotador de una instalación nuclear será responsable de los daños nucleares definidos en el artículo 3.1.h) de esta ley si se determina que estos daños han sido causados por un accidente nuclear ocurrido en esta instalación o debido a las sustancias nucleares procedentes de esta instalación, sin perjuicio de las disposiciones del artículo 7. Esta responsabilidad será independiente de la existencia de dolo o culpa, y estará limitada en su cuantía hasta el límite que se señala en esta ley.»

Cuatro. Se modifica el artículo 7.2, que queda redactado en los siguientes términos:

«2. Para los transportes de sustancias nucleares efectuados entre territorio español y el territorio de un Estado que no sea Parte del Convenio de París, el explotador de la instalación nuclear de origen o destino situada en territorio español será responsable, sin perjuicio de lo dispuesto en el artículo 2.1 y conforme a las disposiciones de esta ley, de los daños nucleares causados por aquellos accidentes nucleares que ocurran antes de que se hayan descargado del medio de transporte en el cual hayan llegado al territorio de dicho Estado que no sea Parte del Convenio de París o después de que se hayan cargado en el medio de transporte por el cual abandonen el territorio de dicho Estado que no sea Parte del Convenio de París, según sea el caso.»

Cinco. Se modifica el artículo 10, que queda redactado en los siguientes términos:

«Artículo 10. Tránsito por el territorio nacional.

1. En el tránsito por el territorio nacional de sustancias nucleares bajo la responsabilidad de un explotador de una instalación nuclear o transportista autorizado de una Parte Contratante del Convenio de París, la responsabilidad civil del explotador deberá estar garantizada hasta la cuantía exigible para dicho transporte por la referida Parte Contratante, conforme al artículo 7.d) del Convenio de París. No obstante, en caso de que dicha cuantía resulte inferior a la exigible a los explotadores de instalaciones nucleares situadas en territorio nacional por el transporte de dicha sustancia en virtud de lo establecido en el artículo 4.4 o, en su caso, del artículo 4.5.b) de la presente ley, la cuantía se verá aumentada hasta ese valor durante el tránsito, salvo que se haya concedido a dicho explotador responsable o transportista autorizado una reducción expresa conforme al referido artículo 4.5.b). En caso contrario no será permitido el tránsito de dichas sustancias por territorio nacional.

2. En los tránsitos por el territorio nacional de sustancias nucleares que no se efectúen bajo la responsabilidad de una instalación nuclear o transportista autorizado de una Parte Contratante del Convenio de París, la responsabilidad civil deberá estar garantizada hasta la cuantía establecida en el artículo 4.4 de la presente ley, salvo que se haya concedido a dicho responsable una reducción expresa conforme al citado artículo 4.5.b). En caso contrario no será permitido el tránsito de dichas sustancias por territorio nacional.»

Seis. Se modifican el primer párrafo del artículo 11.1 y la letra d) del mismo artículo, que quedan redactados en los siguientes términos:

«1. El pago de indemnizaciones como consecuencia de un daño producido por accidente nuclear estará sujeto, hasta el límite de la cuantía de la responsabilidad exigible al explotador en virtud del artículo 4 y, de serles de aplicación, de los fondos públicos previstos en el artículo 5, a la siguiente prelación:»

«d) Por último, se pagarán las indemnizaciones por los daños que se reclamen transcurridos tres años desde la fecha en la que ocurrió el accidente, que se atenderán sin distinción entre ellas.»

Siete. Se modifica el artículo 11.2, que queda redactado en los siguientes términos:

«2. En el caso en que la responsabilidad exigible al explotador en virtud del artículo 4 y los fondos públicos previstos en el artículo 5 no fueran suficientes para satisfacer las indemnizaciones por muerte, daño físico y pérdidas económicas derivadas de dichos daños, causados a las personas dentro de España, el Estado arbitrará los medios legales para hacer frente a las mismas.»

Ocho. Se modifica el artículo 14.1, que queda redactado en los siguientes términos:

«1. La acción de reclamación de responsabilidad por daños nucleares, así como el procedimiento para su ejercicio, se regirán por lo establecido en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil. Corresponderá al Consejo de Seguridad Nuclear, de acuerdo con sus funciones, la elaboración de un informe técnico preceptivo sobre el accidente nuclear, sus causas y sus efectos, que será solicitado de oficio por el Tribunal competente como parte de sus actuaciones.»

Nueve. Se modifica el artículo 16, que queda redactado en los siguientes términos:

«Artículo 16. Responsabilidad de los explotadores de las instalaciones radiactivas.

Los explotadores de las instalaciones radiactivas situadas en territorio nacional en las que se manejen, almacenen, manipulen o transformen materiales radiactivos que no sean sustancias nucleares serán responsables, aun cuando no concurra dolo o culpa, de conformidad con esta ley por los daños causados dentro del territorio nacional, tal como se definen estos en el artículo 3.2.c), que sean consecuencia de un accidente, siempre que tales daños se produzcan como resultado de la emisión de radiaciones ionizantes y tanto si tal accidente ocurre dentro de las instalaciones, como durante el transporte, almacenamiento o manejo de dichos materiales en cualquier lugar fuera de las mismas.»

Diez. Se modifica el primer párrafo del artículo 17.1, que queda redactado en los siguientes términos:

«1. Sin perjuicio de las responsabilidades que correspondan al explotador de una instalación radiactiva con arreglo a otras normas, no serán objeto de indemnización con cargo a la garantía financiera establecida de conformidad con el artículo 21 los siguientes daños:»

Once. Se modifican las letras a) y b) del artículo 18.1, que quedan redactados en los siguientes términos:

«a) El explotador de la instalación radiactiva de origen será responsable de los daños, de conformidad con la presente ley, si se probare que han sido causados por un accidente que provoque la emisión de radiaciones ionizantes ocurrido fuera de la instalación de origen en el que intervengan materiales procedentes de la misma, con la condición de que el accidente ocurra antes de que el explotador de otra instalación haya asumido, con arreglo a los términos de un contrato escrito, la responsabilidad de los accidentes causados por dichos materiales.

b) El explotador de la instalación radiactiva de destino será responsable de los daños, de conformidad con la presente ley, si se probase que se han causado por un accidente que provoque la emisión de radiaciones ionizantes ocurrido fuera de dicha instalación en el que intervengan materiales en curso de transporte con destino a dicha instalación, con la condición de que el accidente ocurra después de que la responsabilidad de los accidentes causados por dichos materiales le haya sido transferida, con arreglo a los términos de un contrato escrito, por el explotador de la instalación de origen.»

Doce. Se modifica el artículo 20, que queda redactado en los siguientes términos:

«Artículo 20. Responsabilidad de varios explotadores o expedidores.

En el caso de que en un accidente intervengan materiales radiactivos que no sean sustancias nucleares que pertenezcan a varios explotadores, o a varios expedidores cuando se trate de tránsitos, los explotadores o expedidores que de conformidad con esta ley tengan atribuida la responsabilidad por daños causados como consecuencia de la emisión de radiaciones ionizantes, responderán por tales daños, en la medida en la que no se pueda distinguir qué materiales han sido causantes de dichos daños, en proporción a la garantía mínima obligatoria estipulada en el artículo 21.»

Trece. Se añade un apartado 3 al artículo 22, que queda redactado en los siguientes términos:

«3. El derecho de repetición de las indemnizaciones pagadas por los daños a los que hace referencia el artículo 21 se ajustará a lo establecido en el artículo 9 para la reclamación de los daños producidos por sustancias nucleares.»

Catorce. Se modifica el artículo 23, que queda redactado en los siguientes términos:

«Artículo 23. Responsabilidad por daños al medio ambiente.

La responsabilidad por los daños medioambientales contemplados en el artículo 3.2.c).4.º causados por un accidente que produzca la liberación de radiaciones ionizantes en el que se vean involucrados materiales radiactivos que no sean sustancias nucleares se regirá por lo establecido en la Ley 26/2007, de 23 de octubre, de Responsabilidad Medioambiental.»

Quince. Se añade una disposición adicional cuarta con la siguiente redacción:

«Disposición adicional cuarta. Aplicación del título II a las instalaciones nucleares.

El título II será de aplicación a las instalaciones nucleares en relación con aquellos materiales radiactivos que no sean sustancias nucleares a los que no les sea de aplicación el título I.»

Disposición adicional primera. Accesibilidad de los planes locales de movilidad urbana sostenible.

Las administraciones públicas competentes promoverán que las administraciones locales integren en sus planes de movilidad urbana sostenible la accesibilidad universal a los servicios de transporte urbanos y a los espacios públicos urbanizados y que publiquen periódicamente listas de buenas prácticas en lo que se refiere a la accesibilidad universal a los transportes públicos y la movilidad urbanos.

Disposición adicional segunda. Promoción para las microempresas.

Las administraciones públicas, a través de los centros de referencia estatales especializados en accesibilidad regulados en el artículo 6, y los centros de referencia autonómicos proporcionarán orientaciones y herramientas a las microempresas, elaboradas en concertación con las partes interesadas pertinentes para facilitar que fabriquen, importen y distribuyan productos, y presten servicios que cumplan los requisitos de accesibilidad, con el fin de aumentar la competitividad y el crecimiento potencial de dichas empresas en el mercado interior de la Unión Europea.

Disposición adicional tercera. Accesibilidad de las páginas web.

Los sitios web incluidos en el ámbito de aplicación del título I deberán satisfacer, como mínimo, el nivel medio de los criterios de accesibilidad al contenido generalmente reconocidos. Para ello servirá de referencia la norma UNE 139803 o aquella que la sustituya, sin perjuicio de los criterios técnicos recogidos en el Real Decreto 1112/2018, del 7 de septiembre, sobre accesibilidad de los sitios web y aplicaciones para dispositivos móviles del sector público.

Disposición adicional cuarta. Fuerzas Armadas.

En el ámbito de las Fuerzas Armadas las previsiones contenidas en el título I serán aplicables cuando proceda y siempre que no afecten a la eficacia y operatividad de las mismas.

Disposición adicional quinta. Calendario de implantación de las previsiones referidas en esta ley a los Registros de la Propiedad, Mercantiles y de Bienes Muebles.

Los Registros de la Propiedad, Mercantiles y de Bienes Muebles deberán adecuarse a lo establecido en los artículos 35, 36 y 38 dentro del año previsto en el apartado 6 de la disposición final decimoctava para la entrada en vigor de los mencionados artículos.

El Colegio de Registradores de la Propiedad, Mercantiles y de Bienes Muebles de España presentará, para su aprobación por la Dirección General de Seguridad Jurídica y Fe Pública, un calendario de implantación de las previsiones de esta ley que no exceda los límites temporales establecidos en la disposición final decimoctava. Dicho calendario, una vez aprobado por la citada Dirección General, será de obligado cumplimiento para todos los registradores.

Disposición adicional sexta. Competencias para la celebración de acuerdos relativos a los procedimientos de reembolso en caso de insolvencia de entidades aseguradoras.

1. El Consorcio de Compensación de Seguros negociará y podrá celebrar el acuerdo al que se refiere el apartado 13 del artículo 10 bis de la Directiva 2009/103/CE relativa al seguro de la responsabilidad civil que resulta de la circulación de vehículos automóviles, así como al control de la obligación de asegurar esta responsabilidad, introducido por la Directiva (UE) 2021/2118, de 24 de noviembre de 2021.

2. La Oficina Española de Aseguradoras de Automóviles (OFESAUTO) negociará y podrá celebrar el acuerdo al que se refiere el apartado 13 del artículo 25 bis de la Directiva 2009/103/CE relativa al seguro de la responsabilidad civil que resulta de la circulación de vehículos automóviles, así como al control de la obligación de asegurar esta responsabilidad, introducido por la Directiva (UE) 2021/2118, de 24 de noviembre de 2021.

Disposición adicional séptima. Ejecución de las subvenciones nominativas procedentes de la sección 37 «Otras relaciones financieras procedentes de entes territoriales».

Con efectos desde la entrada en vigor de la Ley 31/2022, de 23 de diciembre, de Presupuestos Generales del Estado para el año 2023, cuando para la ejecución de las subvenciones nominativas previstas en los Presupuestos Generales del Estado para 2023 en la sección 37 fuera necesario transferir los créditos a las secciones que habrán de ejecutarlos, dichas subvenciones mantendrán el carácter nominativo con el que fueron dotadas en dichos presupuestos tras las transferencias de crédito, siempre que mantuvieran el importe, el destinatario final y la finalidad prevista en el literal del crédito, con independencia de la aplicación presupuestaria de destino.

Disposición adicional octava. Creación del Centro Español de Documentación e Investigación sobre Discapacidad (CEDID).

1. Se crea en el seno del Organismo Autónomo Real Patronato sobre Discapacidad el Centro Español de Documentación e Investigación sobre Discapacidad (CEDID), con la consideración de instancia especializada que ofrece servicios de asesoramiento técnico para el desarrollo de las actividades editoriales, formativas, investigadoras, de planificación y de divulgación del propio Real Patronato sobre Discapacidad. Asimismo, se concibe como servicio abierto a entidades públicas y privadas, profesionales, personal investigador, académico, personas con discapacidad y sus familias, y cualquier persona o entidad interesadas que difunde el conocimiento científico sobre discapacidad y proporciona acceso a información y documentación específica y actualizada en este ámbito.

2. El Estatuto del Real Patronato sobre Discapacidad regulará la estructura, la gobernanza, las atribuciones y tareas y el funcionamiento de este Centro, en el que en todo caso tendrán presencia y participarán activamente las organizaciones más representativas de las personas con discapacidad y sus familias presentes en el Consejo del Real Patronato sobre Discapacidad.

3. La creación de este Centro no supondrá incremento del gasto público.

Disposición adicional novena. Creación del Centro Español sobre Trastornos del Espectro del Autismo (CETEA).

El Gobierno, oído el Consejo Nacional de la Discapacidad, en el seno del Real Patronato sobre Discapacidad, regulará el Centro Español sobre el Trastorno del Espectro del Autismo, con la consideración de instancia especializada que tiene encomendadas las funciones de estudio, investigación, formación y cualificación, generación y transferencia de conocimiento y toma de conciencia sobre el Trastorno del Espectro del Autismo y las personas que lo presentan. Estará regido por un órgano colegiado de carácter paritario entre representantes de la Administración del Estado y entidades representativas del movimiento asociativo de las personas con trastornos del espectro del autismo y discapacidades afines y sus familias. Además, contará con una presidencia y una secretaría cuyos titulares serán representantes de la Administración del Estado.

Disposición adicional décima. Pago de la ayuda extraordinaria y temporal prevista en el artículo 34 del Real Decreto-ley 20/2022, de 27 de diciembre, de medidas de respuesta a las consecuencias económicas y sociales de la Guerra de Ucrania y de apoyo a la reconstrucción de la isla de La Palma y a otras situaciones de vulnerabilidad a los nuevos beneficiarios.

Quienes tengan la condición de nuevos beneficiaros de la ayuda extraordinaria y temporal para sufragar determinados productos energéticos, como consecuencia de la modificación de los apartados 1, 2 y 3 de artículo 34 del Real Decreto-ley 20/2022, de 27 de diciembre, de medidas de respuesta a las consecuencias económicas y sociales de la Guerra de Ucrania y de apoyo a la reconstrucción de la isla de La Palma y a otras situaciones de vulnerabilidad, recibirán los pagos atrasados correspondientes al importe de la ayuda referida al consumo de gasóleo desde el 1 de enero hasta la fecha de entrada en vigor de este decreto ley, conforme al procedimiento que establezca a tales efectos la Agencia Estatal de Administración Tributaria.

Disposición adicional undécima. Remisión de determinada información a la Agencia Estatal de Administración Tributaria para la gestión de la ayuda directa prevista en el artículo 38 del Real Decreto-ley 20/2022, de 27 de diciembre.

La Jefatura Central de Tráfico remitirá a la Dirección General de Transporte Terrestre del Ministerio de Transportes, Movilidad y Agenda Urbana en el plazo de quince días desde la aprobación de este decreto-ley un fichero informático, a partir de los datos del Registro de Vehículos, que incluya el NIF/CIF de las empresas titulares de Taxis-VT con tipo de combustible gasolina, así como la matrícula de los vehículos de su titularidad, a fecha 28 de diciembre de 2022.

Los órganos competentes del Ministerio de Transportes, Movilidad y Agenda Urbana remitirán a la Agencia Estatal de Administración Tributaria, antes de la tramitación de la ayuda, un fichero informático, en formato compatible con las bases de datos de la Agencia Estatal de Administración Tributaria, con la información correspondiente del Registro de Empresas y Actividades de Transporte en cuanto a los titulares de una autorización de transporte Taxi-VT con tipo de combustible gasolina, VT con tipo de combustible gasóleo sin aparato taxímetro y Autobús.VDE y tipo de combustible gasóleo y domiciliado en Canarias, Ceuta o Melilla. Todo ello referido a los datos obrantes a 28 de diciembre de 2022.

Disposición adicional duodécima. Planes de igualdad de las cooperativas de trabajo asociado y otras cooperativas con socios y socias de trabajo.

Hasta el momento en el que, conforme a la normativa reguladora de los registros correspondientes, se habilite el registro y depósito de los planes de igualdad de las cooperativas de trabajo asociado y otras cooperativas con socios y socias de trabajo, este se formalizará en los términos del artículo 12 del Real Decreto 901/2020, de 13 de octubre, por el que se regulan los planes de igualdad y su registro, y se modifica el Real Decreto 713/2010, de 28 de mayo, sobre registro y depósito de convenios y acuerdos colectivos de trabajo.

Dicho depósito dotará a tales planes de igualdad de los efectos derivados de los artículos 45 y siguientes de la Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva entre hombres y mujeres en relación con los planes de igualdad en el ámbito laboral, y asimilará la situación de tales cooperativas a los efectos de su reconocimiento respecto de la contratación del sector público y de la eventual percepción de las subvenciones y ayudas públicas prevista en los artículos 33, 34 y 35 de la referida Ley Orgánica.

La inscripción en el registro requerirá que el Plan de Igualdad de las cooperativas de trabajo asociado y otras cooperativas con socios y socias de trabajo, sea un conjunto ordenado de las medidas adoptadas después de realizar un diagnóstico de situación, tendente a alcanzar en la cooperativa de trabajo asociado y otras cooperativas con socios y socias de trabajo, la igualdad de trato y de oportunidades entre mujeres y hombres y a eliminar la discriminación por razón de sexo para personas socias trabajadoras.

El plan de Igualdad deberá incluir, un diagnóstico de situación, resultado del proceso de recogida de datos inicial, dirigido a identificar y a estimar la magnitud, a través de indicadores cuantitativos y cualitativos, de los obstáculos que puedan existir en la cooperativa para conseguir la igualdad efectiva entre mujeres y hombres, que deberá extenderse a todos los puestos y centros de trabajo de la cooperativa o del grupo cooperativo, identificando en qué medida la igualdad de trato y oportunidades entre mujeres y hombres está integrada en su sistema general de gestión, y analizando los efectos que para mujeres y hombres tienen el conjunto de las actividades de los procesos técnicos y productivos, la organización del trabajo y las condiciones en que este se presta, incluidas las condiciones profesionales y de prevención de riesgos laborales.

De acuerdo con lo anterior, el diagnóstico se referirá, al menos, a las siguientes materias:

a) Análisis de la situación retributiva en la cooperativa. El análisis de situación retributiva tiene por objeto obtener la información necesaria para comprobar si el sistema retributivo, de manera transversal y completa, cumple con la aplicación efectiva del principio de igualdad entre mujeres y hombres en materia de retribución. El desarrollo de este análisis requiere una evaluación de los puestos de trabajo realizada a través de sistemas analíticos que garanticen el cumplimiento de los objetivos y exigencias establecidos en el artículo 4 del Real Decreto 902/2020, de 13 de octubre, de igualdad retributiva entre mujeres y hombres, tanto con relación al sistema retributivo como con relación al sistema de promoción.

b) Acceso a la condición de persona socia trabajadora.

c) Carrera profesional de la persona socia trabajadora.

d) Formación.

e) Condiciones de trabajo, incluido el análisis de la situación retributiva, que vendrá referida al anticipo cooperativo.

f) Ejercicio corresponsable de los derechos de la vida personal, familiar y profesional.

g) Infrarrepresentación femenina, en los puestos en que se organice la actividad de la cooperativa y en los cargos societarios y de representación.

h) Prevención del acoso sexual y por razón de sexo.

Y de la misma manera el Plan de Igualdad deberá tener, al menos, el siguiente contenido:

a) Ámbito personal, territorial y temporal.

b) Informe de resultados del diagnóstico de situación de la cooperativa.

c) Definición de objetivos cualitativos y cuantitativos del plan de igualdad.

d) Descripción de medidas concretas, plazo de ejecución y priorización de las mismas, así como diseño de indicadores que permitan determinar la evolución de cada medida.

En todo caso, si el resultado del diagnóstico pusiera de manifiesto la infrarrepresentación femenina en determinados puestos o niveles jerárquicos, los Planes de Igualdad cooperativos deberán incluir medidas destinadas a eliminar la segregación ocupacional, tanto horizontal como vertical. Asimismo, si resultase necesario conforme al resultado del análisis de situación retributiva de la sociedad, el Plan de Igualdad cooperativo deberá recoger un plan de actuación para la corrección de las desigualdades retributivas.

e) Identificación de los medios y recursos, tanto materiales como humanos, necesarios para la implantación, seguimiento y evaluación de cada una de las medidas y objetivos.

f) Calendario de actuaciones para la implantación, seguimiento y evaluación de las medidas del Plan de Igualdad Cooperativo, así como vigencia o duración del plan, que no podrá ser superior a cuatro años.

g) Sistema de seguimiento, evaluación y revisión periódica, incluidas las acciones de información y sensibilización a las personas socias trabajadoras.

Disposición transitoria única. Medidas transitorias en materia de accesibilidad de determinados productos y servicios.

1. Hasta el 28 de junio de 2030, los prestadores de servicios podrán seguir prestando sus servicios mediante los productos que habían estado utilizando legalmente para prestar servicios similares antes de dicha fecha.

Los contratos de servicios celebrados antes del 28 de junio de 2025 podrán continuar sin cambios hasta su expiración, pero sin superar una duración de cinco años a partir de dicha fecha.

2. Los terminales de autoservicio utilizados legalmente por los prestadores de servicios para la prestación de servicios antes del 28 de junio de 2025 podrán seguir utilizándose para la prestación de servicios similares hasta el final de su vida útil desde el punto de vista económico, aunque sin superar los diez años después de su puesta en funcionamiento.

3. Lo dispuesto en el artículo 25.1 será aplicable a aquellos procedimientos de contratación cuya convocatoria de licitación se publique tras la entrada en vigor del título I. En el caso de aquellos procedimientos para los que no se convoque licitación, los requisitos de accesibilidad a los que se refiere el artículo 25.1 serán exigibles únicamente si el órgano de contratación inicia el procedimiento tras la entrada en vigor del título I.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en esta ley y, en particular, las siguientes:

a) El artículo 38 ter de la Ley Orgánica 4/2000, de 11 de enero, sobre derechos y libertades de los extranjeros en España y su integración social.

b) El capítulo V del título IV, el título IX y la disposición adicional primera.3, primer párrafo, del Reglamento de la Ley Orgánica 4/2000, sobre derechos y libertades de los extranjeros en España y su integración social, tras su reforma por Ley Orgánica 2/2009, aprobado por el Real Decreto 557/2011, de 20 de abril.

c) La disposición adicional quinta de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

d) La tasa número 5.1.III «Autorizaciones de trabajo de profesionales altamente cualificados titulares de una Tarjeta azul-UE», a la que se refiere el anexo de la Orden PRE/1803/2011, de 30 de junio, por la que se establece el importe de las tasas por tramitación de autorizaciones administrativas, solicitudes de visados en frontera y documentos de identidad en materia de inmigración y extranjería.

e) El artículo 38 del Reglamento sobre Cobertura de Riesgos Nucleares, aprobado por Decreto 2177/1967, de 22 de julio.

Disposición final primera. Modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Uno. Se modifica el apartado 1 del artículo 35, que queda redactado como sigue:

«1. El Ministerio de Asuntos Económicos y Transformación Digital controlará:

a) El cumplimiento por los prestadores de servicios de la sociedad de la información de las obligaciones establecidas en esta Ley y en sus disposiciones de desarrollo, en lo que se refiere a los servicios propios de la sociedad de la información.

b) El cumplimiento de las obligaciones establecidas en el Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea, por parte de aquellos proveedores incluidos en su ámbito de aplicación.

c) El cumplimiento de las obligaciones establecidas en el Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 por parte de proveedores de servicios de intermediación de datos y organizaciones reconocidas de gestión de datos con fines altruistas incluidos en su ámbito de aplicación.

No obstante, las referencias a los órganos competentes contenidas en los artículos 8, 10, 11, 15, 16, 17 y 38 se entenderán hecha a los órganos jurisdiccionales o administrativos que, en cada caso, lo sean en función de la materia.»

Dos. Se añade un nuevo artículo 35 bis, que queda redactado como sigue:

«Artículo 35 bis. Registro nacional de organizaciones reconocidas de gestión de datos con fines altruistas.

1. El Ministerio de Asuntos Económicos y Transformación Digital establecerá, mantendrá y publicará el registro nacional de organizaciones reconocidas de gestión de datos con fines altruistas, según lo previsto en el artículo 17 del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724.

2. El plazo máximo para dictar y notificar resolución en el procedimiento de verificación previa de cumplimiento de los requisitos establecidos en el citado Reglamento (UE) 2022/868 para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas será de 12 semanas, transcurridas las cuales se podrá entender desestimada la solicitud.»

Tres. Se modifica el artículo 37, que queda redactado como sigue:

«Artículo 37. Responsables.

Están sujetos al régimen sancionador establecido en este título:

a) Los prestadores de servicios de la sociedad de la información a los que les sea de aplicación la presente Ley.

b) Los proveedores incluidos en el ámbito de aplicación del Reglamento (UE) 2019/1150.

c) Los proveedores de servicios de intermediación de datos y las organizaciones reconocidas de gestión de datos con fines altruistas incluidos en el ámbito de aplicación del Reglamento (UE) 2022/868.

Cuando las infracciones previstas en el artículo 38.3 i) y 38.4 g) se deban a la instalación de dispositivos de almacenamiento y recuperación de la información como consecuencia de la cesión por parte del prestador del servicio de la sociedad de la información de espacios propios para mostrar publicidad, será responsable de la infracción, además del prestador del servicio de la sociedad de la información, la red publicitaria o agente que gestione directamente con aquel la colocación de anuncios en dichos espacios en caso de no haber adoptado medidas para exigirle el cumplimiento de los deberes de información y la obtención del consentimiento del usuario.»

Cuatro. Se modifica el apartado 3 del artículo 38, que queda redactado como sigue:

«3. Son infracciones graves:

a) (Derogado).

b) El incumplimiento significativo de lo establecido en los párrafos a) y f) del artículo 10.1.

c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente, o su envío insistente o sistemático a un mismo destinatario del servicio cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21.

d) El incumplimiento significativo de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios.

e) No poner a disposición del destinatario del servicio las condiciones generales a que, en su caso, se sujete el contrato, en la forma prevista en el artículo 27.

f) El incumplimiento habitual de la obligación de confirmar la recepción de una aceptación, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor.

g) La resistencia, excusa o negativa a la actuación inspectora de los órganos facultados para llevarla a cabo con arreglo a esta ley.

h) El incumplimiento significativo de lo establecido en el apartado 3 del artículo 10.

i) La reincidencia en la comisión de la infracción leve prevista en el apartado 4 g) cuando así se hubiera declarado por resolución firme dictada en los tres años inmediatamente anteriores a la apertura del procedimiento sancionador.

j) La exigencia del pago de un canon por atender la obligación prevista en el artículo 12 ter, fuera de los supuestos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679.

k) El incumplimiento habitual de la obligación prevista en el artículo 12 ter.

l) El incumplimiento significativo o reiterado por parte de los proveedores de servicios de intermediación en línea de cualquiera de las obligaciones establecidas en los artículos 3 a 12 del Reglamento (UE) 2019/1150.

m) El incumplimiento significativo o reiterado por parte de los proveedores de motores de búsqueda en línea de cualquiera de las obligaciones establecidas en los artículos 5 y 7 del Reglamento (UE) 2019/1150.

n) El incumplimiento significativo o reiterado por parte de los proveedores de servicios de intermediación de datos de cualquiera de las obligaciones previstas en el artículo 11 del Reglamento (UE) 2022/868.

ñ) El incumplimiento significativo o reiterado por parte de los proveedores de servicios de intermediación de datos de cualquiera de las condiciones para la prestación de servicios de intermediación de datos establecidas en el artículo 12 del Reglamento (UE) 2022/868.

o) Actuar en el mercado como proveedor de servicios de intermediación de datos utilizando el logotipo común y la denominación «proveedor de servicios de intermediación de datos reconocido en la Unión» sin que la autoridad competente haya confirmado que cumple los requisitos necesarios según lo previsto en el artículo 11.9 del Reglamento (UE) 2022/868.

p) El incumplimiento significativo o reiterado por parte de las organizaciones reconocidas de gestión de datos con fines altruistas de cualquiera de los requisitos exigidos en virtud de los artículos 18, 19, 20, 21 y 22 del Reglamento (UE) 2022/868.

q) Actuar en el mercado como organización reconocida de gestión de datos con fines altruistas utilizando el logotipo común y la denominación «organización de gestión de datos con fines altruistas reconocida en la Unión» sin que la autoridad competente haya confirmado que cumple los requisitos necesarios previstos en el artículo 18 del Reglamento (UE) 2022/868.

r) El incumplimiento significativo o reiterado por parte de proveedores de servicios de intermediación de datos y de organizaciones reconocidas de gestión de datos con fines altruistas de las obligaciones establecidas en el artículo 31 del Reglamento (UE) 2022/868 en materia de transferencias de datos no personales a terceros países.»

Cinco. Se modifica el apartado 4 del artículo 38, que queda redactado como sigue:

«4. Son infracciones leves:

a) El incumplimiento de lo previsto en el artículo 12 bis.

b) No informar en la forma prescrita por el artículo 10.1 sobre los aspectos señalados en los párrafos b), c), d), e) y g) del mismo, o en los párrafos a) y f) cuando no constituya infracción grave.

c) El incumplimiento de lo previsto en el artículo 20 para las comunicaciones comerciales, ofertas promocionales y concursos.

d) El envío de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave.

e) No facilitar la información a que se refiere el artículo 27.1, cuando las partes no hayan pactado su exclusión o el destinatario sea un consumidor.

f) El incumplimiento de la obligación de confirmar la recepción de una petición en los términos establecidos en el artículo 28, cuando no se haya pactado su exclusión o el contrato se haya celebrado con un consumidor, salvo que constituya infracción grave.

g) Utilizar dispositivos de almacenamiento y recuperación de datos cuando no se hubiera facilitado la información u obtenido el consentimiento del destinatario del servicio en los términos exigidos por el artículo 22.2.

h) El incumplimiento de la obligación del prestador de servicios establecida en el apartado 1 del artículo 22, en relación con los procedimientos para revocar el consentimiento prestado por los destinatarios cuando no constituya infracción grave.

i) El incumplimiento de lo establecido en el apartado 3 del artículo 10, cuando no constituya infracción grave.

j) La exigencia del pago de un canon por atender la obligación prevista en el artículo 12 ter, cuando así lo permita el artículo 12.5 del Reglamento (UE) 2016/679, si su cuantía excediese el importe de los costes afrontados.

k) El incumplimiento de la obligación prevista en el artículo 12 ter, cuando no constituya infracción grave.

l) El incumplimiento por parte de los proveedores de servicios de intermediación en línea de cualquiera de las obligaciones establecidas en los artículos 3 a 12 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave.

m) El incumplimiento por parte de los proveedores de motores de búsqueda en línea de cualquiera de las obligaciones establecidas en los artículos 5 y 7 del Reglamento (UE) 2019/1150, cuando no constituya infracción grave.

n) El incumplimiento por parte de los proveedores de servicios de intermediación de datos de cualquiera de las obligaciones previstas en el artículo 11 del Reglamento (UE) 2022/868, cuando no constituya infracción grave.

ñ) El incumplimiento por parte de los proveedores de servicios de intermediación de datos de cualquiera de las condiciones establecidas en el artículo 12 del Reglamento (UE) 2022/868, cuando no constituya infracción grave.

o) El incumplimiento por parte de las organizaciones reconocidas de gestión de datos con fines altruistas de cualquiera de los requisitos exigidos en virtud de los artículos 18, 19, 20, 21 y 22 del Reglamento (UE) 2022/868, cuando no constituya infracción grave.

p) El incumplimiento por parte de proveedores de servicios de intermediación de datos y de organizaciones reconocidas de gestión de datos con fines altruistas de las obligaciones establecidas en el artículo 31 del Reglamento (UE) 2022/868 en materia de transferencias de datos no personales a terceros países, cuando no constituya infracción grave.»

Seis. Se modifica el artículo 39, que queda redactado como sigue:

«Artículo 39. Sanciones.

1. Por la comisión de las infracciones recogidas en el artículo anterior, se impondrán las siguientes sanciones:

a) Por la comisión de infracciones muy graves, multa de 150.001 hasta 600.000 euros. La reiteración en el plazo de tres años de dos o más infracciones muy graves, sancionadas con carácter firme, podrá dar lugar, en función de sus circunstancias, a la sanción de prohibición de actuación en España, durante un plazo máximo de dos años.

b) comisión de infracciones graves, multa de 30.001 hasta 150.000 euros.

c) Por la comisión de infracciones leves, multa de hasta 30.000 euros.

2. Cuando las infracciones sancionables con arreglo a lo previsto en esta Ley hubieran sido cometidas por prestadores de servicios establecidos en Estados que no sean miembros de la Unión Europea o del Espacio Económico Europeo, el órgano que hubiera impuesto la correspondiente sanción podrá ordenar a los prestadores de servicios de intermediación que tomen las medidas necesarias para impedir el acceso desde España a los servicios ofrecidos por aquéllos por un período máximo de dos años en el caso de infracciones muy graves, un año en el de infracciones graves y seis meses en el de infracciones leves.

3. Sin perjuicio de las sanciones económicas que pudieran imponerse con arreglo a esta ley, por la comisión de la infracción prevista en la letra p) del apartado 3 del artículo 38, o la letra o) del apartado 4 del artículo 38, se cancelará la inscripción en los registros públicos nacional y de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas, así como se revocará el derecho a utilizar la denominación organización de gestión de datos con fines altruistas reconocida en la Unión.

4. Las infracciones podrán llevar aparejada alguna o algunas de las siguientes sanciones accesorias:

a) Las infracciones graves y muy graves podrán llevar aparejada la publicación, a costa del sancionado, de la resolución sancionadora en el “Boletín Oficial del Estado”, o en el diario oficial de la administración pública que, en su caso, hubiera impuesto la sanción; en dos periódicos cuyo ámbito de difusión coincida con el de actuación de la citada administración pública o en la página de inicio del sitio de Internet del prestador, una vez que aquélla tenga carácter firme.

Para la imposición de esta sanción, se considerará la repercusión social de la infracción cometida, por el número de usuarios o de contratos afectados, y la gravedad del ilícito.

b) Sin perjuicio de las sanciones económicas a las que se refiere el artículo 39.1 b), a los prestadores de servicios de intermediación de datos que hayan cometido alguna de las infracciones graves previstas en las letras n), ñ) y o) del artículo 38.3, se les podrá imponer como sanción accesoria el cese definitivo de la actividad de prestación en los términos establecidos en el artículo 14.4 del Reglamento (UE) 2022/868.»

Siete. Se modifica el artículo 39 bis, que queda redactado como sigue:

«Artículo 39 bis. Moderación de las sanciones.

El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos:

a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el artículo 40.

b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente.

c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.

d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.»

Ocho. Se añade un nuevo artículo 39 ter, que queda redactado como sigue:

«Artículo 39 ter. Apercibimiento.

1. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en los artículos 39 bis y 40, podrán acordar no iniciar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable, a fin de que en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.

2. Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.»

Nueve. Se añade una nueva letra h) al artículo 40 con la siguiente redacción:

«h) La adopción de medidas para mitigar o reparar el daño causado por la infracción.»

Disposición final segunda. Modificación de la Ley 33/2003, de 3 de noviembre, del Patrimonio de las administraciones públicas.

Uno. El apartado 2 del artículo 18 de la Ley 33/2003, de 3 de noviembre, de patrimonio de las administraciones públicas, queda redactado como sigue:

«2. El efectivo y los saldos de las cuentas y libretas a que se refiere el apartado anterior se destinarán a financiar programas dirigidos a promover la mejora de las condiciones educativas de las personas con discapacidad, así como a extender la accesibilidad universal de los entornos, bienes, servicios y procesos, en la forma prevista en la disposición adicional vigésima sexta.»

Dos. Se modifica la disposición adicional vigésima sexta, que queda redactada como sigue:

«Disposición adicional vigésima sexta. Programa para la Mejora de las Condiciones Educativas de las Personas con Discapacidad y destino de los saldos y depósitos abandonados.

La Administración General del Estado desarrollará a través del Real Patronato sobre Discapacidad un programa dirigido a promover la mejora de las condiciones educativas de las personas con discapacidad, con especial atención a los aspectos relacionados con su desarrollo profesional y a la innovación y la investigación aplicadas a estas políticas, a través de ayudas directas a los beneficiarios.

En la concesión de estas ayudas, sometidas a los principios de publicidad, transparencia, concurrencia, objetividad y no discriminación, se tendrán en cuenta especialmente las necesidades de los solicitantes, así como su idoneidad para obtener el mayor aprovechamiento posible en términos de vida autónoma, participación social e inclusión en la comunidad.

El efectivo y los saldos de cuentas corrientes, libretas de ahorro y otros depósitos en efectivo a que hace referencia el apartado 2 del artículo 18 de esta ley se aplicarán a un concepto específico del Presupuesto de Ingresos del Estado, pudiéndose generar crédito, de conformidad con lo establecido en la Ley General Presupuestaria, en el Ministerio de Derechos Sociales y Agenda 2030 con destino al Real Patronato sobre Discapacidad para financiar tanto el desarrollo del Programa para la Mejora de Condiciones Educativas de las Personas con Discapacidad, como para intervenciones de accesibilidad universal.»

Disposición final tercera. Modificación de la Ley 29/2005, de 29 de diciembre, de Publicidad y Comunicación Institucional.

El artículo 5 queda redactado del siguiente modo:

«Artículo 5. Accesibilidad a las campañas institucionales de publicidad y de comunicación.

1. Se garantizará el acceso a la información a las personas con discapacidad.

2. En concreto, las campañas institucionales de publicidad y de comunicación de la Administración General del Estado contarán con subtitulado, interpretación en lengua de signos y audiodescripción, y promoverán los formatos que aseguren la accesibilidad cognitiva.

3. Estas prestaciones de accesibilidad universal se atendrán a las respectivas normas técnicas que resulten de aplicación y serán obligatorias para las campañas emitidas desde el 1 de enero de 2024.»

Disposición final cuarta. Modificación de la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del Sector Público.

La Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del Sector Público, queda redactada en los siguientes términos:

Se introduce una disposición adicional quinta en la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del Sector Público, con la siguiente redacción:

«Disposición adicional quinta. Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos).

Con relación a la reutilización de determinadas categorías de datos protegidos a que se refiere el capítulo II del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) que obren en poder de los sujetos previstos en los párrafos a) y b) de esta ley, sin perjuicio de la aplicación directa de los preceptos de dicho Reglamento, se aplicarán asimismo las siguientes previsiones:

a) El régimen sancionador previsto en el artículo 11 de esta ley, en el ámbito de la Administración General del Estado, y a tal efecto:

1.º Se considerará infracción muy grave de las previstas en el artículo 11.1 el incumplimiento de las condiciones de acceso a los datos protegidos o de las condiciones impuestas para preservar la seguridad e integridad del entorno de tratamiento seguro utilizado.

2.º Se considerarán infracciones graves de las previstas en el artículo 11.2, las siguientes:

i. El incumplimiento por el reutilizador de su compromiso formal de confidencialidad que prohíba la divulgación de la información contenida en las categorías de datos protegidos.

ii. La reidentificación por el reutilizador de los interesados a quienes se refieran los datos protegidos.

iii. La falta de notificación de los incidentes de seguridad o cualquier otra violación de la seguridad de los datos protegidos reutilizados que den lugar o conlleven riesgo de reidentificación de los interesados.

b) Los sujetos previstos en los párrafos a) y b) del artículo 2 que permitan la reutilización de las categorías de datos protegidos podrán exigir el pago de una tasa por la misma, que se calculará en función de los costes relacionados con la tramitación de las solicitudes de reutilización de las categorías de datos enumeradas en el artículo 3.1 del Reglamento y se limitará a los costes necesarios en relación con:

i. La reproducción, la entrega y la difusión de los datos;

ii. La adquisición de derechos;

iii. La anonimización u otras formas de preparación de los datos personales y de los datos comerciales confidenciales con arreglo a lo dispuesto en el artículo 5.3 del Reglamento;

iv. El mantenimiento del entorno de tratamiento seguro;

v. La adquisición, por parte de terceros ajenos al sector público, del derecho de terceros de permitir la reutilización de conformidad con el capítulo II del Reglamento, y

vi. La asistencia a los reutilizadores en la obtención del consentimiento de los interesados y del permiso de los titulares de datos cuyos derechos e intereses puedan verse afectados por la reutilización.

El establecimiento y la regulación de los elementos esenciales de dicha tasa deberá ajustarse a lo previsto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Públicos y demás normativa tributaria aplicable. En todo caso deberá ser transparente, no discriminatoria y proporcionada, estar justificada objetivamente y respetar las restantes condiciones contempladas en el artículo 6 del Reglamento.

c) Con relación al procedimiento de tramitación de solicitudes de datos protegidos se aplicará lo dispuesto en el artículo 5 del Reglamento y el artículo 10 de la ley, con las siguientes especialidades:

i. El plazo para resolver el procedimiento será de dos meses a contar desde la recepción de la solicitud por el órgano competente.

ii. Cuando la solicitud sea excepcionalmente extensa o compleja, el órgano competente para dictar resolución podrá ampliar el plazo para resolver hasta un máximo de 30 días previa notificación al interesado en los términos previstos en el artículo 32 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las administraciones públicas.

Contra la resolución que se dicte concediendo o denegando la reutilización, el interesado podrá interponer los recursos que procedan en vía administrativa y jurisdiccional, de conformidad con lo establecido en la Ley 39/2015, de 1 de octubre, y en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.

Si en el plazo máximo previsto para resolver y notificar no se hubiese dictado resolución expresa, el solicitante podrá entender desestimada su solicitud.

Los sujetos previstos en los párrafos a) y b) del artículo 2 comunicarán al Ministerio de Asuntos Económicos y Transformación Digital la identidad de los organismos competentes para prestar asistencia designados, en su caso, en virtud del artículo 5.1 del Reglamento, con objeto de dar cumplimiento a las previsiones de notificación a la Comisión previstas en el artículo 7.5 del mismo. Asimismo, comunicarán toda modificación posterior de la identidad de dichos organismos competentes.»

Disposición final quinta. Modificación del Texto Refundido de la Ley General de Derechos de las Personas con Discapacidad y de su Inclusión Social, aprobado por Real Decreto Legislativo 1/2013, de 29 de noviembre, para establecer la no discriminación de las personas con discapacidad en espectáculos públicos y actividades recreativas.

Se procede a modificar el Texto Refundido de la Ley General de Derechos de las Personas con Discapacidad y de su Inclusión Social, aprobado por Real Decreto Legislativo 1/2013, de 29 de noviembre, en el que se introduce una nueva Disposición adicional, decimotercera, con la siguiente redacción:

«Disposición adicional decimotercera. No discriminación de personas con discapacidad en espectáculos públicos y actividades recreativas.

1. Las personas con discapacidad participarán en los espectáculos públicos y en las actividades recreativas, comprendidos los taurinos, sin discriminaciones ni exclusiones que lesionen su derecho a ser incluidas plenamente en la comunidad.

2. Quedan prohibidos los espectáculos o actividades recreativas en que se use a personas con discapacidad o esta circunstancia para suscitar la burla, la mofa o la irrisión del público de modo contrario al respeto debido a la dignidad humana.

3. Las administraciones públicas, en el ámbito de sus respectivas competencias, promoverán políticas, estrategias y acciones públicas, en cooperación con las organizaciones representativas de este sector social, para que las personas con discapacidad que laboralmente se han desempeñado en espectáculos y actividades a las que se refiere el apartado 2 de esta disposición puedan transitar e incorporarse a ocupaciones regulares.»

Disposición final sexta. Modificación de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.

Uno. Se modifica el artículo 1, que queda con la siguiente redacción:

«Artículo 1. Entidades de crédito.

1. Son entidades de crédito:

a) Las empresas autorizadas cuya actividad consiste en recibir del público depósitos u otros fondos reembolsables y en conceder créditos por cuenta propia;

b) Las empresas autorizadas referidas en el artículo 4.1.1.b) del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo de 26 de junio de 2013 sobre los requisitos prudenciales de las entidades de crédito, y por el que se modifica el Reglamento (UE) n.º 648/2012.

2. Tienen la consideración de entidades de crédito a efectos de la letra a) del apartado anterior:

a) Los bancos.

b) Las cajas de ahorros.

c) Las cooperativas de crédito.

d) El Instituto de Crédito Oficial.»

Dos. Se introduce un nuevo artículo 6 bis, con la siguiente redacción:

«Artículo 6 bis. Autorización de las empresas a que se refiere el artículo 4.1.1.b) del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo de 26 de junio de 2013.

1. Las empresas a que se refiere el artículo 4.1.1.b) del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo de 26 de junio de 2013, que hubieran previamente obtenido una autorización con arreglo al título V, capítulo II, de la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión, deberán presentar una solicitud de autorización de conformidad con el artículo 6, a más tardar, el día en que:

a) La media del valor total mensual de los activos, calculada a lo largo de un período de doce meses consecutivos, sea igual o superior a 30.000 millones de euros; o,

b) La media del valor total mensual de los activos calculada a lo largo de un período de doce meses consecutivos sea inferior a 30.000 millones de euros y la empresa forme parte de un grupo en el que el valor total de los activos consolidados de todas aquellas empresas del grupo que, realizando alguna de las actividades previstas en los artículos 125.1.c) y f) de la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión por separado, tengan un activo total inferior a 30.000 millones de euros, sea igual o superior a 30.000 millones de euros, ambos calculados como valor medio a lo largo de un período de doce meses consecutivos.

2. Las empresas a que se refiere el apartado 1 del presente artículo podrán seguir llevando a cabo las actividades a que se refiere el artículo 4.1.1.b) del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo de 26 de junio de 2013, hasta que obtengan la autorización a que se hace referencia en dicho apartado.

3. Cuando el Banco de España, tras haber recibido la información correspondiente de la CNMV, determine que una empresa debe recibir autorización como entidad de crédito con arreglo al artículo 6 de la presente ley, lo notificará a la empresa y a la CNMV y se hará cargo del procedimiento de autorización a partir de la fecha de dicha notificación.

4. En caso de renovación de la autorización, el Banco de España velará por que el proceso sea lo más ágil posible y porque se tenga en cuenta la información facilitada para autorizaciones existentes.»

Tres. Se modifica el apartado 1 del artículo 8, para añadir una nueva letra i) con la siguiente redacción:

«i) Cuando haga uso de la autorización exclusivamente para llevar a cabo las actividades contempladas en el artículo 4.1.1.b) del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo de 26 de junio de 2013, y, durante un período de cinco años consecutivos, el valor medio total de sus activos sea inferior a los umbrales establecidos en dicho artículo.»

Cuatro. Se modifica el apartado 4 del artículo 89 para añadir una nueva letra f) con la siguiente redacción:

«f) Las empresas que realicen al menos una de las actividades a que se refiere el artículo 4.1.1.b) del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo de 26 de junio de 2013, y que superen el umbral indicado en el citado artículo sin disponer de autorización como entidad de crédito.»

Cinco. Se modifica el artículo 92, para añadir una nueva letra ae) con la siguiente redacción:

«ae) Realizar alguna de las actividades a que se refiere el artículo 4.1.1.b) del Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo de 26 de junio de 2013, sin disponer de autorización como entidad de crédito, cuando se supere el umbral indicado en el citado artículo, salvo que la entidad se encuentre temporalmente habilitada para ello de conformidad con el artículo 6 bis.2 de esta ley.»

Disposición final séptima. Modificación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

Uno. Se modifica la letra b) del apartado 1 del artículo 71, que queda redactada en los siguientes términos:

«b) Haber sido sancionadas con carácter firme por infracción grave en materia profesional que ponga en entredicho su integridad, de disciplina de mercado, de falseamiento de la competencia, de integración laboral y de igualdad de oportunidades y no discriminación de las personas con discapacidad, o de extranjería, de conformidad con lo establecido en la normativa vigente; o por infracción muy grave en materia medioambiental de conformidad con lo establecido en la normativa vigente, o por infracción muy grave en materia laboral o social, de acuerdo con lo dispuesto en el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social, aprobado por el Real Decreto Legislativo 5/2000, de 4 de agosto, así como por la infracción grave prevista en el artículo 22.2 del citado texto; o por las infracciones muy graves previstas en la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción; o por infracción grave o muy grave en materia de igualdad de trato y no discriminación por razón de orientación e identidad sexual, expresión de género o características sexuales, cuando se acuerde la prohibición en los términos previstos en la Ley 4/2023, de 28 de febrero, para la igualdad real y efectiva de las personas trans y para la garantía de los derechos de las personas LGTBI.»

Dos. Se da nueva redacción al apartado 2 del artículo 103, que queda redactado como sigue:

«2. Previa justificación en el expediente y de conformidad con lo previsto en el Real Decreto al que se refieren los artículos 4 y 5 de la Ley 2/2015, de 30 de marzo, de desindexación de la economía española, la revisión periódica y predeterminada de precios sólo se podrá llevar a cabo en los contratos de obra, en los contratos de suministros de fabricación de armamento y equipamiento de las Administraciones Públicas, en los contratos de suministro de energía y en aquellos otros contratos en los que el período de recuperación de la inversión sea igual o superior a cinco años. Dicho período se calculará conforme a lo dispuesto en el Real Decreto anteriormente citado.

No se considerarán revisables en ningún caso los costes asociados a las amortizaciones, los costes financieros, los gastos generales o de estructura ni el beneficio industrial. Los costes de mano de obra de los contratos distintos de los de obra, suministro de fabricación de armamento y equipamiento de las Administraciones Públicas, se revisarán cuando el período de recuperación de la inversión sea igual o superior a cinco años y la intensidad en el uso del factor trabajo sea considerada significativa, de acuerdo con los supuestos y límites establecidos en el Real Decreto.

No obstante, previa justificación en el expediente, podrá admitirse la revisión de precios en los contratos que no sean de obras, de suministros de fabricación de armamento y equipamiento de las Administraciones Públicas o de suministro de energía, aunque su período de recuperación de la inversión sea inferior a cinco años siempre que la suma de la participación en el presupuesto base de licitación del contrato de las materias primas, bienes intermedios y energía que se hayan de emplear supere el 20 por ciento de dicho presupuesto. En estos casos la revisión solo podrá afectar a la fracción del precio del contrato que representa dicha participación. El pliego deberá indicar el peso de cada materia prima, bien intermedio o suministro energético con participación superior al 1 por ciento y su respectivo índice oficial de revisión de precios. No será exigible para la inclusión en los pliegos de la fórmula de revisión a aplicar al precio del contrato la emisión de informe por el Comité Superior de Precios de Contratos del Estado.»

Tres. Se da nueva redacción al apartado 5 del artículo 103, que queda redactado como sigue:

«5. Salvo en los contratos de suministro de energía, cuando proceda, la revisión periódica y predeterminada de precios en los contratos del sector público tendrá lugar en los términos establecidos en este capítulo, cuando el contrato se hubiese ejecutado, al menos, en el 20 por ciento de su importe y hubiese transcurrido un año desde su formalización. En consecuencia, el primer 20 por ciento ejecutado y el importe ejecutado en el primer año transcurrido desde la formalización quedarán excluidos de la revisión.

No obstante, la condición relativa al porcentaje de ejecución del contrato no será exigible a efectos de proceder a la revisión periódica y predeterminada en los contratos de concesión de servicios.»

Disposición final octava. Modificación del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera.

Uno. Se modifica el apartado 1 del artículo 6, que tendrá la siguiente redacción:

«1. Los proveedores de servicios de pago que ejerzan alguna de las actividades contempladas en el artículo 4, letra k), incisos 1.º o 2.º, o que ejerzan las dos actividades, y que hayan ejecutado en los 12 meses precedentes operaciones de pago por un valor total superior a un millón de euros deberán enviar al Banco de España, una notificación que contenga una descripción de los servicios ofrecidos y en la que se precise a cuáles de las exclusiones contempladas en el artículo 4, letra k), incisos 1.º o 2.º, se considera sujeto el ejercicio de tal actividad.

Basándose en dicha notificación, el Banco de España adoptará una decisión motivada, atendiendo a los criterios contemplados en el artículo 4, letra k), en caso de que la actividad no cumpla los criterios para ser excluida del ámbito de aplicación del real decreto-ley, e informará de ello al interesado.»

Dos. Se modifica el apartado 1 del artículo 22, que tendrá la siguiente redacción:

«1. Cuando una entidad de pago o una entidad prestadora del servicio de información sobre cuentas española pretenda prestar servicios de pago por primera vez en otro Estado miembro, bien ejerciendo el derecho de libertad de establecimiento o bien en régimen de libre prestación de servicios, deberá comunicarlo previamente al Banco de España, en la forma y con el contenido que este determine. A la comunicación acompañará, al menos, la siguiente información:

a) El nombre, la dirección y el número de registro en el Banco de España de la entidad.

b) El Estado o Estados miembros en los que se proponga operar.

c) El servicio o servicios de pago que vayan a prestarse.

d) En caso de que la entidad se proponga utilizar a agentes, la información sobre los mismos que reglamentariamente se determine.

e) En caso de que la entidad se proponga operar a través de una sucursal, la siguiente información:

1.º) Un plan de negocios que incluya un cálculo de las previsiones presupuestarias para los tres primeros ejercicios, que demuestre que la entidad podrá emplear sistemas, recursos y procedimientos adecuados y proporcionados para operar correctamente, en relación con el ejercicio de actividades de servicios de pago en el Estado o Estados miembros en los que se proponga operar.

2.º) Una descripción de los métodos de gobierno empresarial y de los mecanismos de control interno de la entidad, incluidos procedimientos administrativos, de gestión del riesgo y contables, que demuestre que dichos métodos de gobierno empresarial, mecanismos de control y procedimientos son proporcionados, apropiados, sólidos y adecuados, en relación con el ejercicio de actividades de servicios de pago en el Estado o Estados miembros en los que se proponga operar.

3.º) Una descripción de la estructura organizativa de la sucursal.

4.º) La identidad de los responsables de la gestión de la sucursal.

Asimismo, si la entidad se propone externalizar funciones operativas relacionadas con los servicios de pago a otras entidades del Estado o Estados miembros en los que se proponga operar, deberá informar de ello al Banco de España.

Una vez analizada y valorada de forma positiva la documentación requerida, el Banco de España comunicará toda la información anterior en el plazo de un mes a contar desde la fecha en la que la hayan recibido a las autoridades competentes del Estado o Estados miembros en los que la entidad se proponga operar e informará a la entidad de que ha transmitido la información.

Si las autoridades competentes del Estado miembro de acogida informaran al Banco de España de un motivo razonable de inquietud que les suscite el proyecto de contratar a un agente o establecer una sucursal, en particular en relación con el blanqueo de capitales o la financiación del terrorismo a efectos de la Directiva (UE) 2015/849, y el Banco de España no estuviera de acuerdo con la evaluación de las autoridades competentes del Estado miembro de acogida, deberá notificar a estas últimas las razones de su decisión.

El Banco de España denegará en el plazo máximo de tres meses el registro del agente o la sucursal, o suprimirá la inscripción en el registro si ya se hubiera practicado, cuando la valoración de su situación, en particular a la luz de la información recibida de las autoridades competentes del Estado miembro de acogida, sea desfavorable.

Esta decisión se comunicará por el Banco de España a la autoridad competente del Estado miembro de acogida y a la entidad de pago.

El agente o sucursal podrá comenzar sus actividades en el correspondiente Estado o Estados miembros de acogida una vez inscrito en el registro a que se refiere el artículo 13.

La entidad notificará al Banco de España la fecha a partir de la cual comienza a ejercer sus actividades a través del agente o sucursal en el correspondiente Estado miembro de acogida. El Banco de España informará de ello a las autoridades competentes del Estado miembro de acogida.

Las entidades comunicarán sin demora al Banco de España toda modificación pertinente de la información comunicada de conformidad con este apartado.

Las entidades autorizadas en España que se hayan acogido, total o parcialmente, a las exenciones permitidas por el artículo 32 de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior, no podrán prestar servicios de pago en otro Estado miembro de la Unión Europea ejerciendo el derecho de libertad de establecimiento o en régimen de libre prestación de servicios.»

Disposición final novena. Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, queda modificada como sigue:

Uno. Se modifica el apartado 2 del artículo 48, que queda redactado del siguiente modo:

«2. La Presidencia de la Agencia Española de Protección de Datos estará auxiliada por un Adjunto en el que podrá delegar sus funciones, a excepción de las relacionadas con los procedimientos regulados por el título VIII de esta ley orgánica, y que la sustituirá en el ejercicio de las mismas en los términos previstos en el Estatuto Orgánico de la Agencia Española de Protección de Datos.

Ambos ejercerán sus funciones con plena independencia y objetividad y no estarán sujetos a instrucción alguna en su desempeño. Les será aplicable la legislación reguladora del ejercicio del alto cargo de la Administración General del Estado.

En los supuestos de ausencia, vacante o enfermedad de la persona titular de la Presidencia o cuando concurran en ella alguno de los motivos de abstención o recusación previstos en el artículo 23 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el ejercicio de las competencias relacionadas con los procedimientos regulados por el título VIII de esta ley orgánica serán asumidas por la persona titular del órgano directivo que desarrolle las funciones de inspección. En el supuesto de que cualquiera de las circunstancias mencionadas concurriera igualmente en dicha persona, el ejercicio de las competencias afectadas será asumido por las personas titulares de los órganos directivos con nivel de subdirección general, por el orden establecido en el Estatuto.

El ejercicio del resto de competencias será asumido por el Adjunto en los términos previstos en el Estatuto Orgánico de la Agencia Española de Protección de Datos y, en su defecto, por las personas titulares de los órganos directivos con nivel de subdirección general, por el orden establecido en el Estatuto.»

Dos. El artículo 50 queda redactado como sigue:

«Artículo 50. Publicidad.

La Agencia Española de Protección de Datos publicará las resoluciones de su Presidencia que declaren haber lugar o no a la atención de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, las que pongan fin a los procedimientos sancionadores y a los procedimientos de apercibimiento, las que archiven las actuaciones previas de investigación, las dictadas respecto de las entidades a que se refiere el artículo 77.1 de esta ley orgánica, las que impongan medidas cautelares y las demás que disponga su Estatuto.»

Tres. Se introduce un artículo 53 bis con la siguiente redacción:

«Artículo 53 bis. Actuaciones de investigación a través de sistemas digitales.

Las actuaciones de investigación podrán realizarse a través de sistemas digitales que, mediante la videoconferencia u otro sistema similar, permitan la comunicación bidireccional y simultánea de imagen y sonido, la interacción visual, auditiva y verbal entre la Agencia Española de Protección de Datos y el inspeccionado. Además, deben garantizar la transmisión y recepción seguras de los documentos e información que se intercambien, y, en su caso, recoger las evidencias necesarias y el resultado de las actuaciones realizadas asegurando su autoría, autenticidad e integridad.

La utilización de estos sistemas se producirá cuando lo determine la Agencia y requerirá la conformidad del inspeccionado en relación con su uso y con la fecha y hora de su desarrollo.»

Cuatro. Se modifica el artículo 64, que queda redactado del siguiente modo:

«Artículo 64. Forma de iniciación del procedimiento y duración.

1. Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.

En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación.

2. Cuando el procedimiento tenga por objeto la determinación de la posible existencia de una infracción de lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, y en la presente ley orgánica, se iniciará mediante acuerdo de inicio, adoptado por propia iniciativa o como consecuencia de reclamación, que le será notificado al interesado.

Si el procedimiento se fundase en una reclamación formulada ante la Agencia Española de Protección de Datos, con carácter previo, esta decidirá sobre su admisión a trámite, conforme a lo dispuesto en el artículo 65 de esta ley orgánica.

Admitida a trámite la reclamación, así como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia iniciativa, con carácter previo al acuerdo de inicio podrá existir una fase de actuaciones previas de investigación, que se regirá por lo previsto en el artículo 67 de esta ley orgánica.

El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.

3. Cuando así proceda en atención a la naturaleza de los hechos y teniendo debidamente en cuenta los criterios establecidos en el artículo 83.2 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, la Agencia Española de Protección de Datos, previa audiencia al responsable o encargado del tratamiento, podrá dirigir un apercibimiento, así como ordenar al responsable o encargado del tratamiento que adopten las medidas correctivas encaminadas a poner fin al posible incumplimiento de la legislación de protección de datos de una determinada manera y dentro del plazo especificado.

El procedimiento tendrá una duración máxima de seis meses a contar desde la fecha del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en consecuencia, el archivo de actuaciones.

Será de aplicación en este caso lo dispuesto en los párrafos segundo y tercero del apartado 2 de este artículo.

4. El procedimiento podrá también tramitarse como consecuencia de la comunicación a la Agencia Española de Protección de Datos por parte de la autoridad de control de otro Estado miembro de la Unión Europea de la reclamación formulada ante la misma, cuando la Agencia Española de Protección de Datos tuviese la condición de autoridad de control principal para la tramitación de un procedimiento conforme a lo dispuesto en los artículos 56 y 60 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. Será en este caso de aplicación lo dispuesto en los apartados 1, 2 y 3 de este artículo.

5. Los plazos de tramitación establecidos en este artículo así como los de admisión a trámite regulados por el artículo 65.5 y de duración de las actuaciones previas de investigación previstos en el artículo 67.2, quedarán automáticamente suspendidos cuando deba recabarse información, consulta, solicitud de asistencia o pronunciamiento preceptivo de un órgano u organismo de la Unión Europea o de una o varias autoridades de control de los Estados miembros conforme con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, por el tiempo que medie entre la solicitud y la notificación del pronunciamiento a la Agencia Española de Protección de Datos.

6. El transcurso de los plazos de tramitación a los que se refiere el apartado anterior se podrá suspender, mediante resolución motivada, cuando resulte indispensable recabar información de un órgano jurisdiccional.»

Cinco. Se modifican los apartados 4 y 5 del artículo 65, y se añade un nuevo apartado 6, que quedan redactados del siguiente modo:

«4. Antes de resolver sobre la admisión a trámite de la reclamación, la Agencia Española de Protección de Datos podrá remitir la misma al delegado de protección de datos que hubiera, en su caso, designado el responsable o encargado del tratamiento, al organismo de supervisión establecido para la aplicación de los códigos de conducta o al organismo que asuma las funciones de resolución extrajudicial de conflictos a los efectos previstos en los artículos 37 y 38.2 de esta ley orgánica.

La Agencia Española de Protección de Datos podrá igualmente remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos ni estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación en el plazo de un mes.

Si como consecuencia de dichas actuaciones de remisión, el responsable o encargado del tratamiento demuestra haber adoptado medidas para el cumplimiento de la normativa aplicable, la Agencia Española de Protección de Datos podrá inadmitir a trámite la reclamación.

5. La decisión sobre la admisión o inadmisión a trámite, así como la que determine, en su caso, la remisión de la reclamación a la autoridad de control principal que se estime competente, deberá notificarse al reclamante en el plazo de tres meses. Si transcurrido este plazo no se produjera dicha notificación, se entenderá que prosigue la tramitación de la reclamación con arreglo a lo dispuesto en este título a partir de la fecha en que se cumpliesen tres meses desde que la reclamación tuvo entrada en la Agencia Española de Protección de Datos, sin perjuicio de la facultad de la Agencia de archivar posteriormente y de forma expresa la reclamación.

En el supuesto de que la Agencia Española de Protección de Datos actúe como consecuencia de la comunicación que le hubiera sido remitida por la autoridad de control de otro Estado miembro de la Unión Europea, conforme al artículo 64.4 de esta ley orgánica, el cómputo del plazo señalado en el párrafo anterior se iniciará una vez que se reciba en la Agencia toda la documentación necesaria para su tramitación.

Cuando los hechos de una reclamación relativa a la posible existencia en el ámbito competencial de la Agencia, guarden identidad sustancial con los que sean objeto de unas actuaciones previas de investigación o de un procedimiento sancionador ya iniciado, en la notificación de la decisión de admisión a trámite se podrá indicar el número de expediente correspondiente a las actuaciones previas o al procedimiento correspondiente, así como de la dirección web en la que se publicará la resolución que ponga fin al mismo, a efectos de que el reclamante pueda conocer el curso y resultado de la investigación.

6. Tras la admisión a trámite, si el responsable o encargado del tratamiento demuestran haber adoptado medidas para el cumplimiento de la normativa aplicable, la Agencia Española de Protección de Datos podrá resolver el archivo de la reclamación, cuando en el caso concreto concurran circunstancias que aconsejen la adopción de otras soluciones más moderadas o alternativas a la acción correctiva, siempre que no se hayan iniciado actuaciones previas de investigación o alguno de los procedimientos regulados en esta ley orgánica.»

Seis. El apartado 1 del artículo 66 queda redactado como sigue:

«1. Salvo en los supuestos a los que se refiere el artículo 64.4 de esta ley orgánica, la Agencia Española de Protección de Datos deberá, con carácter previo a la realización de cualquier otra actuación, incluida la admisión a trámite de una reclamación o el comienzo de actuaciones previas de investigación, examinar su competencia y determinar el carácter nacional o transfronterizo, en cualquiera de sus modalidades, del procedimiento a seguir.»

Siete. Se modifica el apartado 2 del artículo 67, que queda redactado del siguiente modo:

«2. Las actuaciones previas de investigación se someterán a lo dispuesto en la sección 2.ª del capítulo I del título VII de esta ley orgánica y no podrán tener una duración superior a dieciocho meses a contar desde la fecha del acuerdo de admisión a trámite o de la fecha del acuerdo por el que se decida su iniciación cuando la Agencia Española de Protección de Datos actúe por propia iniciativa.»

Ocho. Se modifica el párrafo segundo del artículo 75, que queda redactado en los siguientes términos:

«Cuando la Agencia Española de Protección de Datos ostente la condición de autoridad de control principal y deba seguirse el procedimiento previsto en el artículo 60 del Reglamento (UE) 2016/679 interrumpirá la prescripción el conocimiento formal por el interesado del acuerdo de inicio.»

Nueve. Se modifica el apartado 2 del artículo 77, que queda redactado del siguiente modo:

«2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica, la autoridad de protección de datos que resulte competente dictará resolución declarando la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016.

La resolución se notificará al responsable o encargado del tratamiento, al órgano del que dependa jerárquicamente, en su caso, y a los afectados que tuvieran la condición de interesado, en su caso.»

Diez. Se introduce una disposición adicional vigésima tercera con la siguiente redacción:

«Disposición adicional vigésima tercera. Modelos de presentación de reclamaciones.

La Agencia Española de Protección de Datos podrá establecer modelos de presentación de reclamaciones ante la misma en todos los ámbitos en los que ésta tenga competencia, que serán de uso obligatorio para los interesados independientemente de que estén obligados o no a relacionarse electrónicamente con las administraciones públicas.

Los modelos serán publicados en el ”Boletín Oficial del Estado” y en la Sede Electrónica de la Agencia Española de Protección de Datos y serán de obligado cumplimiento al mes de su publicación en el ”Boletín Oficial del Estado”.»

Disposición final décima. Modificación de la Ley 6/2020, de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.

Uno. Se añade un nuevo artículo 19 bis, que queda redactado como sigue:

«Artículo 19 bis. Apercibimiento.

1. Los órganos con competencia sancionadora, atendida la naturaleza de los hechos y la concurrencia significativa de los criterios establecidos en el artículo anterior, podrán acordar no iniciar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable, a fin de que en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que, en cada caso, resulten pertinentes, siempre que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta ley.

2. Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador hubiera determinado, procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.»

Dos. Se modifica el artículo 20, que queda redactado como sigue:

«Artículo 20. Potestad sancionadora.

1. La imposición de sanciones por el incumplimiento de lo previsto en esta ley corresponderá, en el caso de infracciones muy graves, a la persona titular del Ministerio de Asuntos Económicos y Transformación Digital, y en el de infracciones graves y leves, a la persona titular de la Secretaría de Estado de Digitalización e Inteligencia Artificial.

2. La potestad sancionadora regulada en esta ley se ejercerá de conformidad con lo establecido al respecto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y en sus normas de desarrollo. El procedimiento tendrá una duración máxima de nueve meses a contar desde la fecha del acuerdo de iniciación. El plazo máximo de duración del procedimiento simplificado será de tres meses.»

Disposición final undécima. Modificación del Real Decreto-ley 16/2022, de 6 de septiembre, para la mejora de las condiciones de trabajo y de Seguridad Social de las personas trabajadoras al servicio del hogar.

Uno. Se modifica el apartado 4 de la disposición final séptima, que queda con la redacción siguiente:

«4. Lo dispuesto en los apartados 2 y 3 y el párrafo segundo del apartado 4 de la disposición adicional primera, así como la letra b) de la disposición derogatoria única, producirán efectos cuando entre en vigor el desarrollo reglamentario previsto en los citados preceptos y, en todo caso, el 1 de abril de 2024.»

Dos. Se modifica la disposición transitoria tercera, que queda redactada del modo siguiente:

«Disposición transitoria tercera. Mantenimiento de los beneficios por la contratación de cuidadores en familias numerosas.

Las bonificaciones por la contratación de cuidadores en familias numerosas que se estuvieran aplicando el 1 de abril de 2023, en los términos previstos en el artículo 9 de la Ley 40/2003, de 18 de noviembre, de protección a las familias numerosas, mantendrán su vigencia hasta la fecha de efectos de la baja de los cuidadores que den derecho a las mismas en el Régimen General de la Seguridad Social.

Se mantendrá la aplicación de las bonificaciones a las que se refiere el párrafo anterior desde el 1 de abril de 2023 hasta la entrada en vigor de la Ley 11/2023, de 8 de mayo, de trasposición de Directivas de la Unión Europea en materia de accesibilidad de determinados productos y servicios, migración de personas altamente cualificadas, tributaria y digitalización de actuaciones notariales y registrales; y por la que se modifica la Ley 12/2011, de 27 de mayo, sobre responsabilidad civil por daños nucleares o producidos por materiales radiactivos.

Tales bonificaciones serán incompatibles con la reducción en la cotización establecida en el párrafo primero del apartado 1 de la disposición adicional primera de este real decreto-ley, así como con las bonificaciones establecidas en el apartado 2 de dicha disposición adicional.»

Disposición final duodécima. Modificación del Real Decreto-ley 20/2022, de 27 de diciembre, de medidas de respuesta a las consecuencias económicas y sociales de la Guerra de Ucrania y de apoyo a la reconstrucción de la isla de La Palma y a otras situaciones de vulnerabilidad.

Se modifica el Real Decreto-ley 20/2022, de 27 de diciembre, de medidas de respuesta a las consecuencias económicas y sociales de la Guerra de Ucrania y de apoyo a la reconstrucción de la isla de La Palma y a otras situaciones de vulnerabilidad, en los siguientes términos:

Uno. Se modifica el apartado 1 del artículo 34, que queda redactado como sigue:

«1. Se aprueba una ayuda extraordinaria y temporal para los titulares de los vehículos que tienen derecho a la devolución parcial del Impuesto sobre Hidrocarburos prevista en el artículo 52 bis de la Ley 38/1992, de 28 de diciembre, de Impuestos Especiales con el fin de paliar el efecto perjudicial en la actividad del transporte por carretera ocasionado por el incremento de los costes de los productos petrolíferos como consecuencia de la guerra de Ucrania.»

Dos. Se modifica el apartado 2 del artículo 34, que queda redactado como sigue:

«2. Serán beneficiarios de esta ayuda los titulares de los vehículos citados en el apartado 2 del artículo 52 bis de la Ley de Impuestos Especiales que tengan derecho a la devolución parcial del Impuesto sobre Hidrocarburos respecto del gasóleo para uso general que haya sido utilizado como carburante en el motor de los vehículos de su titularidad.

Los beneficiarios de esta ayuda deberán cumplir con todas las obligaciones establecidas en el artículo 52 bis de la Ley de Impuestos Especiales y su normativa de desarrollo.

Las ayudas no podrán concederse ni beneficiar de modo alguno a personas físicas o sociedades afectadas por sanciones que la Unión Europea haya podido establecer a raíz de la invasión de Ucrania por parte de Rusia. Esta limitación se extiende a empresas controladas por personas, entidades y órganos afectados por sanciones que la Unión Europea haya podido establecer a raíz de la invasión de Ucrania por parte de Rusia y a empresas que estén activas en sectores afectados por sanciones que la Unión Europea haya podido establecer a raíz de la invasión de Ucrania por parte de Rusia, en la medida en que la ayuda menoscabe los objetivos de las sanciones correspondientes.»

Tres. Se modifica el apartado 3 del artículo 34, que queda redactado como sigue:

«3. El importe de la ayuda ascenderá a 0,20 euros por cada litro de gasóleo para uso general utilizado como carburante en el motor de los vehículos citados en el apartado 2 del artículo 52 bis de la Ley de Impuestos Especiales en los suministros realizados entre el 1 de enero y el 31 de marzo de 2023, y a 0,10 euros en los suministros realizados entre el 1 de abril y el 30 de junio de 2023.»

Cuatro. Se modifica el segundo cuadro contenido en el artículo 38.3, con el título «Vehículo», que queda redactado en los siguientes términos:

«Vehículo                                                                             Importe/(euros)

Mercancías pesado. Camión. MDPE con MMA >7,5 t

y tipo de carburante GLP, GNC o GNL.                                     3690

Mercancías pesado. MDPE con MMA>7,5 t,

tipo de combustible gasóleo y domiciliado en

Canarias, Ceuta o Melilla.                                                            2700

Mercancías pesado. Camión. MDPE con MMA<7,5 t.      1000

Mercancías ligero. Furgoneta. MDLE.                                     450

Ambulancia VSE.                                                                             450

Taxis. VT. con tipo de combustible GLP, GNC o GNL.          410

Taxis. VT con tipo de combustible gasolina.

VT con tipo de combustible gasóleo y domiciliado

en Canarias o taxis domiciliados en Ceuta o Melilla o

sin aparato taxímetro.                                                                   300

Vehículo alquiler con conductor. VTC.                                    300

Autobús. VDE y tipo de carburante GLP, GNC o GNL.        2050

Autobús. VDE y tipo de combustible gasóleo y

domiciliado en Canarias, Ceuta o Melilla.                              1500

Autobús urbano conforme a la clasificación por

criterios de utilización del Reglamento General

de Vehículos y tipo de combustible GLP, GNC o GNL.       2050

Autobús urbano conforme a la clasificación por

criterios de utilización del Reglamento General

de Vehículos, tipo de combustible gasóleo

y domiciliado en Canarias, Ceuta o Melilla.                           1500»

Disposición final decimotercera. Revisión y actualización del Estatuto del Real Patronato sobre Discapacidad.

En el plazo de un año desde la promulgación de esta ley, el Gobierno de España revisará y actualizará el Real Decreto 946/2001, de 3 de agosto, por el que se aprueba el Estatuto del Real Patronato sobre Discapacidad, para ajustarlo plenamente a los principios, valores y mandatos de la Convención Internacional sobre las Personas con Discapacidad de Naciones Unidas de 13 de diciembre de 2006; a la Ley General de los Derechos de las Personas con Discapacidad y de su Inclusión Social y a lo establecido en la presente ley en cuanto a creación de nuevos Centros en su seno.

Disposición final decimocuarta. Títulos competenciales.

El título I de la presente norma se dicta al amparo de lo dispuesto en el artículo 149.1.1.ª y 149.1.13.ª de la Constitución, que atribuye al Estado las competencias para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales y, en materia de bases y coordinación de la planificación general de la actividad económica, respectivamente.

El título II se dicta al amparo del artículo 149.1.2.ª de la Constitución, que atribuye al Estado competencia exclusiva en materia de nacionalidad, inmigración, extranjería y derecho de asilo.

Los títulos III y V se dicta al amparo de lo establecido en el artículo 149.1.14.ª de la Constitución, que atribuye al Estado la competencia en materia de Hacienda general.

El título IV se dicta al amparo de lo dispuesto en el artículo 149.1.6.ª de la Constitución Española, que atribuye al Estado la competencia exclusiva en materia de legislación mercantil; y en el artículo 149.1.8.ª de la Constitución Española que atribuye al Estado la competencia exclusiva en materia de legislación civil, sin perjuicio de la conservación, modificación y desarrollo por las Comunidades Autónomas de los derechos civiles, forales o especiales, allí donde existan, y de la ordenación de los registros e instrumentos públicos.

El título VI se dicta al amparo de lo dispuesto en el artículo 149.1.8.ª de la Constitución, que atribuye al Estado la competencia exclusiva para dictar la legislación civil, salvo la modificación introducida por el artículo 34 en el artículo 14.1 de la Ley 12/2011, de 27 de mayo, que se dicta al amparo de lo dispuesto en el artículo 149.1.6.ª de la Constitución, que atribuye al Estado la competencia exclusiva para dictar la legislación procesal.

Disposición final decimoquinta. Incorporación de Derecho de la Unión Europea.

Mediante la presente ley se incorporan al Derecho español:

La Directiva (UE) 2019/882, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios.

Parcialmente, la Directiva (UE) 2021/1883 del Parlamento Europeo y del Consejo, de 20 de octubre de 2021, relativa a las condiciones de entrada y residencia de nacionales de terceros países con fines de empleo de alta cualificación, y por la que se deroga la Directiva 2009/50/CE del Consejo.

Parcialmente, la Directiva (UE) 2020/284 del Consejo, de 18 de febrero de 2020, por la que se modifica la Directiva 2006/112/CE en lo que respecta a la introducción de determinados requisitos para los proveedores de servicios de pago.

Parcialmente, la Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades.

Parcialmente la Directiva (UE) 2021/2118 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2021, por la que se modifica la Directiva 2009/103/CE relativa al seguro de la responsabilidad civil que resulta de la circulación de vehículos automóviles, así como al control de la obligación de asegurar esta responsabilidad.

Parcialmente la Directiva (UE) 2019/2034 del Parlamento Europeo y del Consejo, de 27 de noviembre de 2019, relativa a la supervisión prudencial de las empresas de servicios de inversión, y por la que se modifican las Directivas 2002/87/CE, 2009/65/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE y 2014/65/UE.

La Directiva (UE) 2020/262 del Consejo, de 19 de diciembre de 2019, por la que se establece el régimen general de los impuestos especiales.

La Directiva (UE) 2020/1151 del Consejo, de 29 de julio de 2020, por la que se modifica la Directiva 92/83/CEE relativa a la armonización de las estructuras de los impuestos especiales sobre el alcohol y las bebidas alcohólicas.

Asimismo, esta ley incorpora al Derecho español la corrección de errores del Reglamento Europeo sobre Protección de Datos publicada en el DOUE del día 4 de marzo de 2021, procediendo a la modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Disposición final decimosexta. Salvaguarda de rango de disposiciones reglamentarias.

Las determinaciones incluidas en normas reglamentarias que son objeto de modificación por esta norma legal podrán ser modificadas por normas del rango reglamentario correspondiente a la norma en que figuran.

Disposición final decimoséptima. Habilitación para el desarrollo normativo.

Se faculta al Gobierno para dictar las disposiciones adicionales necesarias para la aplicación y desarrollo de lo establecido en la presente ley, así como para acordar las medidas precisas para garantizar su ejecución e implantación efectiva, sin perjuicio de las competencias propias de las comunidades autónomas de desarrollo y ejecución de la legislación básica del Estado.

Asimismo, se habilita a la persona titular del Ministerio de Derechos Sociales y Agenda 2030 para modificar los plazos a los que se refiere el artículo 12 y para modificar el anexo V a los solos efectos de adecuar su contenido a lo que la Comisión Europea pudiera disponer en ejercicio de las facultades que le confieren los artículos 12.3 y 14.7 de la Directiva (UE) 2019/882 del Parlamento y del Consejo, de 17 de abril de 2019, respectivamente.

Disposición final decimoctava. Entrada en vigor.

1. La presente ley entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado», con las excepciones señaladas en esta disposición.

2. El título I entrará en vigor el 28 de junio de 2025, a excepción del artículo 27.4, que entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».

3. El artículo 32.1, las disposiciones adicionales primera y cuarta, y la disposición final segunda entrarán en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».

4. El título III entrará en vigor el 1 de enero de 2024.

5. Los artículos 34 y 37 y los apartados nueve al quince del artículo 42 entrarán en vigor a los seis meses de su publicación en el «Boletín Oficial del Estado».

6. Los artículos 35, 36 y 38 entrarán en vigor al año de su publicación en el «Boletín Oficial del Estado».

Por tanto,

Mando a todos los españoles, particulares y autoridades, que guarden y hagan guardar esta ley.

Madrid, 8 de mayo de 2023.

FELIPE R.

El Presidente del Gobierno,

PEDRO SÁNCHEZ PÉREZ-CASTEJÓN

ANEXO I. Requisitos de accesibilidad de los productos y servicios

Sección I. Requisitos generales de accesibilidad relacionados con todos los productos incluidos en el ámbito de aplicación del título I de la presente ley, de conformidad con el artículo 2.1

Los productos deberán diseñarse y fabricarse de tal manera que se optimice su uso previsible por parte de las personas con discapacidad y vayan acompañados en el producto o sobre él, de información accesible sobre su funcionamiento y características de accesibilidad.

1. Requisitos relativos al suministro de información:

a) La información sobre el uso del producto facilitada en el propio producto (etiquetado, instrucciones y advertencias):

1.º) Estará disponible a través de más de un canal sensorial,

2.º) se presentará de una forma fácil de entender,

3.º) se presentará a los usuarios de una forma que puedan percibir,

4.º) se presentará utilizando un tipo de letra de tamaño adecuado y forma conveniente, teniendo en cuenta las condiciones previsibles de uso, así como utilizando un contraste suficiente y un espaciado ajustable entre letras, líneas y párrafos.

b) Las instrucciones de uso del producto, cuando no se proporcionen con el propio producto, sino a través del uso del producto o por otros medios, como un sitio web (por ejemplo, las funciones de accesibilidad del producto, cómo activarlas y su interoperabilidad con soluciones de apoyo), se pondrán a disposición del público en el momento en que se introduzca en el mercado, y:

1.º) Estarán disponibles a través de más de un canal sensorial,

2.º) se presentarán de una forma que resulte fácil de entender,

3.º) se presentarán a los usuarios de una forma que puedan percibir,

4.º) se presentarán utilizando un tipo de letra de tamaño adecuado y forma conveniente, teniendo en cuenta las condiciones previsibles de uso, así como utilizando un contraste suficiente y un espaciado ajustable entre letras, líneas y párrafos,

5.º) con respecto al contenido, estarán disponibles en formatos de texto que puedan utilizarse para generar formatos de apoyo que puedan presentarse de diversas formas y a través de más de un canal sensorial,

6.º) irán acompañadas de una presentación alternativa del contenido no textual,

7.º) incluirán una descripción de la interfaz de usuario del producto (manipulación, control y respuesta, entrada y salida de datos) proporcionada de conformidad con el punto 2; la descripción indicará, para cada una de las letras contenidas en el punto 2, si el producto presenta dichas características,

8.º) incluirán una descripción de la funcionalidad del producto proporcionada por las funciones destinadas a satisfacer las necesidades de las personas con discapacidad, de conformidad con el punto 2; la descripción indicará, para cada una de las letras contenidas en el punto 2, si el producto presenta dichas características,

9.º) incluirán una descripción de la interconexión del programa y el aparato del producto con dispositivos de apoyo; la descripción incluirá una lista de las tecnologías de apoyo que se han ensayado junto con el producto.

2. Interfaz de usuario y diseño de funcionalidad:

El producto, incluida su interfaz de usuario, contendrá características, elementos y funciones que permitan a las personas con discapacidad acceder, percibir, manejar, comprender y controlar el producto, velando por lo siguiente:

a) Cuando el producto proporcione las funciones de comunicación –incluida la comunicación interpersonal–, manejo, información, control y orientación, lo hará a través de más de un canal sensorial, lo que incluirá ofrecer alternativas a la comunicación visual, auditiva, hablada y táctil;

b) cuando el producto utilice el habla, proporcionará alternativas al habla y a la intervención vocal para la comunicación, el manejo, el control y la orientación;

c) cuando el producto utilice elementos visuales, proporcionará funciones flexibles de aumento, brillo y contraste para la comunicación, la información y el manejo, y garantizará la interoperabilidad con los programas y las tecnologías de apoyo para navegar por la interfaz;

d) cuando el producto utilice el color para transmitir información, indicar una acción, pedir una respuesta o identificar elementos, proporcionará una alternativa al color;

e) cuando el producto utilice señales audibles para transmitir información, indicar una acción, pedir una respuesta o identificar elementos, proporcionará una alternativa a las señales audibles;

f) cuando el producto utilice elementos visuales, proporcionará formas flexibles de mejorar la claridad de visión;

g) cuando el producto utilice audio, proporcionará la posibilidad de que el usuario controle el volumen y la velocidad, y características de audio mejoradas, en particular la reducción de interferencias de señales de audio procedentes de los productos circundantes y la claridad del audio;

h) cuando el producto requiera un manejo y control manuales, proporcionará la posibilidad de un control secuencial y alternativas a la motricidad precisa, evitando la necesidad de controles simultáneos para la manipulación, y utilizará partes discernibles al tacto;

i) el producto evitará modos de manejo que exijan amplio alcance y mucha fuerza;

j) el producto evitará la activación de reacciones fotosensibles;

k) el producto protegerá la privacidad del usuario cuando este utilice características de accesibilidad;

l) el producto proporcionará una alternativa a la identificación y el control biométricos;

m) el producto garantizará la coherencia de la funcionalidad y proporcionará lapsos de tiempo suficientes y flexibles para la interacción;

n) el producto proporcionará el programa y el aparato para la interfaz con las tecnologías asistenciales;

o) el producto cumplirá los siguientes requisitos específicos del sector:

1.º) Terminales de autoservicio:

i) Integrarán una tecnología de síntesis de voz,

ii) permitirán la utilización de auriculares,

iii) cuando el tiempo de respuesta sea limitado, avisarán al usuario a través de más de un canal sensorial,

iv) darán la posibilidad de aumentar el tiempo de respuesta,

v) tendrán un contraste adecuado y, cuando dispongan de teclas y controles, estos serán perceptibles al tacto,

vi) no requerirán que esté activada una característica de accesibilidad para que un usuario que necesite dicha característica las encienda,

vii) cuando el producto utilice audio o señales acústicas, será compatible con los dispositivos y tecnología de apoyo disponibles a escala de la Unión Europea, incluidas tecnologías auditivas, tales como audífonos, telebobinas, implantes cocleares y dispositivos de escucha asistida.

2.º) Los lectores electrónicos integrarán una tecnología de síntesis de voz,

3.º) equipos terminales de consumo con capacidad informática interactiva utilizados para la prestación de servicios de comunicaciones electrónicas:

i) Cuando dichos productos tengan capacidad textual además de vocal, incluirán la posibilidad de manejo textual en tiempo real y ofrecerán un sonido de alta fidelidad,

ii) cuando tengan capacidad para utilizar vídeo, además de capacidad textual y vocal o combinada con estas últimas, deberán posibilitar el manejo de la conversación completa, incluida la voz sincronizada, el texto en tiempo real y el vídeo, con una resolución que permita la comunicación mediante la lengua de signos,

iii) garantizarán una conexión inalámbrica eficaz con las tecnologías auditivas,

iv) evitarán las interferencias con dispositivos de apoyo.

4.º) Los equipos terminales de consumo con capacidad de computación interactiva utilizados para acceder a servicios de comunicación audiovisual pondrán a disposición de las personas con discapacidad los componentes de accesibilidad proporcionados por el prestador de servicios de comunicación audiovisual, para el acceso, la selección, el control y la personalización del usuario y para la transmisión a dispositivos de apoyo.

3. Servicios de apoyo:

Cuando se disponga de ellos, los servicios de apoyo (puntos de contacto, centros de asistencia telefónica, asistencia técnica, servicios de retransmisión y servicios de formación) ofrecerán información sobre la accesibilidad del producto y su compatibilidad con las tecnologías asistenciales, en modos de comunicación accesibles para las personas con discapacidad.

Sección II. Requisitos de accesibilidad relacionados con los productos del artículo 2.1, excepto los terminales de autoservicio a que se refiere el artículo 2.1.b)

Además de los requisitos de la sección I, con el fin de optimizar su uso previsible por las personas con discapacidad, se harán accesibles los embalajes o envases e instrucciones de los productos incluidos en la presente sección. A saber:

a) El embalaje, etiquetado o envase del producto, en particular la información facilitada en él (por ejemplo, sobre la apertura, el cierre, el uso, la eliminación), incluida, cuando se disponga de ella, la información sobre sus características de accesibilidad, se hará accesible y, en la medida de lo posible, dicha información accesible figurará en el propio embalaje o envase;

b) las instrucciones de instalación y mantenimiento, almacenamiento y eliminación del producto no suministradas con el propio producto, pero disponibles por otros medios, como, por ejemplo, un sitio web, se pondrán a disposición del público cuando el producto se introduzca en el mercado y deberán cumplir los requisitos siguientes:

1.º) Estarán disponibles a través de más de un canal sensorial,

2.º) se presentarán de una forma que resulte fácil de entender,

3.º) se presentarán a los usuarios de una forma que puedan percibir,

4.º) se presentarán en un tipo de letra de tamaño adecuado y forma conveniente, teniendo en cuenta las condiciones previsibles de uso, así como utilizando un contraste suficiente y un espaciado ajustable entre letras, líneas y párrafos,

5.º) el contenido de las instrucciones estará disponible en formatos de texto que puedan utilizarse para generar formatos asistenciales alternativos para su presentación de diferentes modos y a través de más de un canal sensorial, y

6.º) las instrucciones que contengan cualquier elemento de contenido no textual irán acompañadas de una presentación alternativa de dicho contenido.

Sección III. Requisitos generales de accesibilidad relacionados con todos los servicios incluidos en el ámbito de aplicación de la presente ley de conformidad con el artículo 2.2

Con el fin de optimizar su uso previsible por las personas con discapacidad, la prestación de los servicios se efectuará:

a) Garantizando la accesibilidad de los productos usados para la prestación del servicio de conformidad con lo dispuesto en la sección I del presente anexo y, cuando proceda, en su sección II;

b) proporcionando información sobre el funcionamiento del servicio, y, cuando se utilicen productos para la prestación del servicio, su vinculación con dichos productos, así como información sobre sus características de accesibilidad e interoperabilidad con dispositivos y equipamientos de apoyo:

1.º) Haciendo disponible la información a través de más de un canal sensorial,

2.º) presentando la información de una forma que resulte fácil de entender,

3.º) presentando la información a los usuarios de una forma que puedan percibir,

4.º) velando por que el contenido de la información esté disponible en formatos de texto que puedan utilizarse para generar formatos asistenciales alternativos para su presentación de diferentes modos por los usuarios y a través de más de un canal sensorial,

5.º) presentándose en un tipo de letra de tamaño adecuado y forma conveniente, teniendo en cuenta las condiciones previsibles de uso, así como utilizando un contraste suficiente y un espaciado ajustable entre letras, líneas y párrafos,

6.º) complementando cualquier contenido con una presentación alternativa de dicho contenido, y

7.º) ofreciendo la información electrónica necesaria para la prestación del servicio de manera coherente y adecuada, haciéndola perceptible, manejable, comprensible y sólida.

c) Haciendo que los sitios web, incluidas las aplicaciones en línea conexas, y los servicios basados en dispositivos móviles, incluidas las aplicaciones para dispositivos móviles, sean accesibles de manera coherente y adecuada haciéndolos perceptibles, manejables, comprensibles y sólidos;

d) cuando se disponga de ellos, los servicios de apoyo (puntos de contacto, centros de asistencia telefónica, asistencia técnica, servicios de retransmisión y servicios de formación) ofrecerán información sobre la accesibilidad del servicio y su compatibilidad con las tecnologías de apoyo mediante modos de comunicación accesibles.

Sección IV. Requisitos adicionales de accesibilidad relacionados con servicios específicos

La prestación de servicios con el fin de optimizar su uso previsible por personas con discapacidad se obtendrá incluyendo las siguientes funciones, prácticas, políticas, procedimientos y cambios en el funcionamiento del servicio con la finalidad de abordar las necesidades de las personas con discapacidad y garantizar la interoperabilidad con las tecnologías de apoyo:

a) Servicios de comunicaciones electrónicas, en particular las comunicaciones de emergencia a que se refiere el artículo 74 de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones:

1.º) Facilitando el texto en tiempo real además de comunicación de voz;

2.º) facilitando la conversación completa con apoyo de vídeo además de la comunicación de voz;

3.º) velando por que las comunicaciones de emergencia que utilicen servicios de voz y texto –incluidos los textos en tiempo real– estén sincronizadas y que, en caso de que se facilite vídeo, también estén sincronizadas como una conversación completa y sean transmitidas por el prestador de servicios de comunicaciones electrónicas al punto de respuesta de seguridad pública más adecuado.

b) Servicios que proporcionan acceso a los servicios de comunicación audiovisual:

1.º) Facilitando guías electrónicas de programas que sean perceptibles, funcionales, comprensibles y resistentes y que proporcionen información sobre la disponibilidad de características de accesibilidad;

2.º) garantizando que los componentes de accesibilidad (servicios de acceso) de los servicios de comunicación audiovisual, como subtítulos para personas sordas, con discapacidad auditiva y sordociegas, descripción de audio, subtítulos hablados e interpretación de lengua de signos, se transmitan en su totalidad con calidad suficiente para una visualización precisa y sincronizada que posibilite al usuario controlar su presentación y utilización.

c) Servicios de transporte aéreo de viajeros, de transporte de viajeros por autobús, por ferrocarril y de transporte de pasajeros por mar y por vías navegables, salvo los servicios de transporte urbanos y suburbanos y los servicios de transporte regionales:

1.º) Garantizando que se facilita información sobre la accesibilidad de los vehículos, de las infraestructuras circundantes y del entorno construido, así como sobre la asistencia para personas con discapacidad;

2.º) garantizando que se facilita información sobre los terminales inteligentes expendedores de billetes (reservas electrónicas, compra de billetes, etc.), información de viaje en tiempo real (horarios, información sobre perturbaciones del tráfico, servicios de enlace, conexiones con otros modos de transporte, etc.) e información sobre servicios adicionales (personal de las estaciones, ascensores fuera de servicio o servicios temporalmente indisponibles).

d) Servicios de transporte urbanos y suburbanos y servicios de transporte regionales: garantizando la accesibilidad de los terminales de autoservicio usados para la prestación del servicio de conformidad con lo dispuesto en la sección I del presente anexo, en el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, y en el Real Decreto 1544/2007, de 23 de noviembre, por el que se regulan las condiciones básicas de accesibilidad y no discriminación para el acceso y utilización de los modos de transporte para personas con discapacidad.

e) Servicios bancarios para consumidores:

1.º) Facilitando métodos de identificación, firmas electrónicas, seguridad y servicios de pago que sean perceptibles, funcionales, comprensibles y resistentes;

2.º) garantizando que la información sea comprensible, sin rebasar un nivel de complejidad superior al nivel B2 (intermedio alto) del Marco Común Europeo de Referencia para las Lenguas.

f) Libros electrónicos:

1.º) Garantizando que, cuando un libro electrónico contenga audio además de texto, proporcione texto y audio sincronizados;

2.º) garantizando que los archivos del libro electrónico no impidan que la tecnología de apoyo funcione correctamente;

3.º) garantizando el acceso a los contenidos, la navegación por el contenido de los archivos y un diseño que incluya una configuración dinámica y aporte estructura, flexibilidad y variedad a la presentación de los contenidos;

4.º) permitiendo presentaciones de sustitución del contenido y de su interoperabilidad con diversas tecnologías de apoyo, de forma que sea perceptible, utilizable, comprensible y fiable;

5.º) haciendo que se puedan explorar mediante el suministro de información sobre sus características de accesibilidad a través de metadatos;

6.º) garantizando que las medidas de gestión de derechos digitales no bloqueen las características de accesibilidad.

g) Servicios de comercio electrónico:

1.º) Facilitando la información relativa a la accesibilidad de los productos y servicios en venta cuando el agente económico responsable proporcione esta información;

2.º) garantizando la accesibilidad de la función de identificación, seguridad y pago cuando se preste como parte de un servicio en lugar de un producto haciéndola perceptible, funcional, comprensible y resistente;

3.º) facilitando métodos de identificación, firmas electrónicas y servicios de pago que sean perceptibles, funcionales, comprensibles y resistentes.

Sección V. Requisitos específicos de accesibilidad relacionados con la respuesta a las comunicaciones de emergencia al número único europeo de emergencia «112» por el punto de respuesta de seguridad pública (PSAP) más apropiado

Con el fin de optimizar su uso previsible por las personas con discapacidad, la respuesta a comunicaciones de emergencia al número único europeo de emergencia «112» por el PSAP más apropiado se realizará incluyendo funciones, prácticas, políticas, procedimientos y cambios destinados a atender a las necesidades de las personas con discapacidad.

Las comunicaciones de emergencia al número único europeo de emergencia «112» se responderán adecuadamente, por el PSAP más apropiado utilizando el mismo medio de comunicación que para su recepción, concretamente utilizando voz y texto sincronizados (en particular texto en tiempo real) o, si se facilita vídeo, voz, texto (en particular texto en tiempo real) y vídeo sincronizados como una conversación completa.

En ningún caso será necesario un registro o procedimiento previo para que las personas con discapacidad obtengan respuesta a las comunicaciones con el número único europeo de emergencia «112». Las comunicaciones de emergencia que se produzcan en territorio español deberán ser accesibles para las personas con discapacidad con las mismas garantías que para el resto de la ciudadanía, es decir, también cuando se producen en itinerancia.

Sección VI. Requisitos de accesibilidad para características, elementos o funciones de los productos y servicios de conformidad con el artículo 25.2

La presunción de cumplimiento de las obligaciones pertinentes establecidas en otros actos de la Unión Europea respecto de las características, elementos o funciones de los productos o servicios requiere lo siguiente:

1. Productos:

a) La accesibilidad de la información relativa al funcionamiento y a las características de accesibilidad relacionadas con los productos cumple los elementos correspondientes que figuran en la sección I, punto 1, del presente anexo, concretamente la información sobre la utilización del producto suministrada con el propio producto y las instrucciones de uso del producto, no facilitadas con el propio producto pero disponibles mediante la utilización del producto o por otros medios, como un sitio web;

b) la accesibilidad de las características, elementos y funciones de la interfaz de usuario y el diseño de funcionalidad de los productos cumple los correspondientes requisitos de accesibilidad, relativos a dicha interfaz de usuario o diseño de funcionalidad, establecidos en la sección I, punto 2, del presente anexo;

c) la accesibilidad del embalaje, etiquetado o envase, en particular la información que se suministra en él y las instrucciones de instalación y mantenimiento, almacenamiento y eliminación del producto no suministradas con el propio producto pero disponibles por otros medios, como por ejemplo un sitio web, salvo para los terminales de autoservicio, cumple los correspondientes requisitos de accesibilidad establecidos en la sección II del presente anexo.

2. Servicios:

La accesibilidad de las características, elementos y funciones de los servicios cumple los correspondientes requisitos de accesibilidad respecto de dichas características, elementos y funciones establecidos en las secciones del presente anexo relacionadas con los servicios.

Sección VII. Criterios de rendimiento funcional

Con el fin de optimizar su uso previsible por las personas con discapacidad, cuando los requisitos de accesibilidad que figuran en las secciones I a VI del presente anexo no aborden una o más funciones del diseño y fabricación de los productos o de la prestación de los servicios, dichas funciones o medios se harán accesibles mediante el cumplimiento de los criterios de rendimiento funcional correspondientes a los mismos.

Dichos criterios de rendimiento funcional solo podrán aplicarse como alternativa a uno o varios requisitos técnicos específicos cuando se haga referencia a ellos en los requisitos de accesibilidad, y ello exclusivamente en caso de que la aplicación de los pertinentes criterios de rendimiento funcional cumpla con los requisitos de accesibilidad y determine que el diseño y fabricación de los productos y la prestación de los servicios dan lugar a una accesibilidad equivalente o superior en el marco de una utilización previsible por personas con discapacidad.

a) Uso sin visión. Cuando el producto o servicio presente modos de utilización visuales, incluirá como mínimo un modo de utilización que no requiera visión.

b) Uso con visión limitada. Cuando el producto o servicio presente modos de utilización visuales, incluirá como mínimo un modo de utilización que permita a los usuarios servirse del producto con una visión limitada.

c) Uso sin percepción de color. Cuando el producto o servicio presente modos de utilización visuales, incluirá como mínimo un modo de utilización que no requiera la percepción del color por parte del usuario.

d) Uso sin audición. Cuando el producto o servicio presente modos de utilización auditivos, incluirá como mínimo un modo de utilización que no requiera audición.

e) Uso con audición limitada. Cuando el producto o servicio presente modos de utilización auditivos, incluirá como mínimo un modo de utilización con características de sonido mejoradas que permitan a los usuarios con audición limitada utilizar el producto.

f) Uso sin capacidad vocal. Cuando el producto o servicio requiera la intervención vocal de los usuarios, incluirá como mínimo un modo de utilización que no requiera una intervención vocal. La intervención vocal incluye cualesquiera sonidos generados de forma oral, como el habla, silbidos o chasquidos.

g) Uso con manipulación o esfuerzo limitados. Cuando el producto o servicio requiera acciones manuales, incluirá como mínimo un modo de utilización que permita a los usuarios manejarlo con ayuda de acciones alternativas que no requieran una manipulación o motricidad precisas, fuerza manual o el accionamiento simultáneo de más de un control.

h) Uso con alcance limitado. Los elementos operativos de los productos estarán al alcance de todos los usuarios. Cuando los productos o servicios presenten un modo manual de utilización, este incluirá como mínimo un modo de utilización que permita utilizarlos con una amplitud de movimientos y una fuerza limitadas.

i) Minimización del riesgo de activación de reacciones fotosensibles. Cuando el producto presente modos de utilización visuales, evitará los modos de utilización que desencadenen crisis fotosensibles.

j) Uso con conocimiento limitado. El producto o servicio ofrecerá como mínimo un modo de utilización que incorpore características que simplifiquen y faciliten su uso.

k) Privacidad. Cuando el producto o servicio presente características que permitan la accesibilidad, incluirá como mínimo un modo de utilización que mantenga la privacidad cuando se haga uso de dichas características.

ANEXO II. Ejemplos indicativos no vinculantes de posibles soluciones que contribuyen a cumplir los requisitos de accesibilidad que figuran en el anexo I

Sección I. Ejemplos relacionados con los requisitos generales de accesibilidad de todos los productos incluidos en el ámbito de aplicación del título I de la presente ley de conformidad con el artículo 2.1

Requisitos de la sección I del anexo I       Ejemplos

1. Suministro de información.

a)

1.º)        Proporcionando información visual y táctil o información visual y auditiva en el lugar en el que debe insertarse la tarjeta en un terminal de autoservicio, de manera que las personas ciegas y las personas sordas puedan hacer uso del terminal.

2.º)        Empleando las mismas palabras de forma sistemática o con una estructura clara y lógica, de manera que las personas con discapacidad intelectual puedan entenderlas mejor. Lo anterior puede cumplirse utilizando la técnica de lectura fácil.

3.º)        Proporcionando un formato con relieve táctil o un sonido además de una advertencia de texto, de manera que las personas ciegas puedan percibirla.

4.º)        Facilitando que el texto pueda ser leído por personas con discapacidad visual.

b)

1.º)        Proporcionando archivos electrónicos que puedan ser leídos por ordenadores mediante el uso de lectores de pantalla, de manera que las personas ciegas puedan hacer uso de la información.

2.º)        Empleando las mismas palabras de forma sistemática o con una estructura clara y lógica, de manera que las personas con discapacidad intelectual puedan entenderlas mejor. Ofreciendo tiempos de respuesta suficientes y reduciendo estímulos distractores o molestos.

3.º)        Incluyendo subtítulos e interpretación en lengua de signos cuando se proporcionen instrucciones en vídeo.

4.º)        Facilitando que el texto pueda ser leído por personas con discapacidad visual.

5.º)        Imprimiendo en Braille, de manera que una persona ciega pueda usar la información.

6.º)        Acompañando un diagrama con un texto descriptivo que defina los elementos principales o describa las acciones clave.

7.º)        No se aporta ejemplo.

8.º)        No se aporta ejemplo.

9.º)        Incluyendo en un cajero automático una toma de conexión y un programa informático que permita enchufar un auricular que reciba el texto mostrado en la pantalla en forma de sonido.

2. Interfaz de usuario y diseño de funcionalidad.

a)            Facilitando instrucciones en forma de voz y de texto, o incorporando señales táctiles en un teclado, de forma que las personas ciegas o con discapacidad auditiva puedan interactuar con el producto.

b)           Ofreciendo en un terminal de autoservicio además de instrucciones orales por ejemplo instrucciones en forma de texto o imágenes, de manera que una persona sorda pueda realizar también la acción requerida.

c)            Permitiendo a los usuarios ampliar el texto, enfocar en primer plano un pictograma particular aumentar el contraste o cambiar a modo oscuro, de manera que las personas con discapacidad visual puedan percibir la información.

d)           Además de dar a elegir entre pulsar el botón verde o el rojo para seleccionar una opción, escribiendo las opciones sobre los botones para permitir a las personas daltónicas elegir la opción deseada.

e)            Cuando un ordenador emite una señal de error, mostrando un texto escrito o una imagen que indique el error para que las personas sordas puedan percibir que se está produciendo un error.

f)            Permitiendo aumentar el contraste en las imágenes en primer plano, de forma que las personas con baja visión puedan verlas.

g)            Permitiendo al usuario de un teléfono seleccionar el volumen del sonido y reducir las interferencias con las prótesis auditivas, de forma que las personas con discapacidad auditiva puedan usar el teléfono.

h)           Haciendo más grandes y separando bien los botones de las pantallas táctiles, de forma que las personas con temblores puedan pulsarlos.

i)             Velando por que los botones que se deban pulsar no requieran mucha fuerza, de modo que las personas con incapacidad motora puedan usarlos.

j)             Evitando las imágenes parpadeantes, de forma que las personas que sufren ataques epilépticos no corran riesgos.

k)            Permitiendo el uso de auriculares cuando se ofrece información oral en un cajero automático.

l)             Como alternativa al reconocimiento por huellas dactilares, permitiendo a los usuarios que no puedan hacer uso de sus manos elegir una contraseña para bloquear o desbloquear un teléfono.

m)          Velando por que el programa informático reaccione de manera predecible cuando se realiza una acción particular y dando tiempo suficiente para introducir una contraseña de manera que resulte fácil de utilizar para personas con discapacidad intelectual.

n)           Ofreciendo una conexión con una pantalla Braille, de forma que las personas ciegas puedan hacer uso del ordenador.

o)          

1.º)        No se aporta ejemplo.

2.º)        No se aporta ejemplo.

3.º) i)     Facilitando que un teléfono móvil pueda gestionar conversaciones en tiempo real, de forma que las personas con problemas auditivos puedan intercambiar información de manera interactiva.

3.º) iv)  Permitiendo el uso simultáneo del vídeo para mostrar lengua de signos y texto para escribir un mensaje, de manera que dos personas sordas puedan comunicarse entre sí o con otra persona sin problemas auditivos.

4.º)        Velando por que los subtítulos se transmitan a través del módulo de conexión para su uso por personas sordas.

3. Servicios de apoyo: No se aporta ejemplo.

Sección II. Ejemplos relacionados con los requisitos de accesibilidad de los productos del artículo 2.1, excepto los terminales de autoservicio a que se refiere el artículo 2.1.b)

Requisitos de la sección II del anexo I      Ejemplos

Embalajes, etiquetado o envases e instrucciones de los productos.

a)            Indicando en el embalaje que el teléfono incluye características de accesibilidad para personas con discapacidad.

b)

1.º)        Proporcionando archivos electrónicos que puedan ser leídos por ordenadores mediante el uso de lectores de pantalla, de manera que las personas ciegas puedan hacer uso de la información.

2.º)        Empleando las mismas palabras de forma sistemática o con una estructura clara y lógica, de manera que las personas con discapacidad intelectual puedan entenderlas mejor.

3.º)        Proporcionando un formato con relieve táctil o un sonido cuando se muestre una advertencia en el texto, de manera que las personas ciegas puedan apreciar la advertencia.

4.º)        Facilitando que el texto pueda ser leído por personas con discapacidad visual.

5.º)        Imprimiendo en Braille, de manera que una persona ciega pueda leerlo.

6.º)        Complementando un diagrama, una fotografía o cualquier otra imagen con un texto descriptivo que defina los elementos principales o describa las acciones clave.

Sección III. Ejemplos relacionados con los requisitos generales de accesibilidad para todos los servicios incluidos en el ámbito de aplicación de la presente ley de conformidad con el artículo 2.2

Requisitos de la sección III del anexo I    Ejemplos

Prestación de servicios.

a)            No se aporta ejemplo.

b)

1.º)        Proporcionando archivos electrónicos que puedan ser leídos por ordenadores mediante el uso de lectores de pantalla, de manera que las personas ciegas puedan hacer uso de la información.

2.º)        Empleando las mismas palabras de forma sistemática o con una estructura clara y lógica, de manera que las personas con discapacidad intelectual puedan entenderlas mejor.

3.º)        Proporcionando subtítulos e interpretación en lengua de signos cuando se presenta un vídeo con instrucciones.

4.º)        Facilitando que una persona ciega pueda hacer uso de un archivo imprimiendo en Braille.

5.º)        Facilitando que el texto pueda ser leído por personas con discapacidad visual.

6.º)        Complementando un diagrama, u otro elemento visual, con un texto descriptivo que defina los elementos principales o describa las acciones clave.

7.º)        Cuando un prestador de servicios ofrezca una llave USB con información sobre el servicio, facilitando que esta información sea accesible.

c)            Proporcionando un texto descriptivo de las imágenes, haciendo que todas las funcionalidades estén disponibles desde un teclado, proporcionando a los usuarios tiempo suficiente para leer, haciendo que el contenido se muestre y opere de forma predecible o proporcionando compatibilidad con tecnologías de apoyo, de manera que personas con discapacidades diversas puedan leer e interactuar con un sitio web.

d)           No se aporta ejemplo.

Sección IV. Ejemplos relacionados con los requisitos adicionales de accesibilidad de servicios específicos

Requisitos de la sección IV del anexo I    Ejemplos

Servicios específicos.

a)

1.º)        Facilitando que las personas con problemas auditivos puedan escribir y recibir texto de forma interactiva y en tiempo real.

2.º)        Facilitando que las personas sordas puedan utilizar la lengua de signos para comunicarse entre ellos.

3.º)        Facilitando que una persona con discapacidad de habla y auditiva que opta por utilizar una combinación de texto, voz y vídeo sepa que la comunicación es transmitida a través de la red a un servicio de emergencia.

b)

1.º)        Facilitando que una persona ciega pueda seleccionar programas en la televisión.

2.º)        Ofreciendo la posibilidad de seleccionar, personalizar y visualizar «servicios de acceso», como subtítulos para personas sordas o con problemas auditivos, descripción de audio, subtítulos hablados e interpretación de lengua de signos, ofreciendo medios que permitan una conexión inalámbrica eficaz con las tecnologías auditivas o bien poniendo a disposición de los usuarios los controles necesarios para activar «servicios de acceso» a servicios de comunicación audiovisual con el mismo grado de importancia que los controles de medios primarios.

c)

1.º)        No se aporta ejemplo.

2.º)        No se aporta ejemplo.

d)           No se aporta ejemplo.

e)

1.º)        Velando por que los diálogos de identificación en pantalla sean legibles mediante el uso de lectores de pantalla, de forma que las personas ciegas puedan usarlos.

2.º)        No se aporta ejemplo.

f)

1.º)        Facilitando que una persona con dislexia pueda leer y escuchar el texto al mismo tiempo.

2.º)        Habilitando la salida sincronizada del texto y el audio o una transcripción en una pantalla Braille.

3.º)        Facilitando que una persona ciega pueda acceder al índice o cambiar de capítulo.

4.º)        No se aporta ejemplo.

5.º)        Garantizando que la información sobre sus características de accesibilidad esté disponible en el archivo electrónico, de manera que las personas con discapacidad puedan estar informadas.

6.º)        Asegurándose de que no se bloquee, por ejemplo, de que las medidas de protección técnica, la información sobre gestión de derechos o las cuestiones de interoperabilidad no impidan que el texto pueda ser leído en voz alta por dispositivos de apoyo, de forma que las personas usuarias ciegas puedan leer el libro.

g)

1.º)        Asegurándose de que la información disponible sobre las características de accesibilidad de un producto no se suprima.

2.º)        Haciendo que la interfaz de usuario del servicio de pago esté disponible por voz, de forma que las personas ciegas puedan hacer compras en línea de forma autónoma.

3.º)        Velando por que los diálogos de identificación en pantalla sean legibles mediante el uso de lectores de pantalla, de forma que las personas ciegas puedan usarlos.

ANEXO III. Requisitos de accesibilidad a efectos del artículo 3.2, relativos al entorno físico donde se prestan los servicios incluidos en el ámbito de aplicación de la presente ley

Con el fin de optimizar el uso previsible de manera autónoma por las personas con discapacidad del entorno físico donde se presta el servicio y que recae bajo la responsabilidad del prestador de servicios –cualquiera que sea su naturaleza-, tal como dispone el artículo 3.2, la accesibilidad de las zonas destinadas al acceso público incluirá los siguientes aspectos:

a) Uso de zonas e instalaciones al aire libre asociadas;

b) accesos a los edificios;

c) uso de entradas;

d) uso de vías de circulación horizontal;

e) uso de vías de circulación vertical;

f) uso de las salas por el público;

g) uso de equipos e instalaciones utilizados en la prestación del servicio;

h) uso de los aseos e instalaciones sanitarias;

i) uso de salidas, vías de evacuación y conceptos de planificación de emergencia;

j) comunicación y orientación a través de más de un canal sensorial;

k) uso de instalaciones y edificios para su finalidad previsible;

l) protección frente a peligros en el entorno interior y exterior.

ANEXO IV. Procedimiento de evaluación de la conformidad de los productos

1. Control interno de la producción.

El control interno de la producción es el procedimiento de evaluación de la conformidad mediante el cual el fabricante cumple las obligaciones establecidas en los puntos 2, 3 y 4 del presente anexo, y garantiza y declara, bajo su exclusiva responsabilidad, que los productos en cuestión satisfacen los requisitos correspondientes de la presente ley.

2. Documentación técnica.

El fabricante elaborará la documentación técnica. La documentación técnica permitirá evaluar si el producto cumple los requisitos de accesibilidad pertinentes contemplados en el artículo 3 y, en caso de que el fabricante se acoja al artículo 16, demostrar que los requisitos de accesibilidad pertinentes introducirían una modificación sustancial o impondrían una carga desproporcionada. La documentación técnica especificará únicamente los requisitos aplicables y contemplará, en la medida en que sea pertinente para la evaluación, el diseño, la fabricación y el funcionamiento del producto.

La documentación técnica incluirá, cuando proceda, al menos los siguientes elementos:

a) Una descripción general del producto;

b) una lista de las normas armonizadas y especificaciones técnicas cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, aplicadas íntegramente o en parte, así como descripciones de las soluciones adoptadas para cumplir los requisitos pertinentes de accesibilidad contemplados en el artículo 3, en caso de que no se hayan aplicado dichas normas armonizadas o especificaciones técnicas; en caso de normas armonizadas o especificaciones técnicas que se apliquen parcialmente, se especificarán en la documentación técnica las partes que se hayan aplicado.

3. Fabricación.

El fabricante tomará todas las medidas necesarias para que el proceso de fabricación y su supervisión garanticen la conformidad de los productos con la documentación técnica mencionada en el punto 2 del presente anexo y con los requisitos de accesibilidad establecidos en la presente ley.

4. Marcado CE y declaración UE de conformidad.

4.1 El fabricante colocará el marcado CE contemplado en la presente ley en cada producto individual que satisfaga los requisitos aplicables de esta norma.

4.2 El fabricante redactará una declaración UE de conformidad para cada modelo de producto. En la declaración UE de conformidad se identificará el producto para el cual ha sido elaborada.

Se facilitará una copia de la declaración UE de conformidad a las autoridades competentes que lo soliciten.

5. Representante autorizado.

Las obligaciones del fabricante mencionadas en el punto 4 podrá cumplirlas su representante autorizado, en su nombre y bajo su responsabilidad, siempre que estén especificadas en su mandato.

ANEXO V. Criterios para la evaluación de la carga desproporcionada

Criterios para efectuar y documentar la evaluación:

1. La proporción de los costes netos de cumplir los requisitos de accesibilidad en los costes totales (inversiones en activos fijos y gastos operativos) de fabricar, distribuir o importar el producto o prestar el servicio para los agentes económicos.

Elementos que han de emplearse para evaluar los costes netos de cumplir los requisitos de accesibilidad:

a) Criterios relacionados con costes organizativos puntuales que se deben tener en cuenta en la evaluación:

1.º) Costes relacionados con recursos humanos adicionales con experiencia en accesibilidad,

2.º) costes relacionados con la formación de los recursos humanos y la adquisición de competencias en materia de accesibilidad,

3.º) costes del desarrollo de un nuevo proceso para incluir la accesibilidad en el desarrollo del producto o la prestación del servicio,

4.º) costes relacionados con el desarrollo de material orientativo en materia de accesibilidad,

5.º) costes puntuales para comprender la legislación sobre accesibilidad.

b) Criterios relacionados con la producción en curso y los costes de desarrollo que se deben tener en cuenta en la evaluación:

1.º) Costes relacionados con el diseño de las características de accesibilidad del producto o servicio,

2.º) costes soportados en los procesos de fabricación,

3.º) costes relacionados con los ensayos de los productos o servicios en lo que respecta a la accesibilidad,

4.º) costes relacionados con la elaboración de documentación.

2. Los costes y beneficios estimados para los agentes económicos, incluidos los procesos de producción y las inversiones, en relación con el beneficio estimado para las personas con discapacidad, teniendo en cuenta la cantidad y frecuencia de utilización de un producto o servicio específico.

3. La proporción de los costes netos de cumplir los requisitos de accesibilidad en el volumen de negocios neto del agente económico.

Elementos que han de emplearse para evaluar los costes netos de cumplir los requisitos de accesibilidad:

a) Criterios relacionados con costes organizativos puntuales que se deben tener en cuenta en la evaluación:

1.º) Costes relacionados con recursos humanos adicionales con experiencia en accesibilidad,

2.º)  costes relacionados con la formación de los recursos humanos y la adquisición de competencias en materia de accesibilidad,

3.º) costes del desarrollo de un nuevo proceso para incluir la accesibilidad en el desarrollo del producto o la prestación del servicio,

4.º) costes relacionados con el desarrollo de material orientativo en materia de accesibilidad,

5.º) costes puntuales para comprender la legislación sobre accesibilidad.

b) Criterios relacionados con la producción en curso y los costes de desarrollo que se deben tener en cuenta en la evaluación:

1.º) Costes relacionados con el diseño de las características de accesibilidad del producto o servicio,

2.º) costes soportados en los procesos de fabricación,

3.º) costes relacionados con los ensayos de los productos o servicios en lo que respecta a la accesibilidad,

4.º) costes relacionados con la elaboración de documentación.

ANEXO VI. Declaración UE de conformidad

1. N.º xxxxxx (identificación única del producto):

2. Nombre y dirección del fabricante o de su representante autorizado:

3. La presente declaración de conformidad se expide bajo la exclusiva responsabilidad del fabricante (o instalador):

4. Objeto de la declaración (identificación del producto que permita la trazabilidad. Podrá incluir una foto si procede):

5. El objeto de la declaración descrita anteriormente es conforme a la legislación comunitaria de armonización pertinente:

6. Referencias a las normas armonizadas pertinentes utilizadas, o referencias a las especificaciones respecto a las cuales se declara la conformidad:

7. Si procede, el organismo notificado … (nombre, número) … ha efectuado … (descripción de la intervención) … y expide el certificado:

8. Información adicional:

Si procede, requisitos de accesibilidad exceptuados por modificación sustancial y carga desproporcionada, conforme al artículo 16 de la ley.

Firmado por y en nombre de: …

(lugar y fecha de expedición)

(nombre, cargo) (firma)

ANEXO VII. Definiciones

A efectos de las disposiciones contempladas en el título I de esta ley y sin perjuicio de lo establecido en el artículo 2 del Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, se entenderá por:

1) «Agente económico»: el fabricante, el representante autorizado, el importador, el distribuidor o el prestador de servicios;

2) «billetes electrónicos»: todo sistema en el que el derecho a viajar, ya sea en forma de billete de viaje individual o múltiple, abono de viaje o crédito de viaje, se almacena electrónicamente en una tarjeta de transporte física o en otro dispositivo, en lugar de imprimirse en un billete de papel;

3) «capacidad informática interactiva»: una funcionalidad de apoyo para la interacción entre el usuario y el dispositivo que posibilita el procesamiento y la transmisión de datos, voz o vídeo o cualquier combinación de estos;

4) «comercialización»: todo suministro, remunerado o gratuito, de un producto para su distribución, consumo o utilización en el mercado de la Unión Europea en el transcurso de una actividad comercial;

5) «comunicación de emergencia»: la emitida a través de los servicios de comunicación interpersonal entre un usuario final y el PSAP con el objeto de pedir y recibir ayuda de emergencia de los servicios de emergencia;

6) «consumidor»: toda persona física que compra un producto o es destinatario de un servicio con fines ajenos a su actividad comercial o empresarial, su oficio o su profesión;

7) «distribuidor»: toda persona física o jurídica de la cadena de suministro, distinta del fabricante o el importador, que comercializa un producto;

8) «equipo terminal de consumo con capacidad informática interactiva, utilizado para acceder a servicios de comunicación audiovisual»: todo equipo cuya principal finalidad es facilitar acceso a los servicios de comunicación audiovisual;

9) «equipos informáticos de uso general de consumo»: una combinación de equipos que forma un ordenador completo, caracterizado por su naturaleza multifuncional, su capacidad para llevar a cabo, con los programas adecuados, la mayoría de las tareas informáticas más habituales solicitadas por los consumidores y concebido para ser utilizado por ellos. Entre los equipos informáticos de uso general de consumo se incluyen: los ordenadores personales, en particular los ordenadores de sobremesa, los ordenadores portátiles, los teléfonos inteligentes y las tabletas;

10) «especificación técnica»: la especificación que figura en un documento en el que se definen las características técnicas requeridas de un producto o servicio, que proporciona un medio para cumplir los requisitos de accesibilidad aplicables a un producto o servicio;

11) «fabricante»: toda persona física o jurídica que fabrica un producto o que manda diseñar o fabricar un producto y lo comercializa con su nombre o marca comercial;

12) «importador»: toda persona física o jurídica establecida en la Unión Europea que introduce un producto de un tercer país en el mercado de la Unión Europea;

13) «introducción en el mercado»: primera comercialización de un producto en el mercado de la Unión Europea;

14) «lector electrónico»: un equipo especializado, incluidos tanto el aparato como el programa, utilizado para acceder a archivos de libros electrónicos, navegar por ellos, leerlos y utilizarlos;

15) «libro electrónico y sus programas especializados»: un servicio consistente en el suministro de archivos digitales que contienen una versión electrónica de un libro a la que se puede acceder, por la que se puede navegar y que se puede leer y utilizar. Entre los programas especializados se incluyen los servicios para dispositivos móviles, incluidas las aplicaciones para dispositivos móviles, especializados en el acceso, la navegación, la lectura y el uso de esos archivos digitales, estando excluidos los programas comprendidos en la definición de lector electrónico;

16) «microempresa»: una empresa que emplea a menos de 10 personas y cuyo volumen de negocios anual no supera los 2 millones de euros o cuyo balance anual total no supera los 2 millones de euros;

17) «norma armonizada»: norma europea adoptada a raíz de una petición de la Comisión para la aplicación de la legislación de armonización de la Unión Europea;

18) «pequeñas y medianas empresas» o «pymes»: empresas que emplean a menos de 250 personas y cuyo volumen de negocios anual no supera los 50 millones de euros o cuyo balance anual total no supera los 43 millones de euros, excluidas las microempresas;

19) «personas con discapacidad»: aquellas personas que tienen deficiencias físicas, mentales, intelectuales o sensoriales previsiblemente permanentes que, al interactuar con diversas barreras, puedan impedir su participación plena y efectiva en la sociedad, en igualdad de condiciones con las demás; tal y como se define en el artículo 4 del Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social;

20) «prestador de servicios»: toda persona física o jurídica que presta un servicio en el mercado de la Unión Europea o que hace ofertas para prestar dicho servicio a los consumidores de la Unión Europea;

21) «producto»: sustancia, preparado o mercancía producidos por medio de un proceso de fabricación, que no sean alimentos, piensos, plantas ni animales vivos, productos de origen humano ni productos de origen vegetal o animal directamente relacionados con su futura reproducción;

22) «PSAP más apropiado»: un PSAP establecido por las autoridades responsables para hacerse cargo de las comunicaciones de emergencia procedentes de determinada zona o de las comunicaciones de emergencia de determinado tipo;

23) «punto de respuesta de seguridad pública» o «PSAP»: ubicación física en la que se reciben inicialmente las comunicaciones de emergencia y que está bajo la responsabilidad de una autoridad pública o de una organización privada reconocida por el Estado miembro;

24) «representante autorizado»: toda persona física o jurídica establecida en la Unión Europea que ha recibido un mandato escrito de un fabricante para actuar en su nombre en tareas específicas;

25) «retirada»: cualquier medida encaminada a prevenir la comercialización de un producto que se encuentra en la cadena de suministro;

26) «servicio»: cualquier actividad económica por cuenta propia, prestada normalmente a cambio de una remuneración, contemplada en el artículo 57 del Tratado de Funcionamiento de la Unión Europea;

27) «servicios bancarios para consumidores»: la prestación de los siguientes servicios bancarios y financieros a los consumidores:

a) Contratos de crédito regulados en la Ley 16/2011, de 24 de junio, de contratos de crédito al consumo y en la Ley 5/2019, de 15 de marzo, reguladora de los contratos de crédito inmobiliario;

b) servicios definidos en los apartados a), b), d) y g) del artículo 140.1 y en los apartados a), b), e) y f) del artículo 141 del Texto Refundido de la Ley del Mercado de Valores, aprobado por el Real Decreto Legislativo 4/2015, de 23 de octubre;

c) servicios de pago, que permitan el ingreso y la retirada de efectivo en una cuenta de pago, tal como se definen en el artículo 1.2 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera;

d) servicios vinculados a la cuenta de pago servicios relacionados con la apertura, el funcionamiento y el cierre de una cuenta de pago, incluidos los servicios de pago y las operaciones de pago recogidos en el artículo 4.g) del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, así como las posibilidades de descubierto y de rebasamiento;

e) dinero electrónico, tal y como se define en el artículo 1.2 de la Ley 21/2011, de 26 de julio, de dinero electrónico.

28) «Servicios de comunicación audiovisual»: servicios definidos en el artículo 2.1 de la Ley 13/2022, de 7 de julio, General de la Comunicación Audiovisual.

29) «Servicio de comunicaciones electrónicas»: el prestado por lo general a cambio de una remuneración a través de redes de comunicaciones electrónicas, que incluye, con la excepción de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o ejerzan control editorial sobre ellos, los siguientes tipos de servicios:

a) El servicio de acceso a internet

b) el servicio de comunicaciones interpersonales, y

c) servicios consistentes, en su totalidad o principalmente, en el transporte de señales, como son los servicios de transmisión utilizados para la prestación de servicios máquina a máquina y para la radiodifusión.

30) «Servicio de conversación total»: un servicio de conversación multimedia en tiempo real que proporciona transferencia bidireccional simétrica en tiempo real de vídeo en movimiento, texto en tiempo real y voz entre usuarios de dos o más ubicaciones;

31) «servicio de emergencia»: un servicio mediante el que se proporciona asistencia rápida e inmediata en situaciones en que exista, en particular, un riesgo directo para la vida o la integridad física de las personas, para la salud y seguridad públicas o individuales, o para la propiedad pública o privada o el medio ambiente, de conformidad con la normativa nacional;

32) «servicios de comercio electrónico»: los servicios prestados a distancia a través de sitios web y servicios para dispositivos móviles, por medios electrónicos y a petición individual de un consumidor, al objeto de celebrar un contrato con el consumidor;

33) «servicios de expedición de billetes electrónicos»: todo sistema en que los billetes de transporte de los viajeros se adquieren en línea a través de un dispositivo con capacidad informática interactiva y se envían al comprador en formato electrónico, a fin de que pueda imprimirlos en papel o mostrarlos en un dispositivo móvil con capacidad informática interactiva cuando vaya a viajar;

34) «servicios de transporte aéreo de viajeros»: los servicios comerciales de transporte aéreo de viajeros tal como se definen en el artículo 2, letra l), del Reglamento (CE) n.º 1107/2006 del Parlamento Europeo y del Consejo, de 5 de julio de 2006, sobre los derechos de las personas con discapacidad o movilidad reducida en el transporte aéreo, para salir de un aeropuerto, en situaciones de tránsito en él o al llegar a él, cuando el aeropuerto esté situado en el territorio español. En este último supuesto, se incluirán los vuelos procedentes de un aeropuerto situado en un tercer país con destino a un aeropuerto situado en el territorio de un Estado miembro, siempre y cuando sea una compañía aérea española la que preste los servicios;

35) «servicios de transporte de pasajeros por mar y por vías navegables»: los servicios incluidos en el artículo 2.1, del Reglamento (UE) n.º 1177/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, sobre los derechos de los pasajeros que viajan por mar y por vías navegables, a excepción de los servicios a que se refiere el artículo 2.2, del citado Reglamento;

36) «servicios de transporte de viajeros por autobús»: los servicios incluidos en el artículo 2, apartados 1 y 2, del Reglamento (UE) n.º 181/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, sobre los derechos de los viajeros de autobús y autocar y por el que se modifica el Reglamento CE n.º 2006/2004;

37) «servicios de transporte de viajeros por ferrocarril»: todos los servicios de ferrocarril para viajeros a que se refiere el artículo 2.1, del Reglamento (CE) n.º 371/2007 del Parlamento Europeo y del Consejo, de 23 de octubre de 2007, sobre los derechos y las obligaciones de los viajeros de ferrocarril, a excepción de los servicios a que se refiere el artículo 2.2, del citado Reglamento;

38) «servicios de transporte regionales»: aquellos servicios de transporte cuya finalidad principal es cubrir las necesidades de transporte de una región, incluida una región transfronteriza. A los efectos de esta ley, solo incluye los siguientes modos de transporte: ferrocarril, autobús y autocar, metro, tranvía y trolebús;

39) «servicios de transporte urbanos y suburbanos»: aquellos servicios de transporte cuya finalidad principal es responder a las necesidades de un centro urbano o de un área urbana, incluida un área urbana transfronteriza, junto con las necesidades de transporte entre dicho centro o dicha área y sus extrarradios. A los efectos de esta ley sólo incluye los siguientes modos de transporte: ferrocarril, autobús y autocar, metro, tranvía y trolebús;

40) «servicios que dan acceso a servicios de comunicación audiovisual»: servicios transmitidos por redes de comunicaciones electrónicas, que se utilizan para identificar servicios de comunicación audiovisual, para seleccionarlos, recibir información sobre ellos y para visualizarlos, así como cualquier característica presentada, como audiodescripción, subtitulación e interpretación de lengua de signos para personas sordas, con discapacidad auditiva y sordociegas, que resulten de la aplicación de medidas para hacer los servicios accesibles según lo previsto en la legislación de comunicación audiovisual. En todo caso las guías electrónicas de programas tienen consideración de servicios de acceso a los servicios de comunicación audiovisual;

41) «sistema operativo»: un programa que, entre otras cosas, gestiona la interfaz del equipo periférico, programa tareas, distribuye la memoria y presenta una interfaz predeterminada al usuario cuando no se está ejecutando ningún programa de aplicación, incluida una interfaz gráfica de usuario, independientemente de si dicho programa forma parte del equipo informático de uso general de consumo o si se trata de un programa independiente destinado a ejecutarse en el equipo informático de uso general de consumo; ahora bien, se excluyen el cargador del sistema operativo, el sistema básico de entrada/salida u otros microprogramas necesarios al arrancar el sistema o instalar el sistema operativo;

42) «tecnología de apoyo»: cualquier artículo, equipo, servicio o sistema de productos, incluidos los programas, que se utilice para aumentar, mantener, sustituir o mejorar las capacidades funcionales de las personas con discapacidad, o para paliar o compensar deficiencias, limitaciones de la actividad o restricciones de la participación;

43) «terminal de pago»: un dispositivo cuya principal finalidad es permitir realizar pagos haciendo uso de instrumentos de pago tal como se definen en el artículo 3.23 del Real Decreto-ley 19/2018, de 23 de noviembre, de servicios de pago y otras medidas urgentes en materia financiera, en un punto físico de venta pero no en un entorno virtual;

44) «texto en tiempo real»: una forma de conversación de texto en situaciones de punto a punto o conferencia con múltiples puntos en la que el texto es introducido de tal forma que la comunicación es percibida por el usuario como continua en forma de carácter por carácter.

25Ene/24

Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023

Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifica el Reglamento (UE) 2017/1294 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (Diario Oficial de la Unión Europea nº 2854, de 22 de diciembre de 2023)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Banco Central Europeo (1),

Visto el dictamen del Comité Económico y Social Europeo (2),

Visto el dictamen del Comité de las Regiones (3),

De conformidad con el procedimiento legislativo ordinario (4),

Considerando lo siguiente:

(1) En los últimos años, las tecnologías basadas en los datos han tenido efectos transformadores en todos los sectores de la economía. En particular, la proliferación de productos conectados a internet ha aumentado el volumen y el valor potencial de los datos para los consumidores, las empresas y la sociedad. Los datos interoperables y de alta calidad de diferentes ámbitos incrementan la competitividad y la innovación y garantizan un crecimiento económico sostenible. Los mismos datos pueden utilizarse y reutilizarse para diversos fines y de modo ilimitado, sin pérdida de calidad o cantidad.

(2) Los obstáculos al intercambio de datos impiden una asignación óptima de los datos en beneficio de la sociedad. Esos obstáculos incluyen la falta de incentivos para que los titulares de datos suscriban voluntariamente acuerdos sobre el intercambio de datos, la incertidumbre sobre los derechos y las obligaciones en relación con los datos, los costes de contratación y aplicación de interfaces técnicas, el elevado nivel de fragmentación de la información en los silos de datos, la mala gestión de metadatos, la ausencia de normas para la interoperabilidad semántica y técnica, los cuellos de botella que impiden el acceso a los datos, la falta de prácticas comunes para el intercambio de datos y el abuso de los desequilibrios contractuales en relación con el acceso a los datos y su utilización.

(3) En sectores caracterizados por la presencia de microempresas, pequeñas empresas y medianas empresas tal como se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (5) (pymes), a menudo escasean las capacidades y competencias digitales necesarias para recopilar, analizar y utilizar datos, y el acceso a estos queda limitado con frecuencia cuando un único agente los conserva en el sistema o debido a la falta de interoperabilidad entre datos, entre servicios de datos o a través de las fronteras.

(4) Con el fin de responder a las necesidades de la economía digital y eliminar los obstáculos al buen funcionamiento del mercado interior de datos, es necesario establecer un marco armonizado que especifique quién tiene derecho a utilizar los datos del producto o los datos del servicio relacionado, en qué condiciones y sobre qué base. Por consiguiente, los Estados miembros no deben adoptar ni mantener requisitos nacionales adicionales relativos a las cuestiones que entran en el ámbito de aplicación del presente Reglamento, salvo que así se disponga expresamente en él, ya que ello afectaría a la aplicación directa y uniforme de este. Además, toda medida a nivel de la Unión debe entenderse sin perjuicio de las obligaciones y los compromisos establecidos en los acuerdos comerciales internacionales celebrados por la Unión.

(5) El presente Reglamento garantiza que los usuarios de un producto conectado o servicio relacionado en la Unión puedan acceder oportunamente a los datos generados por el uso de dicho producto conectado o servicio relacionado y que puedan utilizarlos, entre otros, compartiéndolos con terceros de su elección. El presente Reglamento impone a los titulares de datos la obligación de poner los datos a disposición de los usuarios y de terceros elegidos por el usuario en determinadas circunstancias. También garantiza que los titulares de datos pongan los datos a disposición de los destinatarios de datos en la Unión en condiciones justas, razonables y no discriminatorias y de manera transparente. Las normas de Derecho privado son fundamentales en el marco general del intercambio de datos. Por lo tanto, el presente Reglamento adapta las normas de Derecho contractual e impide la explotación de los desequilibrios contractuales que dificultan un acceso a los datos y una utilización de estos que sean equitativos. El presente Reglamento también garantiza que, cuando exista una necesidad excepcional, los titulares de datos pongan a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión los datos necesarios para el desempeño de alguna tarea específica realizada en interés público. Además, el presente Reglamento pretende facilitar el cambio entre servicios de tratamiento de datos y mejorar la interoperabilidad de los datos y de los mecanismos y servicios de intercambio de datos en la Unión. El presente Reglamento no debe interpretarse como el reconocimiento o la concesión de un nuevo derecho a los titulares de datos a utilizar los datos generados por el uso de un producto conectado o servicio relacionado.

(6) La generación de datos es el resultado de las acciones de al menos dos agentes, en particular, el diseñador o fabricante de un producto conectado —que en muchos casos podría ser también proveedor de servicios relacionados— y el usuario del producto conectado o servicio relacionado. La generación de datos plantea cuestiones de equidad en la economía digital, ya que los datos registrados por el producto conectado o servicio relacionado constituyen una información importante para los servicios de posventa, los servicios auxiliares y otros servicios. Con el fin de aprovechar los importantes beneficios económicos de los datos, también mediante el intercambio de datos sobre la base de acuerdos voluntarios y el desarrollo por las empresas de la Unión de la creación de valor impulsado por los datos, es preferible adoptar un enfoque general para asignar derechos en materia de acceso y utilización de datos frente a la concesión de derechos exclusivos de acceso y utilización. El presente Reglamento establece normas horizontales que podrían ir seguidas de disposiciones de Derecho de la Unión o nacional que regulen la situación específica de los sectores correspondientes.

(7) El derecho fundamental a la protección de los datos personales está salvaguardado, en particular, por los Reglamentos (UE) 2016/679 (6) y (UE) 2018/1725 (7) del Parlamento Europeo y del Consejo. Además, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8) protege la vida privada y la confidencialidad de las comunicaciones, incluso mediante condiciones para el almacenamiento de datos personales y no personales en los equipos terminales, y el acceso desde estos. Dichos actos legislativos de la Unión constituyen la base para un tratamiento de datos sostenible y responsable, incluso cuando los conjuntos de datos contengan una combinación de datos personales y no personales. El presente Reglamento complementa el Derecho de la Unión y se entiende sin perjuicio del Derecho de la Unión en materia de protección de datos personales y de la intimidad (o privacidad), en particular, en lo que se refiere a los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva 2002/58/CE. Ninguna disposición del presente Reglamento debe aplicarse o interpretarse de manera que se reduzca o limite el derecho a la protección de los datos personales o el derecho a la privacidad y la confidencialidad de las comunicaciones. Todo tratamiento de datos personales en virtud del presente Reglamento debe cumplir el Derecho de la Unión en materia de protección de datos, incluido el requisito de una base jurídica válida para el tratamiento con arreglo al artículo 6 del Reglamento (UE) 2016/679 y, cuando proceda, las condiciones del artículo 9 de dicho Reglamento y del artículo 5, apartado 3, de la Directiva 2002/58/CE. El presente Reglamento no constituye una base jurídica para la recogida o generación de datos personales por parte del titular de datos. El presente Reglamento impone a los titulares de datos la obligación de poner los datos personales a disposición de los usuarios o de los terceros elegidos por el usuario, previa petición de dicho usuario. Debe proporcionarse dicho acceso a los datos personales que el titular de datos trate basándose en cualquiera de las bases jurídicas mencionadas en el artículo 6 del Reglamento (UE) 2016/679. Cuando el usuario no sea el interesado, el presente Reglamento no contiene ninguna base jurídica para que se proporcione acceso a los datos personales o estos se pongan a disposición de un tercero, y no debe entenderse que concede ningún nuevo derecho al titular de datos a utilizar los datos personales generados por el uso de un producto conectado o de un servicio relacionado. En esos casos, podría redundar en interés del usuario facilitar el cumplimiento de los requisitos establecidos en el artículo 6 del Reglamento (UE) 2016/679. Dado que el presente Reglamento no debe afectar negativamente a los derechos de protección de datos de los interesados, el titular de datos puede atender las solicitudes en esos casos, entre otros modos, anonimizando los datos personales o, en el caso de que los datos fácilmente disponibles contengan datos personales de varios interesados, transmitiendo únicamente datos personales relativos al usuario.

(8) Los principios de minimización y protección de datos desde el diseño y por defecto son esenciales cuando el tratamiento implica riesgos significativos para los derechos fundamentales de las personas. Teniendo en cuenta los últimos avances técnicos, todas las partes en el intercambio de datos, incluso el intercambio de datos comprendido dentro del ámbito de aplicación del presente Reglamento, deben aplicar medidas técnicas y organizativas para proteger esos derechos. Dichas medidas incluyen no solo la seudonimización y el cifrado, sino también el uso de una tecnología cada vez más disponible que permita llevar los algoritmos a los datos y obtener información valiosa sin que sea necesaria la transmisión entre las partes ni la copia superflua de los datos brutos o estructurados.

(9) Salvo que se disponga otra cosa en el presente Reglamento, este no afecta a las normas nacionales de Derecho contractual, incluidas las relativas a la celebración, la validez o los efectos de los contratos, ni a las consecuencias de la resolución unilateral de los contratos. El presente Reglamento complementa el Derecho de la Unión —y se entiende sin perjuicio del Derecho de la Unión cuyo objetivo sea promover los intereses de los consumidores y garantizar un elevado nivel de protección de los consumidores, así como proteger su salud, su seguridad y sus intereses económicos, en particular, la Directiva 93/13/CEE del Consejo (9) y las Directivas 2005/29/CE (10) y 2011/83/UE (11) del Parlamento Europeo y del Consejo.

(10) El presente Reglamento se entiende sin perjuicio de los actos jurídicos de la Unión y nacionales que dispongan el intercambio de datos, el acceso a los datos y su utilización con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, o a efectos aduaneros y fiscales, con independencia de la base jurídica del Tratado de Funcionamiento de la Unión Europea (TFUE) en virtud de la cual se hayan adoptado tales actos jurídicos de la Unión, y sin perjuicio de la cooperación internacional en el ámbito mencionado, en particular, sobre la base del Convenio del Consejo de Europa sobre la Ciberdelincuencia (STE nº185), hecho en Budapest el 23 de noviembre de 2001. Dichos actos incluyen los Reglamentos (UE) 2021/784 (12) (UE) 2022/2065 (13) y (UE) 2023/1543 (14) del Parlamento Europeo y del Consejo, y la Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo (15). El presente Reglamento no se aplica a la recopilación, intercambio, acceso o utilización de datos en virtud del Reglamento (UE) 2015/847 del Parlamento Europeo y del Consejo (16) y la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (17). El presente Reglamento no se aplica a las actividades que quedan fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afecta a las competencias de los Estados miembros en materia de seguridad pública, defensa o seguridad nacional, aduanas y administración fiscal o salud y seguridad ciudadanas, con independencia del tipo de entidad a la que los Estados miembros hayan confiado el desempeño de tareas en relación con dichas competencias.

(11) El presente Reglamento no debe afectar al Derecho de la Unión que establece requisitos en materia de diseño físico y datos para los productos que se introduzcan en el mercado de la Unión, salvo que así se disponga expresamente en él.

(12) El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión que establece requisitos de accesibilidad para determinados productos y servicios, en particular, la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (18).

 (13) El presente Reglamento se entiende sin perjuicio de los actos jurídicos de la Unión y nacionales de protección de los derechos de propiedad intelectual (que incluye, asimismo, la propiedad industrial), incluidas las Directivas 2001/29/CE (19), 2004/48/CE (20) y (UE) 2019/790 (21) del Parlamento Europeo y del Consejo.

(14) Los productos conectados que, a través de sus componentes o sistemas operativos, obtengan, generen o recopilen datos relativos a su rendimiento, uso o entorno y que puedan comunicar dichos datos mediante un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo, a menudo denominado «internet de las cosas», deben incluirse en el ámbito de aplicación del presente Reglamento, a excepción de los prototipos. Algunos ejemplos de estos servicios de comunicaciones electrónicas son, en particular, las redes telefónicas terrestres, las redes de televisión por cable, las redes basadas en satélites y las redes de comunicación de campo cercano. Los productos conectados se encuentran en todos los aspectos de la economía y la sociedad, también en infraestructuras privadas, civiles o comerciales, vehículos, equipos sanitarios y de estilo de vida, buques, aeronaves, equipos domésticos y bienes de consumo, productos médicos y sanitarios o maquinaria agrícola e industrial. Las opciones de diseño de los fabricantes y, en su caso, el Derecho de la Unión o nacional que regule las necesidades y los objetivos específicos del sector o las decisiones pertinentes de las autoridades competentes, deben determinar qué datos puede poner a disposición un producto conectado.

(15) Los datos representan la digitalización de las acciones del usuario o de eventos y, en consecuencia, deben ser accesibles para el usuario. Las normas que rigen el acceso a los datos de los productos conectados y los servicios relacionados y su utilización en virtud del presente Reglamento abordan los datos tanto de los productos como de los servicios relacionados. El término «datos del producto» se refiere a los datos generados por el uso de un producto conectado que el fabricante ha diseñado para que sean extraíbles del producto conectado por un usuario, titular de datos o tercero, incluido, cuando proceda, el fabricante. El término «datos del servicio relacionado» se refiere a los datos que representan también la digitalización de las acciones del usuario o de eventos relativos al producto conectado, generados durante la prestación de un servicio relacionado por parte del proveedor. Debe entenderse que los datos generados por el uso de un producto conectado o servicio relacionado abarcan los datos registrados de manera intencionada o los datos resultantes indirectamente de la intervención del usuario, como los datos relativos al entorno o las interacciones del producto conectado. Ello debe incluir los datos relativos a la utilización de un producto conectado generados por una interfaz de usuario o a través de un servicio relacionado, y no debe limitarse a la información de que dicha utilización se ha producido, sino que debe incluir todos los datos generados por el producto conectado como resultado de dicha utilización, tales como los datos generados automáticamente por sensores y los datos registrados por aplicaciones integradas, incluidas las aplicaciones que indican el estado del hardware y los fallos de funcionamiento. Ello debe incluir también los datos generados por el producto conectado o servicio relacionado durante los períodos en los que el usuario no interviene, como cuando este decide no utilizar un producto conectado durante un período de tiempo determinado y, en su lugar, mantenerlo en modo de espera o, incluso, apagarlo, dado que el estado de un producto conectado o de sus componentes, por ejemplo, sus pilas o baterías, puede variar cuando el producto conectado se encuentra en modo de espera o apagado. El ámbito de aplicación del presente Reglamento incluye los datos que no se modifican sustancialmente, es decir, los datos brutos, también conocidos como datos fuente o datos primarios, que se refieren a puntos de datos que se generan automáticamente sin ninguna forma de tratamiento posterior, así como los datos que, previamente a su tratamiento y análisis, han sido objeto de un tratamiento destinado a hacerlos comprensibles y que puedan ser utilizados. Tales datos incluyen los datos recogidos a partir de un único sensor o de un grupo conectado de sensores con el fin de hacer comprensibles los datos recogidos para casos de uso más amplios, determinando una cantidad o una calidad física o la modificación de una cantidad física, como la temperatura, la presión, el caudal, el audio, el valor del pH, el nivel líquido, la posición, la aceleración o la velocidad. El término «datos pretratados» no debe interpretarse en el sentido de imponer al titular de datos una obligación de realizar inversiones sustanciales en el limpiado y la transformación de los datos. Los datos que se han de poner a disposición deben incluir los metadatos pertinentes, incluido su contexto básico y su sello de tiempo, necesarios para poder utilizar los datos, combinados con otros datos (por ejemplo, ordenados y clasificados con otros puntos de datos relacionados con ellos) o reformateados en un formato de utilización habitual. Estos datos pueden ser valiosos para el usuario y apoyan la innovación y el desarrollo de servicios digitales y de otro tipo para proteger el medio ambiente, la salud y la economía circular, entre otros, porque facilitan el mantenimiento y la reparación de los productos conectados en cuestión. En cambio, la información que se infiere o se deriva de tales datos, que es el resultado de inversiones adicionales en la asignación de valores o conocimientos que aportan los datos, en particular, mediante algoritmos complejos de propiedad exclusiva, incluidos los que forman parte de programas informáticos de propiedad exclusiva, no debe considerarse incluida en el ámbito de aplicación del presente Reglamento y, por consiguiente, no debe estar sujeta a la obligación del titular de datos de ponerla a disposición de un usuario o un destinatario de datos, a menos que se acuerde otra cosa entre el usuario y el titular de datos. Estos datos podrían incluir, en particular, información derivada de la fusión de sensores, la inferencia o la derivación de datos desde múltiples sensores, recogidos en el producto conectado, utilizando algoritmos complejos de propiedad exclusiva y que podrían estar protegidos por derechos de propiedad intelectual.

(16) El presente Reglamento permite a los usuarios de productos conectados beneficiarse de servicios posventa, servicios auxiliares y otros servicios basados en datos recogidos por sensores integrados en dichos productos, ya que la recopilación de esos datos puede tener un valor para mejorar el rendimiento de los productos conectados. Es importante distinguir, por una parte, entre los mercados de suministro de tales productos conectados dotados de sensores y servicios relacionados y, por otra parte, los mercados de programas informáticos y contenidos no relacionados, como los contenidos textuales, audiovisuales o de audio, a menudo protegidos por derechos de propiedad intelectual. En consecuencia, no debe aplicarse el presente Reglamento a los datos generados por dichos productos conectados dotados de sensores cuando el usuario graba, transmite, muestra o reproduce contenidos, así como los propios contenidos, que a menudo están protegidos por derechos de propiedad intelectual (por ejemplo, para su utilización por un servicio en línea). Tampoco debe aplicarse el presente Reglamento a los datos obtenidos, generados o a los que se haya accedido desde el producto conectado, o que hayan sido transmitidos al producto conectado, con fines de almacenamiento o alguna otra operación de tratamiento en nombre de terceros que no sean el usurario, como pueda ser el caso respecto de los servidores o la infraestructura en la nube que gestionen sus titulares íntegramente en nombre de terceros, entre otros fines, por ejemplo, para su utilización por un servicio en línea.

(17) Es necesario establecer normas relativas a los productos que estén conectados a un servicio relacionado en el momento de la compraventa, alquiler o arrendamiento de tal manera que su ausencia impediría que el producto conectado desempeñe una o varias de sus funciones, o que el fabricante o un tercero conecte posteriormente al producto a fin de aumentar o adaptar la funcionalidad del producto conectado. Dichos servicios relacionados implican la transferencia de datos entre el producto conectado y el proveedor del servicio y debe entenderse que están vinculados expresamente al funcionamiento de las funciones del producto conectado, como servicios que, en su caso, transmiten instrucciones al producto conectado que pueden afectar a su funcionamiento o comportamiento. No deben tener la consideración de servicios relacionados los servicios que no afectan al funcionamiento del producto conectado y no implican la transferencia de datos o instrucciones al producto conectado por parte del proveedor del servicio. Tales servicios podrían incluir, por ejemplo, asesoría auxiliar, servicios de análisis o financieros o reparaciones y mantenimiento periódicos. Los servicios relacionados pueden ofrecerse como parte del contrato de compraventa, alquiler o arrendamiento. Los servicios relacionados podrían también prestarse para productos del mismo tipo y los usuarios podrían esperar, de manera razonable, que se presten dichos servicios habida cuenta del carácter del producto conectado y cualquier declaración pública realizada por el vendedor, arrendador u otras personas, o en nombre de estos, en fases previas de la cadena de transacciones, incluido el fabricante. Dichos servicios relacionados pueden generar, por sí mismos, datos valiosos para el usuario, independientemente de la capacidad de recopilación de datos del producto conectado con el que estén interconectados. El presente Reglamento debe ser aplicable asimismo a los servicios relacionados no prestados por el propio vendedor o arrendador, sino por un tercero. En caso de duda sobre si el servicio se presta como parte del contrato de compraventa, alquiler o arrendamiento, debe aplicarse el presente Reglamento. Ni el suministro de energía ni la prestación de conectividad deben interpretarse como servicios relacionados en virtud del presente Reglamento.

(18) Por usuario de un producto conectado debe entenderse la persona física o jurídica, como una empresa, un consumidor o un organismo del sector público, que es propietario de un producto conectado, ha recibido determinados derechos temporales, por ejemplo, mediante un contrato de alquiler o arrendamiento, para acceder a los datos obtenidos a partir del producto conectado o utilizarlos, o que recibe servicios relacionados respecto del producto conectado. Estos derechos de acceso no deben obstaculizar ni alterar en modo alguno los derechos de los interesados que puedan estar interactuando con un producto conectado o un servicio relacionado con respecto a los datos personales generados por el producto conectado o durante la prestación del servicio relacionado. El usuario asumirá los riesgos y aprovechará las ventajas de utilizar el producto conectado y también deberá poder acceder a los datos que genere. Por lo tanto, el usuario debe tener derecho a aprovechar los datos generados por dicho producto conectado y cualquier servicio relacionado. También debe considerarse usuario a un propietario, alquilador o arrendatario, incluso cuando varias entidades puedan ser consideradas usuarios. En un contexto de múltiples usuarios, cada usuario puede contribuir de manera diferente a la generación de datos y tener interés en varias formas de utilización, como la gestión de la flota para una empresa de arrendamiento o soluciones de movilidad para personas que utilizan un servicio de uso compartido de vehículos.

(19) El término «alfabetización en materia de datos» se refiere a las capacidades, los conocimientos y la comprensión que permiten a usuarios, consumidores y empresas, en particular, las pymes incluidas en el ámbito de aplicación del presente Reglamento, mejorar su concienciación sobre el valor potencial de los datos que generan, producen e intercambian, y les motiva para ofrecer y proporcionar el acceso de conformidad con las normas jurídicas pertinentes. La alfabetización en materia de datos debe ir más allá del aprendizaje sobre herramientas y tecnologías, y debe aspirar a empoderar a los ciudadanos y a las empresas y a dotarlos de la capacidad de beneficiarse de un mercado de datos integrador y justo. La difusión de medidas de alfabetización y la implantación de medidas de seguimiento oportunas podría contribuir a mejorar las condiciones de trabajo y, en última instancia, respaldar la consolidación y la senda de innovación de la economía de los datos en la Unión. Las autoridades competentes deben promover herramientas y adoptar medidas para impulsar las capacidades de alfabetización en materia de datos de los usuarios y entidades incluidos en el ámbito de aplicación del presente Reglamento y su concienciación sobre los derechos y obligaciones que de este se derivan.

(20) En la práctica, no todos los datos generados por productos conectados o servicios relacionados son fácilmente accesibles para sus usuarios y a menudo existen pocas opciones de portabilidad de los datos generados por productos conectados a internet. Los usuarios no pueden obtener los datos necesarios para recurrir a proveedores de servicios de reparación y otros servicios, y las empresas no pueden poner en marcha servicios innovadores, prácticos y más eficientes. En muchos sectores, los fabricantes, aunque no tengan derecho legal a los datos, pueden determinar, a través del control del diseño técnico de los productos conectados o de los servicios relacionados, qué datos se generan y cómo se puede acceder a ellos. Por lo tanto, es necesario garantizar que los productos conectados se diseñen y fabriquen —y que los servicios relacionados se diseñen y presten— de manera que los datos de los productos y los datos de los servicios relacionados, incluidos los metadatos asociados necesarios para interpretar y utilizar dichos datos, también a efectos de extraerlos, utilizarlos o compartirlos, siempre sean accesibles para el usuario fácilmente y de forma segura, gratuitamente, en un formato completo, estructurado, de utilización habitual y de lectura mecánica. Se denomina «datos fácilmente disponibles» a los datos del producto y los datos del servicio relacionado que un titular de datos obtiene o puede obtener del producto conectado o servicio relacionado de forma lícita y sin un esfuerzo desproporcionado, por ejemplo, mediante el diseño del producto conectado, el contrato celebrado entre el titular de datos y el usuario para la prestación de servicios relacionados y sus medios técnicos de acceso a los datos. Los datos fácilmente disponibles no incluyen los datos generados por el uso de un producto conectado cuando el diseño del producto conectado no prevea que dichos datos se almacenen o transmitan fuera del componente en que se generan o del producto conectado en su conjunto. Por consiguiente, no debe entenderse que el presente Reglamento impone la obligación de almacenar datos en la unidad informática central de un producto conectado. La ausencia de tal obligación no debe impedir al fabricante o al titular de datos acordar voluntariamente con el usuario la realización de dichas adaptaciones. Las obligaciones de diseño previstas en el presente Reglamento también se entienden sin perjuicio del principio de minimización de datos establecido en el artículo 5, apartado 1, letra c), del Reglamento (UE) 2016/679 y no deben entenderse en el sentido de que imponen una obligación de diseñar los productos conectados y servicios relacionados de tal manera que almacenen o traten de algún modo datos personales distintos de los necesarios en relación con los fines de su tratamiento. Podrían introducirse disposiciones de Derecho de la Unión o nacional para describir otras especificidades, como los datos del producto que deben ser accesibles desde los productos conectados o los servicios relacionados, dado que dichos datos pueden ser esenciales para el funcionamiento, la reparación o el mantenimiento eficientes de dichos productos conectados o servicios relacionados. Cuando las actualizaciones o modificaciones posteriores de un producto conectado o un servicio relacionado, por parte del fabricante u otra parte, den lugar a datos accesibles adicionales o a una restricción de los datos accesibles inicialmente, esas alteraciones deben comunicarse al usuario en el contexto de la actualización o modificación.

(21) Cuando se considere usuario a varias personas o entidades, por ejemplo en los casos de copropiedad o cuando un propietario, alquilador o arrendatario comparta derechos de acceso a los datos o de utilización de estos, el diseño del producto conectado o servicio relacionado o la interfaz pertinente debe permitir que cada usuario tenga acceso a los datos que genera. Por lo general, el uso de productos conectados que generan datos necesita la creación de una cuenta de usuario. Esta cuenta permite la identificación del usuario por parte del titular de datos, que puede ser el fabricante. También se puede utilizar como medio para comunicarse y para presentar y tramitar las solicitudes de acceso a datos. En caso de que varios fabricantes o proveedores de servicios relacionados hayan vendido, alquilado o arrendado productos conectados o prestado servicios relacionados, integrados entre sí, al mismo usuario, el usuario debe dirigirse a cada una de las partes con las que haya celebrado un contrato. Los fabricantes o diseñadores de un producto conectado que suelen utilizar varias personas deben establecer los mecanismos necesarios para crear cuentas de usuario separadas para personas concretas, cuando proceda, o que varias personas puedan utilizar la misma cuenta de usuario. Las soluciones de cuenta deben permitir al usuario suprimir sus cuentas y los datos relacionados con ellas, y podrían permitirle poner fin al acceso a los datos o a su utilización o intercambio, o presentar solicitudes para ponerle fin, en particular, teniendo en cuenta las situaciones en las que cambia la propiedad o el uso del producto conectado. Debe concederse acceso al usuario mediante un mecanismo de solicitud sencillo, de ejecución automática, que no requiera examen o autorización por parte del fabricante o del titular de datos. Esto significa que los datos deben ponerse a disposición solo cuando el usuario desee el acceso. Cuando no sea posible realizar la solicitud de acceso a los datos de manera automatizada, por ejemplo a través de una cuenta de usuario o de una aplicación móvil que acompañe al producto conectado o servicio relacionado, el fabricante debe informar al usuario de cómo puede acceder a los datos.

(22) Los productos conectados pueden diseñarse para que determinados datos sean directamente accesibles a partir de un almacenamiento de datos en el dispositivo o a partir de un servidor remoto al que se comuniquen los datos. El acceso al almacenamiento de datos en el dispositivo puede habilitarse a través de redes de área local por cable o inalámbricas conectadas a un servicio de comunicaciones electrónicas o red móvil disponibles al público. El servidor puede estar integrado en la capacidad del servidor local del fabricante o en la de un tercero o un proveedor de servicios en la nube. No se considera que los encargados del tratamiento tal como se definen en el artículo 4, punto 8, del Reglamento (UE) 2016/679 actúan como titulares de datos. Ahora bien, el responsable del tratamiento tal como se define en el artículo 4, punto 7, del Reglamento (UE) 2016/679 les puede encomendar específicamente que pongan datos a disposición. Los productos conectados pueden estar diseñados para permitir al usuario o a un tercero tratar los datos en el producto conectado, en una instancia informática del fabricante o en un entorno de tecnología de la información y las comunicaciones (TIC) elegido por el usuario o el tercero.

(23) Los asistentes virtuales desempeñan un papel cada vez más importante en la digitalización de los entornos de consumo y profesionales y son una interfaz fácil de utilizar que sirve para reproducir contenidos, buscar información o activar productos conectados a internet. Los asistentes virtuales pueden funcionar como una pasarela única, por ejemplo en un entorno doméstico inteligente, y registrar cantidades significativas de datos pertinentes sobre cómo interactúan los usuarios con productos conectados a internet, incluso los fabricados por otras partes, y pueden sustituir a las interfaces proporcionadas por el fabricante, como pantallas táctiles o aplicaciones para teléfonos inteligentes. Es posible que el usuario desee poner dichos datos a disposición de fabricantes terceros para permitir el desarrollo de servicios inteligentes innovadores. Los derechos de acceso a los datos que establece el presente Reglamento deben ser aplicables a los asistentes virtuales. También deben ser aplicables los derechos de acceso a los datos que establece el presente Reglamento a los datos generados cuando un usuario interactúa con un producto conectado a través de un asistente virtual proporcionado por una entidad distinta del fabricante del producto conectado. Sin embargo, solo deben entrar en el ámbito del presente Reglamento los datos resultantes de la interacción entre el usuario y un producto conectado o servicio relacionado a través del asistente virtual. Los datos producidos por el asistente virtual que no estén relacionados con el uso de un producto conectado o servicio relacionado no se incluyen en el ámbito del presente Reglamento.

(24) Antes de celebrar un contrato de compraventa, alquiler o arrendamiento de un producto conectado, el vendedor o arrendador —que pueden ser el fabricante— deben proporcionar al usuario información sobre los datos del producto que es capaz de generar el producto conectado, incluido el tipo, el formato y el volumen estimado de dichos datos, de manera clara y comprensible. Esto puede incluir información sobre las estructuras de los datos, los formatos de datos, los vocabularios, los sistemas de clasificación, las taxonomías y las listas de códigos, cuando estén disponibles, así como información clara, suficiente y pertinente para el ejercicio de los derechos del usuario sobre cómo pueden almacenarse o extraerse los datos, o cómo se puede acceder a ellos, junto con las descripciones de las condiciones de utilización y la calidad de servicio de las interfaces de programación de aplicaciones o, en su caso, el suministro de paquetes de desarrollo de software. Esa obligación aporta transparencia sobre los datos del producto generados y mejora la facilidad de acceso para el usuario. La obligación de información podría cumplirse, por ejemplo, manteniendo un localizador uniforme de recursos (URL) estable en la web, que puede distribuirse como un enlace web o un código QR, que apunte a la información relevante, que podría ser proporcionado al usuario por el vendedor o arrendador —que puede ser el fabricante— antes de celebrar el contrato de compraventa, alquiler o arrendamiento de un producto conectado. En cualquier caso, resulta necesario que el usuario pueda almacenar la información de manera que sea accesible para su futura consulta y que permita la reproducción inalterada de la información almacenada. No puede esperarse que el titular de datos almacene los datos por tiempo indefinido en vista de las necesidades del usuario del producto conectado, pero debe aplicar, no obstante, una política razonable de conservación de datos, cuando proceda, de conformidad con el principio de limitación del plazo de conservación de conformidad con el artículo 5, apartado 1, letra e), del Reglamento (UE) 2016/679, que permita el ejercicio efectivo de los derechos de acceso a los datos que confiere el presente Reglamento. La obligación de informar no afecta a la obligación del responsable del tratamiento de proporcionar información al interesado de conformidad con los artículos 12, 13 y 14 del Reglamento (UE) 2016/679. La obligación de proporcionar información antes de la celebración de un contrato de prestación de un servicio relacionado debe corresponder al posible titular de datos, con independencia de si el titular de datos celebra un contrato de compraventa, alquiler o arrendamiento de un producto conectado. También debe proporcionarse al usuario la información cuando esta cambie durante la vida útil del producto conectado o el período de vigencia del contrato del servicio relacionado, también cuando la finalidad para la que se utilizarán los datos cambie con respecto a la finalidad especificada inicialmente.

(25) No debe entenderse que el presente Reglamento concede a los titulares de datos ningún nuevo derecho a utilizar los datos del producto o los datos de un servicio relacionado. Cuando el fabricante de un producto conectado sea un titular de datos, la base para que el fabricante utilice datos no personales debe ser un contrato entre el fabricante y el usuario. Dicho contrato podría formar parte de un pacto para la prestación de un servicio relacionado, que podría celebrarse junto con el contrato de compraventa, alquiler o arrendamiento del producto conectado. Toda cláusula contractual que estipule que el titular de datos puede utilizar los datos de un producto o los datos de un servicio relacionado debe ser transparente para el usuario, incluso en lo que respecta a las finalidades para las que el titular de datos pretenda utilizar los datos. Tales finalidades pueden incluir mejorar el funcionamiento del producto conectado o de los servicios relacionados, desarrollar nuevos productos o servicios o agregar datos con el fin de poner a disposición de terceros los datos derivados resultantes, siempre que dichos datos derivados no permitan la identificación de los datos específicos transmitidos al titular de datos desde el producto conectado, ni permitan a un tercero derivarlos del conjunto de datos. Toda modificación del contrato debe depender del consentimiento informado del usuario. El presente Reglamento no impide a las partes pactar cláusulas contractuales cuyo efecto sea excluir o limitar la utilización de datos no personales, o de determinadas categorías de datos no personales, por parte de un titular de datos. Tampoco impide a las partes pactar la puesta a disposición de terceros de datos del producto o datos del servicio relacionado, de modo directo o indirecto, incluso, en su caso, a través de otro titular de datos. Además, el presente Reglamento no impide requisitos específicos de regulación sectorial en virtud del Derecho de la Unión o del Derecho nacional compatible con el Derecho de la Unión que excluyan o limiten la utilización de determinados datos por parte del titular de datos por razones de políticas públicas bien definidas. El presente Reglamento no impide a los usuarios, en las relaciones entre empresas, poner los datos a disposición de terceros o de titulares de datos con arreglo a cualquier condición contractual lícita, incluso aceptando limitar o restringir el intercambio ulterior de dichos datos, o recibir una compensación proporcional, por ejemplo, a cambio de renunciar a su derecho a utilizar o compartir dichos datos. Aunque el concepto de «titular de datos» generalmente no incluye a los organismos del sector público, puede incluir a empresas públicas.

(26) Para fomentar la aparición de mercados líquidos, equitativos y eficientes de datos no personales, los usuarios de productos conectados deben poder compartir datos con otros, también con fines comerciales, con un mínimo esfuerzo jurídico y técnico. En la actualidad, resulta a menudo difícil para las empresas justificar los costes de personal o informáticos necesarios para preparar conjuntos de datos o productos de datos no personales y ofrecerlos a otras posibles partes a través de servicios de intermediación de datos, incluidos los mercados de datos. Así pues, un obstáculo importante para el intercambio de datos no personales por parte de las empresas dimana de la falta de previsibilidad de los rendimientos económicos derivados de la inversión en la organización y puesta a disposición de conjuntos de datos o productos de datos. A fin de permitir la aparición de mercados líquidos, equitativos y eficientes de datos no personales en la Unión, debe aclararse qué parte tiene derecho a ofrecer dichos datos en un mercado. Por tanto, los usuarios deben tener derecho a compartir datos no personales con destinatarios de datos con fines comerciales y no comerciales. Este intercambio de datos podría ser realizado directamente por el usuario, a través de un titular de datos a petición del usuario, o a través de servicios de intermediación de datos. Los servicios de intermediación de datos, regulados por el Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo (22), podrían facilitar la economía de los datos mediante el establecimiento de relaciones comerciales entre los usuarios, los destinatarios de los datos y terceros, y pueden ayudar a los usuarios a ejercer su derecho a utilizar los datos, como, por ejemplo, al garantizar la anonimización de los datos personales o la agregación del acceso a los datos de múltiples usuarios individuales. Cuando los datos estén excluidos de la obligación de un titular de datos de ponerlos a disposición de los usuarios o de terceros, el alcance de dichos datos podría especificarse en el contrato entre el usuario y el titular de datos para la prestación de un servicio relacionado, de manera que los usuarios puedan determinar fácilmente qué datos están a disposición para compartirlos con destinatarios de datos o con terceros. Los titulares de datos no deben poner a disposición de terceros datos no personales del producto con fines comerciales o no comerciales distintos del cumplimiento de su contrato con el usuario, sin perjuicio de los requisitos legales en virtud del Derecho de la Unión o nacional para que un titular de datos los ponga a disposición. Cuando proceda, los titulares de datos deben obligar contractualmente a los terceros a no compartir los datos recibidos de ellos.

(27) En los sectores caracterizados por la concentración de un pequeño número de fabricantes que abastecen de productos conectados a los usuarios finales, los usuarios pueden disponer únicamente de opciones limitadas en lo que respecta al acceso a los datos y a la utilización e intercambio de estos. En tales circunstancias, los contratos pueden resultar insuficientes para alcanzar el objetivo de la capacitación de los usuarios, lo que dificulta a los usuarios obtener valor a partir de los datos generados por el producto conectado que compran, alquilan o arriendan. Por consiguiente, existe un potencial limitado para que las pequeñas empresas innovadoras ofrezcan soluciones basadas en datos de manera competitiva y para alcanzar en la Unión una economía diversa de los datos. Por lo tanto, el presente Reglamento debe basarse en los últimos avances en sectores específicos, como el Código de conducta sobre el intercambio de datos agrarios mediante contrato. Pueden adoptarse disposiciones de Derecho de la Unión o nacional para regular las necesidades y objetivos específicos del sector. Además, los titulares de datos no deben utilizar ningún dato fácilmente disponible que constituya un dato no personal, con el fin de obtener información sobre la situación económica del usuario, sus activos o sus métodos de producción o sobre ese uso por el usuario de cualquier otra manera que pueda socavar la posición comercial del usuario en los mercados en los que opera. Esto podría incluir el uso de la información sobre el rendimiento global de una empresa, o de una explotación agraria, en las negociaciones contractuales con el usuario sobre la posible compra de los productos, o de los productos agrícolas, del usuario en su propio detrimento, o para alimentar bases de datos más amplias de determinados mercados —por ejemplo, las bases de datos sobre el rendimiento de los cultivos para la próxima temporada de cosecha—, ya que tal uso podría afectar negativamente al usuario de manera indirecta. El usuario debe disponer de la interfaz técnica necesaria para gestionar los permisos, preferiblemente con opciones de permiso detalladas (como «permitir una vez» o «permitir cuando se utilice esta aplicación o servicio»), incluida la opción de retirar tal permiso.

(28) En los contratos entre un titular de datos y un consumidor como usuario de un producto conectado o servicio relacionado que genera datos, se aplica el Derecho de la Unión en materia de protección de los consumidores, en particular las Directivas 93/13/CEE y 2005/29/CE, para garantizar que el consumidor no esté sujeto a cláusulas contractuales abusivas. A efectos del presente Reglamento, las cláusulas contractuales abusivas impuestas unilateralmente a una empresa no deben ser vinculantes para ella.

(29) Los titulares de datos pueden exigir una identificación adecuada del usuario para verificar el derecho de acceso a los datos por parte del usuario. En el caso de los datos personales tratados por un encargado del tratamiento en nombre del responsable del tratamiento los titulares de datos deben garantizar que el encargado del tratamiento reciba y tramite la solicitud de acceso.

(30) El usuario debe ser libre de utilizar los datos para cualquier fin lícito. Se incluye en ello proporcionar los datos que el usuario haya recibido en el ejercicio de los derechos que le reconoce el presente Reglamento, a un tercero que ofrezca un servicio posventa que pueda estar en competencia con un servicio prestado por un titular de datos, o dar instrucciones al titular de datos para que lo haga. La solicitud debe ser presentada por el usuario o por un tercero autorizado que actúe en nombre del usuario, lo que incluye al proveedor de un servicio de intermediación de datos. Los titulares de datos deben garantizar que los datos puestos a disposición del tercero sean tan exactos, completos, fiables, pertinentes y actualizados como los datos a los que el propio titular de datos pueda acceder, o a los que tenga derecho a acceder resultantes del uso del producto conectado o servicio relacionado. En el tratamiento de los datos deben respetarse los derechos de propiedad intelectual. Es importante mantener los incentivos a la inversión en productos con funcionalidades basadas en la utilización de datos procedentes de sensores incorporados a dichos productos.

(31) La Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo (23) establece que la obtención, utilización o revelación de un secreto comercial se consideran lícitas, entre otras cosas, cuando el Derecho de la Unión o nacional exijan o permitan dicha obtención, utilización o revelación. Si bien el presente Reglamento exige a los titulares de datos que divulguen determinados datos a los usuarios o a terceros elegidos por el usuario, incluso cuando dichos datos cumplan los requisitos para ser protegidos como secretos comerciales, debe interpretarse de forma que preserve la protección conferida a los secretos comerciales en virtud de la Directiva (UE) 2016/943. En este contexto, los titulares de datos deben poder exigir al usuario, o a terceros elegidos por el usuario, que preserven la confidencialidad de los datos considerados como secretos comerciales. A tal fin, los titulares de datos deben identificar los secretos comerciales antes de la divulgación y tener la posibilidad de convenir con los usuarios, o con terceros elegidos por el usuario, las medidas necesarias para preservar su confidencialidad, también mediante el uso de cláusulas contractuales tipo, acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta. Además del uso de cláusulas contractuales tipo que ha de elaborar y recomendar la Comisión, el establecimiento de códigos de conducta y de normas técnicas relativos a la protección de los secretos comerciales en el tratamiento de los datos podría contribuir a la consecución del objetivo del presente Reglamento y debe fomentarse. Cuando no exista un acuerdo sobre las medidas necesarias o cuando el usuario o los terceros elegidos por el usuario no apliquen las medidas convenidas o vulneren la confidencialidad de los secretos comerciales, el titular de datos debe poder retener o suspender el intercambio de los datos identificados como secretos comerciales. En tales casos, el titular de datos debe comunicar la decisión por escrito al usuario o al tercero sin demora indebida y debe notificar a la autoridad competente del Estado miembro en el que el titular de datos esté establecido que ha retenido o suspendido el intercambio de datos e indicar qué medidas no se han convenido o aplicado y, en su caso, qué secretos comerciales han visto su confidencialidad comprometida. En principio, los titulares de datos no pueden rechazar una solicitud de acceso a los datos en virtud del presente Reglamento alegando únicamente que determinados datos se consideran secretos comerciales, ya que esto neutralizaría los efectos perseguidos por el presente Reglamento. Sin embargo, en circunstancias excepcionales, un titular de datos que sea un poseedor de un secreto comercial debe poder rechazar, según el caso, una solicitud para los datos específicos en cuestión, si es capaz de demostrar al usuario o al tercero que, a pesar de las medidas técnicas y organizativas tomadas por el usuario o por el tercero, existe una alta probabilidad de que la revelación de dicho secreto comercial ocasione un grave perjuicio económico. Un grave perjuicio económico implica una pérdida económica importante e irreparable. El titular de datos debe, sin demora indebida, motivar debidamente su denegación por escrito al usuario o al tercero y notificarla a la autoridad nacional competente. Dicha motivación debe basarse en elementos objetivos que demuestren el riesgo concreto de grave perjuicio económico que cabe esperar que se derive de una divulgación de datos específica y los motivos por los que las medidas adoptadas para proteger los datos solicitados se consideran insuficientes. En este contexto, puede tenerse en cuenta un posible efecto negativo en la ciberseguridad. Sin perjuicio del derecho a recurrir ante un órgano jurisdiccional de un Estado miembro, cuando el usuario o el tercero deseen impugnar la decisión del titular de datos de denegar, retener o suspender el intercambio de datos, el usuario o el tercero pueden presentar una reclamación ante la autoridad competente, que debe decidir, sin demora indebida, si el intercambio de datos debe iniciarse o reanudarse y en qué condiciones, o pueden convenir con el titular de datos someter la cuestión a un órgano de resolución de litigios. Las excepciones al derecho de acceso a los datos en el presente Reglamento no deben en ningún caso limitar el derecho de acceso y el derecho a la portabilidad de los datos de los interesados en virtud del Reglamento (UE) 2016/679.

(32) El objetivo del presente Reglamento no consiste solo en fomentar el desarrollo de productos conectados o servicios relacionados nuevos e innovadores y estimular la innovación en los mercados de posventa, sino también en estimular el desarrollo de servicios totalmente novedosos que utilicen los datos en cuestión, incluso los basados en datos procedentes de diversos productos conectados o servicios relacionados. Al mismo tiempo, el presente Reglamento pretende evitar la reducción de los incentivos a la inversión para el tipo de producto conectado del que se obtienen datos, por ejemplo, utilizando los datos para desarrollar un producto conectado competidor que los usuarios consideren intercambiable o sustituible atendiendo a sus características, su precio o el uso que se prevea hacer de él. El presente Reglamento no prohíbe el desarrollo de servicios relacionados utilizando datos obtenidos en virtud del presente Reglamento, ya que ello tendría en la innovación un efecto disuasorio no deseable. La prohibición de utilizar los datos a los que se accede en virtud del presente Reglamento para desarrollar un producto conectado competidor protege los esfuerzos de innovación de los titulares de datos. La determinación de si un producto conectado compite con el producto conectado en el que se originan los datos depende de si ambos productos conectados son competidores en el mismo mercado de producto. Esto se debe determinar sobre la base de los principios establecidos en el Derecho de la competencia de la Unión para delimitar el mercado de productos de referencia. No obstante, los fines lícitos para la utilización de los datos podrían incluir la ingeniería inversa, siempre que cumpla los requisitos establecidos en el presente Reglamento y en el Derecho de la Unión o nacional. Este puede ser el caso para la finalidad de reparar o prolongar la vida útil de un producto conectado o de prestar servicios posventa a productos conectados.

(33) Un tercero al que se pongan datos a disposición puede ser una persona física o jurídica, como un consumidor, una empresa, una organización de investigación, una organización sin ánimo de lucro o una entidad que actúe a título profesional. Al poner los datos a disposición del tercero, un titular de datos no debe explotar de manera abusiva su posición para buscar una ventaja competitiva en mercados en los que el titular de datos y el tercero puedan estar en competencia directa. Por consiguiente, el titular de datos no debe utilizar ningún dato fácilmente disponible con el fin de obtener información sobre la situación económica, los activos o los métodos de producción del tercero, ni el uso por este de cualquier otra manera que pueda socavar la posición comercial del tercero en los mercados en los que el tercero opera. El usuario debe poder compartir datos no personales con terceros con fines comerciales. Previo acuerdo con el usuario, y con sujeción a lo dispuesto en el presente Reglamento, los terceros deben poder transferir a otros terceros los derechos de acceso a los datos otorgados por el usuario, también a cambio de una compensación. Los intermediarios de datos entre empresas y los sistemas de gestión de información personal, denominados «servicios de intermediación de datos» en el Reglamento (UE) 2022/868, pueden ayudar a los usuarios o los terceros a establecer relaciones comerciales con un número indeterminado de posibles contrapartes para cualquier fin lícito que entre en el ámbito de aplicación del presente Reglamento. Podrían desempeñar un papel fundamental a la hora de agregar el acceso a los datos, de modo que puedan facilitarse los análisis de macrodatos o el aprendizaje automático, siempre que los usuarios mantengan el pleno control de la decisión de proporcionar sus datos a dicha agregación y de las condiciones comerciales en las que se vayan a utilizar sus datos.

(34) El uso de un producto conectado o servicio relacionado puede generar datos relativos al interesado, en particular, cuando el usuario sea una persona física. El tratamiento de dichos datos está sujeto a las normas establecidas en virtud del Reglamento (UE) 2016/679, incluso cuando los datos personales y no personales de un conjunto de datos estén indisolublemente vinculados. El interesado puede ser el usuario u otra persona física. Los datos personales solo pueden ser solicitados por un responsable del tratamiento o un interesado. Un usuario que sea el interesado tiene derecho, en determinadas circunstancias, en virtud del Reglamento (UE) 2016/679, a acceder a los datos personales que le incumban, derecho que no se ve afectado por el presente Reglamento. En virtud del presente Reglamento, el usuario que sea una persona física tiene también derecho a acceder a todos los datos generados por el uso de un producto conectado, tanto personales como no personales. Cuando el usuario no sea el interesado sino una empresa, incluido un empresario individual, excluidos los casos de uso doméstico compartido del producto conectado, el usuario debe tener la consideración de responsable del tratamiento. Por consiguiente, dicho usuario, que como responsable del tratamiento desea solicitar datos personales generados por el uso de un producto conectado o un servicio relacionado, debe tener una base lícita para el tratamiento de los datos como exige el artículo 6, apartado 1, del Reglamento (UE) 2016/679, como el consentimiento del interesado o la ejecución de un contrato en el que el interesado sea parte. Dicho usuario debe garantizar que el interesado esté debidamente informado de los fines determinados, explícitos y legítimos del tratamiento de dichos datos, y de la manera en que el interesado puede ejercer efectivamente sus derechos. Cuando el titular de datos y el usuario sean corresponsables del tratamiento en el sentido del artículo 26 del Reglamento (UE) 2016/679, están obligados a determinar, de manera transparente y de mutuo acuerdo, sus responsabilidades respectivas en el cumplimiento de dicho Reglamento. Debe entenderse que dicho usuario, una vez que los datos se hayan puesto a disposición, puede a su vez convertirse en titular de datos si cumple los criterios establecidos en el presente Reglamento y, por tanto, está sujeto a la obligación de poner los datos a disposición en virtud del presente Reglamento.

(35) Los datos del producto o los datos del servicio relacionado solo deben ponerse a disposición de un tercero a petición del usuario. El presente Reglamento complementa en consecuencia el derecho de los interesados, establecido en el artículo 20 del Reglamento (UE) 2016/679, a recibir los datos personales que les incumban en un formato estructurado, de uso habitual y de lectura mecánica, así como a transmitirlos a otro responsable del tratamiento, cuando dichos datos se traten por procedimientos automatizados sobre la base del artículo 6, apartado 1, letra a), o del artículo 9, apartado 2, letra a), o sobre la base de un contrato con arreglo al artículo 6, apartado 1, letra b), de dicho Reglamento. Los interesados también tienen derecho a que los datos personales se transmitan directamente de responsable a responsable, pero solo cuando esto sea técnicamente posible. El artículo 20 del Reglamento (UE) 2016/679 especifica que se trata de los datos proporcionados por el interesado, pero no especifica si ello requiere un comportamiento activo por parte del interesado o si también es aplicable cuando un producto conectado o servicio relacionado, por su diseño, observa el comportamiento de un interesado u otra información relacionada con un interesado de manera pasiva. Los derechos que se derivan del presente Reglamento complementan el derecho a la recepción y la portabilidad de los datos personales en virtud del artículo 20 del Reglamento (UE) 2016/679 de varias maneras. El presente Reglamento concede a los usuarios el derecho a acceder a cualquier dato del producto o dato del servicio relacionado y a ponerlo a disposición de terceros, independientemente de que sea de carácter personal, de la distinción entre datos proporcionados activamente u observados pasivamente y de la base jurídica del tratamiento. A diferencia del artículo 20 del Reglamento (UE) 2016/679, el presente Reglamento exige y garantiza la viabilidad técnica del acceso de terceros a todos los tipos de datos incluidos en su ámbito de aplicación, ya sean personales o no personales, asegurando así que los obstáculos técnicos no sigan obstaculizando o impidiendo el acceso a dichos datos. El presente Reglamento también permite a los titulares de datos establecer una compensación razonable a cargo de terceros, pero no del usuario, por los costes en que se incurra al proporcionar acceso directo a los datos generados por el producto conectado del usuario. Si el titular de datos y un tercero no pueden acordar las condiciones de dicho acceso directo, no debe impedirse en modo alguno que el interesado ejerza los derechos establecidos en el Reglamento (UE) 2016/679, incluido el derecho a la portabilidad de los datos, buscando vías de recurso de conformidad con dicho Reglamento. En este contexto, debe entenderse que, de conformidad con el Reglamento (UE) 2016/679, un contrato no permite el tratamiento de categorías especiales de datos personales por parte del titular de datos o del tercero.

(36) El acceso a todos los datos almacenados en equipos terminales, y a los que se acceda desde estos, está sujeto a la Directiva 2002/58/CE y requiere el consentimiento del abonado o usuario en el sentido de dicha Directiva, a menos que sea estrictamente necesario para prestar un servicio de la sociedad de la información expresamente solicitado por el usuario o por el abonado o únicamente para la transmisión de una comunicación. La Directiva 2002/58/CE protege la integridad de los equipos terminales del usuario en lo que respecta al uso de las capacidades de tratamiento y almacenamiento y a la recopilación de información. Los equipos de la internet de las cosas se consideran equipos terminales si están directa o indirectamente conectados a una red pública de comunicaciones.

(37) Con el fin de evitar la explotación de los usuarios, los terceros a los que se hayan puesto datos a disposición a petición del usuario deben tratar estos datos solo para la finalidad acordada con el usuario e intercambiarlos con otro tercero solo con el consentimiento del usuario a dicho intercambio.

(38) En consonancia con el principio de minimización de datos, los terceros deben acceder solo a la información necesaria para prestar el servicio solicitado por el usuario. Tras haber recibido acceso a los datos, el tercero debe tratarlos para la finalidad acordada con el usuario sin injerencia del titular de datos. Para el usuario debe ser tan fácil denegar o interrumpir el acceso del tercero a los datos como autorizarlo. Ni los terceros ni los titulares de datos deben dificultar indebidamente el ejercicio de las opciones o los derechos de los usuarios, tampoco ofreciendo opciones a los usuarios de manera no neutra, o coaccionándolos, engañándolos o manipulándolos de algún modo, o neutralizando o mermando su autonomía, toma de decisiones u opciones, tampoco a través de una interfaz digital de usuario o de una parte de ella. En ese contexto, los terceros o los titulares de datos no deben basarse en los denominados «patrones oscuros» (elementos engañosos) a la hora de diseñar sus interfaces digitales. Los «patrones oscuros» son técnicas de diseño que impulsan o engañan a los consumidores para que tomen decisiones que conllevan consecuencias negativas para sí mismos. Estas técnicas de manipulación pueden utilizarse para persuadir a los usuarios, en particular, a los consumidores vulnerables, de que adopten comportamientos que estos no desean, y para engañarlos induciéndoles a tomar decisiones sobre transacciones de divulgación de datos o para influir injustificadamente en la toma de decisiones de los usuarios del servicio, de tal manera que se neutralice o merme su autonomía, su toma de decisiones y su capacidad de elegir entre distintas opciones. Las prácticas comerciales habituales y legítimas que sean conformes con el Derecho de la Unión no deben considerarse por sí mismas «patrones oscuros». Los terceros y los titulares de datos deben cumplir sus obligaciones en virtud del Derecho de la Unión pertinente, en particular, los requisitos establecidos en las Directivas 98/6/CE (24) y 2000/31/CE (25) del Parlamento Europeo y del Consejo, y de las Directivas 2005/29/CE y 2011/83/UE.

(39) Los terceros también deben abstenerse de utilizar los datos incluidos en el ámbito de aplicación del presente Reglamento para trazar perfiles de personas, a menos que el tratamiento sea estrictamente necesario para prestar el servicio solicitado por el usuario, incluido en el contexto de las decisiones automatizadas. El requisito de suprimir los datos cuando ya no sean necesarios para el fin acordado con el usuario, salvo que se acuerde otra cosa en relación con los datos no personales, complementa el derecho de supresión del interesado con arreglo al artículo 17 del Reglamento (UE) 2016/679. Cuando un tercero sea un proveedor de un servicio de intermediación de datos se aplican las garantías para el interesado que establece el Reglamento (UE) 2022/868. El tercero puede utilizar los datos para desarrollar un producto conectado o servicio relacionado, nuevo e innovador, pero no para desarrollar un producto conectado competidor.

(40) Las empresas emergentes, las pequeñas empresas, las empresas que se consideran medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE y las empresas de sectores tradicionales con capacidades digitales menos desarrolladas tienen dificultades para acceder a los datos pertinentes. El presente Reglamento tiene por objeto facilitar el acceso de estas entidades a los datos, garantizando al mismo tiempo que las obligaciones correspondientes sean lo más proporcionadas posible para evitar extralimitaciones. Al mismo tiempo, en la economía digital ha surgido un pequeño número de empresas muy grandes con un poder económico considerable gracias a la acumulación y agregación de grandes volúmenes de datos y a la infraestructura tecnológica necesaria para su monetización. Entre esas empresas muy grandes se cuentan algunas que prestan servicios básicos de plataforma que controlan ecosistemas de plataformas enteros en la economía digital, y que los operadores del mercado existentes o nuevos no son capaces de desafiar o disputar. El Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (26) tiene por objeto corregir esas ineficiencias y desequilibrios permitiendo a la Comisión designar a una empresa como «guardián de acceso», e impone una serie de obligaciones a dichos guardianes de acceso designados, como la prohibición de combinar determinados datos sin consentimiento y la obligación de garantizar los derechos efectivos a la portabilidad de los datos en virtud del artículo 20 del Reglamento (UE) 2016/679. De conformidad con el Reglamento (UE) 2022/1925, y habida cuenta de la inigualable capacidad de esas empresas para adquirir datos, la inclusión de las empresas guardianas de acceso como beneficiarias del derecho de acceso a los datos no es necesaria para alcanzar el objetivo del presente Reglamento y, por tanto, sería desproporcionada para los titulares de datos sujetos a dichas obligaciones. Esta inclusión también limitaría probablemente los beneficios del presente Reglamento para las pymes, vinculados a la equidad de la distribución del valor de los datos entre los distintos agentes del mercado. Esto significa que una empresa que presta servicios básicos de plataforma que ha sido designada guardián de acceso no puede solicitar ni obtener acceso a los datos de los usuarios generados por el uso de un producto conectado o servicio relacionado o por un asistente virtual sobre la base del presente Reglamento. Además, los terceros a los que se pongan datos a disposición a petición del usuario no pueden poner los datos a disposición de un guardián de acceso. Por ejemplo, el tercero no puede subcontratar la prestación de servicios a un guardián de acceso. Sin embargo, esto no impide que terceros utilicen servicios de tratamiento de datos ofrecidos por un guardián de acceso. Tampoco impide a esas empresas obtener y utilizar los mismos datos por otros medios lícitos. Los derechos de acceso que confiere el presente Reglamento contribuyen a que los consumidores dispongan de una mayor variedad de servicios. Dado que los acuerdos de carácter voluntario entre guardianes de acceso y titulares de datos no se ven afectados, la limitación de la concesión de acceso a los guardianes de acceso no los excluiría del mercado ni les impediría ofrecer sus servicios.

(41) Habida cuenta del estado actual de la tecnología, resultaría excesivamente gravoso para las microempresas y pequeñas empresas imponer nuevas obligaciones de diseño en relación con los productos conectados fabricados o diseñados que suministran o los servicios relacionados que prestan. Sin embargo, no sucede así cuando, para fabricar o diseñar un producto conectado o para prestar un servicio relacionado, se subcontrata a una microempresa o pequeña empresa que cuenta con una empresa asociada o con una empresa vinculada en el sentido del artículo 3 del anexo de la Recomendación 2003/361/CE que no se considere microempresa o pequeña empresa. En estas situaciones, la empresa que haya subcontratado la fabricación o el diseño a una microempresa o pequeña empresa puede compensar adecuadamente al subcontratista. No obstante, una microempresa o pequeña empresa puede estar sujeta a los requisitos establecidos en el presente Reglamento como titular de datos cuando no sea el fabricante del producto conectado o un proveedor de servicios relacionados. Se debe aplicar un período transitorio para las empresas que hayan adquirido la condición de medianas empresas menos de un año antes y para los productos conectados durante un año después de la fecha en la que hayan sido introducidos en el mercado por una mediana empresa. Ese período de un año permite a dichas medianas empresas adaptarse y prepararse antes de estar expuestas a la competencia en el mercado de servicios para los productos conectados que fabrican, según los derechos de acceso que confiere el presente Reglamento. Ese período transitorio no se aplica cuando dichas medianas empresas cuenten con una empresa asociada o una empresa vinculada que no tenga la consideración de microempresa o pequeña empresa o cuando dichas medianas empresas hayan sido subcontratadas para fabricar o diseñar el producto conectado o para prestar el servicio relacionado.

(42) Habida cuenta de la variedad de productos conectados que producen datos de distinta naturaleza, volumen y frecuencia, con diferentes niveles de datos y riesgos de ciberseguridad, y que ofrecen oportunidades económicas de diferente valor, y con el fin de garantizar la coherencia de las prácticas de intercambio de datos en el mercado interior, también entre sectores, y de fomentar y promover prácticas justas de intercambio de datos incluso en ámbitos en los que no se conceda tal derecho de acceso a los datos, el presente Reglamento establece normas horizontales sobre las modalidades de acceso a los datos en aquellos supuestos en que un titular de datos esté obligado por el Derecho de la Unión o por la normativa nacional adoptada de conformidad con el Derecho de la Unión a poner los datos a disposición de un destinatario de datos. Dicho acceso debe basarse en condiciones justas, razonables, no discriminatorias y transparentes. Esas normas generales de acceso no se aplican a las obligaciones de poner los datos a disposición en virtud del Reglamento (UE) 2016/679. El intercambio voluntario de datos no se ve afectado por esas normas. Las cláusulas contractuales tipo no vinculantes para el intercambio de datos entre empresas que debe desarrollar y recomendar la Comisión pueden ayudar a las partes a celebrar contratos que incluyan condiciones justas, razonables y no discriminatorias y que se deben aplicar de manera transparente. Sin embargo, la celebración de contratos, que puede incluir las cláusulas contractuales tipo no vinculantes, no debe significar que el derecho a compartir datos con terceros esté condicionado en modo alguno a la existencia de tal contrato. En caso de que las partes no puedan alcanzar un acuerdo contractual sobre el intercambio de datos, ni siquiera con el apoyo de órganos de resolución de litigios, el derecho a compartir datos con terceros es exigible ante los órganos jurisdiccionales nacionales.

(43) Sobre la base del principio de libertad contractual, las partes deben seguir siendo libres de negociar las condiciones precisas para la puesta a disposición de los datos en sus contratos, en el marco de las normas generales de acceso para la puesta a disposición de los datos. Las condiciones de dichos contratos podrían incluir medidas técnicas y organizativas, también en relación con la seguridad de los datos.

(44) A fin de garantizar que las condiciones de acceso obligatorio a los datos sean equitativas para ambas partes de un contrato, las normas generales sobre los derechos de acceso a los datos deben hacer referencia a la norma relativa a la necesidad de evitar cláusulas contractuales abusivas.

(45) Ningún acuerdo celebrado en las relaciones entre empresas para poner los datos a disposición debe discriminar entre categorías comparables de destinatarios de datos, independientemente de que las partes sean grandes empresas o pymes. Para compensar la falta de información sobre las condiciones que figuran en los distintos contratos, lo que dificulta que el destinatario de los datos evalúe si las condiciones de puesta a disposición de los datos no son discriminatorias, debe ser responsabilidad de los titulares de datos demostrar que una cláusula contractual no es discriminatoria. No se considera una discriminación ilegal que el titular de datos utilice cláusulas contractuales diferentes para poner los datos a disposición, si dichas diferencias están justificadas por razones objetivas. Esas obligaciones se entienden sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679.

(46) Con el fin de fomentar la inversión continua en la generación y puesta a disposición de datos valiosos, incluidas las inversiones en herramientas técnicas pertinentes, evitando al mismo tiempo cargas excesivas en el acceso a los datos y a su utilización que hagan que el intercambio de datos ya no sea viable desde el punto de vista comercial, el presente Reglamento contiene el principio según el cual, en las relaciones entre empresas, los titulares de datos pueden solicitar una compensación razonable cuando estén obligados con arreglo al Derecho de la Unión o la normativa nacional adoptada de conformidad con el Derecho de la Unión a poner los datos a disposición de un destinatario de datos. Tal compensación no debe entenderse como un pago por los propios datos. La Comisión debe adoptar orientaciones sobre el cálculo que se considera una compensación razonable en la economía de los datos.

(47) En primer lugar, una compensación razonable por el cumplimiento de la obligación en virtud del Derecho de la Unión o la normativa nacional adoptada de conformidad con el Derecho de la Unión para dar cumplimiento a una solicitud de puesta a disposición de datos puede incluir una compensación por los costes en que se haya incurrido al poner los datos a disposición. Esos costes pueden ser técnicos, como los costes necesarios para la reproducción de los datos, su difusión por medios electrónicos y su almacenamiento, pero no para la recopilación o producción de datos. Esos costes técnicos también pueden incluir los costes de tratamiento necesarios para poner los datos a disposición, incluidos los costes asociados al formateo de los datos. Los costes relacionados con la puesta a disposición de datos también pueden incluir los costes destinados a facilitar solicitudes concretas de intercambio de datos. También pueden variar en función del volumen de los datos, así como de las disposiciones adoptadas para ponerlos a disposición. Los acuerdos a largo plazo entre los titulares de datos y los destinatarios de datos, por ejemplo a través de un modelo de suscripción o la utilización de contratos inteligentes, pueden reducir los costes en transacciones periódicas o repetitivas en una relación de negocios. Los costes relacionados con la puesta a disposición de los datos pueden corresponder a una solicitud concreta o ser compartidos con otras solicitudes. En el último caso, un único destinatario de datos no debe pagar la totalidad de los costes de puesta a disposición de los datos. En segundo lugar, una compensación razonable también puede incluir un margen, salvo cuando se trate de pymes y organizaciones de investigación sin ánimo de lucro. El margen puede variar en función de factores relacionados con los propios datos, como el volumen, el formato o la naturaleza de los datos. Puede tener en cuenta los costes de recopilación de los datos. Por lo tanto, un margen puede disminuir cuando el titular de datos haya recopilado los datos para su propia actividad sin inversiones significativas, o puede aumentar cuando las inversiones en la recopilación de datos a efectos de la actividad del titular de datos sean elevadas. Puede limitarse o incluso excluirse en situaciones en las que la utilización de los datos por parte del destinatario de datos no afecte a las propias actividades del titular de datos. El hecho de que los datos sean cogenerados por un producto conectado que sea propiedad, alquilado o arrendado por el usuario también podría reducir el importe de la compensación en comparación con otras situaciones en las que los datos son generados por el titular de datos, por ejemplo durante la prestación de un servicio relacionado.

(48) La intervención no es necesaria cuando el intercambio de datos se realiza entre grandes empresas, ni cuando el titular de datos es una pyme y el destinatario de datos es una gran empresa. En tales casos, se considera que las empresas son capaces de negociar la compensación dentro de los límites de lo que es razonable y no discriminatorio.

(49) Con el fin de proteger a las pymes de cargas económicas excesivas que les dificultarían comercialmente el desarrollo y la gestión de modelos de negocio innovadores, la compensación razonable que pagarían por la puesta a disposición de los datos no debe superar los costes directamente relacionados con la puesta a disposición de los datos. Los costes directamente relacionados son aquellos que son atribuibles a solicitudes individuales, teniendo en cuenta que el titular de los datos debe establecer de forma permanente las interfaces técnicas necesarias o el software y la conectividad necesarios. El mismo régimen debe aplicarse a las organizaciones de investigación sin ánimo de lucro.

(50) En casos debidamente justificados, como cuando sea necesario proteger la participación de los consumidores y la competencia o promover la innovación en determinados mercados, el Derecho de la Unión o la normativa nacional adoptada de conformidad con el Derecho de la Unión pueden disponer que se conceda una compensación regulada por la puesta a disposición de tipos de datos específicos.

(51) La transparencia es un principio importante para garantizar que la compensación solicitada por un titular de datos sea razonable o, si el destinatario de datos es una pyme o una organización de investigación sin ánimo de lucro, que la compensación no supere los costes directamente relacionados con la puesta a disposición de los datos al destinatario de datos y que sea atribuible a la solicitud individual de que se trate. A fin de que los destinatarios de datos puedan evaluar y verificar que la compensación cumple los requisitos del presente Reglamento, el titular de datos debe proporcionar al destinatario de datos información con suficiente detalle para calcular la compensación.

(52) Garantizar el acceso a formas alternativas de resolución de litigios nacionales y transfronterizos derivados de la puesta a disposición de los datos debe redundar en beneficio de los titulares y destinatarios de datos y, por lo tanto, reforzar la confianza en el intercambio de datos. Cuando las partes no puedan acordar unas condiciones justas, razonables y no discriminatorias para la puesta a disposición de los datos, los órganos de resolución de litigios deben ofrecer a las partes una solución sencilla, rápida y económica. Si bien el presente Reglamento solo establece las condiciones que deben cumplir los órganos de resolución de litigios para ser certificados, los Estados miembros son libres de adoptar cualquier norma específica para el procedimiento de certificación, incluida, la expiración o revocación de la certificación. Las disposiciones del presente Reglamento relativas a la resolución de litigios no deben obligar a los Estados miembros a crear órganos de resolución de litigios.

(53) El procedimiento de resolución de litigios en virtud del presente Reglamento es un procedimiento voluntario que permite a los usuarios, titulares de datos y destinatarios de datos acordar someter sus litigios a los órganos de resolución de litigios. Por lo tanto, las partes deben tener libertad para dirigirse a un órgano de resolución de litigios de su elección, ya sea dentro o fuera de los Estados miembros en los que estén establecidas.

(54) A fin de evitar casos de recurso a dos o más órganos de resolución de litigios para un mismo litigio, en particular en una situación transfronteriza, un órgano de resolución de litigios debe poder rechazar la tramitación de una solicitud de resolución de un litigio que ya se haya presentado ante otro órgano de resolución de litigios o ante un órgano jurisdiccional de un Estado miembro.

(55) A fin de garantizar la aplicación uniforme del presente Reglamento, los órganos de resolución de litigios deben tener en cuenta las cláusulas contractuales tipo no vinculantes que debe elaborar y recomendar la Comisión, así como las disposiciones de Derecho de la Unión o nacional que especifiquen las obligaciones de intercambio de datos o las directrices emitidas por las autoridades sectoriales para la aplicación de dichas disposiciones de Derecho.

(56) No debe impedirse que las partes en los procedimientos de resolución de litigios ejerzan su derecho fundamental a la tutela judicial efectiva y a un juez imparcial. Por consiguiente, la decisión de someter un litigio a un órgano de resolución de litigios no debe privar a dichas partes de su derecho a recurrir ante un órgano jurisdiccional de un Estado miembro. Los órganos de resolución de litigios deben poner a disposición del público informes anuales de actividad.

(57) Los titulares de datos pueden aplicar medidas técnicas de protección adecuadas para evitar la divulgación y el acceso ilícitos a los datos. Sin embargo, estas medidas no deben discriminar entre destinatarios de datos ni obstaculizar el acceso o la utilización de los datos por los usuarios o destinatarios de datos. En caso de prácticas abusivas por parte de un destinatario de datos, como inducir a error al titular de datos proporcionando información falsa con la intención de utilizar los datos con fines ilícitos, incluido el desarrollo de un producto conectado competidor sobre la base de los datos, el titular de datos y, cuando proceda y no sean la misma persona, el poseedor del secreto comercial o el usuario pueden solicitar al tercero o al destinatario de los datos que aplique medidas correctoras o de reparación sin demora indebida. Toda solicitud de este tipo, y en particular las solicitudes de poner fin a la producción, la oferta o la introducción en el mercado de bienes, datos derivados o servicios, así como las destinadas a poner fin a la importación, la exportación o el almacenamiento de mercancías infractoras o a su destrucción, deben evaluarse a la luz de su proporcionalidad en relación con los intereses del titular de datos, del poseedor del secreto comercial o del usuario.

(58) Cuando una de las partes se encuentra en una posición negociadora más fuerte, existe el riesgo de que pueda aprovecharla en detrimento de la otra parte contratante a la hora de negociar el acceso a los datos, con el resultado de que dicho acceso sea menos viable desde el punto de vista comercial y, a veces, económicamente prohibitivo. Estos desequilibrios contractuales perjudican a todas las empresas que no cuentan con una capacidad significativa de negociar las condiciones de acceso a los datos, y que podrían no tener otra opción que aceptar cláusulas contractuales de tipo «lo tomas o lo dejas». Por lo tanto, las cláusulas contractuales abusivas que regulen el acceso a los datos y su utilización, o la responsabilidad y los recursos en caso de incumplimiento o resolución unilateral de obligaciones relacionadas con los datos, no deben ser vinculantes para las empresas cuando dichas condiciones se les hayan impuesto unilateralmente.

(59) Las normas sobre cláusulas contractuales deben tener en cuenta el principio de libertad contractual como concepto esencial en las relaciones entre empresas. Por lo tanto, no todas las cláusulas contractuales deben someterse a un control del carácter abusivo, sino únicamente las impuestas unilateralmente. Se trata de situaciones del tipo «lo tomas o lo dejas» en las que una parte presenta una determinada cláusula contractual y la otra no puede influir en el contenido de dicha cláusula pese a haber intentado negociarla. Una cláusula contractual que sea planteada simplemente por una de las partes y aceptada por la otra empresa, o una cláusula que se negocie y posteriormente se acuerde de forma modificada entre las partes contratantes no debe considerarse que se haya impuesto unilateralmente.

(60) Además, las normas sobre cláusulas contractuales abusivas deben aplicarse solo a aquellos elementos de un contrato que estén relacionados con la puesta a disposición de datos, es decir, las cláusulas contractuales relativas al acceso a los datos y a su utilización, así como a la responsabilidad o los recursos por incumplimiento y resolución unilateral de las obligaciones relacionadas con los datos. Las secciones del mismo contrato que no guarden relación con la puesta a disposición de datos no deben estar sujetas al control del carácter abusivo establecido en el presente Reglamento.

(61) Los criterios para determinar las cláusulas contractuales abusivas solo deben aplicarse a cláusulas contractuales excesivas cuando se abuse de una posición negociadora más fuerte. La gran mayoría de las cláusulas contractuales que son comercialmente más favorables para una parte que para la otra, incluidas las que son habituales en los contratos entre empresas, constituyen una expresión normal del principio de libertad contractual y siguen siendo aplicables. A efectos del presente Reglamento, desviarse manifiestamente de las buenas prácticas comerciales incluiría, entre otras cosas, el menoscabo objetivo de la capacidad de la parte a la que se haya impuesto unilateralmente la cláusula para proteger su interés comercial legítimo en los datos en cuestión.

(62) A fin de garantizar la seguridad jurídica, el presente Reglamento establece una lista de cláusulas que siempre se consideran abusivas y una lista de cláusulas que se presumen abusivas. En este último caso, la empresa que impone la cláusula contractual debe poder refutar la presunción de abuso demostrando que la cláusula contractual enumerada en el presente Reglamento no es abusiva en el caso concreto de que se trate. Si una cláusula contractual no está incluida en la lista de cláusulas que siempre se consideran abusivas o que se presumen abusivas, se aplica la disposición general relativa al carácter abusivo. A este respecto, las cláusulas contractuales enumeradas como abusivas en el presente Reglamento deben servir como referencia para interpretar la disposición general relativa al carácter abusivo. Por último, las cláusulas contractuales tipo no vinculantes para los contratos de intercambio de datos entre empresas, que la Comisión debe desarrollar y recomendar, también pueden ser útiles para las partes comerciales a la hora de negociar contratos. Si una cláusula contractual se declara abusiva, el contrato de que se trate debe seguir aplicándose sin ella, a menos que la cláusula contractual abusiva no sea separable de las demás cláusulas del contrato.

(63) En situaciones de necesidad excepcional, puede ser necesario que los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión utilicen en el ejercicio de sus funciones legales de interés público los datos existentes, incluidos, cuando proceda, los metadatos de acompañamiento, para responder a emergencias públicas o en otros casos excepcionales. Las necesidades excepcionales son circunstancias imprevisibles y limitadas en el tiempo, a diferencia de otras circunstancias que podrían planificarse, programarse, ser periódicas o frecuentes. Aunque el concepto de «titular de datos» generalmente no incluye a los organismos del sector público, puede incluir a las empresas públicas. Las organizaciones que realizan actividades de investigación y las organizaciones que financian la investigación también se pueden organizar como organismos del sector público u organismos de Derecho público. A fin de limitar la carga para las empresas, las microempresas y las pequeñas empresas solo deben estar obligadas a proporcionar datos a los organismos del sector público, a la Comisión, al Banco Central Europeo o a los organismos de la Unión en situaciones de necesidad excepcional en las que se necesiten dichos datos para responder a una emergencia pública y los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión no puedan obtener tales datos por otros medios en tiempo oportuno y de manera efectiva en condiciones equivalentes.

(64) En caso de emergencia pública, ya sea una emergencia de salud pública, una emergencia derivada de una catástrofe natural (incluidas las agravadas por el cambio climático y la degradación del medio ambiente) o una catástrofe grave provocada por el ser humano, como un incidente grave de ciberseguridad, el interés público resultante de la utilización de los datos prevalecerá sobre el interés de los titulares de datos de disponer libremente de los datos que obran en su poder. En tal caso, los titulares de datos deben estar obligados a poner los datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión que así lo requieran. La existencia de una emergencia pública debe determinarse o declararse con arreglo al Derecho de la Unión o nacional y sobre la base de los procedimientos pertinentes, incluidos los de las organizaciones internacionales pertinentes. En tales casos, el organismo del sector público debe demostrar que los datos incluidos en el ámbito de la solicitud no podrían obtenerse de otro modo de manera oportuna y eficaz y en condiciones equivalentes, por ejemplo, mediante el suministro voluntario de datos por otra empresa o la consulta de una base de datos pública.

(65) También puede surgir una necesidad excepcional en situaciones en las que no existe emergencia alguna. En tales casos, un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión solo debe poder solicitar datos no personales. El organismo del sector público debe demostrar que los datos son necesarios para la realización de alguna tarea específica desempeñada en interés público que haya sido expresamente prevista por la ley, como la elaboración de estadísticas oficiales o la mitigación o recuperación de una emergencia pública. Además, dicha solicitud solo puede hacerse cuando el organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión haya determinado unos datos específicos que de otro modo no podrían obtenerse de manera oportuna y efectiva y en condiciones equivalentes, y solo si ha agotado todos los demás medios a su disposición para obtener dichos datos, como la obtención de datos mediante acuerdos voluntarios, incluida la compraventa de datos no personales en el mercado mediante la oferta de tarifas de mercado, o el apoyo en las obligaciones existentes de poner datos a disposición o la adopción de nuevas medidas legislativas que puedan garantizar la disponibilidad oportuna de los datos. También deben aplicarse las condiciones y principios aplicables a las solicitudes, como las relacionadas con la limitación de la finalidad, la proporcionalidad, la transparencia y la limitación temporal. En los casos de solicitudes de datos necesarios para la elaboración de estadísticas oficiales, el organismo del sector público solicitante también debe demostrar si el Derecho nacional le permite comprar datos no personales en el mercado.

(66) El presente Reglamento no debe aplicarse ni prejuzgar los acuerdos voluntarios para el intercambio de datos entre entidades públicas y privadas, incluido el suministro de datos por parte de las pymes, y se entiende sin perjuicio de los actos jurídicos de la Unión que prevén solicitudes de información obligatorias de entidades públicas a entidades privadas. El presente Reglamento no debe afectar a las obligaciones impuestas a los titulares de datos de proporcionar datos con motivo de necesidades de carácter no excepcional, en particular, cuando se conozca la gama de datos y de titulares de datos o cuando la utilización de los datos pueda tener lugar periódicamente, como en el caso de las obligaciones de información y las obligaciones en el mercado interior. Los requisitos de acceso a los datos para verificar el cumplimiento de las normas aplicables, incluso en los casos en que los organismos del sector público asignen la tarea de verificación del cumplimiento a entidades que no sean organismos del sector público, tampoco deben verse afectados por el presente Reglamento.

(67) El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión y nacional que establezca el acceso a los datos y habilite la utilización de estos con fines estadísticos, en particular, el Reglamento (CE) nº223/2009 del Parlamento Europeo y del Consejo (27), así como los actos jurídicos nacionales relativos a las estadísticas oficiales.

(68) Para el ejercicio de sus funciones en los ámbitos de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o administrativas, la ejecución de sanciones penales o administrativas, así como la recopilación de datos con fines fiscales o aduaneros, los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión deben basarse en sus competencias en virtud del Derecho de la Unión o nacional. Por consiguiente, el presente Reglamento no afecta a los actos legislativos relativos al intercambio, el acceso y la utilización de datos en dichos ámbitos.

(69) De conformidad con el artículo 6, apartados 1 y 3, del Reglamento (UE) 2016/679, al establecer la base jurídica es necesario un marco proporcionado, limitado y predecible a escala de la Unión para que, en caso de necesidades excepcionales, los titulares de datos pongan los datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión, tanto para garantizar la seguridad jurídica como para minimizar las cargas administrativas que recaen sobre las empresas. A tal fin, las solicitudes de datos procedentes de organismos del sector público, la Comisión, el Banco Central Europeo u organismos de la Unión y destinadas a los titulares de datos deben ser específicas, transparentes y proporcionadas en el alcance de su contenido y su granularidad. La finalidad de la solicitud y la utilización prevista de los datos solicitados deben ser específicas y explicarse claramente, y permitir al mismo tiempo la flexibilidad necesaria para que la entidad solicitante desempeñe sus tareas específicas en aras del interés público. La solicitud también debe respetar los intereses legítimos del titular de datos al que se dirige. La carga para los titulares de datos debe reducirse al mínimo obligando a las entidades solicitantes a respetar el principio de «solo una vez», que impide que los mismos datos sean solicitados más de una vez por más de un organismo del sector público o la Comisión, el Banco Central Europeo o los organismos de la Unión. Para garantizar la transparencia, las solicitudes de datos presentadas por la Comisión, el Banco Central Europeo o los organismos de la Unión deben hacerse públicas sin demora indebida por la entidad que solicita los datos. El Banco Central Europeo y los organismos de la Unión deben informar a la Comisión de sus solicitudes. Si la solicitud de datos la presenta un organismo público, este también debe notificar al coordinador de datos del Estado miembro en el que esté establecido el organismo del sector público. Debe garantizarse la disponibilidad pública en línea de todas las solicitudes. Una vez recibida una notificación de solicitud de datos, la autoridad competente podrá decidir evaluar la legalidad de la solicitud y ejercer sus funciones en relación con el cumplimiento y la aplicación del presente Reglamento. El coordinador de datos debe garantizar la disponibilidad pública en línea de todas las solicitudes presentadas por organismos del sector público.

(70) El objetivo de la obligación de proporcionar los datos es garantizar que los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión tengan los conocimientos necesarios para responder a emergencias públicas, prevenirlas o recuperarse de ellas, o para mantener la capacidad de realizar tareas específicas expresamente previstas por la ley. Los datos obtenidos por dichas entidades pueden ser sensibles desde el punto de vista comercial. Por consiguiente, ni el Reglamento (UE) 2022/868 ni la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo (28) deben aplicarse a los datos puestos a disposición en virtud del presente Reglamento, y no deben considerarse datos abiertos disponibles para su reutilización por terceros. No obstante, esto no debe afectar a la aplicabilidad de la Directiva (UE) 2019/1024 en lo que se refiere a la reutilización de las estadísticas oficiales para cuya elaboración se hayan utilizado datos obtenidos con arreglo al presente Reglamento, siempre que dicha reutilización no incluya los datos subyacentes. Además, siempre que se cumplan las condiciones establecidas en el presente Reglamento, no debe resultar afectada la posibilidad de compartir los datos para llevar a cabo investigaciones o para el desarrollo, la elaboración y la difusión de estadísticas oficiales. Los organismos del sector público también deben poder intercambiar los datos obtenidos en virtud del presente Reglamento con otros organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión con el fin de hacer frente a las necesidades excepcionales para las que se han solicitado los datos.

(71) Los titulares de datos deben tener la posibilidad de denegar una solicitud presentada por un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión o pedir su modificación sin demora indebida y, en cualquier caso, en un plazo de cinco o treinta días hábiles, dependiendo del carácter de la necesidad excepcional invocada en la solicitud. Cuando proceda, el titular de datos debe tener esa posibilidad cuando no tenga control sobre los datos solicitados, es decir, cuando no tenga acceso inmediato a los datos y no pueda determinar su disponibilidad. Debe existir una razón válida para no poner los datos a disposición si puede demostrarse que la solicitud es similar a una solicitud presentada previamente con el mismo fin por otro organismo del sector público o la Comisión, el Banco Central Europeo o un organismo de la Unión y no se haya notificado al titular de los datos la supresión de estos con arreglo al presente Reglamento. El titular de datos que deniegue la solicitud o que pida su modificación debe comunicar la justificación subyacente al organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión que solicite los datos. Cuando los derechos sui generis sobre bases de datos en virtud de la Directiva 96/9/CE del Parlamento Europeo y del Consejo (29) se apliquen en relación con los conjuntos de datos solicitados, los titulares de datos deben ejercer sus derechos de manera que no se impida al organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión obtener los datos o intercambiarlos de conformidad con el presente Reglamento.

(72) Cuando se trate de una necesidad excepcional relacionada con una respuesta a emergencias públicas, los organismos del sector público deben utilizar datos no personales siempre que sea posible. En el caso de solicitudes basadas en una necesidad excepcional no relacionada con una emergencia pública, no pueden solicitarse datos personales. Cuando el alcance de la solicitud incluya datos personales, el titular de los datos debe anonimizarlos. Cuando sea estrictamente necesario incluir datos personales en los datos que deban ponerse a disposición de un organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión, o cuando la anonimización resulte imposible, la entidad que solicite los datos debe demostrar la necesidad estricta y los fines específicos y limitados del tratamiento. Deben cumplirse las normas aplicables en materia de protección de datos personales. La puesta a disposición de los datos y su utilización posterior deben ir acompañadas de garantías para los derechos e intereses de las personas afectadas por dichos datos.

(73) Los datos puestos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión sobre la base de una necesidad excepcional deben utilizarse solo para los fines para los que se solicitaron, a menos que el titular de datos que los haya puesto a disposición haya consentido expresamente que los datos se utilicen para otros fines. Los datos deben suprimirse cuando ya no sean necesarios para los fines indicados en la solicitud, a menos que se acuerde de otro modo, y debe informarse al titular de datos al respecto. El presente Reglamento se basa en los regímenes de acceso existentes en la Unión y en los Estados miembros y no modifica las disposiciones de Derecho nacional en materia de acceso del público a los documentos en el contexto de las obligaciones de transparencia. Los datos deben suprimirse cuando ya no sean necesarios para cumplir dichas obligaciones de transparencia.

(74) Al reutilizar los datos proporcionados por los titulares de datos, los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión deben respetar tanto el vigente Derecho de la Unión o nacional aplicable, como las obligaciones contractuales a las que esté sujeto el titular de datos. Deben abstenerse de desarrollar o mejorar un producto conectado o servicio relacionado que compita con el producto conectado o servicio relacionado del titular de datos, así como de compartir los datos con un tercero para esos fines. Asimismo, deben dar reconocimiento público a los titulares de datos a petición de estos y deben ser responsables de mantener la seguridad de los datos recibidos. Cuando la revelación de secretos comerciales del titular de datos a organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión sea estrictamente necesaria para cumplir el objetivo para el que se han solicitado los datos, debe garantizarse la confidencialidad de dicha revelación antes de la divulgación de datos.

(75) Cuando esté en juego la salvaguardia de un bien público significativo, como en la respuesta a emergencias públicas, no debe esperarse que el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión de que se trate compensen a las empresas por los datos obtenidos. Las emergencias públicas son acontecimientos inusuales y no todas requieren la utilización de datos que obran en propiedad de las empresas. Al mismo tiempo, la obligación de proporcionar datos podría suponer una carga considerable para las microempresas y las pequeñas empresas. Por lo tanto, deben poder reclamar una compensación incluso en el contexto de la respuesta a emergencias públicas. Por tanto, no es probable que las actividades empresariales de los titulares de datos se vean afectadas negativamente como consecuencia de que los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión puedan acudir al presente Reglamento. No obstante, en casos de necesidad excepcional distintos de los casos de respuesta a emergencias públicas, que pueden ser más frecuentes, los titulares de datos deben tener derecho a una compensación razonable que no debe superar los costes técnicos y de organización en que se incurra para satisfacer la solicitud y el margen razonable necesario para poner los datos a disposición del organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión. La compensación no debe entenderse como un pago por los propios datos o como obligatoria. Los titulares de datos no deben poder reclamar una compensación cuando el Derecho nacional impida a los institutos nacionales de estadística u otras autoridades nacionales responsables de la elaboración de estadísticas compensar a los titulares de datos por la puesta a disposición de los datos. El organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión de que se trate debe poder impugnar el nivel de compensación solicitado por el titular de datos sometiendo el asunto a la autoridad competente del Estado miembro en el que esté establecido el titular de datos.

(76) Los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión deben tener derecho a intercambiar los datos que hayan obtenido en virtud de la solicitud con otras entidades o personas cuando ello sea necesario para llevar a cabo actividades de investigación científica o actividades analíticas que no pueda realizar por sí mismo, siempre y cuando esas actividades sean compatibles con los fines para los que se solicitaron los datos. Debe informar oportunamente al titular de datos de dicho intercambio. Estos datos también pueden intercambiarse en las mismas circunstancias con los institutos nacionales de estadística y Eurostat para desarrollar, elaborar y difundir estadísticas oficiales. No obstante, estas actividades de investigación deben ser compatibles con la finalidad para la que se solicitaron los datos y el titular de datos debe ser informado del ulterior intercambio de los datos que ha proporcionado. Las personas físicas que lleven a cabo actividades de investigación o las organizaciones de investigación con las que puedan compartirse esos datos deben actuar sin ánimo de lucro o en el contexto de una misión de interés público reconocida por el Estado. Las organizaciones en las que las empresas comerciales tengan una influencia importante, que les permita ejercer un control debido a situaciones estructurales que podría dar lugar a un acceso preferente a los resultados de la investigación, no deben considerarse organizaciones de investigación a efectos del presente Reglamento.

(77) Para hacer frente a una emergencia pública transfronteriza u otra necesidad excepcional, las solicitudes de datos pueden dirigirse a titulares de datos en Estados miembros distintos del organismo del sector público solicitante. En tal caso, el organismo del sector público solicitante debe notificarlo a la autoridad competente del Estado miembro en el que esté establecido el titular de datos para que dicha autoridad pueda examinarla con arreglo a los criterios establecidos en el presente Reglamento. Lo mismo debe aplicarse a las solicitudes presentadas por la Comisión, el Banco Central Europeo o un organismo de la Unión. Cuando se soliciten datos personales, el organismo del sector público debe notificarlo a la autoridad de control responsable de supervisar la aplicación del Reglamento (UE) 2016/679 en el Estado miembro en el que esté establecido el organismo del sector público. La autoridad competente en cuestión debe estar facultada para asesorar al organismo del sector público, a la Comisión, al Banco Central Europeo o al organismo de la Unión para que cooperen con los organismos del sector público del Estado miembro en el que esté establecido el titular de datos en relación con la necesidad de garantizar una carga administrativa mínima para el titular de datos. Cuando la autoridad competente tenga objeciones fundadas respecto de la conformidad de la solicitud con el presente Reglamento, debe rechazar la solicitud del organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión, que deben tener en cuenta dichas objeciones antes de iniciar cualquier acción adicional, incluido volver a presentar la solicitud.

(78) La capacidad de los clientes de servicios de tratamiento de datos, incluidos los servicios en la nube y en el borde, de cambiar de un servicio de tratamiento de datos a otro, manteniendo al mismo tiempo una funcionalidad mínima del servicio y sin interrupción del servicio, o de utilizar los servicios de varios proveedores simultáneamente sin trabas ni costes indebidos de transferencia de datos, es una condición clave para lograr un mercado más competitivo con menores barreras de entrada para los nuevos proveedores de servicios de tratamiento de datos, y para garantizar una mayor resiliencia para los usuarios de estos servicios. Los clientes que se beneficien de ofertas gratuitas también deben beneficiarse de las disposiciones sobre cambio que se establecen en el presente Reglamento, de modo que esas ofertas no den lugar a una situación de bloqueo para los clientes.

(79) El Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo (30) anima a los proveedores de servicios de tratamiento de datos a que desarrollen y apliquen eficazmente códigos de conducta autorreguladores que incluyan las mejores prácticas para, entre otras cosas, facilitar el cambio de proveedor de servicios de tratamiento de datos y la transferencia de datos. Dada la limitada aceptación de los marcos autorreguladores desarrollados como respuesta y la falta general de disponibilidad de normas e interfaces abiertas, es necesario adoptar un conjunto de obligaciones legales mínimas para los proveedores de servicios de tratamiento de datos a fin de eliminar los obstáculos precomerciales, comerciales, técnicos, contractuales y organizativos, que no se limitan a reducir la velocidad de la transferencia de datos en la salida del cliente, lo que dificulta el cambio efectivo de servicios de tratamiento de datos.

(80) Los servicios de tratamiento de datos deben abarcar los servicios que permiten acceso de red ubicuo y bajo demanda a un conjunto compartido, configurable, modulable y elástico de recursos informáticos distribuidos. Esos recursos informáticos incluyen recursos tales como las redes, los servidores u otras infraestructuras virtuales o físicas, software, incluidas herramientas de desarrollo de software, almacenamiento, aplicaciones y servicios. La capacidad del cliente del servicio de tratamiento de datos de autoabastecerse unilateralmente de capacidades de computación, como, por ejemplo, tiempo de servidor o almacenamiento en red, sin ninguna interacción humana por parte del proveedor de servicios de tratamiento de datos podría describirse como que requiere un esfuerzo mínimo de gestión y conlleva una interacción mínima entre el proveedor y el cliente. El término «ubicuo» se utiliza para describir las capacidades de computación desplegadas en el conjunto de la red y a las que se accede a través de mecanismos que promueven el uso de plataformas de cliente ligero o pesado heterogéneas (desde navegadores a dispositivos móviles y estaciones de trabajo). El término «modulable» se refiere a los recursos de computación que el proveedor de servicios de tratamiento de datos puede asignar de manera flexible con independencia de la localización geográfica de los recursos para hacer frente a fluctuaciones de la demanda. El término «elástico» se usa para describir los recursos informáticos que se movilizan y liberan según la demanda, de modo que se puedan aumentar o reducir con rapidez los recursos disponibles en función de la carga de trabajo. La expresión «conjunto compartido» se usa para describir recursos informáticos que se proporcionan a múltiples usuarios que comparten un acceso común al servicio, pero en el que el procesamiento se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electrónico. El término «distribuido» se emplea para describir los recursos informáticos que se encuentran ubicados en distintos ordenadores o dispositivos conectados en red y que se comunican y coordinan entre sí intercambiando mensajes. El término «muy distribuido» se emplea para describir servicios de tratamiento de datos que implican tratar los datos más cerca del punto en que los datos se generan o recogen, por ejemplo, en un dispositivo de tratamiento de datos conectado. Está previsto que la computación en el borde, que es un ejemplo de este tipo de tratamiento de datos muy distribuido, genere nuevos modelos de negocio y de prestación de servicios de computación en nube, que deben ser abiertos e interoperables desde el principio.

(81) El concepto genérico de «servicios de tratamiento de datos» abarca un número considerable de servicios con una gama muy amplia de fines, funcionalidades y estructuras técnicas diferentes. Como generalmente entienden los proveedores y usuarios, y en consonancia con unas normas ampliamente utilizadas, los servicios de tratamiento de datos entran en uno o varios de los tres modelos de prestación de servicios de tratamiento de datos siguientes, a saber, infraestructura como servicio (IaaS, por sus siglas en inglés), plataforma como servicio (PaaS, por sus siglas en inglés) y software como servicio (SaaS, por sus siglas en inglés). Estos modelos de prestación de servicios representan una combinación específica y preestablecida de recursos informáticos ofrecidos por un proveedor de servicios de tratamiento de datos. Esos tres modelos fundamentales de prestación de servicios de tratamiento de datos se complementan con variaciones emergentes, cada una de las cuales consta de una combinación distinta de recursos informáticos, como, por ejemplo, almacenamiento como servicio y base de datos como servicio. Los servicios de tratamiento de datos pueden clasificarse de un modo más detallado y dividirse en una lista no exhaustiva de conjuntos de servicios de tratamiento de datos que comparten el mismo objetivo principal y las mismas funcionalidades principales, así como el mismo tipo de modelos de tratamiento de datos, que no están relacionados con las características operativas del servicio (en lo sucesivo, «mismo tipo de servicio»). Los servicios incluidos en el mismo tipo de servicio pueden compartir el mismo modelo de prestación de servicio de tratamiento de datos; sin embargo, puede parecer que dos bases de datos comparten el mismo objetivo principal, pero, tras considerar su modelo de tratamiento de datos, su modelo de distribución y los casos de utilización a los que se dirigen, dichas bases de datos podrían entrar en una subcategoría más detallada de servicios similares. Los servicios del mismo tipo de servicio pueden tener características diferentes y competidoras, como el rendimiento, la seguridad, la resistencia y la calidad del servicio.

(82) Socavar la extracción de los datos exportables que pertenecen al cliente del proveedor de servicios de tratamiento de datos de origen puede impedir el restablecimiento de las funcionalidades del servicio en la infraestructura del proveedor de destino de los servicios de tratamiento de datos. Con el fin de facilitar la estrategia de salida del cliente, evitar tareas innecesarias y gravosas, y garantizar que el cliente no pierda ninguno de sus datos como consecuencia del proceso de cambio, el proveedor de servicios de tratamiento de datos de origen debe informar al cliente previamente del alcance de los datos que puede exportar una vez que el cliente decida cambiar a otro servicio prestado por un proveedor de servicios de tratamiento de datos diferente o a una infraestructura de TIC local. El alcance de los datos exportables debe incluir, como mínimo, los datos de entrada y salida, incluidos los metadatos, generados directa o indirectamente, o cogenerados por el uso del servicio de tratamiento de datos por el cliente, excluidos cualquier activo o dato del proveedor de servicios de tratamiento de datos o de un tercero. Los datos exportables deben excluir cualquier activo o dato del proveedor de servicios de tratamiento de datos o del tercero, que esté protegido por derechos de propiedad intelectual o constituya secreto comercial de dicho proveedor o tercero, o datos relacionados con la integridad y seguridad del servicio, cuya exportación exponga al proveedor de servicios de tratamiento de datos a vulnerabilidades de ciberseguridad. Estas exclusiones no deben impedir ni retrasar el proceso de cambio.

(83) Los activos digitales se refieren a elementos en forma digital para los que el cliente tiene derecho de uso, incluidas las aplicaciones y metadatos relacionados con la configuración de los ajustes, la seguridad y la gestión de los derechos de acceso y control, y otros elementos como las manifestaciones de tecnologías de virtualización, incluidas las máquinas y los contenedores virtuales. Los activos digitales pueden transferirse cuando el cliente tenga derecho de uso independiente de la relación contractual con el servicio de tratamiento de datos del que se propone cambiar. Esos otros elementos son esenciales para la utilización eficaz de los datos y aplicaciones del cliente en el entorno del proveedor de servicios de tratamiento de datos de destino.

(84) El objetivo del presente Reglamento es facilitar el cambio de servicios de tratamiento de datos, que englobe las condiciones y acciones que son necesarias para que un cliente resuelva unilateralmente un contrato de servicio de tratamiento de datos, celebre uno o varios contratos nuevos con diferentes proveedores de servicios de tratamiento de datos y transmita sus datos exportables y activos digitales, y, en su caso, el beneficio de la equivalencia funcional.

(85) El proceso de cambio es una operación impulsada por el cliente que consta de varias fases, incluida la extracción de datos, relativo a la descarga de datos desde el ecosistema del proveedor de servicios de tratamiento de datos de origen; la transformación, cuando los datos se estructuran de modo que no se ajustan al esquema de la ubicación de destino; y la carga de los datos en una nueva ubicación de destino. En una situación específica descrita en el presente Reglamento, la desagregación de un servicio concreto del contrato y su traslado a un proveedor diferente también debe considerarse un cambio. En ocasiones, una entidad tercera gestiona el proceso de cambio en nombre del cliente. En consecuencia, debe entenderse que todos los derechos y obligaciones del cliente establecidos por el presente Reglamento, incluida la obligación de cooperar de buena fe, se aplican a dicha entidad tercera en estas circunstancias. Los proveedores de servicios de tratamiento de datos y los clientes tienen distintos niveles de responsabilidad, en función de las fases del proceso mencionado. Por ejemplo, el proveedor de servicios de tratamiento de datos de origen es responsable de extraer los datos a un formato de lectura mecánica, pero son el cliente y el proveedor de servicios de tratamiento de datos de destino quienes deben cargar los datos en el nuevo entorno, a menos que se haya obtenido un servicio profesional de transición específico. Un cliente que tenga la intención de ejercer los derechos relacionados con el cambio, previstos en el presente Reglamento, debe informar al proveedor de servicios de tratamiento de datos de origen de la decisión de cambiar a un proveedor de servicios de tratamiento de datos diferente, de cambiar a una infraestructura de TIC local o de suprimir los activos y los datos exportables de dicho cliente.

(86) Por equivalencia funcional se entiende restablecer, sobre la base de los datos exportables y los activos digitales del cliente, un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de tratamiento de datos del mismo tipo de servicio después del cambio, cuando el servicio de tratamiento de datos de destino ofrezca un resultado materialmente comparable en respuesta a la misma entrada para características compartidas suministrada al cliente en virtud del contrato. Solo cabe esperar que los proveedores de servicios de tratamiento de datos faciliten la equivalencia funcional de las características que los servicios de tratamiento de datos de origen y de destino ofrecen de forma independiente. El presente Reglamento no constituye una obligación de facilitar la equivalencia funcional para los proveedores de servicios de tratamiento de datos distintos de los que ofrecen servicios del modelo de prestación IaaS.

(87) Los servicios de tratamiento de datos se utilizan en todos los sectores y varían en cuanto a complejidad y tipo de servicio. Esta es una consideración importante con respecto al proceso y a los plazos de transferencia. No obstante, debe poder aplicarse una prórroga del período transitorio por motivos de inviabilidad técnica para permitir la finalización del proceso de cambio en el plazo establecido solo en casos debidamente justificados. La carga de la prueba a este respecto debe recaer plenamente en el proveedor del servicio de tratamiento de datos de que se trate. Esto se entiende sin perjuicio del derecho exclusivo del cliente a prorrogar el período transitorio una vez por un período que el cliente considere más adecuado para sus propios fines. El cliente puede invocar ese derecho a una prórroga antes del período transitorio o durante este, teniendo en cuenta que el contrato sigue siendo aplicable durante el período transitorio.

(88) Los costes por cambio son costes añadidos que exigen los proveedores de tratamiento de datos a sus clientes por el proceso de cambio. Normalmente, estos costes tienen como fin repercutir en el cliente que desee efectuar un cambio los costes en los que pueda incurrir el proveedor de servicios de tratamiento de datos de origen debido al proceso de cambio. Entre los costes por cambio se encuentran los costes relativos al tránsito de los datos de un proveedor de servicios de tratamiento de datos a otro, o hacia un sistema de infraestructura de TIC local (en lo sucesivo, «costes de salida de datos»), o los costes incurridos en acciones de apoyo específicas durante el proceso de cambio. Los costes de salida de datos innecesariamente elevados y otros costes injustificados que no estén relacionados con los costes reales del cambio disuaden a los clientes de cambiar, restringen la libre circulación de datos y pueden limitar la competencia y provocar efectos de bloqueo para los clientes, reduciendo los incentivos para elegir un proveedor de servicios diferente o adicional. Por lo tanto, deben suprimirse los costes por cambio tres años después de la fecha de entrada en vigor del presente Reglamento. Los proveedores de servicios de tratamiento de datos deben poder imponer costes por cambio reducidos hasta esa fecha.

(89) El proveedor de servicios de tratamiento de datos de origen debe poder externalizar determinadas tareas y compensar a entidades terceras con el fin de cumplir las obligaciones establecidas en el presente Reglamento. Un cliente no debe asumir los costes derivados de la externalización de servicios contratada por el proveedor de servicios de tratamiento de datos de origen durante el proceso de cambio, y dichos costes deben considerarse injustificados, a menos que cubran el trabajo realizado por el proveedor de servicios de tratamiento de datos, a petición del cliente, de apoyo adicional en el proceso de cambio que vayan más allá de las obligaciones que el presente Reglamento impone expresamente al proveedor en razón de un cambio. Nada de lo dispuesto en el presente Reglamento impide que un cliente compense a entidades terceras por el apoyo en el proceso de migración, ni que las partes acuerden contratos para servicios de tratamiento de datos de duración determinada, incluidas sanciones proporcionadas por resolución anticipada para cubrir la resolución unilateral anticipada de dichos contratos, de conformidad con el Derecho de la Unión o nacional. Para fomentar la competencia, la supresión gradual de los costes asociados al cambio entre distintos proveedores de servicio de tratamiento de datos debe incluir específicamente los costes de salida de datos impuestos por un proveedor de servicios de tratamiento de datos a un cliente. Los costes estándar del servicio por la prestación de los servicios de tratamiento de datos en sí mismos no constituyen costes por cambio. Esos costes estándar del servicio no pueden ser suprimidos y siguen siendo aplicables hasta que deje de aplicarse el contrato de prestación de los servicios pertinentes. El presente Reglamento permite al cliente solicitar la prestación de servicios adicionales que vayan más allá de las obligaciones que el presente Reglamento impone al proveedor en razón de un cambio. Esos servicios adicionales pueden ser prestados y facturados por el proveedor cuando se presten a petición del cliente y este acepte por adelantado el precio de dichos servicios.

(90) Hace falta un enfoque regulador para la interoperabilidad que sea ambicioso y que inspire la innovación para superar la dependencia de un solo proveedor, que obstaculiza la competencia y el desarrollo de nuevos servicios. La interoperabilidad entre servicios de tratamiento de datos implica múltiples interfaces y niveles de infraestructuras y programas informáticos, y rara vez se limita a una prueba binaria de si se puede lograr o no. Por el contrario, la construcción de dicha interoperabilidad está sujeta a un análisis de costes y beneficios que es necesario para determinar si vale la pena perseguir resultados razonablemente previsibles. La norma ISO/IEC 19941:2017 es una importante norma internacional que constituye una referencia importante para la consecución de los objetivos del presente Reglamento, ya que contiene consideraciones técnicas que aclaran la complejidad de dicho proceso.

(91) Cuando los proveedores de servicios de tratamiento de datos sean a su vez clientes de servicios de tratamiento de datos prestados por un tercer proveedor, ellos mismos se beneficiarán de cambios más efectivos, aunque sigan vinculados por las obligaciones del presente Reglamento en lo relativo a sus propias ofertas de servicios.

(92) Los proveedores de servicios de tratamiento de datos deben estar obligados a ofrecer toda la asistencia y el apoyo, dentro de su capacidad y en proporción a sus respectivas obligaciones, que se requiere para que el proceso de cambio a un servicio de otro proveedor de servicios de tratamiento de datos sea satisfactorio, eficaz y seguro. El presente Reglamento no exige a los proveedores de servicios de tratamiento de datos que desarrollen nuevas categorías de servicios de tratamiento de datos, tampoco en el marco o sobre la base de la infraestructura informática de diferentes proveedores de servicios de tratamiento de datos con objeto de garantizar la equivalencia funcional en un entorno distinto del de sus propios sistemas. Un proveedor de servicios de tratamiento de datos de origen no tiene acceso ni información sobre el entorno del proveedor de servicios de tratamiento de datos de destino. No debe entenderse que la equivalencia funcional obliga al proveedor de servicios de tratamiento de datos de origen a reconstruir el servicio en cuestión dentro de la infraestructura del proveedor de servicios de tratamiento de datos de destino. En cambio, el proveedor de servicios de tratamiento de datos de origen debe adoptar todas las medidas razonables a su alcance para facilitar el proceso de lograr la equivalencia funcional proporcionando capacidades, información adecuada, documentación, apoyo técnico y, en su caso, las herramientas necesarias.

(93) También debe exigirse a los proveedores de servicios de tratamiento de datos que eliminen los obstáculos existentes y no impongan otros nuevos, también para los clientes que deseen cambiar a una infraestructura de TIC local. Los obstáculos pueden ser, entre otros, de carácter precomercial, comercial, técnico, contractual u organizativo. Los proveedores de servicios de tratamiento de datos también deben estar obligados a eliminar los obstáculos a la desagregación de un servicio concreto de otros servicios de tratamiento de datos prestados en virtud de un contrato y a poner el servicio pertinente a disposición para el cambio, cuando no existan obstáculos técnicos importantes y demostrados que impidan dicha separación.

(94) A lo largo de todo el proceso de cambio debe mantenerse un alto nivel de seguridad. Esto significa que el proveedor de servicios de tratamiento de datos de origen debe ampliar el nivel de seguridad al que se comprometió para el servicio a todas las modalidades técnicas de las que dicho proveedor es responsable durante el proceso de cambio, como las conexiones de red o los dispositivos físicos. Los derechos existentes en relación con la resolución unilateral de los contratos, incluidos los introducidos por el Reglamento (UE) 2016/679 y la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo (31) no deben verse afectados. El presente Reglamento no debe entenderse como que impide a los proveedores de servicios de tratamiento de datos prestar o proporcionar a sus clientes servicios, características y funcionalidades nuevos y mejorados o competir con otros proveedores de servicios de tratamiento de datos sobre esa base.

(95) La información que han de proporcionar los proveedores de servicios de tratamiento de datos a los clientes podría apoyar la estrategia de salida del cliente. Dicha información debe incluir procedimientos para iniciar el cambio del servicio de tratamiento de datos; los formatos de datos de lectura mecánica a los que pueden exportarse los datos del usuario; las herramientas destinadas a exportar datos, incluidas las interfaces abiertas, así como la información sobre compatibilidad con normas armonizadas o especificaciones comunes basadas en especificaciones de interoperabilidad abierta; información sobre las restricciones y limitaciones técnicas conocidas que podrían afectar al proceso de cambio; y el tiempo estimado necesario para completar el proceso de cambio.

(96) Para facilitar la interoperabilidad y el cambio entre servicios de tratamiento de datos, los usuarios y proveedores de servicios de tratamiento de datos deben considerar el uso de herramientas de ejecución y cumplimiento, en particular las publicadas por la Comisión en forma de un código normativo de la UE sobre computación en la nube y unas directrices sobre contratación pública de servicios de tratamiento de datos. En particular, las cláusulas contractuales estándar son beneficiosas porque incrementan la confianza en los servicios de tratamiento de datos, crean una relación más equilibrada entre usuarios y proveedores de servicios de tratamiento de datos y mejoran la seguridad jurídica sobre las condiciones aplicables para el cambio a otros servicios de tratamiento de datos. En ese contexto, los usuarios y proveedores de servicios de tratamiento de datos deben considerar el uso de cláusulas contractuales estándar u otras herramientas autorreguladoras de cumplimiento, siempre que cumplan el presente Reglamento, desarrolladas por los organismos o grupos de expertos pertinentes establecidos en virtud del Derecho de la Unión.

(97) Con el fin de facilitar el cambio entre servicios de tratamiento de datos, todas las partes implicadas, incluidos los proveedores de servicios de tratamiento de datos, tanto de origen como de destino, deben cooperar de buena fe para que el proceso de cambio se haga efectivo, permitir la transferencia segura y oportuna de los datos necesarios en un formato de utilización habitual, de lectura mecánica y mediante interfaces abiertas, al mismo tiempo que se evitan perturbaciones del servicio y se mantiene la continuidad del servicio.

(98) Los servicios de tratamiento de datos que se refieran a servicios la mayor parte de cuyas características principales se hayan desarrollado a medida para responder a las demandas específicas de un cliente concreto o en los que todos los componentes se hayan desarrollado a efectos de un cliente individual deben quedar exentos de algunas de las obligaciones aplicables al cambio de servicio de tratamiento de datos. Esto no debe incluir los servicios que el proveedor de servicios de tratamiento de datos ofrece a gran escala comercial a través de su catálogo de servicios. Una de las obligaciones del proveedor de servicios de tratamiento de datos es informar debidamente a los posibles clientes de tales servicios, antes de la celebración de un contrato, de las obligaciones establecidas en el presente Reglamento que no se aplican a los servicios pertinentes. Nada impide al proveedor de servicios de tratamiento de datos desplegar finalmente dichos servicios a escala, en cuyo caso dicho proveedor tendría que cumplir todas las obligaciones ligadas al cambio establecidas en el presente Reglamento.

(99) En consonancia con el requisito mínimo de permitir el cambio de proveedor de servicios de tratamiento de datos, el presente Reglamento también tiene por objeto mejorar la interoperabilidad para el uso paralelo de múltiples servicios de tratamiento de datos con funcionalidades complementarias. Esto se refiere a situaciones en las que los clientes no ponen fin a un contrato para cambiar a otro proveedor de servicios de tratamiento de datos, sino en las que múltiples servicios de distintos proveedores se utilizan en paralelo, de manera interoperable, para beneficiarse de las funcionalidades complementarias de los diferentes servicios en la configuración del sistema del cliente. Sin embargo, se reconoce que la salida de datos de un proveedor de servicios de tratamiento de datos a otro para facilitar el uso paralelo de los servicios puede ser una actividad continua, a diferencia de la salida puntual requerida como parte del proceso de cambio. Por lo tanto, los proveedores de servicios de tratamiento de datos deben poder seguir cobrando por la salida de datos, sin superar los costes incurridos, para fines de uso paralelo tres años después de la fecha de entrada en vigor del presente Reglamento. Esto es importante, entre otras cosas, para el despliegue eficaz de estrategias multinube, que permiten a los clientes aplicar estrategias informáticas preparadas para el futuro y reducen la dependencia de proveedores concretos de servicios de tratamiento de datos. Facilitar un enfoque multinube para los clientes de servicios de tratamiento de datos también contribuye a aumentar su resiliencia operativa digital, tal como se reconoce para las entidades de servicios financieros en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (32).

(100) Se espera que las especificaciones y normas de interoperabilidad abiertas desarrolladas de conformidad con el anexo II del Reglamento (UE) nº1025/2012 del Parlamento Europeo y del Consejo (33) en el ámbito de la interoperabilidad y la portabilidad permitan un entorno en la nube multiproveedor, que constituye un requisito clave para la innovación abierta en la economía de los datos europea. Dado que la adopción por el mercado de las normas definidas en el marco de la iniciativa de coordinación de la normalización en la nube (CSC), concluida en 2016, ha sido limitada, también es necesario que la Comisión confíe en las partes del mercado para desarrollar las especificaciones de interoperabilidad abiertas pertinentes a fin de seguir el rápido ritmo del desarrollo tecnológico en este sector. La Comisión puede adoptar entonces estas especificaciones de interoperabilidad abiertas en forma de especificaciones comunes. Además, cuando los procesos centrados en el mercado no hayan demostrado una capacidad de establecer especificaciones comunes o normas que faciliten la interoperabilidad efectiva en la nube en los niveles PaaS y SaaS, la Comisión debe poder pedir a los organismos europeos de normalización, sobre la base del presente Reglamento y de conformidad con el Reglamento (UE) nº1025/2012, que elaboren dichas normas para los tipos específicos de servicios para los que aún no existen tales normas. Además de ello, la Comisión va a animar a los actores del mercado a desarrollar las especificaciones de interoperabilidad abiertas pertinentes. Después de consultar a las partes interesadas, la Comisión, mediante actos de ejecución, debe poder hacer obligatorio el uso de normas armonizadas de interoperabilidad o especificaciones comunes para tipos de servicios específicos a través de una referencia en un repositorio central de la Unión de normas para la interoperabilidad de los servicios de tratamiento de datos. Los proveedores de servicios de tratamiento de datos deben garantizar la compatibilidad con dichas normas armonizadas y especificaciones comunes basadas en especificaciones de interoperabilidad abiertas, que no deben afectar negativamente a la seguridad ni a la integridad de los datos. Las normas armonizadas de interoperabilidad de los servicios de tratamiento de datos y las especificaciones comunes basadas en especificaciones de interoperabilidad abiertas tendrán su referencia solo si cumplen los criterios especificados en el presente Reglamento, que tienen el mismo significado que los requisitos del anexo II del Reglamento (UE) nº1025/2012 y las facetas de interoperabilidad definidas en la norma internacional ISO/IEC 19941:2017. Además, la normalización debe tener en cuenta las necesidades de las pymes.

(101) Los terceros países pueden adoptar leyes, reglamentaciones y otros actos jurídicos que tengan por objeto transferir directamente o proporcionar el acceso de las administraciones públicas a datos no personales que se encuentran fuera de sus fronteras, también en la Unión. Las sentencias de órganos jurisdiccionales o las decisiones de autoridades judiciales o administrativas de terceros países, incluidas autoridades policiales de terceros países, que requieran dicha transferencia de datos no personales o el acceso a estos deben tener fuerza legal al amparo de un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país solicitante y la Unión o un Estado miembro. En otros casos, pueden darse situaciones en las que una solicitud de transferir o dar acceso a datos no personales derivada del Derecho de un tercer país entre en conflicto con una obligación de proteger dichos datos en virtud del Derecho de la Unión o del Derecho nacional del Estado miembro que corresponda, en particular, en lo que se refiere a la protección de los derechos fundamentales de la persona, como el derecho a la seguridad y el derecho a la tutela judicial efectiva, o los intereses fundamentales de un Estado miembro relacionados con la seguridad o la defensa nacionales, así como la protección de los datos sensibles desde el punto de vista comercial, incluida la protección de los secretos comerciales, y la protección de los derechos de propiedad intelectual e industrial, incluidos sus compromisos contractuales en materia de confidencialidad conforme a dicho Derecho. Cuando no existan acuerdos internacionales que regulen estas cuestiones, la transferencia o el acceso a datos no personales han de permitirse solo si se ha verificado que el ordenamiento jurídico del tercer país exige que se establezcan los motivos y la proporcionalidad de la decisión, que la resolución judicial o la decisión revista un carácter específico y que la oposición motivada del destinatario esté sujeta a examen por un órgano jurisdiccional competente del tercer país, facultado para tomar debidamente en cuenta los intereses jurídicos pertinentes del proveedor de dichos datos. Cuando sea posible con arreglo a las condiciones de la solicitud de acceso a los datos de la autoridad del tercer país, el proveedor de servicios de tratamiento de datos debe poder informar al cliente cuyos datos se solicitan antes de conceder acceso a dichos datos a fin de verificar la existencia de un conflicto potencial de dicho acceso con el Derecho de la Unión o nacional, como el relativo a la protección de datos sensibles desde el punto de vista comercial, incluida la protección de los secretos comerciales, los derechos de propiedad intelectual e industrial y los compromisos contractuales en materia de confidencialidad.

(102) Para impulsar la confianza en los datos es esencial que las salvaguardas para garantizar a los ciudadanos, los organismos del sector público y las empresas de la Unión el control de sus datos se apliquen en la medida de lo posible. Además, deben respetarse el Derecho, los valores y las normas de la Unión en cuanto a la seguridad, la protección de los datos y de la privacidad, y la protección de los consumidores, entre otros aspectos. Con el fin de evitar el acceso ilícito de las administraciones públicas a datos no personales por parte de las autoridades de terceros países, los proveedores de servicios de tratamiento de datos sujetos al presente Reglamento, como los servicios en la nube y en el borde, deben adoptar todas las medidas razonables para impedir el acceso a los sistemas en los que se almacenen datos no personales, incluso, cuando proceda, mediante el cifrado de datos, el sometimiento frecuente a auditorías, el respeto verificado de los pertinentes sistemas de certificación de garantías de seguridad y la modificación de las políticas de empresa.

(103) La normalización y la interoperabilidad semántica deben desempeñar un papel clave para proporcionar soluciones técnicas que garanticen la interoperabilidad dentro de los espacios comunes europeos de datos, y entre ellos, que son marcos interoperables de normas y prácticas comunes, específicos para un fin o un sector o intersectoriales, con el fin de compartir o tratar conjuntamente los datos para, entre otros, el desarrollo de nuevos productos y servicios, la investigación científica o las iniciativas de la sociedad civil. El presente Reglamento establece determinados requisitos esenciales de interoperabilidad. Los participantes en espacios de datos que ofrezcan datos o servicios basados en datos a otros participantes, que son entidades que facilitan o participan en el intercambio de datos dentro de espacios comunes europeos de datos, incluidos los titulares de datos, deben cumplir esos requisitos en lo que respecta a los elementos que estén bajo su control. El cumplimiento de esas normas se puede garantizar mediante el cumplimiento de los requisitos esenciales establecidos en el presente Reglamento o presuponer mediante el cumplimiento de normas armonizadas o especificaciones comunes a través de una presunción de conformidad. A fin de facilitar la conformidad con los requisitos para la interoperabilidad es necesario establecer una presunción de conformidad para soluciones de interoperabilidad que cumplan las normas armonizadas o partes de estas de conformidad con el Reglamento (UE) nº1025/2012, que representa el marco por defecto para elaborar normas que prevean tales presunciones. La Comisión debe evaluar los obstáculos a la interoperabilidad y dar prioridad a las necesidades de normalización, sobre cuya base puede solicitar a una o varias organizaciones europeas de normalización, de conformidad con el Reglamento (UE) nº1025/2012, que elaboren normas armonizadas que satisfagan los requisitos esenciales establecidos en el presente Reglamento. Cuando dichas solicitudes no den lugar a normas armonizadas o dichas normas armonizadas sean insuficientes para garantizar la conformidad con los requisitos esenciales del presente Reglamento, la Comisión debe poder adoptar especificaciones comunes en esos ámbitos, siempre que al hacerlo respete debidamente el papel y las funciones de las organizaciones de normalización. La adopción de especificaciones comunes debe tener lugar únicamente como solución alternativa excepcional para facilitar el cumplimiento de los requisitos esenciales del presente Reglamento o cuando el proceso de normalización esté bloqueado o cuando se produzcan retrasos en el establecimiento de normas armonizadas adecuadas. Cuando dichos retrasos se deban a la complejidad técnica de la norma en cuestión, la Comisión debe tenerlo en cuenta antes de considerar la posibilidad de establecer especificaciones comunes. Las especificaciones comunes se deben elaborar de manera abierta e inclusiva y se debe tener en cuenta, cuando proceda, el asesoramiento del Comité Europeo de Innovación en materia de Datos (CEID) establecido por el Reglamento (UE) 2022/868. Por otra parte, se podrían adoptar especificaciones comunes en distintos sectores, de conformidad con el Derecho de la Unión o nacional, sobre la base de las necesidades específicas de dichos sectores. Además, la Comisión debe estar facultada para hacer obligatorio el desarrollo de normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos.

(104) A fin de promover la interoperabilidad de las herramientas para la ejecución automatizada de los acuerdos de intercambio de datos, es necesario establecer requisitos esenciales para los contratos inteligentes que los profesionales creen para terceros o que se integren en aplicaciones que apoyen la ejecución de acuerdos para el intercambio de datos. A fin de facilitar la conformidad de ese tipo de contratos inteligentes con dichos requisitos esenciales, es necesario establecer una presunción de conformidad de los contratos inteligentes que cumplan las normas armonizadas o partes de estas de conformidad con el Reglamento (UE) nº1025/2012. El concepto de «contrato inteligente» en el presente Reglamento es tecnológicamente neutro. Los contratos inteligentes, por ejemplo, pueden estar conectados a un libro mayor electrónico. Los requisitos esenciales deben aplicarse únicamente a los proveedores de contratos inteligentes, exceptuando cuando desarrollen contratos inteligentes internamente exclusivamente para uso interno. El requisito esencial de garantizar que los contratos inteligentes se puedan interrumpir y resolver unilateralmente implica el consentimiento mutuo de las partes en el acuerdo de intercambio de datos. La aplicabilidad de las normas pertinentes de la normativa civil, contractual y de protección de los consumidores a los acuerdos de intercambio de datos sigue o debe seguir sin verse afectada por el uso de contratos inteligentes para la ejecución automatizada de tales acuerdos.

(105) Para demostrar el cumplimiento de los requisitos esenciales del presente Reglamento, el proveedor de un contrato inteligente o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución total o parcial de un acuerdo de puesta a disposición de datos en el contexto del presente Reglamento, debe realizar una evaluación de conformidad y expedir una declaración UE de conformidad. Dicha evaluación de conformidad debe estar sujeta a los principios generales establecidos en el Reglamento (CE) nº765/2008 del Parlamento Europeo y del Consejo (34) y en la Decisión nº768/2008/CE del Parlamento Europeo y del Consejo (35).

(106) Además de obligar a los desarrolladores profesionales de contratos inteligentes a cumplir los requisitos esenciales, también es importante animar a aquellos participantes dentro de espacios de datos que ofrezcan datos o servicios basados en datos a otros participantes dentro de los espacios comunes europeos de datos, y a través de ellos, a apoyar la interoperabilidad de las herramientas para el intercambio de datos, incluidos los contratos inteligentes.

(107) A fin de garantizar la aplicación e implementación del presente Reglamento, los Estados miembros deben designar una o más autoridades competentes. Si un Estado miembro designa más de una autoridad competente, debe designar también, a un coordinador de datos entre ellas. Es preciso que las autoridades competentes cooperen entre sí. Mediante el ejercicio de sus poderes de investigación de conformidad con los procedimientos nacionales aplicables, las autoridades competentes deben poder buscar y obtener información, en particular, en relación con las actividades de entidades dentro de sus competencias y, también en el contexto de investigaciones conjuntas, teniendo debidamente en cuenta que las medidas de supervisión y ejecución relativas a una entidad bajo la competencia de otro Estado miembro deben ser adoptadas por la autoridad competente de ese otro Estado miembro, cuando proceda, de conformidad con los procedimientos relativos a la cooperación transfronteriza. Las autoridades competentes deben prestarse asistencia mutua y oportuna, en particular cuando una autoridad competente de un Estado miembro posea información pertinente para una investigación llevada a cabo por las autoridades competentes en otros Estados miembros, o pueda recopilar dicha información a la que las autoridades competentes del Estado miembro en el que esté establecida la entidad no tengan acceso. Las autoridades competentes y los coordinadores de datos deben identificarse en el registro público llevado por la Comisión. El coordinador de datos podría ser un medio adicional para facilitar la cooperación en situaciones transfronterizas, como cuando una autoridad competente de un Estado miembro determinado no sepa a qué autoridad debe dirigirse en el Estado miembro del coordinador de datos, por ejemplo, cuando el caso esté relacionado con más de una autoridad competente o sector. El coordinador de datos debe actuar, entre otras cosas, como punto de contacto único para todas las cuestiones relacionadas con la aplicación del presente Reglamento. Cuando no se haya designado un coordinador de datos, la autoridad competente debe asumir las tareas asignadas al coordinador de datos en virtud del presente Reglamento. Las autoridades responsables de la supervisión del cumplimiento de la normativa en materia de protección de datos y las autoridades competentes designadas con arreglo al Derecho de la Unión o nacional deben ser responsables de la aplicación del presente Reglamento en sus ámbitos de competencia. A fin de evitar conflictos de intereses, las autoridades competentes responsables de la aplicación y ejecución del presente Reglamento en el ámbito de la puesta a disposición de datos a raíz de una solicitud sobre la base de una necesidad excepcional no deben beneficiarse del derecho a presentar dicha solicitud.

(108) A fin de hacer valer sus derechos en virtud del presente Reglamento, las personas físicas y jurídicas deben tener derecho a solicitar reparación por la vulneración de sus derechos en virtud del presente Reglamento presentando reclamaciones. El coordinador de datos debe proporcionar, cuando se le solicite, toda la información necesaria a las personas físicas y jurídicas para la presentación de sus denuncias ante la correspondiente autoridad competente. Dichas autoridades deben ser obligadas a cooperar para garantizar que una denuncia se gestione y resuelva adecuadamente, de manera efectiva y en tiempo oportuno. A fin de aprovechar el mecanismo de la red de cooperación en materia de protección de los consumidores y facilitar las acciones de representación, el presente Reglamento modifica los anexos del Reglamento (UE) 2017/2394 del Parlamento Europeo y del Consejo (36) y de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo (37).

(109) Las autoridades competentes deben garantizar que el incumplimiento de las obligaciones establecidas en el presente Reglamento esté sujeto a sanciones. Dichas sanciones podrían consistir en sanciones económicas, advertencias, amonestaciones u órdenes para que las prácticas comerciales se ajusten a las obligaciones impuestas por el presente Reglamento. Las sanciones establecidas por los Estados miembros deben ser efectivas, proporcionadas y disuasorias, y deben tener en cuenta las recomendaciones del CEID, contribuyendo así a lograr el mayor nivel posible de coherencia en el establecimiento y la aplicación de sanciones. Cuando proceda, las autoridades competentes deben recurrir a medidas provisionales para limitar los efectos de una supuesta infracción mientras la investigación de dicha infracción esté en curso. Al hacerlo, deben tener en cuenta, entre otros factores, la naturaleza, gravedad, magnitud y duración de la infracción, atendiendo al interés público en juego, el alcance y el tipo de actividades realizadas, así como la capacidad económica del infractor. También deben tener en cuenta si la parte infractora incumple sistemática o repetidamente las obligaciones que le incumben en virtud del presente Reglamento. A fin de garantizar el respeto del principio non bis in idem y, en particular, evitar que la misma infracción de las obligaciones establecidas en el presente Reglamento se sancione más de una vez, el Estado miembro que tenga la intención de ejercer su competencia en relación con una parte infractora que no esté establecida en la Unión ni tenga en ella un representante legal debe informar, sin demora indebida, a todos los coordinadores de datos, así como a la Comisión.

(110) El CEID debe asesorar y prestar asistencia a la Comisión en la coordinación de las prácticas y políticas nacionales sobre los temas contemplados por el presente Reglamento, así como en la consecución de sus objetivos en relación con la normalización técnica para mejorar la interoperabilidad. También debe desempeñar un papel clave a la hora de facilitar debates exhaustivos entre las autoridades competentes sobre la aplicación y control del cumplimiento del presente Reglamento. Ese intercambio de información tiene por objeto aumentar el acceso efectivo a la justicia, así como la ejecución y cooperación judicial en toda la Unión. Entre otras funciones, las autoridades competentes deben recurrir al CEID como plataforma para evaluar, coordinar y adoptar recomendaciones sobre el establecimiento de sanciones por infracciones del presente Reglamento. Dicho Comité debe permitir a las autoridades competentes, con la ayuda de la Comisión, a coordinar el enfoque óptimo para determinar e imponer dichas sanciones. Ese enfoque evita la fragmentación, dejando al mismo tiempo flexibilidad a los Estados miembros, y debe dar lugar a recomendaciones eficaces que respalden la aplicación coherente del presente Reglamento. El CEID también debe desempeñar un papel consultivo en los procesos de normalización y en la adopción de especificaciones comunes mediante actos de ejecución, en la adopción de actos delegados para establecer un mecanismo de seguimiento de los costes por cambio impuestos por los proveedores de servicios de tratamiento de datos y para especificar en mayor medida los requisitos esenciales para la interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos, así como de los espacios comunes europeos de datos. También debe asesorar y prestar asistencia a la Comisión en la adopción de las directrices que establecen especificaciones de interoperabilidad para el funcionamiento de los espacios comunes europeos de datos.

(111) Con el fin de ayudar a las empresas a redactar y negociar contratos, la Comisión debe desarrollar y recomendar cláusulas contractuales tipo no vinculantes para los contratos de intercambio de datos entre empresas, teniendo en cuenta, en su caso, las condiciones de sectores específicos y las prácticas existentes con mecanismos voluntarios de intercambio de datos. Esas cláusulas contractuales tipo serán principalmente una herramienta práctica para ayudar en particular a las pymes a celebrar un contrato. Cuando se utilicen de forma generalizada e integral, esas cláusulas contractuales tipo también deben tener el efecto beneficioso de influir en el diseño de los contratos sobre el acceso y la utilización de datos y, por tanto, deben conducir en general a unas relaciones contractuales más justas a la hora de acceder a los datos y compartirlos.

(112) Con el fin de eliminar el riesgo de que titulares de datos que están en bases de datos, obtenidos o generados por medio de componentes físicos, como sensores, de un producto conectado y de un servicio relacionado u otros datos generados por máquinas, reclamen el derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE obstaculizando de este modo, en particular, el ejercicio efectivo del derecho de los usuarios a acceder y utilizar los datos y el derecho a compartir datos con terceros en virtud del presente Reglamento, el presente Reglamento debe aclarar que el derecho sui generis no es aplicable a dichas bases de datos, ya que no se cumplirían los requisitos de protección. Ello no obsta a la posible aplicación del derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE a bases de datos que contengan datos que no entren en el ámbito de aplicación del presente Reglamento, siempre que se cumplan los requisitos de protección en virtud del apartado 1 de dicho artículo.

(113) A fin de tener en cuenta los aspectos técnicos de los servicios de tratamiento de datos, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE, por lo que respecta a complementar el presente Reglamento a fin de establecer un mecanismo de supervisión de los costes por cambio impuestos por los proveedores de servicios de tratamiento de datos en el mercado y especificar más detalladamente los requisitos esenciales sobre interoperabilidad exigibles a los participantes en espacios de datos que ofrecen datos o servicios de datos a otros participantes. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (38). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(114) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución en lo relativo a la adopción de especificaciones comunes que garanticen la interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos, así como de los espacios comunes europeos de datos, de especificaciones comunes para la interoperabilidad de los servicios de tratamiento de datos, y de especificaciones comunes para la interoperabilidad de los contratos inteligentes. También deben conferirse a la Comisión competencias de ejecución con el fin de publicar las referencias de las normas armonizadas y especificaciones comunes para la interoperabilidad de servicios de tratamiento de datos en un repositorio central de la Unión de normas para la interoperabilidad de los servicios de tratamiento de datos. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº182/2011 del Parlamento Europeo y del Consejo (39).

(115) El presente Reglamento debe entenderse sin perjuicio de las normas que aborden necesidades específicas de sectores o ámbitos de interés público concretos. Dichas normas pueden incluir requisitos adicionales sobre los aspectos técnicos del acceso a datos, como las interfaces para el acceso a datos, o sobre la forma de proporcionar el acceso a datos, por ejemplo, directamente desde el producto o a través de servicios de intermediación de datos. Dichas normas también pueden incluir límites a los derechos de los titulares de datos a acceder a los datos de los usuarios o a utilizarlos, u otros aspectos que vayan más allá del acceso y la utilización de datos, como los relacionados con la gobernanza o los requisitos de seguridad, incluidos los requisitos de ciberseguridad. Asimismo, el presente Reglamento debe entenderse sin perjuicio de normas más específicas en el contexto del desarrollo de espacios comunes europeos de datos o, salvo las excepciones previstas en el presente Reglamento, del Derecho de la Unión y nacional que establezcan el acceso a los datos y autoricen su utilización con fines de investigación científica.

(116) El presente Reglamento no debe afectar a la aplicación de la normativa de competencia, en particular a los artículos 101 y 102 del TFUE. Las disposiciones del presente Reglamento no deben utilizarse para restringir la competencia de forma contraria al TFUE.

(117) Con el fin de permitir a los agentes incluidos en el ámbito de aplicación del presente Reglamento adaptarse a las nuevas normas previstas en él y para adoptar las disposiciones técnicas necesarias, dichas normas deben ser aplicables a partir del 12 de septiembre de 2025.

 (118) El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos, a los que se consultó de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725, emitieron su dictamen el 4 de mayo de 2022.

(119) Dado que los objetivos del presente Reglamento, a saber, garantizar la equidad en la asignación del valor de los datos entre los agentes de la economía de los datos y fomentar el acceso equitativo a los datos y su utilización para contribuir al establecimiento de un verdadero mercado interior de datos, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a las dimensiones o a los efectos de la acción y a la utilización transfronteriza de los datos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I. DISPOSICIONES GENERALES

Artículo 1. Objeto y ámbito de aplicación

1.   El presente Reglamento establece normas armonizadas sobre lo siguiente, entre otros:

 a) la puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto conectado o servicio relacionado;

 b) la puesta a disposición de datos por parte de los titulares de datos en favor de los destinatarios de datos;

 c) la puesta a disposición de datos por parte de los titulares de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión, cuando exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público;

 d) la facilitación del cambio entre servicios de tratamiento de datos;

 e) la introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales, y

 f) el desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos.

2.   El presente Reglamento es aplicable a los datos personales y no personales, incluidos los siguientes tipos de datos, en los contextos siguientes:

 a) el capítulo II se aplica a los datos, excepto el contenido, relativos al rendimiento, uso y entorno de los productos conectados y los servicios relacionados;

 b) el capítulo III se aplica a cualquier dato del sector privado que sea objeto de obligaciones legales de intercambio de datos;

 c) el capítulo IV se aplica a cualquier dato del sector privado al que se acceda y que se utilice sobre la base de contratos entre empresas;

 d) el capítulo V se aplica a cualquier dato del sector privado, centrándose en los datos no personales;

 e) el capítulo VI se aplica a cualquier dato y servicio tratado por los proveedores de servicios de tratamiento de datos;

 f) el capítulo VII se aplica a cualquier dato no personal que se encuentre en la Unión por los proveedores de servicios de tratamiento de datos.

3.   El presente Reglamento se aplica a:

 a) los fabricantes de productos conectados introducidos en el mercado de la Unión y los proveedores de servicios relacionados, independientemente del lugar de establecimiento de dichos fabricantes y proveedores;

 b) los usuarios de la Unión de los productos conectados o servicios relacionados a que se refiere la letra a);

 c) los titulares de datos, con independencia de su lugar de establecimiento, que pongan datos a disposición de los destinatarios de datos de la Unión;

 d) los destinatarios de datos de la Unión a cuya disposición se ponen datos;

 e) los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión que soliciten a los titulares de datos que pongan datos a su disposición cuando exista una necesidad excepcional de dichos datos para el desempeño de alguna tarea específica realizada en interés público, y a los titulares de datos que proporcionen esos datos en respuesta a dicha solicitud;

 f) los proveedores de servicios de tratamiento de datos, con independencia de su lugar de establecimiento, que presten dichos servicios a clientes de la Unión;

 g) los participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de un acuerdo.

4.   Cuando el presente Reglamento se refiera a productos conectados o servicios relacionados, se entenderá que incluyen también los asistentes virtuales, en la medida en que interactúen con un producto conectado o servicio relacionado.

5.   El presente Reglamento se entenderá sin perjuicio del Derecho de la Unión ni del Derecho nacional en materia de protección de datos personales, de la intimidad y de la confidencialidad de las comunicaciones e integridad de los equipos terminales, que se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento, en particular, los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva 2002/58/CE, incluidos los poderes y competencias de las autoridades de control y de los derechos de los interesados. En la medida en que los usuarios tengan la condición de interesados, los derechos establecidos en el capítulo II del presente Reglamento complementarán el derecho de acceso de los interesados y los derechos a la portabilidad de los datos con arreglo a los artículos 15 y 20 del Reglamento (UE) 2016/679. En caso de conflicto entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o de la intimidad, o la normativa nacional adoptada de conformidad con el Derecho de la Unión en la materia, prevalecerá el Derecho aplicable de la Unión o nacional en materia de protección de datos personales o de la intimidad.

6.   El presente Reglamento no se aplica a los acuerdos voluntarios celebrados con vistas al intercambio de datos entre entidades privadas y públicas, en particular a los acuerdos voluntarios para el intercambio de datos, ni los condiciona.

El presente Reglamento no afecta a los actos jurídicos de la Unión o nacionales que contemplen el intercambio, el acceso y la utilización de datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, o a efectos aduaneros y fiscales, en particular, los Reglamentos (UE) 2021/784, (UE) 2022/2065 y (UE) 2023/1543, y la Directiva (UE) 2023/1544, ni a la cooperación internacional en dicho ámbito. El presente Reglamento no se aplica a la recogida, intercambio, acceso o utilización de datos en virtud del Reglamento (UE) 2015/847 y de la Directiva (UE) 2015/849. El presente Reglamento no se aplica a los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afecta a las competencias de los Estados miembros relativas a la seguridad pública, la defensa o la seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan confiado el desempeño de tareas en relación con dichas competencias, o de su facultad para salvaguardar otras funciones esenciales del Estado, incluida la garantía de la integridad territorial del Estado y el mantenimiento del orden público. El presente Reglamento no afecta a las competencias de los Estados miembros en materia de aduanas y administración fiscal, ni a la salud y seguridad ciudadanas.

7.   El presente Reglamento complementa el enfoque de autorregulación del Reglamento (UE) 2018/1807 mediante la introducción de obligaciones de aplicabilidad general sobre el cambio de nube.

8.   El presente Reglamento se entiende sin perjuicio de los actos jurídicos nacionales y de la Unión por los que se establece la protección de los derechos de propiedad intelectual, en particular, las Directivas 2001/29/CE, 2004/48/CE y (UE) 2019/790.

9.   El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión con objeto de promover los intereses de los consumidores y garantizar un elevado nivel de protección de los consumidores, así como proteger su salud, su seguridad y sus intereses económicos, en particular, las Directivas 93/13/CEE, 2005/29/CE y 2011/83/UE.

10.   El presente Reglamento no impide la celebración de contratos lícitos voluntarios de intercambio de datos, incluidos los contratos celebrados sobre la base de la reciprocidad, que cumplan los requisitos establecidos en el presente Reglamento.

Artículo 2. Definiciones

A los efectos del presente Reglamento, se entenderá por:

1) «datos»: cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual;

2) «metadatos»: una descripción estructurada del contenido o de la utilización de los datos que facilita la búsqueda o la utilización de esos datos;

3) «datos personales»: los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

4) «datos no personales»: aquellos que no sean datos personales;

5) «producto conectado»: un bien que obtiene, genera, o recoge datos relativos a su uso o entorno y que puede comunicar datos del producto a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo y cuya función primaria no es el almacenamiento, el tratamiento ni la transmisión de datos en nombre de alguien que no sea el usuario;

6) «servicio relacionado»: un servicio digital, distinto de un servicio de comunicaciones electrónicas, incluido el software, que está conectado con el producto en el momento de la compraventa, el alquiler o el arrendamiento, de tal manera que su ausencia impediría al producto conectado realizar una o varias de sus funciones, o que el fabricante o un tercero conecta posteriormente al producto para añadir, actualizar o adaptar las funciones del producto conectado;

7) «tratamiento»: toda operación o conjunto de operaciones realizadas sobre datos o conjuntos de datos, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, divulgación por transmisión, difusión o cualquier otro medio de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción;

8) «servicio de tratamiento de datos»: servicio digital que se presta a un cliente y que permite un acceso de red ubicuo y bajo demanda a un conjunto compartido de recursos informáticos configurables, modulables y elásticos de carácter centralizado, distribuido o muy distribuido, que puede movilizarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios;

9) «mismo tipo de servicio»: un conjunto de servicios de tratamiento de datos que comparten el mismo objetivo primario, modelo de servicio de tratamiento de datos y funcionalidades principales;

10) «servicio de intermediación de datos»: un servicio de intermediación de datos tal como se define en el artículo 2, punto 11, del Reglamento (UE) 2022/868;

11) «interesado»: el interesado tal como se indica en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

12) «usuario»: una persona física o jurídica que posee un producto conectado o a la que se le han transferido por contrato derechos temporales de uso de dicho producto conectado, o que recibe servicios relacionados;

13) «titular de datos»: una persona física o jurídica que tiene el derecho o la obligación, con arreglo al presente Reglamento, al Derecho de la Unión aplicable o a la normativa nacional adoptada de conformidad con el Derecho de la Unión, de utilizar y poner a disposición datos, incluidos, cuando se haya pactado contractualmente, los datos del producto o los datos de servicios relacionados que haya extraído o generado durante la prestación de un servicio relacionado;

14) «destinatario de datos»: una persona física o jurídica que actúa con un propósito relacionado con su actividad comercial, empresa, oficio o profesión, distinta del usuario de un producto conectado o servicio relacionado, a disposición de la cual el titular de datos pone los datos, incluso un tercero previa solicitud del usuario al titular de datos o de conformidad con una obligación legal en virtud del Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión;

15) «datos del producto»: datos generados por el uso de un producto conectado que el fabricante ha diseñado para que puedan ser extraídos, a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo, por un usuario, un titular de los datos o un tercero, incluido, cuando proceda, el fabricante;

16) «datos de servicios relacionados»: datos que representan la digitalización de acciones del usuario o de eventos relacionados con el producto conectado, registrados intencionadamente por el usuario o generados como subproducto de la acción del usuario durante la prestación de un servicio relacionado por el proveedor;

17) «datos fácilmente disponibles»: datos del producto y datos del servicio relacionado que un titular de datos obtiene o puede obtener lícitamente del producto conectado o servicio relacionado, sin un esfuerzo desproporcionado que vaya más allá de una operación simple;

18) «secreto comercial»: un secreto comercial tal como se define en el artículo 2, punto 1, de la Directiva (UE) 2016/943;

19) «poseedor de un secreto comercial»: poseedor de un secreto comercial tal como se define en el artículo 2, punto 2, de la Directiva (UE) 2016/943;

20) «elaboración de perfiles»: la elaboración de perfiles tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679;

21) «comercialización»: todo suministro de un producto conectado para su distribución, consumo o utilización en el mercado de la Unión en el transcurso de una actividad comercial, ya sea a cambio de pago o a título gratuito;

22) «introducción en el mercado»: la primera comercialización de un producto conectado en el mercado de la Unión;

23) «consumidor»: toda persona física que actúe con fines ajenos a su propia actividad comercial, negocio, oficio o profesión;

24) «empresa»: una persona física o jurídica que, en relación con los contratos y prácticas contemplados por el presente Reglamento, actúa con fines relacionados con su actividad comercial, empresa, oficio o profesión;

25) «pequeña empresa»: una pequeña empresa tal como se define en el artículo 2, apartado 2, del anexo de la Recomendación 2003/361/CE;

26) «microempresa»: una microempresa tal como se define en el artículo 2, apartado 3, del anexo de la Recomendación 2003/361/CE;

27) «organismos de la Unión»: los órganos y organismos de la Unión establecidos en virtud de actos adoptados sobre la base del Tratado de la Unión Europea, del TFUE o del Tratado constitutivo de la Comunidad Europea de la Energía Atómica;

28) «organismo del sector público»: las autoridades nacionales, regionales o locales de los Estados miembros y las entidades de derecho público de los Estados miembros, o las asociaciones constituidas por una o más de dichas autoridades o por una o más de dichas entidades;

29) «emergencia pública»: una situación excepcional, limitada en el tiempo, como una emergencia de salud pública, una emergencia derivada de catástrofes naturales, una catástrofe grave provocada por el hombre, incluido un incidente grave de ciberseguridad, que afecta negativamente a la población de la Unión, del conjunto o de partes de un Estado miembro, que entraña un riesgo de repercusiones graves y duraderas para las condiciones de vida o la estabilidad económica, la estabilidad financiera o la degradación sustancial e inmediata de los activos económicos de la Unión o del Estado miembro en cuestión, y que se determina o declara oficialmente de conformidad con los procedimientos correspondientes en virtud del Derecho de la Unión o nacional;

30) «cliente»: una persona física o jurídica que ha establecido una relación contractual con un proveedor de servicios de tratamiento de datos con el objetivo de utilizar uno o varios servicios de tratamiento de datos;

31) «asistentes virtuales»: software que puede procesar peticiones, tareas o preguntas, incluidas las basadas en material de audio, material escrito, gestos o movimientos, y que, basándose en dichas peticiones, tareas o preguntas, proporciona acceso a otros servicios o controla las funciones de productos conectados;

32) «activos digitales»: elementos en forma digital, incluidas las aplicaciones, para los que el cliente tiene derecho de uso, independientemente de la relación contractual establecida con el servicio de tratamiento de datos del que el cliente se pretende cambiar;

33) «infraestructura de TIC local»: la infraestructura de TIC y de los recursos informáticos propiedad del cliente, alquilados o arrendados por el cliente, situados en el centro de datos del propio cliente y gestionados por el cliente o por un tercero;

34) «cambio»: el proceso en el que intervienen un proveedor de servicios de tratamiento de datos de origen, un cliente de un servicio de tratamiento de datos y, en su caso, un proveedor de servicios de tratamiento de datos de destino, en el que el cliente de un servicio de tratamiento de datos pasa de utilizar un servicio de tratamiento de datos a otro servicio de tratamiento de datos del mismo tipo de servicio, u otro servicio, ofrecido por un proveedor de servicios de tratamiento de datos diferente, o a una infraestructura de TIC local, incluido mediante la extracción, transformación y carga de datos;

35) «costes de salida de datos»: los costes de transferencia de datos cobrados a los clientes por extraer sus datos a través de la red de la infraestructura de las TIC de un proveedor de servicios de tratamiento de datos a los sistemas de un proveedor diferente o a una infraestructura de TIC local;

36) «costes por cambio»: los costes, excluidos los costes de servicio estándar o la sanciones por resolución anticipada, impuestas por un proveedor de servicios de tratamiento de datos a un cliente por las acciones que le exige el presente Reglamento para cambiar al sistema de un proveedor diferente o a una infraestructura de TIC local, incluidos los costes de salida de datos;

37) «equivalencia funcional»: restablecer, sobre la base de los datos exportables y activos digitales del cliente, un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de tratamiento de datos, del mismo tipo de servicio, después del proceso de cambio, cuando el servicio de tratamiento de datos de destino proporcione un resultado materialmente comparable en respuesta a la misma entrada para características compartidas suministrada al cliente en virtud del contrato;

38) «datos exportables»: a efectos de lo dispuesto en los artículos 23 a 31 y en el artículo 35, los datos de entrada y salida, incluidos los metadatos, directa o indirectamente generados o cogenerados por el uso por parte del cliente del servicio de tratamiento de datos, excluidos cualesquiera activos o datos protegidos por derechos de propiedad intelectual, o que constituyan secretos comerciales, de proveedores de servicios de tratamiento de datos o de terceros;

39) «contrato inteligente»: programa informático utilizado para la ejecución automatizada de un acuerdo o de parte de este, que utiliza una secuencia de registros electrónicos de datos y garantiza su integridad y la exactitud de su orden cronológico;

40) «interoperabilidad»: la capacidad de dos o más espacios de datos o redes de comunicación, sistemas, productos conectados, aplicaciones, servicios de tratamiento de datos o componentes para intercambiar y utilizar datos con el fin de desempeñar sus funciones;

41) «especificación de interoperabilidad abierta»: una especificación técnica en el ámbito de las tecnologías de la información y la comunicación, que está orientada a lograr la interoperabilidad entre servicios de tratamiento de datos;

42) «especificaciones comunes»: un documento, distinto de una norma, con soluciones técnicas que proponen una forma de cumplir determinados requisitos y obligaciones establecidos en el presente Reglamento;

43) «norma armonizada»: una norma armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) nº 1025/2012.

CAPÍTULO II. INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA

Artículo 3. Obligación de hacer accesibles para el usuario los datos de los productos y los datos de servicios relacionados

1.   Los productos conectados se diseñarán y fabricarán, y los servicios relacionados se diseñarán y prestarán, de manera tal que los datos de los productos y los datos de servicios relacionados, incluidos los metadatos pertinentes necesarios para interpretar y utilizar dichos datos, sean, por defecto, accesibles con facilidad, con seguridad, gratuitamente, en un formato completo, estructurado, de utilización habitual y de lectura mecánica, y, cuando proceda y sea técnicamente viable, accesibles para el usuario directamente.

2.   Antes de celebrar un contrato de compraventa, alquiler o arrendamiento de un producto conectado, el vendedor o arrendador, que puede ser el fabricante, proporcionarán al usuario, como mínimo, la siguiente información, de manera clara y comprensible:

 a) el tipo, el formato y el volumen estimado de datos del producto que el producto conectado es capaz de generar;

 b) si el producto conectado es capaz de generar datos de forma continua y en tiempo real;

 c) si el producto conectado es capaz de almacenar datos en el propio dispositivo o en un servidor remoto, incluido, cuando proceda, el período de conservación previsto;

 d) el modo en que el usuario puede acceder a los datos, extraerlos o, en su caso, suprimirlos, incluidos los medios técnicos para hacerlo, así como sus condiciones de utilización y calidad del servicio.

3.   Antes de celebrar un contrato de prestación de un servicio relacionado, el proveedor de dicho servicio proporcionará al usuario, como mínimo, la siguiente información, de manera clara y comprensible:

 a) el carácter, el volumen estimado y la frecuencia de recopilación de los datos del producto que se espera obtenga el posible titular de datos y, cuando proceda, las modalidades mediante las que el usuario puede acceder a estos datos o extraerlos, incluidas las medidas del posible titular de datos relativas al almacenamiento de los datos y la duración de conservación de estos;

 b) el carácter y el volumen estimado de los datos del servicio relacionado que vayan a generarse, así como las modalidades mediante las que el usuario puede acceder a estos datos o extraerlos, incluidas las medidas del posible titular de datos relativas al almacenamiento de los datos y la duración de conservación de estos;

 c) si el posible titular de datos prevé utilizar él mismo los datos fácilmente disponibles y los fines para los que se utilizarán dichos datos, y si tiene la intención de permitir que uno o varios terceros utilicen los datos para la finalidad acordada con el usuario;

 d) la identidad del posible titular de los datos, como su nombre comercial y la dirección geográfica en la que está establecido y, cuando proceda, de otras partes que efectúen tratamiento de datos;

 e) los medios de comunicación que permitan al usuario ponerse rápidamente en contacto con el posible titular de datos y comunicarse con él de manera eficiente;

 f) el modo en que el usuario puede solicitar que los datos se compartan con un tercero y, cuando proceda, dejar de compartir los datos;

 g) el derecho del usuario a presentar una reclamación relativa a cualquier infracción de las disposiciones del presente capítulo ante la autoridad competente designada con arreglo al artículo 37;

 h) si un posible titular de datos es el poseedor de secretos comerciales contenidos en los datos a los que se pueda acceder desde el producto conectado o generados durante la prestación de un servicio relacionado y, cuando el posible titular de datos no sea el poseedor del secreto comercial, la identidad del poseedor del secreto comercial;

 i) la duración del contrato entre el usuario y el posible titular de datos, así como las cláusulas de resolución unilateral del contrato.

Artículo 4. Derechos y obligaciones de los usuarios y titulares de datos respecto del acceso, utilización y puesta a disposición de los datos de productos y de los datos de servicios relacionados

1.   Cuando el usuario no pueda acceder directamente a los datos desde el producto conectado, o del servicio relacionado, los titulares de datos facilitarán al usuario el acceso sin demora indebida a los datos fácilmente disponibles, y los correspondientes metadatos necesarios para interpretar y utilizar dichos datos, con la misma calidad disponible para el titular de datos, con facilidad, con seguridad, gratuitamente y en un formato completo, estructurado, de utilización habitual y de lectura mecánica y, cuando proceda y sea técnicamente viable, de forma continua y en tiempo real. Esto se hará sobre la base de una simple solicitud por medios electrónicos cuando sea técnicamente viable.

2.   Los usuarios y los titulares de datos podrán estipular contractualmente limitaciones o prohibiciones del acceso a los datos, de su utilización o su posterior intercambio, si dicho tratamiento puede socavar los requisitos de seguridad del producto conectado, según lo establecido en el Derecho de la Unión o nacional, dando lugar a un efecto adverso grave para la salud, la seguridad o la protección de las personas físicas. Las autoridades sectoriales podrán proporcionar a los usuarios y a los titulares de datos asesoramiento técnico en ese contexto. Cuando el titular de datos se niegue a compartir datos en virtud del presente artículo, lo notificará a la autoridad competente designada en cumplimiento del artículo 37.

3.   Sin perjuicio del derecho del usuario a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, el usuario, en relación con cualquier litigio con el titular de datos relativo a las limitaciones o prohibiciones contractuales a que se refiere el apartado 2, podrá:

 a) presentar, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, o

 b) convenir con el titular de datos en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.

4.   Los titulares de datos no dificultarán indebidamente el ejercicio de las opciones o los derechos de los usuarios a que se refiere este artículo, también ofreciendo opciones a los usuarios de manera no neutra o neutralizando o mermando la autonomía, la toma de decisiones o las opciones del usuario a través de la estructura, el diseño, la función o el modo de funcionamiento de la interfaz digital de usuario o de una parte de ella.

5.   Para verificar si una persona física o jurídica puede tener la consideración de usuario a efectos del apartado 1, un titular de datos no exigirá a dicha persona que proporcione ninguna información más allá de lo necesario. Los titulares de datos no conservarán ninguna información, en particular datos de registro, sobre el acceso del usuario a los datos solicitados más allá de lo necesario para la correcta ejecución de la solicitud de acceso del usuario y para la seguridad y el mantenimiento de la infraestructura de datos.

6.   Los secretos comerciales se preservarán y se revelarán solo cuando el titular de datos y el usuario adopten antes de la revelación todas las medidas necesarias para preservar su confidencialidad, en particular, con respecto a terceros. El titular de datos o, cuando no sean la misma persona, el poseedor de secretos comerciales, identificará los datos protegidos como secretos comerciales, incluso en los metadatos pertinentes, y acordará con el usuario las medidas técnicas y organizativas proporcionadas necesarias para preservar la confidencialidad de los datos compartidos, en particular en relación con terceros, tales como cláusulas contractuales tipo, acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta.

7.   En los casos en que no exista un acuerdo sobre las medidas necesarias a que se refiere el apartado 6, o si el usuario no aplica las medidas acordadas en virtud del apartado 6 o vulnera la confidencialidad de los secretos comerciales, el titular de datos podrá retener o, en su caso, suspender el intercambio de datos identificados como secretos comerciales. La decisión del titular de datos se justificará debidamente y se comunicará por escrito al usuario sin demora indebida. En tales casos, el titular de datos notificará a la autoridad competente designada en cumplimiento del artículo 37 que ha retenido o suspendido el intercambio de datos e indicará qué medidas no se han acordado o aplicado y, en su caso, qué secretos comerciales han visto su confidencialidad comprometida.

8.   En circunstancias excepcionales, cuando el titular de datos que sea poseedor de un secreto comercial pueda demostrar que es muy probable que sufra un perjuicio económico grave como consecuencia de la revelación de secretos comerciales, a pesar de las medidas técnicas y organizativas adoptadas por el usuario en cumplimiento del apartado 6 del presente artículo, dicho titular de datos podrá rechazar, según el caso, una solicitud de acceso a los datos específicos en cuestión. Dicha demostración estará debidamente justificada sobre la base de elementos objetivos, en particular la aplicabilidad de la protección de los secretos comerciales en terceros países, la naturaleza y el nivel de confidencialidad de los datos solicitados, así como la singularidad y la novedad del producto conectado, y se presentará por escrito al usuario sin demora indebida. Cuando el titular de datos se niegue a compartir datos con arreglo al presente apartado, lo notificará a la autoridad competente designada en cumplimiento del artículo 37.

9.   Sin perjuicio del derecho del usuario a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, un usuario que desee impugnar la decisión del titular de datos de rechazar o de retener o suspender el intercambio de datos de conformidad con los apartados 7 y 8, podrá:

 a) presentar, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, que decidirá, sin demora indebida, si se iniciará o reanudará el intercambio de datos y en qué condiciones, o

 b) convenir con el titular de datos en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.

10.   El usuario no utilizará los datos obtenidos con arreglo a una solicitud contemplada en el apartado 1 para desarrollar un producto conectado que compita con el producto conectado del que proceden los datos, ni compartirá los datos con un tercero con esa intención, ni utilizará dichos datos para obtener información sobre la situación económica, los activos y los métodos de producción del fabricante o, en su caso, del titular de datos.

11.   El usuario no usará medios coercitivos ni abusará de las lagunas de la infraestructura técnica de un titular de datos destinada a proteger los datos, con el fin de obtener acceso a estos.

12.   Cuando el usuario no sea el interesado cuyos datos personales se solicitan, el titular de datos pondrá a disposición del usuario los datos personales generados por el uso de un producto conectado o servicio relacionado solo cuando exista una base jurídica válida para el tratamiento con arreglo al artículo 6 del Reglamento (UE) 2016/679 y, en su caso, se cumplan las condiciones del artículo 9 de dicho Reglamento y del artículo 5, apartado 3, de la Directiva 2002/58/CE.

13.   Un titular de datos solo utilizará cualquier dato fácilmente disponible que no sea personal sobre la base de un contrato con el usuario. Un titular de datos no utilizará dichos datos para obtener información sobre la situación económica, los activos y los métodos de producción del usuario, ni sobre el uso por parte de este de cualquier otra manera que pueda socavar la posición comercial de dicho usuario en los mercados en los que este opere.

14.   Los titulares de datos no pondrán a disposición de terceros los datos no personales del producto, con fines comerciales o no comerciales distintos del cumplimiento de su contrato con el usuario. Cuando proceda, los titulares de datos obligarán contractualmente a los terceros a no compartir los datos recibidos de ellos.

Artículo 5. Derecho del usuario a compartir datos con terceros

1.   A petición de un usuario o de una parte que actúe en nombre de un usuario, el titular de datos pondrá a disposición de un tercero los datos fácilmente disponibles, y los metadatos correspondientes necesarios para interpretar y utilizar dichos datos sin demora indebida, con la misma calidad que esté a disposición del titular de datos, con facilidad, con seguridad, gratuitamente para el usuario, en un formato completo, estructurado, de utilización habitual y de lectura mecánica, y, cuando proceda y sea técnicamente viable, de forma continua y en tiempo real. Los datos se pondrán a disposición por parte del titular de datos al tercero de conformidad con los artículos 8 y 9.

2.   El apartado 1 no se aplicará a los datos fácilmente disponibles en el contexto de la experimentación de productos conectados, sustancias o procesos nuevos que aún no se hayan introducido en el mercado, a menos que se permita su uso por un tercero contractualmente.

3.   Ninguna empresa designada como guardián de acceso, de conformidad con el artículo 3 del Reglamento (UE) 2022/1925, podrá ser un tercero admisible en virtud del presente artículo y, por tanto, no podrá:

 a) instar o incentivar comercialmente a un usuario de ninguna manera, incluso ofreciendo una compensación monetaria o de otro tipo, para que ponga a disposición de uno de sus servicios datos que el usuario haya obtenido en virtud de una solicitud con arreglo al artículo 4, apartado 1;

 b) instar o incentivar comercialmente a un usuario para que solicite al titular de datos que ponga a disposición de uno de sus servicios datos en virtud del apartado 1 del presente artículo;

 c) recibir datos de un usuario que este haya obtenido en virtud de una solicitud con arreglo al artículo 4, apartado 1.

4.   Para verificar si una persona física o jurídica puede tener la consideración de usuario o de tercero a efectos del apartado 1, no se le exigirá al usuario ni al tercero que proporcione ninguna información más allá de lo necesario. Los titulares de datos no conservarán ninguna información sobre el acceso del tercero a los datos solicitados más allá de lo necesario para la correcta ejecución de la solicitud de acceso del tercero y para la seguridad y el mantenimiento de la infraestructura de datos.

5.   El tercero no usará medios coercitivos ni abusará de las lagunas de la infraestructura técnica de un titular de datos diseñada para proteger los datos con el fin de obtener acceso a los datos.

6.   El titular de datos no utilizará ningún dato fácilmente disponible con el fin de obtener información sobre la situación económica, los activos o los métodos de producción del tercero, ni sobre el uso por parte de este de cualquier otra manera que pueda socavar la posición comercial del tercero en los mercados en los que opera, a menos que el tercero haya dado permiso para tal uso y tenga la posibilidad técnica de retirar con facilidad dicho permiso en cualquier momento.

7.   Cuando el usuario no sea el interesado cuyos datos personales se soliciten, los datos personales generados por el uso de un producto conectado o servicio relacionado se pondrán a disposición del tercero por parte del titular de datos solo cuando exista una base jurídica válida para el tratamiento con arreglo al artículo 6 del Reglamento (UE) 2016/679 y, en su caso, se cumplan las condiciones del artículo 9 de dicho Reglamento y del artículo 5, apartado 3, de la Directiva 2002/58/CE.

8.   El hecho de que el titular de datos y el tercero no lleguen a un acuerdo sobre las modalidades de transmisión de los datos no obstaculizará, evitará ni interferirá en el ejercicio de los derechos del interesado en virtud del Reglamento (UE) 2016/679 y, en particular, en el derecho a la portabilidad de los datos con arreglo al artículo 20 de dicho Reglamento.

9.   Los secretos comerciales se preservarán y se revelarán a terceros solo en la medida en que dicha revelación sea estrictamente necesaria para cumplir el objetivo convenido entre el usuario y el tercero. El titular de datos o, cuando no sean la misma persona, el poseedor de secretos comerciales, identificará los datos protegidos como secretos comerciales, incluso en los metadatos pertinentes, y acordará con el tercero todas las medidas técnicas y organizativas proporcionadas necesarias para preservar la confidencialidad de los datos compartidos, tales como cláusulas contractuales tipo, acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta.

10.   En los casos en que no exista un acuerdo sobre las medidas necesarias a que se refiere el apartado 9 del presente artículo o si el tercero no aplica las medidas acordadas en virtud del apartado 9 del presente artículo o vulnera la confidencialidad de los secretos comerciales, el titular de datos podrá retener o, en su caso, suspender el intercambio de datos identificados como secretos comerciales. La decisión del titular de datos se justificará debidamente y se comunicará por escrito al tercero sin demora indebida. En tales casos, el titular de datos notificará a la autoridad competente designada en cumplimiento del artículo 37 que ha retenido o suspendido el intercambio de datos e indicará qué medidas no se han convenido o aplicado y, en su caso, qué secretos comerciales han visto su confidencialidad comprometida.

11.   En circunstancias excepcionales, cuando el titular de datos que sea poseedor de un secreto comercial pueda demostrar que es muy probable que sufra un perjuicio económico grave como consecuencia de la revelación de secretos comerciales, a pesar de las medidas técnicas y organizativas adoptadas por el tercero en cumplimiento del apartado 9 del presente artículo, dicho titular de datos podrá rechazar, según el caso, una solicitud de acceso a los datos específicos en cuestión. Dicha demostración estará debidamente justificada sobre la base de elementos objetivos, en particular la aplicabilidad de la protección de los secretos comerciales en terceros países, la naturaleza y el nivel de confidencialidad de los datos solicitados y la singularidad y la novedad del producto conectado, y se presentará por escrito al tercero sin demora indebida. Cuando el titular de datos se niegue a compartir datos con arreglo al presente apartado, lo notificará a la autoridad competente designada en cumplimiento del artículo 37.

12.   Sin perjuicio del derecho del tercero a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, un tercero que desee impugnar una decisión del titular de datos de rechazar o de retener o suspender el intercambio de datos en virtud de los apartados 10 y 11, podrá:

 a) formular, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, que decidirá, sin demora indebida, si se debe iniciar o reanudar el intercambio de datos y en qué condiciones, o

 b) convenir con el titular de datos en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.

13.   El derecho a que se refiere el apartado 1 no afectará negativamente a los derechos de los interesados conforme al Derecho aplicable de la Unión y nacional en materia de protección de datos personales.

Artículo 6. Obligaciones de terceros que reciben datos a petición del usuario

1.   Un tercero tratará los datos que se pongan a su disposición con arreglo al artículo 5 únicamente para la finalidad y en las condiciones acordados con el usuario y respetando el Derecho de la Unión y nacional en materia de protección de datos personales, incluidos los derechos del interesado en lo que respecta a los datos personales. El tercero suprimirá los datos cuando ya no sean necesarios para la finalidad acordada, a menos que acuerde otra cosa con el usuario en relación con los datos no personales.

2.   El tercero no podrá:

 a) dificultar indebidamente el ejercicio de las opciones o los derechos de los usuarios con arreglo al artículo 5 y al presente artículo, tampoco ofreciendo opciones a los usuarios de manera no neutra o coaccionándolos, engañándolos o manipulándolos, o neutralizando o mermando la autonomía, la toma de decisiones o las opciones de los usuarios, tampoco a través de una interfaz digital de usuario o de una parte de ella;

 b) no obstante lo dispuesto en el artículo 22, apartado 2, letras a) y c), del Reglamento (UE) 2016/679, utilizar los datos que reciba para la elaboración de perfiles, a menos que sea necesario para prestar el servicio solicitado por el usuario;

 c) poner los datos que reciba a disposición de otro tercero, a menos que los datos se pongan a disposición sobre la base de un contrato con el usuario, y siempre que el otro tercero tome todas las medidas necesarias acordadas entre el titular de datos y el tercero para preservar la confidencialidad de los secretos comerciales;

 d) poner los datos que reciba a disposición de una empresa designada como guardián de acceso de conformidad con el artículo 3 del Reglamento (UE) 2022/1925;

 e) utilizar los datos que reciba para desarrollar un producto que compita con el producto conectado del que proceden los datos a los que ha accedido ni compartir los datos con otro tercero con tal finalidad; los terceros tampoco utilizarán datos no personales de los productos o datos no personales de los servicios relacionados que se pongan a su disposición para obtener información sobre la situación económica, los activos y los métodos de producción del titular de datos, ni sobre el uso por este;

 f) utilizar los datos que reciba de una manera que afecte negativamente a la seguridad del producto conectado o del servicio relacionado;

 g) ignorar las medidas específicas acordadas con un titular de datos o con el poseedor de los secretos comerciales de conformidad con el artículo 5, apartado 9, ni comprometer la confidencialidad de los secretos comerciales;

 h) impedir a aquellos usuarios que sean consumidores, entre otros, sobre la base de un contrato, poner los datos que reciba a disposición de otras partes.

Artículo 7. Ámbito de aplicación de las obligaciones de intercambio de datos de empresa a consumidor y de empresa a empresa

1.   Las obligaciones del presente capítulo no se aplicarán a los datos generados mediante el uso de productos conectados fabricados o diseñados o servicios relacionados prestados por una microempresa o pequeña empresa, siempre que dicha empresa no tenga una empresa asociada o una empresa vinculada en el sentido del artículo 3 del anexo de la Recomendación 2003/361/CE, que no pueda considerarse microempresa o pequeña empresa, y cuando no se haya subcontratado a la microempresa o pequeña empresa para fabricar o diseñar un producto conectado o para prestar un servicio relacionado.

Lo mismo se aplicará a los datos generados mediante el uso de productos conectados fabricados o de servicios relacionados prestados por empresas que hayan adquirido la consideración de medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE hace menos de un año, y cuando se trate de productos conectados, durante un año después de que una mediana empresa los haya introducido en el mercado.

2.   Ninguna cláusula contractual que, en detrimento del usuario, excluya la aplicación de los derechos del usuario en virtud del presente capítulo, establezca excepciones o modifique los efectos de esos derechos, será vinculante para el usuario.

CAPÍTULO III. OBLIGACIONES DE LOS TITULARES DE DATOS OBLIGADOS A PONER LOS DATOS A DISPOSICIÓN EN VIRTUD DEL DERECHO DE LA UNIÓN

Artículo 8. Condiciones en las que los titulares de datos ponen datos a disposición de los destinatarios de datos

1.   Cuando, en relaciones entre empresas, un titular de datos esté obligado a poner datos a disposición de un destinatario de datos en virtud del artículo 5 o de otras disposiciones aplicables de Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión, acordará con el destinatario de datos las modalidades de puesta a disposición de los datos y lo hará en condiciones justas, razonables y no discriminatorias y de manera transparente de conformidad con el presente capítulo y el capítulo IV.

2.   Ninguna cláusula contractual sobre el acceso a los datos y su utilización o sobre la responsabilidad y las vías de recurso por incumplimiento o resolución unilateral de obligaciones relativas a datos será vinculante si constituye una cláusula contractual abusiva en el sentido del artículo 13 o si, en detrimento del usuario, excluye la aplicación, establece excepciones o modifica los derechos del usuario en virtud del capítulo II.

3.   Los titulares de datos no discriminarán en lo que respecta a las modalidades de puesta a disposición de datos, entre categorías comparables de destinatarios de datos, incluidas las empresas asociadas o empresas vinculadas al titular de datos al poner a disposición los datos. Cuando un destinatario de datos considere que las condiciones en las que se han puesto a su disposición los datos son discriminatorias, el titular de los datos proporcionará sin demora indebida al destinatario de datos, previa solicitud motivada, información que demuestre que no ha habido discriminación.

4.   El titular de los datos no pondrá los datos a disposición de un destinatario de datos, incluido con carácter exclusivo, a menos que así lo solicite el usuario con arreglo al capítulo II.

5.   Los titulares de datos y los destinatarios de datos no estarán obligados a proporcionar ninguna información que vaya más allá de lo necesario para verificar el cumplimiento de las condiciones contractuales pactadas para la puesta a disposición de datos o de sus obligaciones en virtud del presente Reglamento o de otras disposiciones aplicables de Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión.

6.   Salvo que se disponga otra cosa en el Derecho de la Unión, incluidos el artículo 4, apartado 6, y el artículo 5, apartado 9, del presente Reglamento, o en la normativa nacional adoptada de conformidad con el Derecho de la Unión, la obligación de poner los datos a disposición de un destinatario de datos no obligará a la revelación de secretos comerciales.

Artículo 9. Compensación por la puesta a disposición de datos

1.   Toda compensación acordada entre un titular de datos y un destinatario de datos por la puesta a disposición de datos en relaciones entre empresas deberá ser no discriminatoria y razonable, y podrá incluir un margen.

2.   A la hora de convenir la compensación, el titular de datos y el destinatario de datos tendrán en cuenta, en particular:

 a) los costes en que se haya incurrido para poner los datos a disposición, incluidos, en particular, los costes necesarios para el formateo de los datos, su difusión por medios electrónicos y su almacenamiento;

 b) las inversiones en la recogida y producción de datos, cuando proceda, teniendo en cuenta si otras partes han contribuido a la obtención, generación o recogida de los datos en cuestión.

3.   La compensación a que se refiere el apartado 1 también puede depender del volumen, el formato y la naturaleza de los datos.

4.   Cuando el destinatario de datos sea una pyme o una organización de investigación sin ánimo de lucro, y cuando dicho destinatario de datos no tenga empresas asociadas o empresas vinculadas, que no se consideren pymes, ninguna compensación acordada podrá superar los costes a que se refiere el apartado 2, letra a).

5.   La Comisión adoptará directrices sobre el cálculo de la compensación razonable, teniendo en cuenta el asesoramiento del Comité Europeo de Innovación en materia de Datos (CEID) a que se refiere el artículo 42.

6.   El presente artículo no será óbice para que otras disposiciones de Derecho de la Unión de normativa nacional adoptada con arreglo al Derecho de la Unión excluyan la compensación por la puesta a disposición de datos o prevean una compensación inferior.

7.   El titular de datos proporcionará al destinatario de datos información que contenga la base para el cálculo de la compensación con el suficiente detalle para que el destinatario de datos pueda evaluar si se cumplen los requisitos de los apartados 1 a 4.

Artículo 10. Resolución de litigios

1.   Los usuarios, los titulares de datos y los destinatarios de datos tendrán acceso a algún órgano de resolución de litigios, certificado de conformidad con el apartado 5 del presente artículo, para resolver todo litigio con arreglo al artículo 4, apartados 3 y 9, y al artículo 5, apartado 12, así como los litigios relacionados con las condiciones justas, razonables y no discriminatorias para poner los datos a disposición y la forma transparente de hacerlo, de conformidad con el presente capítulo y el capítulo IV.

2.   Los órganos de resolución de litigios darán a conocer los costes, o los mecanismos utilizados para determinar los costes, a las partes afectadas antes de que estas soliciten una decisión.

3.   En el caso de los litigios remitidos a un órgano de resolución de litigios en virtud del artículo 4, apartados 3 y 9, y del artículo 5, apartado 12, cuando el órgano de resolución de litigios resuelva un litigio en favor del usuario o del destinatario de datos, el titular de datos soportará todas las tasas cobradas por el órgano de resolución de litigios y reembolsará a dicho usuario o dicho destinatario de datos cualquier otro gasto razonable en que haya incurrido en relación con la resolución de litigios. Si el órgano de resolución de litigios resuelve un litigio en favor del titular de datos, el usuario o el destinatario de datos no estará obligado a reembolsar las tasas u otros gastos que el titular de datos haya pagado o deba pagar en relación con la resolución de litigios, a menos que el órgano de resolución de litigios considere que el usuario o el destinatario de los datos actuó manifiestamente de mala fe.

4.   Los clientes y los proveedores de servicios de tratamiento de datos tendrán acceso a algún órgano de resolución de litigios, certificado de conformidad con el apartado 5 del presente artículo, para resolver litigios en relación con vulneraciones de los derechos de los clientes e incumplimientos de las obligaciones del proveedor de un servicio de tratamiento de datos de conformidad con los artículos 23 a 31.

5.   A petición del órgano de resolución de litigios, el Estado miembro en el que esté establecido dicho órgano lo certificará, siempre que este haya demostrado que cumple todas las condiciones siguientes:

 a) es imparcial e independiente, y debe dictar sus resoluciones con arreglo a unas normas de procedimiento claras, no discriminatorias y justas;

 b) dispone de los conocimientos técnicos necesarios, en particular, en relación con las condiciones justas, razonables y no discriminatorias, incluida la compensación, relativos a la puesta a disposición de datos de manera transparente, que permitan que el órgano pueda determinar efectivamente dichas condiciones;

 c) es fácilmente accesible a través de tecnologías de comunicación electrónicas;

 d) es capaz de adoptar sus decisiones de manera rápida, eficiente y rentable al menos en una de las lenguas oficiales de la Unión.

6.   Los Estados miembros notificarán a la Comisión los órganos de resolución de litigios certificados de conformidad con el apartado 5. La Comisión publicará la lista de dichos órganos en un sitio web específico y la mantendrá actualizada.

7.   Los órganos de resolución de litigios rechazarán tratar cualquier solicitud de resolución de un litigio que ya se haya presentado ante otro órgano de resolución de litigios o ante un órgano jurisdiccional de un Estado miembro.

8.   Los órganos de resolución de litigios brindarán a las partes la posibilidad de expresar, en un plazo razonable, sus puntos de vista sobre los asuntos que esas partes hayan sometido a dichos órganos. En ese contexto, se proporcionará a cada una de las partes litigantes las observaciones de la otra parte y cualquier declaración realizada por peritos. Se brindará a las partes la posibilidad de formular comentarios sobre dichas observaciones y declaraciones.

9.   Los órganos de resolución de litigios adoptarán su decisión sobre los asuntos que les sean planteados en un plazo de noventa días a partir de la recepción de la solicitud con arreglo a los apartados 1 y 4. Dicha decisión se formulará por escrito o en un soporte duradero e irá justificada por una exposición de motivos.

10.   Los órganos de resolución de litigios elaborarán y harán públicos los informes anuales de actividad. Dichos informes anuales incluirán, en particular, la siguiente información general:

 a) una agregación de los resultados de los litigios;

 b) la duración media de la resolución de los litigios;

 c) los motivos más comunes de los litigios.

11.   Con el fin de facilitar el intercambio de información y las mejores prácticas, los órganos de resolución de litigios podrán decidir la inclusión de recomendaciones en el informe mencionado en el apartado 10 sobre cómo evitar o resolver problemas.

12.   La decisión de los órganos de resolución de litigios será vinculante para las partes solo si estas han dado su consentimiento expreso a su carácter vinculante antes del inicio del procedimiento de resolución de litigios.

13.   El presente artículo no afectará al derecho de las partes a interponer un recurso efectivo ante los órganos jurisdiccionales de los Estados miembros.

Artículo 11. Medidas técnicas de protección sobre la utilización o divulgación no autorizadas de datos

1.   El titular de datos podrá aplicar medidas técnicas de protección adecuadas, incluidos contratos inteligentes y cifrado, para impedir el acceso no autorizado a los datos, incluidos los metadatos, y garantizar el cumplimiento de los artículos 4, 5, 6, 8 y 9, así como de las condiciones contractuales acordadas para la puesta a disposición de los datos. Dichas medidas técnicas de protección no discriminarán entre destinatarios de datos ni obstaculizarán el derecho de un usuario a obtener una copia, extraer, utilizar o acceder a los datos o a proporcionar datos a terceros de conformidad con el artículo 5 ni ningún derecho de un tercero en virtud del Derecho de la Unión o de normativa nacional adoptada de conformidad con el Derecho de la Unión. Los usuarios, los terceros y los destinatarios de datos no modificarán ni suprimirán dichas medidas técnicas de protección a menos que el titular de datos acepte.

2.   En las circunstancias a que se refiere el apartado 3, el tercero o el destinatario de datos atenderá, sin demora indebida, las solicitudes del titular de datos y, en su caso, del poseedor de un secreto comercial cuando no sea la misma persona, o del usuario para:

 a) suprimir los datos puestos a disposición por el titular de datos y cualquier copia de los datos;

 b) poner fin a la producción, oferta o comercialización o utilización de bienes, datos derivados o servicios producidos sobre la base de conocimientos obtenidos a través de dichos datos, o la importación, exportación o almacenamiento de mercancías infractoras con esos fines, y destruir cualquier mercancía infractora, cuando exista un riesgo grave de que la utilización ilícita de dichos datos cause un perjuicio significativo al titular de datos, al poseedor de un secreto comercial o al usuario, o cuando dicha medida no fuese desproporcionada a la luz de los intereses del titular de datos, del poseedor de un secreto comercial o del usuario;

 c) informar al usuario de la utilización o divulgación no autorizadas de los datos y de las medidas adoptadas para poner fin a la utilización o divulgación no autorizadas de los datos;

 d) compensar a la parte que sufra la utilización indebida o la divulgación de dichos datos a los que se haya accedido o utilizado de forma ilícita.

3.   El apartado 2 se aplicará cuando un tercero o un destinatario de datos:

 a) con el fin de obtener datos haya proporcionado a un titular de datos información falsa, haya utilizado medios engañosos o coercitivos o haya abusado de las lagunas en la infraestructura técnica del titular de datos destinada a proteger los datos;

 b) haya utilizado los datos puestos a disposición con fines no autorizados, incluido el desarrollo de un producto conectado competidor en el sentido del artículo 6, apartado 2, letra e);

 c) haya divulgado ilícitamente datos a otro tercero;

 d) no haya mantenido las medidas técnicas y organizativas acordadas en virtud del artículo 5, apartado 9, o

 e) haya modificado o eliminado medidas técnicas de protección aplicadas por el titular de datos en virtud del apartado 1 del presente artículo sin el consentimiento del titular de datos.

4.   El apartado 2 también será aplicable cuando el usuario altere o elimine las medidas técnicas de protección aplicadas por el titular de datos o no mantenga las medidas técnicas y organizativas adoptadas por el usuario de acuerdo con el titular de datos o, cuando no sean la misma persona, el poseedor de un secreto comercial, con el fin de preservar secretos comerciales, así como respecto de cualquier otra persona que reciba los datos por parte del usuario en infracción del presente Reglamento.

5.   Cuando el destinatario de los datos infrinja el artículo 6, apartado 2, letras a) o b), los usuarios tendrán los mismos derechos que los titulares de datos en virtud del apartado 2 del presente artículo.

Artículo 12. Ámbito de aplicación de las obligaciones de los titulares de datos obligados por el Derecho de la Unión a poner los datos a disposición

1.   El presente capítulo se aplicará cuando, en las relaciones entre empresas, el titular de datos esté obligado, en virtud del artículo 5 o en virtud del Derecho de la Unión aplicable o de normativa nacional adoptada de conformidad con el Derecho de la Unión, a poner los datos a disposición de un destinatario de datos.

2.   Ninguna cláusula contractual de un acuerdo de intercambio de datos que, en detrimento de una de las partes o, en su caso, en detrimento del usuario, excluya la aplicación del presente capítulo, establezca excepciones a este o modifique sus efectos, será vinculante para esa parte.

CAPÍTULO IV. CLÁUSULAS CONTRACTUALES ABUSIVAS ENTRE EMPRESAS EN RELACIÓN CON EL ACCESO A LOS DATOS Y SU UTILIZACIÓN

Artículo 13. Cláusulas contractuales abusivas impuestas unilateralmente a otra empresa

1.   Las cláusulas contractuales sobre el acceso a los datos y su utilización o sobre la responsabilidad y las vías de recurso por incumplimiento o resolución unilateral de obligaciones relativas a datos que hayan sido impuestas unilateralmente por una empresa a otra empresa no serán vinculantes en caso de ser abusivas.

2.   No se considerará abusiva una cláusula contractual que refleje disposiciones imperativas del Derecho de la Unión o disposiciones del Derecho de la Unión que se aplicarían si las cláusulas contractuales no regularan la materia.

3.   Una cláusula contractual será abusiva si, por su naturaleza, su aplicación se aparta manifiestamente de las buenas prácticas comerciales en materia de acceso a los datos y su utilización, contrariamente a la buena fe y a la lealtad de las relaciones comerciales.

4.   En particular, a los efectos del apartado 3, una cláusula contractual tendrá la consideración de abusiva si tiene por objeto o efecto:

 a) excluir o limitar la responsabilidad de la parte que haya impuesto unilateralmente la cláusula en caso de acciones intencionadas o negligencia grave;

 b) excluir las vías de recurso de que dispone la parte a la que se haya impuesto unilateralmente la cláusula en caso de incumplimiento de obligaciones contractuales o la responsabilidad de la parte que haya impuesto unilateralmente la cláusula en caso de infracción de dichas obligaciones;

 c) otorgar a la parte que haya impuesto unilateralmente la cláusula el derecho exclusivo de determinar si los datos proporcionados son acordes con el contrato o de interpretar cualquier cláusula contractual.

5.   A los efectos del apartado 3, se presumirá que una cláusula contractual es abusiva si tiene por objeto o efecto:

 a) limitar de forma inadecuada las vías de recurso en caso de incumplimiento de obligaciones contractuales o responsabilidad en caso de incumplimiento de dichas obligaciones, o ampliar la responsabilidad de la empresa a la que se haya impuesto unilateralmente la cláusula;

 b) permitir a la parte que haya impuesto unilateralmente la cláusula acceder a los datos de la otra parte contratante y utilizarlos de manera que cause un grave perjuicio a los intereses legítimos de dicha otra parte, en particular cuando esos datos contengan datos sensibles desde el punto de vista comercial o estén protegidos por secretos comerciales o derechos de propiedad intelectual;

 c) impedir a la parte a la que se haya impuesto unilateralmente la cláusula utilizar los datos que haya proporcionado o generado durante el período de vigencia del contrato, o limitar la utilización de estos datos en tal medida que esa parte no pueda utilizar, recopilar ni controlar esos datos, ni acceder a ellos, ni explotar su valor de manera adecuada;

 d) impedir que la parte a la que se haya impuesto unilateralmente la cláusula resuelva unilateralmente el contrato en un plazo razonable;

 e) impedir a la parte a la que se haya impuesto unilateralmente la cláusula obtener una copia de los datos que haya proporcionado o generado durante el período de vigencia del contrato o dentro de un plazo razonable tras su resolución unilateral;

 f) permitir a la parte que haya impuesto unilateralmente la cláusula resolver unilateralmente el contrato con un plazo de preaviso excesivamente corto, habida cuenta de cualquier posibilidad razonable de la otra parte contratante de cambiar a un servicio alternativo y comparable y del perjuicio financiero ocasionado por esa resolución, salvo cuando haya razones fundadas para hacerlo;

 g) permitir que la parte que haya impuesto unilateralmente la cláusula modifique sustancialmente el precio especificado en el contrato o cualquier otra condición sustantiva relativa a la naturaleza, el formato, la calidad o la cantidad de los datos que deban compartirse, cuando el contrato no especifique ninguna razón válida ni derecho de la otra parte para resolver unilateralmente el contrato en caso de efectuarse tal modificación.

La letra g) del presente apartado no afectará a las cláusulas en virtud de las cuales la parte que haya impuesto unilateralmente la cláusula se reserva el derecho de modificar unilateralmente las cláusulas de un contrato de duración indeterminada, siempre que el contrato especificase alguna razón válida para efectuar dicha modificación unilateral, que la parte que haya impuesto unilateralmente la cláusula esté obligada a proporcionar a la otra parte contratante un preaviso razonable para efectuar la modificación planeada y que la otra parte contratante tenga libertad para resolver unilateralmente el contrato sin coste alguno en caso de que se produzca tal modificación.

6.   Se considerará que una cláusula contractual se ha impuesto unilateralmente en la acepción del presente artículo si ha sido aportada por una de las partes contratantes sin que la otra parte contratante haya podido influir en su contenido pese a haber intentado negociarlo. Corresponderá a la parte contratante que haya aportado la cláusula contractual demostrar que no ha sido impuesta unilateralmente. La parte contratante que haya aportado la cláusula contractual controvertida no podrá alegar que se trata de una cláusula contractual abusiva.

7.   En caso de que la cláusula contractual abusiva sea disociable de las demás cláusulas del contrato, estas serán vinculantes.

8.   El presente artículo no se aplicará a las cláusulas comerciales del objeto principal del contrato ni a la adecuación del precio, con respecto a los datos suministrados a cambio.

9.   Las partes de un contrato que entre en el ámbito de aplicación del apartado 1 no excluirán la aplicación del presente artículo, ni establecerán excepciones a este ni modificarán sus efectos.

CAPÍTULO V. PONER DATOS A DISPOSICIÓN DE LOS ORGANISMOS DEL SECTOR PÚBLICO, LA COMISIÓN, EL BANCO CENTRAL EUROPEO Y LOS ORGANISMOS DE LA UNIÓN EN RAZÓN DE NECESIDADES EXCEPCIONALES

Artículo 14. Obligación de poner a disposición datos en razón de una necesidad excepcional

Cuando un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión demuestre una necesidad excepcional, tal como figura en el artículo 15, de utilizar determinados datos, incluidos los metadatos pertinentes necesarios para interpretar y utilizar dichos datos, para desarrollar sus funciones estatutarias en interés público, los titulares de datos que sean personas jurídicas, distintos de organismos del sector público, que posean dichos datos los pondrán a disposición previa solicitud debidamente motivada.

Artículo 15. Necesidad excepcional de utilizar los datos

1.   Una necesidad excepcional de utilizar determinados datos en el sentido del presente capítulo estará limitada en el tiempo y en su ámbito de aplicación y se considerará que existe únicamente en cualquiera de las circunstancias siguientes:

 a) cuando los datos solicitados sean necesarios para responder a una emergencia pública y el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión no pueda obtener dichos datos por medios alternativos de manera oportuna y efectiva en condiciones equivalentes;

 b) en circunstancias no contempladas en la letra a) y únicamente en lo que respecta a los datos no personales, cuando:

  i) un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión actúe sobre la base del Derecho de la Unión o nacional y haya identificado datos específicos cuya ausencia le impida desempeñar una tarea específica realizada en interés público, que haya sido expresamente prevista por la ley, como la elaboración de estadísticas oficiales o la mitigación de una emergencia pública o recuperación tras dicha emergencia, y

  ii) el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión haya agotado todos los demás medios a su disposición para obtener dichos datos, incluida la compra de datos no personales en el mercado ofreciendo precios de mercado, o basándose en obligaciones existentes de poner datos a disposición o la adopción de nuevas medidas legislativas que puedan garantizar la disponibilidad de los datos en tiempo oportuno.

2.   El apartado 1, letra b), no se aplicará a las microempresas ni a las pequeñas empresas.

3.   La obligación de demostrar que el organismo del sector público no ha podido obtener datos no personales comprándolos en el mercado no se aplicará cuando la tarea específica desempeñada en interés público sea la elaboración de estadísticas oficiales y cuando el Derecho nacional no permita la compra de dichos datos.

Artículo 16. Relación con otras obligaciones de poner datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión

1.   El presente capítulo no afectará a las obligaciones establecidas en el Derecho de la Unión o nacional a efectos de la presentación de informes, de dar cumplimiento a las solicitudes de acceso a información o de la demostración o verificación del cumplimiento de obligaciones legales.

2.   El presente capítulo no se aplicará a los organismos del sector público, a la Comisión, al Banco Central Europeo ni a los organismos de la Unión que efectúen actividades con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o administrativas o de ejecución de sanciones penales, ni a la administración aduanera o tributaria. El presente capítulo no afecta al Derecho aplicable de la Unión y nacional en materia de prevención, investigación, detección o enjuiciamiento de infracciones penales o administrativas o de ejecución de sanciones penales o administrativas, ni de administración aduanera o tributaria.

Artículo 17. Solicitudes de puesta a disposición de datos

1.   Cuando un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión solicite datos con arreglo al artículo 14, deberá:

 a) especificar qué datos son necesarios, incluidos los metadatos pertinentes necesarios para interpretarlos y utilizarlos;

 b) demostrar que se cumplen las condiciones necesarias para la existencia de una necesidad excepcional a que se refiere el artículo 15 para la que se solicitan los datos;

 c) explicar la finalidad de la solicitud, la utilización prevista de los datos solicitados, incluso, cuando proceda, por un tercero de conformidad con el apartado 4 del presente artículo, la duración de dicha utilización y, en su caso, la forma en que el tratamiento de los datos personales responde a la necesidad excepcional;

 d) especificar, siempre que sea posible, cuándo se prevé que los datos sean suprimidos por todas las partes que tengan acceso a ellos;

 e) justificar la elección del titular de datos al que se dirige la solicitud;

 f) especificar todos los demás organismos del sector público o la Comisión, el Banco Central Europeo o los organismos de la Unión y los terceros con los que se prevea compartir los datos solicitados;

 g) cuando se soliciten datos personales, especificar cualquier medida técnica y organizativa necesaria y proporcionada para aplicar los principios de protección de datos y las garantías necesarias, como la seudonimización, y si el titular de los datos puede aplicar la anonimización antes de poner los datos a disposición;

 h) indicar la disposición legal por la que se asigna al organismo del sector público solicitante, a la Comisión, al Banco Central Europeo o a los organismos de la Unión la tarea específica desempeñada en interés público pertinente para solicitar los datos;

 i) especificar el plazo en que deben ponerse los datos a disposición y el plazo a que se refiere el artículo 18, apartado 2, en que el titular de datos puede denegar o pedir la modificación de la solicitud;

 j) hacer todo lo posible por evitar que el cumplimiento de la solicitud de datos dé lugar a la responsabilidad de los titulares de datos por infracción del Derecho de la Unión o nacional.

2.   Toda solicitud de datos presentada con arreglo al apartado 1 del presente artículo deberá:

 a) expresarse por escrito y en un lenguaje claro, conciso y sencillo comprensible para el titular de datos;

 b) ser específica por lo que respecta al tipo de datos solicitados y corresponder a datos que el titular de datos controle en el momento de la solicitud;

 c) guardar proporción con la necesidad excepcional y estar debidamente motivada, por lo que respecta a la granularidad y el volumen de los datos solicitados y la frecuencia de acceso a los datos solicitados;

 d) respetar los objetivos legítimos del titular de datos, con el compromiso de garantizar la protección de los secretos comerciales de conformidad con el artículo 19, apartado 3, y habida cuenta del coste y el esfuerzo necesarios para poner los datos a disposición;

 e) referirse a datos no personales y, sólo si se demuestra que ello es insuficiente para responder a la necesidad excepcional de utilizar datos, de conformidad con el artículo 15, apartado 1, letra a), solicitar datos personales en forma seudonimizada y establecer las medidas técnicas y organizativas que se vayan a adoptar para proteger los datos;

 f) informar al titular de datos de las sanciones que impondrá de conformidad con el artículo 40 la autoridad competente designada en cumplimiento del artículo 37 en caso de que no se atienda la solicitud;

 g) cuando la solicitud proceda de un organismo del sector público, transmitirse al coordinador de datos a que se refiere el artículo 37 del Estado miembro en el que esté establecido el organismo del sector público solicitante, que la hará pública en línea sin demora indebida, a menos que el coordinador de datos considere que dicha publicación podría crear un riesgo para la seguridad pública;

 h) cuando la solicitud proceda de la Comisión, el Banco Central Europeo o los organismos de la Unión, ponerse a disposición en línea sin demora indebida;

 i) cuando se soliciten datos personales, notificarse sin demora indebida a la autoridad de control responsable de supervisar la aplicación del Reglamento (UE) 2016/679 en el Estado miembro en el que esté establecido el organismo del sector público.

El Banco Central Europeo y los organismos de la Unión informarán a la Comisión de sus solicitudes.

3.   Un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión no pondrá los datos obtenidos de conformidad con el presente capítulo a disposición para su reutilización tal como se define en el artículo 2, punto 2, del Reglamento (UE) 2022/868 o en el artículo 2, punto 11, de la Directiva (UE) 2019/1024. El Reglamento (UE) 2022/868 y la Directiva (UE) 2019/1024 no se aplicarán a aquellos datos en poder de organismos del sector público que se obtengan de conformidad con el presente capítulo.

4.   Lo dispuesto en el apartado 3 del presente artículo no impedirá a un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión intercambiar los datos obtenidos con arreglo al presente capítulo con otro organismo del sector público o la Comisión, el Banco Central Europeo o un organismo de la Unión con el fin de completar las tareas a que se refiere el artículo 15, tal como se especifica en la solicitud con arreglo al apartado 1, letra f), del presente artículo, ni poner los datos a disposición de un tercero en los casos en que se haya delegado en ese tercero, mediante un acuerdo disponible al público, la realización de inspecciones técnicas u otras funciones. Las obligaciones de los organismos del sector público con arreglo al artículo 19, en particular, las garantías para preservar la confidencialidad de los secretos comerciales, se aplicarán también a dichos terceros. Cuando un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión transmita o ponga a disposición datos en aplicación del presente apartado, lo notificará al titular de datos del que haya recibido los datos sin demora indebida.

5.   Cuando el titular de datos considere que sus derechos en virtud del presente capítulo han sido vulnerados por la transmisión o puesta a disposición de datos, podrá presentar una reclamación ante la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.

6.   La Comisión elaborará un modelo para las solicitudes con arreglo al presente artículo.

Artículo 18. Cumplimiento de las solicitudes de datos

1.   Cuando un titular de datos reciba una solicitud de puesta a disposición de datos con arreglo al presente capítulo, pondrá los datos a disposición del organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión solicitante sin demora indebida, teniendo en cuenta las medidas técnicas, organizativas y jurídicas necesarias.

2.   Sin perjuicio de las necesidades específicas relativas a la disponibilidad de datos definidas en el Derecho de la Unión o nacional, el titular de datos podrá denegar o solicitar la modificación de una solicitud de poner a disposición los datos con arreglo al presente capítulo sin demora indebida y, en cualquier caso, a más tardar cinco días hábiles después de la recepción de una solicitud de los datos necesarios para responder a una emergencia pública y sin demora indebida y, en cualquier caso, a más tardar treinta días hábiles después de la recepción de dicha solicitud en otros casos de necesidad excepcional, por cualquiera de los motivos siguientes:

 a) que el titular de datos no tenga control sobre los datos solicitados;

 b) que otro organismo del sector público o la Comisión, el Banco Central Europeo o un organismo de la Unión haya presentado previamente una solicitud similar para el mismo fin y no se haya notificado la supresión de los datos al titular de los datos de conformidad con el artículo 19, apartado 1, letra c);

 c) que la solicitud no reúna las condiciones establecidas en el artículo 17, apartados 1 y 2.

3.   En caso de que el titular de datos decida denegar la solicitud o pedir su modificación de conformidad con el apartado 2, letra b), indicará la identidad del organismo del sector público o la Comisión, el Banco Central Europeo o el organismo de la Unión que haya presentado previamente una solicitud con la misma finalidad.

4.   Cuando los datos solicitados incluyan datos personales, el titular de datos anonimizará adecuadamente los datos, a menos que el cumplimiento de la solicitud de poner datos a disposición de un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión exija la divulgación de datos personales. En tales casos, el titular de datos seudonimizará los datos.

5.   Cuando el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión desee impugnar la negativa de un titular de datos a proporcionar los datos solicitados, o cuando el titular de datos desee impugnar la solicitud y el asunto no pueda resolverse mediante una modificación adecuada de la solicitud, el asunto se someterá a la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.

Artículo 19. Obligaciones de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión

1.   Un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión que reciba datos de conformidad con una solicitud presentada con arreglo al artículo 14:

 a) no podrá utilizar los datos de manera incompatible con la finalidad para la que hayan sido solicitados;

 b) habrá aplicado medidas técnicas y organizativas que preserven la confidencialidad y la integridad de los datos solicitados y la seguridad de las transferencias de datos, en particular los datos personales, y garanticen los derechos y libertades de los interesados;

 c) suprimirá los datos en cuanto dejen de ser necesarios para la finalidad declarada e informará sin demora indebida al titular de datos y a las personas u organizaciones que hayan recibido los datos de conformidad con el artículo 21, apartado 1, de que los datos han sido suprimidos, a menos que el archivo de los datos sea necesario de conformidad con el Derecho de la Unión o nacional sobre acceso público a los documentos en el contexto de las obligaciones de transparencia.

2.   El organismo del sector público, la Comisión, el Banco Central Europeo, el organismo de la Unión o el tercero que reciba datos con arreglo al presente capítulo no podrá:

 a) utilizar los datos o las ideas sobre la situación económica, los activos y los métodos de producción o funcionamiento del titular de datos para desarrollar o mejorar un producto conectado o servicio relacionado que compita con el producto conectado o servicio relacionado del titular de datos;

 b) compartir los datos con otro tercero para cualquiera de los fines a que se refiere la letra a).

3.   La revelación de secretos comerciales a un organismo del sector público, a la Comisión, al Banco Central Europeo o a un organismo de la Unión se exigirá solo en la medida en que sea estrictamente necesario para cumplir la finalidad de una solicitud en virtud del artículo 15. En tal caso, el titular de datos o, si no se trata de la misma persona, el poseedor del secreto comercial, identificará los datos protegidos como secretos comerciales, también en los metadatos pertinentes. El organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión adoptarán, antes de la revelación de los secretos comerciales, todas las medidas técnicas y organizativas necesarias y adecuadas para preservar la confidencialidad de los secretos comerciales, incluido, en su caso, el uso de cláusulas contractuales tipo, normas técnicas y la aplicación de códigos de conducta.

4.   Un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión será responsable de la seguridad de los datos que reciba.

Artículo 20. Compensación en caso de necesidad excepcional

1.   Los titulares de datos distintos de las microempresas y pequeñas empresas pondrán a disposición de forma gratuita los datos necesarios para responder a una emergencia pública con arreglo al artículo 15, apartado 1, letra a). El organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión que haya recibido los datos dará reconocimiento público al titular de datos si este así lo solicita.

2.   El titular de datos tendrá derecho a una compensación justa por poner a disposición datos en cumplimiento de una solicitud presentada con arreglo al artículo 15, apartado 1, letra b). Tal compensación cubrirá los costes técnicos y organizativos soportados para dar cumplimiento a la solicitud, incluidos, en su caso, los costes de anonimización, seudonimización, agregación y de adaptación técnica, más un margen razonable. A petición del organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión, el titular de datos proporcionará información sobre la base de cálculo de los costes y del margen razonable.

3.   El apartado 2 también será de aplicación cuando una microempresa y pequeña empresa exija una compensación por poner a disposición los datos.

4.   Los titulares de datos no tendrán derecho a una compensación por la puesta de datos a disposición en cumplimiento de una solicitud realizada con arreglo al artículo 15, apartado 1, letra b), cuando la tarea específica desempeñada en interés público sea la elaboración de estadísticas oficiales y el Derecho nacional no permita la compra de datos. Los Estados miembros notificarán a la Comisión los casos en que el Derecho nacional no permita la compra de datos para la elaboración de estadísticas oficiales.

5.   Cuando el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión no acepte el nivel de compensación solicitado por el titular de datos, podrá presentar una reclamación ante la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.

Artículo 21. Intercambio de datos con organizaciones de investigación u organismos estadísticos, obtenidos en el contexto de alguna necesidad excepcional

1.   Un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión tendrá derecho a compartir datos recibidos en virtud del presente capítulo:

 a) con personas u organizaciones con miras a la realización de investigaciones científicas o análisis compatibles con el fin para el que se solicitaron los datos, o

 b) con los institutos nacionales de estadística y Eurostat para la elaboración de estadísticas oficiales.

2.   Las personas físicas u organizaciones que reciban los datos con arreglo al apartado 1 actuarán sin fines lucrativos o en el contexto de una misión de interés público reconocida en el Derecho de la Unión o nacional. Quedarán excluidas las organizaciones sujetas a una influencia importante de empresas comerciales que es probable que resulte en un acceso preferente a los resultados de la investigación.

3.   Las personas físicas u organizaciones que reciban los datos con arreglo al apartado 1 del presente artículo cumplirán las mismas obligaciones que se aplican a los organismos del sector público, a la Comisión, al Banco Central Europeo o a los organismos de la Unión con arreglo al artículo 17, apartado 3, y al artículo 19.

4.   No obstante lo dispuesto en el artículo 19, apartado 1, letra c), las personas físicas u organizaciones que reciban los datos con arreglo al apartado 1 del presente artículo podrán conservar los datos recibidos para el fin para el que se solicitaron los datos hasta seis meses desde la supresión de los datos por los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión.

5.   Cuando un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión se proponga transmitir o poner datos a disposición con arreglo al apartado 1 del presente artículo, lo notificará sin demora indebida al titular de datos del que se hayan recibido los datos, indicando la identidad y los datos de contacto de la organización o persona física que reciba los datos, la finalidad de la transmisión o puesta a disposición de los datos, el plazo durante el cual se utilizarán los datos y las medidas técnicas y organizativas de protección adoptadas, también cuando se trate de datos personales o secretos comerciales. Cuando el titular de datos no acepte la transmisión o puesta a disposición de datos, podrá presentar una reclamación ante la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.

Artículo 22. Asistencia mutua y cooperación transfronteriza

1.   Los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión cooperarán y se asistirán mutuamente con el fin de aplicar el presente capítulo de manera coherente.

2.   Los datos compartidos en el contexto de la petición y prestación de asistencia con arreglo al apartado 1 no podrán utilizarse de manera incompatible con la finalidad prevista en la petición.

3.   Cuando un organismo del sector público prevea solicitar datos a un titular de datos establecido en otro Estado miembro, notificará previamente su intención a la autoridad competente designada en cumplimiento del artículo 37 en dicho Estado miembro. Este requisito se aplicará también a las solicitudes de la Comisión, el Banco Central Europeo y los organismos de la Unión. La solicitud será examinada por la autoridad competente del Estado miembro en el que esté establecido el titular de los datos.

4.   Tras haber examinado la solicitud a la luz de los requisitos establecidos en el artículo 17, la autoridad competente pertinente adoptará, sin demora indebida, una de las siguientes medidas:

 a) transmitirá la solicitud al titular de datos y, en su caso, asesorará al organismo del sector público solicitante, a la Comisión, al Banco Central Europeo o al organismo de la Unión sobre la necesidad, en su caso, de cooperar con los organismos del sector público del Estado miembro en el que esté establecido el titular de datos con el fin de reducir la carga administrativa que pesa sobre el titular de datos en el cumplimiento de la solicitud;

 b) rechazará la solicitud por razones debidamente motivadas, de conformidad con el presente capítulo.

El organismo del sector público solicitante, la Comisión, el Banco Central Europeo y el organismo de la Unión tendrán en cuenta el asesoramiento y los motivos de la autoridad competente pertinente de conformidad con el párrafo primero antes de iniciar cualquier acción adicional, como volver a enviar la solicitud, en su caso.

CAPÍTULO VI. CAMBIO ENTRE SERVICIOS DE TRATAMIENTO DE DATOS

Artículo 23. Eliminación de los obstáculos a un cambio efectivo

Los proveedores de servicios de tratamiento de datos adoptarán las medidas previstas en los artículos 25, 26, 27, 29 y 30 para permitir a los clientes cambiar a un servicio de tratamiento de datos que cubra el mismo tipo de servicio, que sea prestado por un proveedor diferente de servicios de tratamiento de datos o a una infraestructura de TIC local o, cuando proceda, usar varios proveedores de servicios de tratamiento de datos simultáneamente. En particular, los proveedores de servicios de tratamiento de datos eliminarán y no pondrán obstáculos precomerciales, comerciales, técnicos, contractuales y organizativos que disuada a los clientes:

a) resolver, tras el plazo máximo de preaviso y la tramitación con éxito del proceso de cambio, de conformidad con el artículo 25, el contrato de servicio de tratamiento de datos;

b) celebrar nuevos contratos con otro proveedor de servicios de tratamiento de datos que cubran el mismo tipo de servicio;

c) transferir los datos exportables del cliente y sus activos digitales a un proveedor diferente de servicios de tratamiento de datos o a una infraestructura de TIC local, incluso después de haberse beneficiado de una oferta gratuita;

d) de conformidad con el artículo 24, alcanzar la equivalencia funcional en el uso del nuevo servicio de tratamiento de datos en el entorno de las TIC de un proveedor o proveedores diferentes de servicios de tratamiento de datos que incluyan el mismo tipo de servicio;

e) la desagregación, cuando sea técnicamente viable, de los servicios de tratamiento de datos a que se refiere el artículo 30, apartado 1, de otros servicios de tratamiento de datos prestados por el proveedor de servicios de tratamiento de datos.

Artículo 24. Alcance de las obligaciones técnicas

Las responsabilidades de los proveedores de servicios de tratamiento de datos establecidas en los artículos 23, 25, 29, 30 y 34, se aplicarán solo a los servicios, contratos o prácticas comerciales prestados por el proveedor de servicios de tratamiento de datos de origen.

Artículo 25. Cláusulas contractuales relativas al cambio

1.   Los derechos del cliente y las obligaciones del proveedor de servicios de tratamiento de datos en relación con el cambio de proveedor de esos servicios o, en su caso, el cambio a una infraestructura de TIC local se establecerán con claridad en un contrato escrito. El proveedor de servicios de tratamiento de datos pondrá dicho contrato a disposición del cliente antes de su firma, de un modo que permita al cliente conservar y reproducir el contrato.

2.   Sin perjuicio de lo dispuesto en la Directiva (UE) 2019/770, el contrato a que se refiere el apartado 1 del presente artículo incluirá al menos los siguientes elementos:

 a) cláusulas que permitan al cliente, previa solicitud, cambiar a un servicio de tratamiento de datos ofrecido por un proveedor diferente de servicios de tratamiento de datos o trasladar todos los datos exportables y activos digitales a una infraestructura de TIC local, sin demora indebida y, en cualquier caso, en un plazo no superior al período transitorio obligatorio máximo de treinta días naturales, que comenzará al final del plazo máximo de preaviso a que se refiere la letra d), durante el cual el contrato de servicio se seguirá aplicando y durante el cual el proveedor de servicios de tratamiento de datos:

  i) prestará una asistencia razonable al cliente y a terceros autorizados por el cliente en el proceso de cambio,

  ii) actuará con la diligencia debida para mantener la continuidad de las actividades y continuará la prestación de las funciones o servicios en virtud del contrato,

  iii) proporcionará información clara sobre los riesgos conocidos para la continuidad de la prestación de las funciones o servicios por parte del proveedor de servicios de tratamiento de datos de origen,

  iv) garantizará que se mantenga un alto nivel de seguridad a lo largo de todo el proceso de cambio, en particular, la seguridad de los datos durante su transferencia y la seguridad continua de los datos durante el período de extracción especificado en la letra g), de conformidad con el Derecho aplicable de la Unión o nacional;

 b) la obligación del proveedor de servicios de tratamiento de datos de apoyar la estrategia de salida del cliente pertinente para los servicios contratados, también proporcionando toda la información pertinente;

 c) la cláusula en la que se especifique que el contrato se considerará resuelto y se notificará al cliente la resolución, en uno de los siguientes casos:

  i) cuando proceda, una vez concluido con éxito el proceso de cambio,

  ii) al final del plazo máximo de preaviso a que se refiere la letra d), cuando el cliente no desee cambiar de proveedor, sino suprimir todos sus datos exportables y activos digitales una vez resuelto el servicio;

 d) un plazo máximo de preaviso para el inicio del proceso de cambio, que no excederá de dos meses;

 e) una especificación exhaustiva de todas las categorías de datos y activos digitales que pueden ser exportadas durante el proceso de cambio, que deberá comprender, como mínimo, todos los datos exportables;

 f) una especificación exhaustiva de las categorías de datos específicas del funcionamiento interno del servicio de tratamiento de datos del proveedor que deben quedar excluidas de los datos exportables con arreglo a la letra e) del presente apartado cuando exista un riesgo de violación de secretos comerciales del proveedor, siempre que dichas exenciones no impidan ni retrasen el proceso de cambio previsto en el artículo 23;

 g) un período mínimo para la extracción de datos de al menos treinta días naturales después de la expiración del período transitorio pactado entre el cliente y el proveedor de servicios de tratamiento de datos, de conformidad con la letra a) del presente apartado y el apartado 4;

 h) una cláusula que garantice la supresión total de todos los datos exportables y activos digitales generados directamente por el cliente, o directamente relacionados con el cliente, tras la expiración del período de extracción a que se refiere la letra g) o tras la expiración de un período alternativo pactado fijado en una fecha posterior a la fecha de expiración del período de extracción a que se refiere la letra g), siempre que el proceso de cambio haya finalizado con éxito;

 i) los costes por cambio que puedan imponer los proveedores de servicios de tratamiento de datos de conformidad con el artículo 29.

3.   El contrato al que se refiere el apartado 1, incluirá cláusulas que estipulen que el cliente puede notificar al proveedor de servicios de tratamiento de datos su decisión de realizar una o varias de las siguientes acciones una vez expire el plazo máximo de preaviso a que se refiere el apartado 2, letra d):

 a) cambiar a un proveedor diferente de servicios de tratamiento de datos, en cuyo caso el cliente proporcionará los datos de contacto necesarios de dicho proveedor;

 b) cambiar a una infraestructura de TIC local;

 c) suprimir sus datos exportables y sus activos digitales.

4.   Cuando el período transitorio obligatorio máximo establecido en el apartado 2, letra a), sea técnicamente inviable, el proveedor de servicios de tratamiento de datos notificará la inviabilidad técnica al cliente dentro de un plazo de catorce días hábiles desde que se haya presentado la solicitud de cambio, y justificará debidamente dicha inviabilidad e indicará un período transitorio alternativo, que no excederá de siete meses. De conformidad con el apartado 1, se garantizará la continuidad del servicio durante todo el período transitorio alternativo.

5.   Sin perjuicio de lo dispuesto en el apartado 4, el contrato al que se refiere el apartado 1 incluirá disposiciones que otorguen al cliente el derecho a prorrogar el período transitorio una vez por un período que el cliente considere más adecuado para sus propios fines.

Artículo 26. Obligación de información de los proveedores de servicios de tratamiento de datos

El proveedor de servicios de tratamiento de datos proporcionará al cliente:

a) información sobre los procedimientos disponibles para el cambio y la transferencia al servicio de tratamiento de datos, incluida la información sobre los métodos y formatos de cambio y de transferencia disponibles, así como las restricciones y limitaciones técnicas conocidas por el proveedor de servicios de tratamiento de datos;

b) una referencia a un registro en línea actualizado alojado por el proveedor de servicios de tratamiento de datos, con detalles de todas las estructuras y formatos de datos, así como de las normas pertinentes y las especificaciones de interoperabilidad abiertas, en el que estén disponibles los datos exportables a que se refiere el artículo 25, apartado 2, letra e).

Artículo 27. Obligación de buena fe

Todas las partes implicadas, incluidos los proveedores de servicios de tratamiento de datos de destino, cooperarán de buena fe para que el proceso de cambio sea eficaz, posibilitar la transferencia de los datos en tiempo oportuno y mantener la continuidad del servicio de tratamiento de datos.

Artículo 28. Obligaciones de transparencia contractual en materia de acceso y transferencia internacionales

1.   Los proveedores de servicios de tratamiento de datos pondrán a disposición en sus sitios web la siguiente información y la mantendrán actualizada:

 a) la jurisdicción a la que está sujeta la infraestructura de TIC desplegada para el tratamiento de datos de sus servicios individuales;

 b) una descripción general de las medidas técnicas, organizativas y contractuales adoptadas por el proveedor de servicios de tratamiento de datos para impedir el acceso o transferencia internacionales por parte de las administraciones públicas de datos no personales que se encuentren en la Unión, cuando dicho acceso o transferencia pueda entrar en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate.

2.   Los sitios web a que se refiere el apartado 1 se enumerarán en los contratos de todos los servicios de tratamiento de datos ofrecidos por los proveedores de servicios de tratamiento de datos.

Artículo 29. Supresión gradual de los costes por cambio

1.   A partir del 12 de enero de 2027, los proveedores de servicios de tratamiento de datos no impondrán al cliente ningún coste por cambio por el proceso de cambio.

2.   Del 11 de enero de 2024 hasta el 12 de enero de 2027, los proveedores de servicios de tratamiento de datos podrán imponer al cliente costes por cambio reducidos por el proceso de cambio.

3.   Los costes por cambio reducidos contemplados en el apartado 2 no excederán de los costes soportados por el proveedor de servicios de tratamiento de datos que tengan una relación directa con el proceso de cambio de que se trate.

4.   Antes de celebrar un contrato con un cliente, los proveedores de servicios de tratamiento de datos proporcionarán al posible cliente información clara sobre los costes estándar del servicio y las sanciones por resolución anticipada que podrían imponerse, así como sobre la reducción de los costes por cambio que podrían imponerse durante el plazo a que se refiere el apartado 2.

5.   Cuando proceda, los proveedores de servicios de tratamiento de datos proporcionarán información al cliente sobre los servicios de tratamiento de datos que impliquen un cambio muy complejo o costoso o para los que sea imposible cambiar de proveedor sin interferencias significativas en los datos, los activos digitales o la arquitectura del servicio.

6.   Cuando proceda, los proveedores de servicios de tratamiento de datos pondrán la información a que se refieren los apartados 4 y 5 a disposición pública para los clientes a través de una sección específica de su sitio web o de cualquier otra forma fácilmente accesible.

7.   La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 45, con el fin de completar el presente Reglamento mediante el establecimiento de un mecanismo de seguimiento que permita a la Comisión supervisar los costes por cambio aplicados por los proveedores de servicios de tratamiento de datos en el mercado para garantizar que la supresión y la reducción de los costes por cambio con arreglo a los apartados 1 y 2 del presente artículo, se alcancen de conformidad con los plazos previstos en dichos apartados.

Artículo 30. Aspectos técnicos del cambio

1.   Los proveedores de servicios de tratamiento de datos que afectan a recursos informáticos modulables y elásticos limitados a elementos de infraestructura, como los servidores, las redes y los recursos virtuales necesarios para explotar la infraestructura, pero que no proporcionan acceso a los servicios operativos, aplicaciones y software almacenados, tratados o implantados en esos elementos de infraestructura, adoptarán, de conformidad con el artículo 27, todas las medidas razonables a su alcance para facilitar que el cliente, tras cambiar a un servicio que cubra el mismo tipo de servicio, logre la equivalencia funcional en el uso del servicio de tratamiento de datos de destino. El proveedor de servicios de tratamiento de datos de origen facilitará el proceso de cambio proporcionando capacidades, información adecuada, documentación, apoyo técnico y, cuando proceda, las herramientas necesarias.

2.   Los proveedores de servicios de tratamiento de datos, distintos de a los que se refiere el apartado 1, pondrán gratuitamente interfaces abiertas a disposición de todos sus clientes y de los proveedores de servicios de tratamiento de datos de destino afectados, de igual manera, para facilitar el proceso de cambio. Estas interfaces incluirán información suficiente sobre el servicio de que se trate para permitir el desarrollo de programas informáticos para comunicarse con los servicios, a efectos de la portabilidad de los datos y la interoperabilidad.

3.   En el caso de servicios de tratamiento de datos distintos de los contemplados en el apartado 1 del presente artículo, los proveedores de servicios de tratamiento de datos garantizarán la compatibilidad con las especificaciones comunes basadas en especificaciones de interoperabilidad abiertas o normas armonizadas de interoperabilidad al menos doce meses después de la publicación de las referencias a dichas especificaciones comunes de interoperabilidad o normas armonizadas de interoperabilidad de los servicios de tratamiento de datos en el repositorio central de la Unión de normas para la interoperabilidad de los servicios de tratamiento de datos tras la publicación de los actos de ejecución correspondientes en el Diario Oficial de la Unión Europea de conformidad con el artículo 35, apartado 7.

4.   Los proveedores de servicios de tratamiento de datos distintos de los contemplados en el apartado 1 del presente artículo actualizarán el registro en línea a que se refiere el artículo 26, letra b), de conformidad con sus obligaciones en virtud del apartado 3 del presente artículo.

5.   En caso de cambio entre servicios del mismo tipo de servicio, para los que no se hayan publicado las especificaciones comunes o las normas armonizadas de interoperabilidad a que se refiere el apartado 3 del presente artículo en el repositorio central de la Unión de normas para la interoperabilidad de los servicios de tratamiento de datos de conformidad con el artículo 35, apartado 8, el proveedor de servicios de tratamiento de datos exportará, a petición del cliente, todos los datos exportables en un formato estructurado, de utilización habitual y de lectura mecánica.

6.   Los proveedores de servicios de tratamiento de datos no estarán obligados a desarrollar nuevas tecnologías o servicios, ni a revelar o transferir activos digitales protegidos por derechos de propiedad intelectual o que constituyan un secreto comercial, a un cliente o a un proveedor diferente de servicios de tratamiento de datos, ni a comprometer la seguridad y la integridad del servicio del cliente o del proveedor.

Artículo 31. Régimen específico para determinados servicios de tratamiento de datos

1.   Las obligaciones establecidas en el artículo 23, letra d), en el artículo 29 y en el artículo 30, apartados 1 y 3, no se aplicarán a los servicios de tratamiento de datos una mayor parte de cuyas características principales se hayan desarrollado a medida para satisfacer las necesidades específicas de un cliente concreto o en los que todos los componentes se hayan desarrollado para los fines de un cliente concreto, y cuando esos servicios de tratamiento de datos no se ofrezcan a gran escala comercial a través del catálogo de servicios del proveedor de servicios de tratamiento de datos.

2.   Las obligaciones establecidas en el presente capítulo no se aplicarán a los servicios de tratamiento de datos prestados como versión no destinada a la producción con fines de ensayo y evaluación y durante un período de tiempo limitado.

3.   Antes de la celebración de un contrato sobre la prestación de los servicios de tratamiento de datos a que se refiere el presente artículo, el proveedor de servicios de tratamiento de datos informará al posible cliente de las obligaciones del presente capítulo que no sean aplicables.

CAPÍTULO VII. ACCESO Y TRANSFERENCIA INTERNACIONALES ILÍCITOS DE DATOS NO PERSONALES POR PARTE DE ADMINISTRACIONES PÚBLICAS

Artículo 32. Acceso y transferencia internacionales por parte de administraciones públicas

1.   Los proveedores de servicios de tratamiento de datos personales adoptarán todas las medidas técnicas, organizativas y jurídicas adecuadas, lo que incluye la celebración de contratos, para impedir el acceso y la transferencia internacionales y por parte de las administraciones públicas de terceros países de datos no personales que se encuentren en la Unión, cuando dicha transferencia o acceso entren en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, sin perjuicio de lo dispuesto en los apartados 2 o 3.

2.   Las resoluciones o sentencias de órganos jurisdiccionales de un tercer país y las decisiones de autoridades administrativas de un tercer país en las que se exija a un proveedor de servicios de tratamiento de datos transferir o dar acceso a datos no personales incluidos en el ámbito de aplicación del presente Reglamento que se encuentren en la Unión solo se reconocerá o ejecutará de cualquier forma si se basan en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o entre el tercer país solicitante y un Estado miembro.

3.   En ausencia de un acuerdo internacional de los contemplados en el apartado 2, cuando un proveedor de servicios de tratamiento de datos sea el destinatario de una resolución o sentencia de un órgano jurisdiccional de un tercer país o de una decisión de una autoridad administrativa de un tercer país de transferir o dar acceso a datos no personales incluidos en el ámbito de aplicación del presente Reglamento que se encuentren en la Unión y el cumplimiento de dicha decisión entrañe el riesgo de que el destinatario entre en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, la transferencia a dichos datos o el acceso a los mismos por parte de dicha autoridad de un tercer país solo tendrá lugar cuando:

 a) el sistema del tercer país exija que se expongan los motivos y la proporcionalidad de dicha resolución o sentencia y que la resolución o sentencia sea de carácter específico, por ejemplo, estableciendo un vínculo suficiente con determinadas personas sospechosas o infracciones;

 b) la oposición motivada del destinatario se someta a la apreciación de un órgano jurisdiccional competente del tercer país, y

 c) el órgano jurisdiccional competente del tercer país que dicte la resolución o sentencia o revise la resolución de una autoridad administrativa esté facultado, con arreglo al Derecho del tercer país, para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o por el Derecho nacional del Estado miembro pertinente.

El destinatario de la resolución o sentencia podrá solicitar el dictamen del organismo nacional pertinente o de la autoridad competente en materia de cooperación internacional en asuntos jurídicos, con el fin de determinar si se cumplen las condiciones establecidas en el párrafo primero, en particular, cuando considere que la decisión puede referirse a secretos comerciales y otros datos sensibles desde el punto de vista comercial, así como a contenidos protegidos por derechos de propiedad intelectual, o que la transferencia puede dar lugar a una reidentificación. El organismo o autoridad nacional competente podrá consultar a la Comisión. Si el destinatario considera que la decisión o sentencia puede afectar a los intereses de la seguridad nacional o de la defensa de la Unión o de sus Estados miembros, solicitará el dictamen del organismo o autoridad nacional competente, a fin de determinar si los datos solicitados se refieren a intereses de seguridad nacional o de defensa de la Unión o de sus Estados miembros. Si el destinatario no ha recibido una respuesta en el plazo de un mes, o si el dictamen de tal organismo o autoridad llega a la conclusión de que no se cumplen las condiciones establecidas en el párrafo primero, el destinatario podrá denegar por esos motivos la solicitud de transferencia o acceso a datos no personales.

El CEID a que se refiere el artículo 42 asesorará y asistirá a la Comisión en la elaboración de directrices para la evaluación del cumplimiento de las condiciones establecidas en el párrafo primero del presente apartado.

4.   Si se cumplen las condiciones establecidas en los apartados 2 o 3, el proveedor de servicios de tratamiento de datos proporcionará la cantidad mínima de datos permitida en respuesta a una solicitud, sobre la base de la interpretación razonable de dicha solicitud por parte del proveedor o del organismo o autoridad nacional competente a que se refiere el apartado 3, párrafo segundo.

5.   Antes de dar cumplimiento a dicha solicitud, el proveedor de servicios de tratamiento de datos informará al cliente de que una autoridad de un tercer país ha presentado una solicitud de acceso a sus datos, excepto en los casos en que la solicitud sirva a fines de aplicación de la ley y mientras sea necesario para preservar la eficacia de las actividades correspondientes de aplicación de la ley.

CAPÍTULO VIII. INTEROPERABILIDAD

Artículo 33. Requisitos esenciales en materia de interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos, y de los espacios comunes europeos de datos

1.   Los participantes en espacios de datos que ofrezcan datos o servicios de datos a otros participantes cumplirán los siguientes requisitos esenciales para facilitar la interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos, y de los espacios comunes europeos de datos que sean marcos interoperables específicos, sectoriales o intersectoriales de normas y prácticas comunes para compartir o tratar conjuntamente datos con el fin, entre otros, de desarrollar nuevos productos y servicios, investigación científica o iniciativas de la sociedad civil:

 a) el contenido del conjunto de datos, las restricciones de utilización, las licencias, la metodología de recopilación de datos y la calidad e incertidumbre de los datos se describirán en una medida suficiente, cuando proceda, en un formato de lectura mecánica para que el destinatario pueda encontrar los datos, acceder a ellos y utilizarlos;

 b) las estructuras de datos, los formatos de datos, los vocabularios, los sistemas de clasificación, las taxonomías y las listas de códigos, cuanto estén disponibles, se describirán de manera que sean de acceso público y coherentes;

 c) los medios técnicos para acceder a los datos, tales como las interfaces de programación de aplicaciones, así como sus condiciones de uso y su calidad de servicio, se describirán en una medida suficiente para permitir el acceso automático a los datos y su transmisión automática entre las partes, incluido de forma continua, en descarga masiva o en tiempo real, en un formato de lectura mecánica cuando sea técnicamente viable y no impida el buen funcionamiento del producto conectado;

 d) cuando proceda, se proporcionarán los medios que posibiliten la interoperabilidad de las herramientas para automatizar la ejecución de los acuerdos de intercambio de datos, como los contratos inteligentes.

Los requisitos pueden ser de carácter genérico o referirse a sectores específicos, si bien han de tomar plenamente en consideración la interrelación con requisitos derivados de otras disposiciones del Derecho de la Unión o nacional.

2.   La Comisión estará facultada para adoptar actos delegados con arreglo al artículo 45 del presente Reglamento por los que se complete el presente Reglamento especificando en mayor medida los requisitos esenciales establecidos en el apartado 1 del presente artículo, en relación con aquellos requisitos que, por su naturaleza, no puedan producir el efecto deseado a menos que se especifiquen con más detalle en actos jurídicos vinculantes de la Unión y con el fin de reflejar adecuadamente la evolución tecnológica y del mercado.

Cuando adopte actos delegados, la Comisión tendrá en cuenta el asesoramiento del CEID de conformidad con el artículo 42, letra c), inciso iii).

3.   Se presumirá que los participantes en espacios de datos que ofrezcan datos o servicios de datos a otros participantes en espacios de datos que cumplan las normas armonizadas o partes de estas normas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, cumplen los requisitos esenciales establecidos en el apartado 1 en la medida en que dichas normas armonizadas o partes de ellas cubran dichos requisitos.

4.   De conformidad con el artículo 10 del Reglamento (UE) nº1025/2012, la Comisión pedirá a una o varias organizaciones europeas de normalización que elaboren normas armonizadas que cumplan los requisitos esenciales establecidos en el apartado 1 del presente artículo.

5.   La Comisión podrá adoptar, mediante actos de ejecución, especificaciones comunes que cubran alguno o todos los requisitos esenciales establecidos en el apartado 1 cuando se cumplan las siguientes condiciones:

 a) que la Comisión haya solicitado, en virtud del artículo 10, apartado 1, del Reglamento (UE) nº 1025/2012, a una o varias organizaciones europeas de normalización la redacción de una norma armonizada que cumpla los requisitos esenciales establecidos en el apartado 1 del presente artículo y:

  i) la solicitud no haya sido aceptada,

  ii) las normas armonizadas en respuesta a dicha solicitud no se entreguen dentro del plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) nº 1025/2012, o

  iii) las normas armonizadas no se ajusten a la solicitud, y

 b) no se haya publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos esenciales pertinentes establecidos en el apartado 1 del presente artículo, de conformidad con el Reglamento (UE) nº 1025/2012 y no se prevea la publicación de ningún proyecto de norma en un plazo razonable.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 46, apartado 2.

6.   Antes de preparar un proyecto de acto de ejecución a que se refiere el apartado 5 del presente artículo, la Comisión informará al comité a que se refiere el artículo 22 del Reglamento (UE) nº1025/2012 de que considera que se cumplen las condiciones establecidas en el apartado 5 del presente artículo.

7.   Al preparar el proyecto de acto de ejecución a que se refiere el apartado 5, la Comisión tendrá en cuenta el asesoramiento del CEID y las opiniones de otros organismos o grupos de expertos pertinentes y consultará debidamente a todas las partes interesadas pertinentes.

8.   Se presumirá que los participantes en espacios de datos que ofrezcan datos o servicios de datos a otros participantes en espacios de datos que cumplan las especificaciones comunes establecidas por los actos de ejecución a que se refiere el apartado 5, o partes de estos, cumplen los requisitos esenciales establecidos en el apartado 1, en la medida en que dichos requisitos estén contemplados por tales especificaciones comunes o partes de ellas.

9.   Cuando una norma armonizada sea adoptada por una organización europea de normalización y propuesta a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma armonizada de conformidad con el Reglamento (UE) nº1025/2012. Cuando la referencia de una norma armonizada se haya publicado en el Diario Oficial de la Unión Europea, la Comisión derogará los actos de ejecución a que se refiere el apartado 5 del presente artículo, o partes de estos que prevean los mismos requisitos esenciales que los contemplados por las normas armonizadas.

10.   Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos esenciales establecidos en el apartado 1, informará de ello a la Comisión presentando una explicación detallada. La Comisión evaluará dicha explicación detallada y podrá modificar, si procede, el acto de ejecución por el que se establezca la especificación común en cuestión.

11.   La Comisión podrá adoptar directrices teniendo en cuenta la propuesta del CEID de conformidad con el artículo 30, letra h), del Reglamento (UE) 2022/868, que establezcan marcos de interoperabilidad de las normas y prácticas comunes para el funcionamiento de los espacios comunes europeos de datos.

Artículo 34. Interoperabilidad a efectos del uso en paralelo de los servicios de tratamiento de datos

1.   Los requisitos establecidos en el artículo 23, el artículo 24, el artículo 25, apartado 2, letra a), incisos ii) y iv), letras e) y f), y el artículo 30, apartados 2 a 5, se aplicarán también mutatis mutandis a los proveedores de servicios de tratamiento de datos para facilitar la interoperabilidad a efectos del uso en paralelo de los servicios de tratamiento de datos.

2.   Cuando un servicio de tratamiento de datos se utilice en paralelo con otro servicio de tratamiento de datos, los proveedores de servicios de tratamiento de datos podrán imponer costes de salida de datos, pero solo con el fin de repercutir los costes de salida soportados, sin superar dichos costes.

Artículo 35. Interoperabilidad de los servicios de tratamiento de datos

1.   Las especificaciones de interoperabilidad abiertas y las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos deberán:

 a) lograr, cuando sea técnicamente viable, la interoperabilidad entre distintos servicios de tratamiento de datos que cubran el mismo tipo de servicio;

 b) mejorar la portabilidad de los activos digitales entre distintos servicios de tratamiento de datos que cubran el mismo tipo de servicio;

 c) facilitar, cuando sea técnicamente viable, la equivalencia funcional entre los servicios de tratamiento de datos a que se refiere el artículo 30, apartado 1, que cubran el mismo tipo de servicios;

 d) no afectar negativamente a la seguridad e integridad de los servicios de tratamiento de datos y de los datos;

 e) formularse de tal forma que permitan avances técnicos y la incorporación de nuevas funciones e innovaciones en los servicios de tratamiento de datos.

2.   Las especificaciones de interoperabilidad abiertas y las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos abordarán adecuadamente:

 a) los aspectos de la interoperabilidad de la nube en lo que respecta a la interoperabilidad del transporte, la interoperabilidad sintáctica, la interoperabilidad semántica de los datos, la interoperabilidad conductual y la interoperabilidad de los marcos normativos;

 b) los aspectos de la portabilidad de los datos en la nube en lo que respecta a la portabilidad sintáctica de los datos, la portabilidad semántica de los datos y la portabilidad de los marcos normativos relativos a los datos;

 c) los aspectos de las aplicaciones en la nube en lo que respecta a la portabilidad sintáctica de las aplicaciones, la portabilidad de las instrucciones de las aplicaciones, la portabilidad de los metadatos de las aplicaciones, la portabilidad conductual de las aplicaciones y la portabilidad de los marcos normativos de las aplicaciones.

3.   Las especificaciones de interoperabilidad abiertas cumplirán lo dispuesto en el anexo II del Reglamento (UE) nº1025/2012.

4.   Tras tener en cuenta las normas internacionales y europeas pertinentes y las iniciativas de autorregulación, la Comisión podrá, de conformidad con el artículo 10, apartado 1, del Reglamento (UE) nº1025/2012, pedir a una o varias organizaciones europeas de normalización que elaboren normas armonizadas que satisfagan los requisitos esenciales establecidos en los apartados 1 y 2 del presente artículo.

5.   La Comisión podrá adoptar, mediante actos de ejecución, especificaciones comunes sobre la base de especificaciones de interoperabilidad abiertas que cubran todos los requisitos esenciales establecidos en los apartados 1 y 2.

6.   Cuando prepare el proyecto de acto de ejecución a que se refiere el apartado 5 del presente artículo, la Comisión tendrá en cuenta las opiniones de las autoridades competentes a que se refiere el artículo 37, apartado 5, letra h), y de otros organismos o grupos de expertos pertinentes, y consultará debidamente a todas las partes interesadas pertinentes.

7.   Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos establecidos en los apartados 1 y 2, informará de ello a la Comisión presentando una explicación detallada. La Comisión evaluará dicha explicación detallada y podrá modificar, si procede, el acto de ejecución por el que se establezca la especificación común en cuestión.

8.   A efectos del artículo 30, apartado 3, la Comisión publicará, mediante actos de ejecución, las referencias de las normas armonizadas y las especificaciones comunes para la interoperabilidad de los servicios de tratamiento de datos en un repositorio central de la Unión de normas para la interoperabilidad de los servicios de tratamiento de datos.

9.   Los actos de ejecución a que se refiere el presente artículo se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 46, apartado 2.

Artículo 36. Requisitos esenciales relativos a los contratos inteligentes para la ejecución de acuerdos de intercambio de datos

1.   El proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o parte de un acuerdo, para poner datos a disposición garantizará que los contratos inteligentes cumplen los siguientes requisitos esenciales:

 a) solidez y control de acceso, para garantizar que el contrato inteligente se haya diseñado de manera que ofrezca unos mecanismos de control de acceso y un grado de solidez muy elevado con el fin de evitar errores funcionales y contrarrestar los intentos de manipulación por terceros;

 b) resolución unilateral e interrupción seguras, para garantizar que exista un mecanismo que permita poner fin a la ejecución de transacciones y que el contrato inteligente incluye funciones internas que permitan reinicializar el contrato o darle instrucciones para poner fin a la operación o interrumpirla, en particular, para evitar futuras ejecuciones accidentales;

 c) archivo y continuidad de los datos, para garantizar, en circunstancias en las que el contrato inteligente deba finalizar o desactivarse, la posibilidad de archivar los datos de las transacciones, así como la lógica y el código del contrato inteligente, con el fin de llevar un registro de las operaciones con datos efectuadas previamente (auditabilidad);

 d) control de acceso, para garantizar que el contrato inteligente esté protegido con mecanismos rigurosos de control de acceso en el nivel de la gobernanza y en el del contrato inteligente, y

 e) coherencia, para garantizar la coherencia con las condiciones del acuerdo de intercambio de datos que ejecuta el contrato inteligente.

2.   El proveedor del contrato inteligente o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o de parte de un acuerdo, para poner datos a disposición realizará una evaluación de conformidad a efectos del cumplimiento de los requisitos esenciales establecidos en el apartado 1 y expedirá una declaración UE de conformidad respecto al cumplimiento de dichos requisitos.

3.   Al expedir la declaración UE de conformidad, el proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o de parte de un acuerdo de puesta a disposición de datos será responsable del cumplimiento de los requisitos esenciales establecidos en el apartado 1.

4.   Se presumirá que un contrato inteligente que se atenga a las normas armonizadas o las partes pertinentes de estas normas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, es conforme con los requisitos esenciales establecidos en el apartado 1, en la medida en que dichos requisitos estén contemplados por tales normas armonizadas o partes de ellas.

5.   De conformidad con el artículo 10 del Reglamento (UE) nº1025/2012, la Comisión pedirá a una o varias organizaciones europeas de normalización que elaboren normas armonizadas que cumplan los requisitos esenciales establecidos en el apartado 1 del presente artículo.

6.   La Comisión podrá adoptar, mediante actos de ejecución, especificaciones comunes que cubran alguno o todos los requisitos esenciales establecidos en el apartado 1 cuando se cumplan las siguientes condiciones:

 a) que la Comisión haya solicitado, en virtud del artículo 10, apartado 1, del Reglamento (UE) nº 1025/2012, a una o varias organizaciones europeas de normalización la redacción de una norma armonizada que cumpla los requisitos esenciales establecidos en el apartado 1 del presente artículo y:

  i) la solicitud no haya sido aceptada,

  ii) las normas armonizadas en respuesta a dicha solicitud no se entreguen dentro del plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) nº 1025/2012, o

  iii) las normas armonizadas no se ajusten a la solicitud, y

 b) no se haya publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos esenciales pertinentes establecidos en el apartado 1 del presente artículo, de conformidad con el Reglamento (UE) nº 1025/2012 y no se prevea la publicación de ningún proyecto de norma en un plazo razonable.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 46, apartado 2.

7.   Antes de preparar un proyecto de acto de ejecución a que se refiere el apartado 6 del presente artículo, la Comisión informará al Comité a que se refiere el artículo 22 del Reglamento (UE) nº1025/2012 de que considera que se cumplen las condiciones establecidas en el apartado 6 del presente artículo.

8.   Cuando prepare el proyecto de acto de ejecución a que se refiere el apartado 6, la Comisión tendrá en cuenta el asesoramiento del CEID y las opiniones de otros organismos o grupos de expertos pertinentes y consultará debidamente a todas las partes interesadas pertinentes.

9.   Se presumirá que el proveedor de un contrato inteligente o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o de parte de un acuerdo de puesta a disposición de datos que cumplan las especificaciones comunes establecidas por los actos de ejecución a que se refiere el apartado 6, o partes de estos, cumple los requisitos esenciales establecidos en el apartado 1 en la medida en que dichos requisitos estén cubiertos por tales especificaciones comunes o partes de ellas.

10.   Cuando una norma armonizada sea adoptada por una organización europea de normalización y propuesta a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma armonizada de conformidad con el Reglamento (UE) nº1025/2012. Cuando la referencia de una norma armonizada se haya publicado en el Diario Oficial de la Unión Europea, la Comisión derogará los actos de ejecución a que se refiere el apartado 6 del presente artículo, o partes de este que prevean los mismos requisitos esenciales que los contemplados por la norma armonizada.

11.   Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos establecidos en el apartado 1, informará de ello a la Comisión presentando una explicación detallada. La Comisión evaluará dicha explicación detallada y podrá modificar, si procede, el acto de ejecución por el que se establezca la especificación común en cuestión.

CAPÍTULO IX. APLICACIÓN Y EJECUCIÓN

Artículo 37. Autoridades competentes y coordinadores de datos

1.   Cada Estado miembro designará una o varias autoridades nacionales competentes para garantizar la aplicación y ejecución del presente Reglamento (en lo sucesivo, «autoridades competentes»). Los Estados miembros podrán establecer una o varias autoridades nuevas o recurrir a las autoridades existentes.

2.   Cuando un Estado miembro designe más de una autoridad competente, designará a un coordinador de datos de entre ellas para facilitar la cooperación entre las autoridades competentes y ayudar a las entidades dentro del ámbito de aplicación del presente Reglamento en todas las cuestiones relacionadas con la aplicación y el control del cumplimiento de este. Las autoridades competentes cooperarán mutuamente en el ejercicio de las funciones y competencias que les hayan sido asignadas con arreglo al apartado 5.

3.   Las autoridades de control responsables de supervisar la aplicación del Reglamento (UE) 2016/679 tendrán la responsabilidad de supervisar la aplicación del presente Reglamento en lo que respecta a la protección de los datos personales. Se aplicarán mutatis mutandis los capítulos VI y VII del Reglamento (UE) 2016/679.

El Supervisor Europeo de Protección de Datos tendrá la responsabilidad de supervisar la aplicación del presente Reglamento en lo que respecta a la Comisión, el Banco Central Europeo o los organismos de la Unión. Cuando proceda, se aplicará mutatis mutandis el artículo 62 del Reglamento (UE) 2018/1725.

Las funciones y competencias de las autoridades de control a que se refiere el presente apartado se ejercerán respecto al tratamiento de datos personales.

4.   Sin perjuicio de lo dispuesto en el apartado 1 del presente artículo:

 a) para cuestiones sectoriales específicas de la utilización y acceso de datos relacionados con la aplicación del presente Reglamento, se respetará la competencia de las autoridades sectoriales;

 b) la autoridad competente responsable de la aplicación y ejecución de los artículos 23 a 31 y de los artículos 34 y 35 tendrá experiencia en el ámbito de los datos y los servicios de comunicaciones electrónicas.

5.   Los Estados miembros velarán por que las funciones y competencias de las autoridades competentes estén claramente definidas e incluyan:

 a) fomentar la alfabetización en materia de datos y la sensibilización entre los usuarios y las entidades que entren en el ámbito de aplicación del presente Reglamento acerca de los derechos y obligaciones previstos en el presente Reglamento;

 b) tramitar las denuncias derivadas de supuestas infracciones del presente Reglamento, también en relación con secretos comerciales, investigar el objeto de las denuncias en la medida adecuada e informar periódicamente a los denunciantes, cuando proceda de conformidad con el Derecho nacional, sobre el curso y el resultado de la investigación en un plazo razonable, en particular cuando resulte necesario proseguir la investigación o coordinar actuaciones con otra autoridad competente;

 c) llevar a cabo investigaciones sobre asuntos que afecten a la aplicación del presente Reglamento, también sobre la base de información recibida de otra autoridad competente o autoridad pública;

 d) imponer sanciones económicas efectivas, proporcionadas y disuasorias, que pueden incluir multas coercitivas y multas con efecto retroactivo, o iniciar procedimientos judiciales para la imposición de multas;

 e) hacer un seguimiento de los avances tecnológicos y comerciales pertinentes para la puesta a disposición y utilización de datos;

 f) cooperar con las autoridades competentes de otros Estados miembros y, cuando proceda, con la Comisión o el CEID, para garantizar la aplicación coherente y eficiente del presente Reglamento, lo que incluye el intercambio de toda la información pertinente por medios electrónicos, sin demora indebida, también con respecto al apartado 10 del presente artículo;

 g) cooperar con las autoridades competentes pertinentes responsables de la aplicación de otros actos jurídicos de la Unión o nacionales, también con las autoridades competentes en el ámbito de los datos y los servicios de comunicaciones electrónicas, con la autoridad de control responsable del seguimiento de la aplicación del Reglamento (UE) 2016/679 o con las autoridades sectoriales para garantizar que el presente Reglamento se aplica de manera coherente con otras disposiciones del Derecho de la Unión y nacional;

 h) cooperar con las autoridades competentes pertinentes para garantizar que los artículos 23 a 31 y los artículos 34 y 35 se cumplan de manera coherente con otras disposiciones del Derecho de la Unión y medidas de autorregulación aplicables a los proveedores de servicios de tratamiento de datos;

 i) velar por la supresión de los costes por cambio de conformidad con el artículo 29;

 j) examinar las solicitudes de datos formuladas con arreglo al capítulo V.

Si se ha designado, el coordinador de datos facilitará la cooperación a que se refieren las letras f), g) y h) del párrafo primero y asistirá a las autoridades competentes si estas lo solicitan.

6.   En caso de que dicha autoridad competente haya sido designada, el coordinador de datos deberá:

 a) actuar como punto de contacto único para todas las cuestiones relacionadas con la aplicación del presente Reglamento;

 b) asegurar la disponibilidad pública en línea de las solicitudes de puesta a disposición de datos presentadas por organismos del sector público en los casos de necesidad excepcional con arreglo al capítulo V y promover acuerdos voluntarios de intercambio de datos entre organismos del sector público y titulares de datos;

 c) informar anualmente a la Comisión de las denegaciones notificadas con arreglo al artículo 4, apartados 2 y 8, y al artículo 5, apartado 11.

7.   Los Estados miembros notificarán a la Comisión los nombres de las autoridades competentes y sus funciones y competencias, así como, cuando proceda, el nombre del coordinador de datos. La Comisión mantendrá un registro público de dichas autoridades.

8.   En el ejercicio de sus funciones y competencias de conformidad con el presente Reglamento, las autoridades competentes se mantendrán imparciales y no estarán sometidas a ninguna influencia externa, ya sea directa o indirecta, y no solicitarán ni aceptarán instrucciones para casos concretos de ninguna otra autoridad pública o entidad privada.

9.   Los Estados miembros velarán por dotar a las autoridades competentes de los recursos técnicos y humanos suficientes y de los conocimientos especializados pertinentes para el ejercicio adecuado de sus funciones de conformidad con el presente Reglamento.

10.   Las entidades incluidas en el ámbito de aplicación del presente Reglamento estarán sujetas a la competencia del Estado miembro en el que esté establecida la entidad. Cuando la entidad esté establecida en más de un Estado miembro, se considerará que es competencia del Estado miembro en el que tenga su establecimiento principal, es decir, donde la entidad tenga su domicilio social o administración central, desde el que se ejerza las principales funciones financieras y el control operativo.

11.   Toda entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión y que no esté establecida en la Unión designará un representante legal en uno de los Estados miembros.

12.   A efectos de garantizar el cumplimiento del presente Reglamento, toda entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión, otorgará un mandato a un representante legal para que las autoridades competentes se pongan en contacto con dicho representante, además o en lugar de la entidad, en relación con todas las cuestiones relacionadas con esta. Dicho representante legal cooperará y demostrará exhaustivamente a las autoridades competentes, previa solicitud, las medidas y las disposiciones adoptadas por la entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión, a fin de garantizar el cumplimiento del presente Reglamento.

13.   Se considerará que toda entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión queda sometida a la competencia del Estado miembro en el que esté ubicado su representante legal. La designación de un representante legal por tal entidad se entenderá sin perjuicio de las responsabilidades que se puedan exigir a dicha entidad y de cualesquiera acciones legales que puedan ejercitarse contra ella. Hasta que designe a un representante legal de conformidad con el presente artículo, la entidad será competencia de todos los Estados miembros, cuando proceda, a efectos de garantizar la aplicación y ejecución del presente Reglamento. Cualquier autoridad competente podrá ejercer su competencia, incluso imponiendo sanciones efectivas, proporcionadas y disuasorias, siempre que la entidad no esté sujeta a procedimientos de ejecución en virtud del presente Reglamento por los mismos hechos por otra autoridad competente.

14.   Las autoridades competentes estarán facultadas para solicitar a los usuarios, titulares de datos o destinatarios de datos, o a sus representantes legales, que sean competencia de su Estado miembro, toda la información necesaria para verificar el cumplimiento del presente Reglamento. Las solicitudes de información serán proporcionadas al cumplimiento de la tarea subyacente y estarán motivadas.

15.   Cuando una autoridad competente de un Estado miembro solicite asistencia o medidas de ejecución a una autoridad competente de otro Estado miembro, presentará una solicitud motivada. Una vez recibida dicha solicitud, la autoridad competente responderá, sin demora indebida, detallando las medidas adoptadas o previstas.

16.   Las autoridades competentes respetarán los principios de confidencialidad y de secreto profesional y comercial, y protegerán los datos de carácter personal con arreglo al Derecho de la Unión o nacional. Toda la información intercambiada en el contexto de una solicitud de asistencia y proporcionada en virtud del presente artículo se utilizará únicamente en relación con el asunto para el que se solicitó.

Artículo 38. Derecho a presentar una reclamación

1.   Sin perjuicio de cualquier otro recurso administrativo o acción judicial, toda persona física y jurídica tendrá derecho a presentar una reclamación individual o, cuando proceda, colectiva ante la autoridad competente pertinente del Estado miembro en el que tenga su residencia habitual, su lugar de trabajo o su lugar de establecimiento cuando considere que los derechos que le confiere el presente Reglamento han sido vulnerados. El coordinador de datos proporcionará, previa solicitud, toda la información necesaria a las personas físicas y jurídicas para la presentación de sus reclamaciones ante la correspondiente autoridad competente.

2.   La autoridad competente ante la que se haya presentado la reclamación informará al reclamante, con arreglo al Derecho nacional, sobre el curso del procedimiento y la decisión tomada.

3.   Las autoridades competentes cooperarán para tramitar y resolver las reclamaciones, de manera efectiva y en tiempo oportuno, lo que incluirá el intercambio de toda información pertinente por medios electrónicos, sin demora indebida. Dicha cooperación no afectará a los mecanismos de cooperación previstos en los capítulos VI y VII del Reglamento (UE) 2016/679 y en el Reglamento (UE) 2017/2394.

Artículo 39. Derecho a una tutela judicial efectiva

1.   No obstante cualquier recurso administrativo o extrajudicial, toda persona física o jurídica afectada tendrá derecho a una tutela judicial efectiva en lo que respecta a las decisiones jurídicamente vinculantes adoptadas por las autoridades competentes.

2.   En caso de que una autoridad competente no dé curso a una reclamación, cualquier persona física o jurídica afectada tendrá derecho, de conformidad con el Derecho nacional, a la tutela judicial efectiva o acceso a revisión por un órgano imparcial que disponga de los conocimientos especializados adecuados.

3.   Los recursos presentados en virtud del presente artículo se dirimirán ante los órganos jurisdiccionales del Estado miembro de la autoridad competente contra la cual se interponga el recurso a título individual o colectivo, según corresponda, por los representantes de una o varias personas físicas o jurídicas.

Artículo 40. Sanciones

1.   Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción del presente Reglamento y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias.

2.   A más tardar el 12 de septiembre de 2025, los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas, y le notificarán sin demora toda modificación posterior. La Comisión actualizará periódicamente y mantendrá un registro público de fácil acceso de dichas medidas.

3.   Por lo que respecta a la imposición de sanciones por infracciones del presente Reglamento, los Estados miembros tendrán en cuenta las recomendaciones del CEID y los siguientes criterios no exhaustivos:

 a) la naturaleza, gravedad, magnitud y duración de la infracción;

 b) cualquier medida adoptada por la parte infractora para mitigar o reparar el perjuicio causado por la infracción;

 c) las infracciones anteriores cometidas por la parte infractora;

 d) los beneficios financieros obtenidos o las pérdidas evitadas por la parte infractora debido a la infracción, en la medida en que dichos beneficios o pérdidas puedan establecerse de forma fiable;

 e) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso;

 f) el volumen de negocio anual del infractor durante el ejercicio financiero anterior en la Unión.

4.   En caso de infracción de las obligaciones establecidas en los capítulos II, III y V del presente Reglamento, las autoridades de control responsables de supervisar la aplicación del Reglamento (UE) 2016/679 podrán, dentro de su ámbito de competencia, imponer multas administrativas de conformidad con el artículo 83 del Reglamento (UE) 2016/679 y hasta el importe mencionado en el artículo 83, apartado 5, de dicho Reglamento.

5.   En caso de infracción de las obligaciones establecidas en el capítulo V del presente Reglamento, el Supervisor Europeo de Protección de Datos podrá imponer, dentro de su ámbito de competencia, multas administrativas acordes con el artículo 66 del Reglamento (UE) 2018/1725 y hasta el importe mencionado en el artículo 66, apartado 3, de dicho Reglamento.

Artículo 41. Cláusulas contractuales tipo y cláusulas contractuales estándar

La Comisión, antes del 12 de septiembre de 2025, elaborará y recomendará cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización, incluidas cláusulas relativas a la compensación razonable y la protección de los secretos comerciales, así como cláusulas contractuales estándar no vinculantes para contratos de computación en la nube para ayudar a las partes en la elaboración y negociación de contratos con derechos y obligaciones contractuales justos, razonables y no discriminatorios.

Artículo 42. Función del CEID

El CEID establecido como grupo de expertos de la Comisión en virtud del artículo 29 del Reglamento (UE) 2022/868, en el que estarán representadas las autoridades competentes, apoyará la aplicación coherente del presente Reglamento mediante:

a) el asesoramiento y la asistencia a la Comisión en el desarrollo de una práctica coherente de las autoridades competentes en la aplicación de los capítulos II, III, V y VII;

b) la facilitación de la cooperación entre las autoridades competentes mediante el desarrollo de capacidades y el intercambio de información, en particular con el establecimiento de métodos para el intercambio eficiente de información relativa al cumplimiento de los derechos y obligaciones en virtud de los capítulos II, III y V en los casos transfronterizos, incluida la coordinación con respecto al establecimiento de sanciones;

c) el asesoramiento y la asistencia a la Comisión en relación a lo siguiente:

 i) la posibilidad de solicitar la elaboración de las normas armonizadas a que se refieren el artículo 33, apartado 4, el artículo 35, apartado 4, y el artículo 36, apartado 5,

 ii) la preparación de los actos de ejecución a que se refieren el artículo 33, apartado 5, el artículo 35, apartados 5 y 8, y el artículo 36, apartado 6,

 iii) la preparación de los actos delegados a que se refieren el artículo 29, apartado 7, y el artículo 33, apartado 2, y

 iv) la adopción de las directrices que establezcan los marcos de interoperabilidad de las normas y prácticas comunes para el funcionamiento de los espacios comunes europeos de datos a que se refiere el artículo 33, apartado 11.

CAPÍTULO X. DERECHO SUI GENERIS CON ARREGLO A LA DIRECTIVA 96/9/CE

Artículo 43. Bases de datos que contienen ciertos datos

El derecho sui generis establecido en el artículo 7 de la Directiva 96/9/CE no se aplicará si los datos son obtenidos o generados por un producto conectado o servicio relacionado que entre en el ámbito de aplicación del presente Reglamento, en particular en relación con los artículos 4 y 5.

CAPÍTULO XI. DISPOSICIONES FINALES

Artículo 44. Otros actos jurídicos de la Unión que regulan los derechos y obligaciones en materia de acceso a los datos y su utilización

1.   No se verán afectadas las obligaciones específicas para la puesta a disposición de datos entre empresas, entre empresas y consumidores y, con carácter excepcional, entre empresas y organismos del sector público establecidas en actos jurídicos de la Unión que hayan entrado en vigor el 11 de enero de 2024 o antes de esa fecha, así como en los actos delegados o actos de ejecución basados en dichas normas.

2.   El presente Reglamento se entiende sin perjuicio del Derecho de la Unión que, a la luz de las necesidades de un sector, de un espacio común europeo de datos o de un área de interés público, establezca requisitos adicionales, en particular relativos a:

 a) aspectos técnicos del acceso a los datos;

 b) límites a los derechos de los titulares de datos de acceder a determinados datos proporcionados por usuarios o de utilizarlos;

 c) aspectos que vayan más allá del acceso a los datos y su utilización.

3.   El presente Reglamento, con excepción del capítulo V, se entiende sin perjuicio del Derecho de la Unión y nacional que establece el acceso a los datos y autoriza la utilización de los datos con fines de investigación científica.

Artículo 45. Ejercicio de la delegación

1.   Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2.   Los poderes para adoptar actos delegados mencionados en el artículo 29, apartado 7, y en el artículo 33, apartado 2, se otorgan a la Comisión por un período de tiempo indefinido a partir del 11 de enero de 2024.

3.   La delegación de poderes mencionada en el artículo 29, apartado 7, y en el artículo 33, apartado 2, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4.   Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5.   Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6.   Los actos delegados adoptados en virtud del artículo 29, apartado 7, o del artículo 33, apartado 2, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 46. Procedimiento de comité

1.   La Comisión estará asistida por el Comité establecido por el Reglamento (UE) 2022/868. Dicho Comité será un comité en el sentido del Reglamento (UE) nº182/2011.

2.   En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) nº182/2011.

Artículo 47. Modificación del Reglamento (UE) 2017/2394

En el anexo del Reglamento (UE) 2017/2394 se añade el punto siguiente:

«29.

Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (DO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).».

Artículo 48. Modificación de la Directiva (UE) 2020/1828

En el anexo I de la Directiva (UE) 2020/1828 se añade el punto siguiente:

«68.

Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (DO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).».

Artículo 49. Evaluación y revisión

1.   A más tardar el 12 de septiembre de 2028, la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo y al Consejo, y al Comité Económico y Social Europeo. En la evaluación se analizarán, en particular:

 a) situaciones que hayan de considerarse situaciones de necesidad excepcional a efectos del artículo 15 del presente Reglamento y de la aplicación del capítulo V del presente Reglamento en la práctica, en particular, la experiencia adquirida con la aplicación del capítulo V del presente Reglamento por parte de organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión; el número y el resultado de los recursos iniciados ante la autoridad competente con arreglo al artículo 18, apartado 5, sobre la aplicación del capítulo V del presente Reglamento, comunicados por las autoridades competentes; el impacto de otras obligaciones establecidas en el Derecho de la Unión o nacional a efectos del cumplimiento de las solicitudes de acceso a información; el impacto de los mecanismos voluntarios de intercambio de datos, como los establecidos por organizaciones de gestión de datos con fines altruistas reconocidas en virtud del Reglamento (UE) 2022/868, en el cumplimiento de los objetivos del capítulo V del presente Reglamento, y la función de los datos personales en el contexto del artículo 15 del presente Reglamento, incluida la evolución de tecnologías que protejan mejor la intimidad;

 b) las repercusiones del presente Reglamento en la utilización de datos en la economía, incluyendo la innovación en materia de datos, las prácticas de monetización de los datos y los servicios de intermediación de datos, así como en el intercambio de datos dentro de los espacios comunes europeos de datos;

 c) la accesibilidad a diferentes categorías y tipos de datos y su utilización;

 d) la exclusión de determinadas categorías de empresas como beneficiarias al amparo del artículo 5;

 e) la ausencia de cualquier impacto en los derechos de propiedad intelectual;

 f) el impacto en los secretos comerciales, incluida la protección contra su obtención, utilización y revelación ilícitas, así como el impacto del mecanismo que permite al titular de datos denegar la solicitud del usuario con arreglo al artículo 4, apartado 8, y al artículo 5, apartado 11, teniendo en cuenta, en la medida de lo posible, cualquier revisión de la Directiva (UE) 2016/943;

 g) si la lista de cláusulas contractuales abusivas a que se refiere el artículo 13 está actualizada a la luz de las nuevas prácticas comerciales y del rápido ritmo de innovación del mercado;

 h) las variaciones en las prácticas contractuales de los proveedores de servicios de tratamiento de datos y si esas variaciones se traducen en un cumplimiento suficiente del artículo 25;

 i) la reducción de los costes añadidos aplicados por los proveedores de servicios de tratamiento de datos por el proceso de cambio, en consonancia con la supresión gradual de esos costes de conformidad con el artículo 29;

 j) la interacción del presente Reglamento con otros actos jurídicos de la Unión pertinentes para la economía de los datos;

 k) la prevención del acceso ilícito a datos no personales por parte de administraciones públicas;

 l) la eficacia del régimen de ejecución exigido en virtud del artículo 37;

 m) las repercusiones del presente Reglamento en las pymes, por lo que respecta a su capacidad para innovar y a la disponibilidad de servicios de tratamiento de datos para los usuarios en la Unión y la carga del cumplimiento de las nuevas obligaciones.

2.   A más tardar el 12 de septiembre de 2028, la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo. Dicha evaluación valorará el impacto de los artículos 23 a 31 y de los artículos 34 y 35, en particular, en lo que respecta a la fijación de precios y la diversidad de los servicios de tratamiento de datos ofrecidos en la Unión, prestando especial atención a las pymes proveedoras.

3.   Los Estados miembros proporcionarán a la Comisión la información necesaria para la preparación de los informes a que se refieren los apartados 1 y 2.

4.   Sobre la base de los informes a que se refieren los apartados 1 y 2, la Comisión podrá presentar, en su caso, una propuesta legislativa al Parlamento Europeo y al Consejo para modificar el presente Reglamento.

Artículo 50. Entrada en vigor y aplicación

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Será aplicable a partir del 12 de septiembre de 2025.

La obligación derivada del artículo 3, apartado 1, será aplicable a los productos conectados y a los servicios relacionados con ellos introducidos en el mercado después del 12 de septiembre de 2026.

El capítulo III será aplicable en relación con las obligaciones de puesta a disposición de los datos en virtud de disposiciones del Derecho de la Unión o de normativa nacional adoptada de conformidad con el Derecho de la Unión que entren en vigor después del 12 de septiembre de 2025.

El capítulo IV será aplicable a los contratos celebrados después del 12 de septiembre de 2025.

El capítulo IV será aplicable a partir del 12 de septiembre de 2027 a los contratos celebrados el 12 de septiembre de 2025 o con anterioridad, siempre que:

a) sean de duración indefinida, o

b) expiren al menos diez años a partir del 11 de enero de 2024.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Estrasburgo, el 13 de diciembre de 2023.

Por el Parlamento Europeo, La Presidenta, R. METSOLA

Por el Consejo, El Presidente, P. NAVARRO RÍOS

————————————————————

(1)   DO C 402 de 19.10.2022, p. 5.

(2)   DO C 365 de 23.9.2022, p. 18.

(3)   DO C 375 de 30.9.2022, p. 112.

(4)  Posición del Parlamento Europeo de 9 de noviembre de 2023 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 27 de noviembre de 2023.

(5)  Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).

(6)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(7)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº45/2001 y la Decisión nº1247/2002/CE (DO L 295 de 21.11.2018, p. 39).

(8)  Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(9)  Directiva 93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO L 95 de 21.4.1993, p. 29).

(10)  Directiva 2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005, relativa a las prácticas comerciales desleales de las empresas en sus relaciones con los consumidores en el mercado interior, que modifica la Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE del Parlamento Europeo y del Consejo y el Reglamento (CE) nº2006/2004 del Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales desleales») (DO L 149 de 11.6.2005, p. 22).

(11)  Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo (DO L 304 de 22.11.2011, p. 64).

(12)  Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre la lucha contra la difusión de contenidos terroristas en línea (DO L 172 de 17.5.2021, p. 79).

(13)  Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales) (DO L 277 de 27.10.2022, p. 1).

(14)  Reglamento (UE) 2023/1543 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, sobre las órdenes europeas de producción y las órdenes europeas de conservación a efectos de prueba electrónica en procesos penales y de ejecución de penas privativas de libertad a raíz de procesos penales (DO L 191 de 28.7.2023, p. 118).

(15)  Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo, de 12 de julio de 2023, por la que se establecen normas armonizadas para la designación de establecimientos designados y de representantes legales a efectos de recabar pruebas electrónicas en procesos penales (DO L 191 de 28.7.2023, p. 181).

(16)  Reglamento (UE) 2015/847 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativo a la información que acompaña a las transferencias de fondos y por el que se deroga el Reglamento (CE) nº1781/2006 (DO L 141 de 5.6.2015, p. 1).

(17)  Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) nº648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73).

(18)  Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).

(19)  Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información (DO L 167 de 22.6.2001, p. 10).

(20)  Directiva 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual (DO L 157 de 30.4.2004, p. 45).

(21)  Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE (DO L 130 de 17.5.2019, p. 92).

(22)  Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1).

(23)  Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de 15.6.2016, p. 1).

(24)  Directiva 98/6/CE del Parlamento Europeo y del Consejo, de 16 de febrero de 1998, relativa a la protección de los consumidores en materia de indicación de los precios de los productos ofrecidos a los consumidores (DO L 80 de 18.3.1998, p. 27).

(25)  Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).

(26)  Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de 2022, sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales) (DO L 265 de 12.10.2022, p. 1).

(27)  Reglamento (CE) nº223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reglamento (CE, Euratom) nº1101/2008 relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) nº322/97 del Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164).

(28)  Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO L 172 de 26.6.2019, p. 56).

(29)  Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos (DO L 77 de 27.3.1996, p. 20).

(30)  Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea (DO L 303 de 28.11.2018, p. 59).

(31)  Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019, relativa a determinados aspectos de los contratos de suministro de contenidos y servicios digitales (DO L 136 de 22.5.2019, p. 1).

(32)  Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) nº1060/2009, (UE) nº648/2012, (UE) nº600/2014, (UE) nº909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1).

(33)  Reglamento (UE) nº1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión nº1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).

(34)  Reglamento (CE) nº765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008, por el que se establecen los requisitos de acreditación y por el que se deroga el Reglamento (CEE) nº339/93 (DO L 218 de 13.8.2008, p. 30).

(35)  Decisión nº768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008, sobre un marco común para la comercialización de los productos y por la que se deroga la Decisión 93/465/CEE del Consejo (DO L 218 de 13.8.2008, p. 82).

(36)  Reglamento (UE) 2017/2394 del Parlamento Europeo y del Consejo, de 12 de diciembre de 2017, sobre la cooperación entre las autoridades nacionales responsables de la aplicación de la legislación en materia de protección de los consumidores y por el que se deroga el Reglamento (CE) nº2006/2004 (DO L 345 de 27.12.2017, p. 1).

(37)  Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2020, relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores, y por la que se deroga la Directiva 2009/22/CE (DO L 409 de 4.12.2020, p. 1).

(38)   DO L 123 de 12.5.2016, p. 1.

(39)  Reglamento (UE) nº182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

23Sep/21
Proyecto de Ley

Anteproyecto de Ley Protección de Datos Personales, mayo 2019

ANTEPROYECTO DE LEY PROTECCIÓN DE DATOS PERSONALES

Mayo 2019

TÍTULO I. DISPOSICIONES GENERALES

CAPÍTULO I. GENERALIDADES

Artículo 1. (Objeto)

La presente ley tiene por objeto normar el tratamiento de datos personales tratados por en el Estado Plurinacional de Bolivia, así como regular los métodos de seguridad, las responsabilidades y sanciones aplicables a cada caso.

Artículo 2. (Ámbito de Aplicación)

La presente Ley será aplicable a las personas naturales y/o jurídicas de carácter privado, público o mixto, nacionales o internacionales que traten datos personales de bolivianas y bolivianos, así como los habitantes de nuestro país, con independencia de si el tratamiento tuvo lugar en el territorio nacional o no, así como independientemente de la forma de su tratamiento, modalidad de creación, tipo de soporte, procesamiento, almacenamiento y organización.

Las disposiciones de la presente ley también serán aplicables, en cuanto resulten pertinentes, a los datos relativos a personas jurídicas.

Artículo 3. (Definiciones)

A efecto de la aplicación de la presente Ley, se entiende por:

a) Bases de datos: Conjunto organizado de datos personales, cualquiera que sea su forma o modalidad de creación, almacenamiento, organización, acceso, tratamiento y difusión.

Se dividen en:

– Bases de Datos Automatizadas: Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados a través de programas de ordenador o software.

– Bases de Datos no Automatizadas: Es el conjunto organizado de datos de carácter personal que son creados, tratados y/o almacenados de forma manual, con ausencia de programas de ordenador o software.

b) Consentimiento: Manifestación de la voluntad, libre, expresa, específica, inequívoca e informada, del titular a través de la cual acepta y autoriza con un determinado fin y tiempo específico, el tratamiento de los datos personales que le pertenecen.

c) Datos Personales: Información (datos y metadatos) de cualquier tipo, que permitan identificar, localizar o contactar a personas naturales o jurídicas. Se divide en:

– Datos Personales Generales: Información (datos y metadatos) de cualquier tipo empleada para identificar, localizar o contactar de forma directa o indirecta a personas naturales o jurídicas, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo.

– Datos Personales Sensibles: Aquellos que se refieran a la esfera íntima de una persona natural. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.

En la presente ley, cuando se contemple “Datos Personales”, se entenderá que abarca los datos personales y sensibles, a menos de que se especifique lo contrario.

d) Metadato: Aquellos datos que hablan de los datos; es decir, “datos acerca de los datos” y sirven para suministrar información sobre los datos producidos. Los metadatos consisten en información que caracteriza datos, describen el contenido, calidad, condiciones, historia, disponibilidad y otras características de los datos.

– Ser datos altamente estructurados que describen características de los datos, como el contenido, calidad, información y otras circunstancias o atributos.

– Presentan diferenciaciones que dependerán, en última instancia, de las reglas incluidas en las aplicaciones para determinar la estructura interna de los esquemas de datos.

– Pueden clasificarse en función de distintos criterios, como su contenido, variabilidad o función.

e) Derechos ARCO: Derechos personalísimos y fundamentales de acceso, rectificación, cancelación y oposición al tratamiento de datos personales. En todo momento el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación u oposición al tratamiento de los datos personales que le conciernen. El ejercicio de cualquiera de los derechos ARCO no es requisito previo, ni impide el ejercicio de otro.

f) Disociación de Datos: Todo tratamiento de datos personales y/ o sensibles de manera que la información obtenida no pueda asociarse a persona determinada o determinable. Se divide en:

– Anonimización: Proceso irreversible mediante el cual los datos identificativos se disocian de los datos personales y/o sensibles. Existen tres tipos: Generalización, aleatorización y eliminación. Tiene la finalidad de minimizar la posibilidad directa o indirecta de identificación del titular.

– Seudonimización: Proceso reversible de desasociación de datos personales del titular, sustituyéndolos por códigos, palabras u otros similares, con la finalidad de resguardar los datos personales y/o sensibles.

g) Encargado: Prestador de servicios, que con el carácter de persona natural o jurídica o autoridad pública, ajena a la organización del responsable, trata datos personales sensibles a nombre y por cuenta de un tercero éste.

h) Exportador: Persona natural o jurídica privada, o pública o mixta que efectúe transferencias internacionales de datos personales.

i) Responsables del Tratamiento de Datos Personales: Son las personas naturales o jurídicas encargadas de obtener el consentimiento de los titulares de forma directa o indirecta y están a cargo de la recopilación, aplicación de medios de seguridad y tratamiento de Datos Personales, según corresponda. Se dividen en:

– Responsable: Persona natural o jurídica privada, pública o mixta, que sólo o en conjunto con otros, define los fines y medios y realiza el tratamiento de datos personales a nombre propio, de forma directa o por intermedio de terceros encargados.

– Encargado: Es la persona natural o jurídica privada, pública o mixta a la cual se delega el tratamiento de datos personales a nombre del Responsable.

– Exportador: Persona natural o jurídica privada, pública o mixta, que efectúa transferencias de datos personales a nivel nacional y/o internacional. Una persona natural o jurídica podrá tener, al mismo tiempo, la condición de exportador y de responsable o encargado.

Cuando en la presente ley se estipule una obligación aplicable al “Responsable” del tratamiento de datos personales, tendrá alcance a todas las divisiones contempladas en el presente literal.

j) Titular: Persona natural o jurídica sobre quien recae el derecho propietario (la titularidad y pertinencia) de los datos personales.

k) Tratamiento: Cualquier operación o conjunto de operaciones efectuadas mediante procedimientos físicos o automatizados realizadas sobre datos personales, relacionados, de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

CAPÍTULO II. GARANTÍAS Y PRINCIPIOS

Artículo 4. (Principios y Garantías Constitucionales)

El Estado, en el marco de lo dispuesto por nuestro bloque constitucional, garantizará a los titulares de los datos personales, el ejercicio de todos los derechos reconocidos en los tratados internacionales de derechos fundamentales; así como el cumplimiento por parte de personas naturales, jurídicas privadas, públicas o mixtas, nacionales e internacionales, de la presente ley, con el propósito de impedir efectivamente el tráfico ilícito de datos personales, lesivo a la dignidad y derecho del/la afectado(a).

Artículo 5. (Principios Comerciales)

Las relaciones jurídicas de naturaleza comercial se regirán por las normas corporativas vinculantes (Binding Corporate Rules BCR) y los principios de buena fe, transparencia, equidad, minimización de datos, democratización, autonomía de voluntad, independencia, sostenibilidad, seguridad jurídica, simplicidad y celeridad, así como aquellos principios contemplados en la presente norma y aquellas de carácter supranacional de derechos humanos, ha momento de procesar el tratamiento de datos de manera nacional e internacional, debiendo prevalecer los derechos de los titulares en todo momento y contexto.

Artículo 6. (Principio de Licitud)

El tratamiento de datos personales debe cumplir con elementos de: veracidad de los datos, legitimidad de los fines del tratamiento, adopción de las medidas de seguridad, cumplimiento de los deberes de conservación, información, consentimientos, concretados en la calidad y legitimación de los datos a través del estricto apego y cumplimiento de lo dispuesto en las leyes bolivianas y los tratados internacionales de derechos humanos aplicables a la materia.

Artículo 7. (Principio de Lealtad)

I. El principio de tratamiento leal y transparente exigen que se informe el tipo de tratamiento y manejo de sus datos personales y/o sensibles, incluyendo los medios de seguridad aplicables.

Notificando al titular del derecho cada vez que un servidor público y/o persona natural de derecho privado ingrese a consultar o tratar sus datos, haciéndole conocer el fin o los fines de dicho tratamiento, obteniendo un consentimiento del titular de manera previa, privilegiando la protección de los intereses del titular y absteniéndose de tratar éstos a través del consentimiento obtenido a través medios engañosos o fraudulentos.

II. Es desleal aquellos tratamientos de datos personales y/o sensibles que den lugar a actos, hechos de cualquier naturaleza, contrarios a los intereses del titular de los datos, ya sea una discriminación injusta o arbitraria, u otras. Quedando prohibido cualquier tratamiento desleal.

Artículo 8. (Principio de Transparencia)

I. El Responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales y/o sensibles, a fin de que pueda tomar decisiones informadas al respecto.

II. El Responsable proporcionará al titular, al menos, la siguiente información:

1) Su identidad y datos de contacto.

2) Las finalidades del tratamiento a que serán sometidos sus datos personales y/o sensibles.

3) Las comunicaciones nacionales o internacionales, de datos personales y/o sensibles que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.

4) La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.

5) En su caso, el origen de los datos personales y/o sensibles cuando el responsable no los hubiere obtenido directamente del titular.

6) Las personas dependientes o no del responsable, que tendrán acceso a los datos personales y/o sensibles del titular.

7) El plazo determinado para el tratamiento de los datos personales y/o sensibles.

8) Información expresa y explícita de los derechos ARCO y el bloque constitucional que resguarda a los titulares de los datos personales y/o sensibles, así como las posibilidades legales e instancias de reclamo existentes en el Estado Plurinacional de Bolivia.

III. La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes. El titular de los datos personales y/o sensibles podrá solicitar que tanto el consentimiento expreso, como la información relativa al tratamiento de sus datos, se realice en su idioma nativo.

Artículo 9. (Principio de Finalidad)

I. Todo tratamiento de datos personales se limitará al cumplimiento de finalidades determinadas, explícitas y legítimas.

II. El responsable, sus dependientes o terceras personas relacionadas al responsable, no podrán tratar los datos personales y/o sensibles, en su posesión, para finalidades distintas a aquéllas que motivaron el consentimiento expreso del titular y por ende el tratamiento original de éstos.

Artículo 10. (Principio de proporcionalidad)

El responsable tratará únicamente los datos personales y/o sensibles que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a la(s) finalidad(es) que justifican su tratamiento y que se invocan en el consentimiento expreso del titular. Para ello, el registro informático de datos personales y/o sensibles deberá realizarse de la manera más granular posible, asegurando que cualquier consulta realizada a la base de datos que lo almacena acceda a la información directamente relacionada a la finalidad de la consulta y emerja de la notificación del titular, del acceso a los datos personales y/o sensibles de su pertenencia.

Artículo 11. (Principio de Calidad)

I. El responsable adoptará las medidas necesarias para mantener exactos, completos y actualizados los datos personales en su posesión, de tal manera que no se altere la veracidad de éstos. Esto conforme se requiera para el cumplimiento de las finalidades que motivaron su tratamiento.

II. Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización.

III. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.

IV. Los datos personales únicamente serán conservados durante el plazo necesario para el cumplimiento de las finalidades que justifiquen su tratamiento o aquéllas relacionadas con exigencias legales aplicables al responsable.

Artículo 12. (Principio de Responsabilidad)

I. El responsable implementará los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en los presentes Ley, así como rendirá cuentas sobre el tratamiento de datos personales al titular y a la Agencia de Protección de Datos Personales – APP, para lo cual podrá valerse de estándares, mejores prácticas nacionales o internacionales, esquemas de autorregulación, sistemas de certificación o cualquier otro mecanismo que determine adecuado para tales fines. Esta obligación, aplicará también cuando los datos personales sean tratados por parte de un encargado a nombre y por cuenta del responsable, así como al momento de realizar transferencias de datos personales.

II. Entre los mecanismos que el responsable podrá adoptar para cumplir con el principio de responsabilidad se encuentran, de manera enunciativa más no limitativa, los siguientes:

1. Destinar recursos para la instrumentación de programas y políticas de protección de datos personales.

2. Implementar sistemas de administración de riesgos asociados al tratamiento de datos personales.

3. Elaborar políticas y programas de protección de datos personales obligatorios y exigibles al interior de la organización del responsable.

4. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones en materia de protección de datos personales.

5. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.

6. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales.

7. Establecer procedimientos para recibir y responder dudas y quejas de los titulares.

III. El responsable revisará y evaluará permanentemente los mecanismos que para tal efecto adopte voluntariamente para cumplir con el principio de responsabilidad, con el objeto de medir su nivel de eficacia en cuanto al cumplimiento de la legislación nacional aplicable.

Artículo 13. (Principio de Seguridad)

I. El responsable establecerá y mantendrá medidas de carácter administrativo, físico y técnico suficientes para garantizar la confidencialidad, integridad y disponibilidad de los datos personales.

II. Para la determinación de las medidas referidas en el numeral anterior, el responsable considerará los siguientes factores:

1. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

2. El estado de la técnica.

3. Los costos de aplicación.

4. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.

5. El alcance, contexto y las finalidades del tratamiento.

6. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

7. El número de titulares.

8. Las posibles consecuencias que se derivarían de una vulneración para los titulares.

9. Las vulneraciones previas ocurridas en el tratamiento de datos personales.

III. El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.

Artículo 14. (Principio de Confidencialidad)

El responsable establecerá controles o mecanismos para que quienes intervengan en cualquier fase del tratamiento de los datos personales mantengan y respeten la confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular.

Artículo 15. (Principio Pro Homine)

Criterio interpretativo que establece que se debe aplicar la norma o la interpretación más favorable a la persona o titular de los datos personales, considerándose la protección y la prohibición de la limitación de Derechos Humanos, aplicando la norma, interpretación o situación menos restrictiva y más favorable al titular.

TÍTULO II. CONSENTIMIENTO

CAPÍTULO I. CONDICIONES Y TRATAMIENTO DE SECTORES VULNERABLES

Artículo 16. (Condiciones para el Consentimiento)

I. El consentimiento debe ser expreso, previo e informado; por tanto, el Responsable deberá contar de manera inobjetable, de manera previa al tratamiento de los datos personales, con el consentimiento expreso del titular. El mismo para no contar con vicios, deberá ser informado, especificar la finalidad, los mecanismos de seguridad que empleará en el tratamiento de los datos personales y el tiempo de vigencia de dicho consentimiento y por tanto de posibilidad de tratamiento de los datos.

II. El titular podrá revocar, en cualquier momento, el consentimiento otorgado. El responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos para este fin.

III. El consentimiento otorgado por el titular de datos personales, no otorga el derecho a terceros de hacer uso del tratamiento consentido, a menos de que el consentimiento incluya esta posibilidad.

IV. La información previa al consentimiento deberá ser otorgada en el idioma nativo del titular de los datos personales, pudiendo solicitar un traductor para el efecto. Asimismo, para las personas con capacidades diferentes no interdictas se les otorgará la información en los medios idóneos para su comprensión, asegurando dicho extremo de manera documental.

Artículo 17. (Tratamiento de Datos Personales de Sectores Vulnerables)

El consentimiento para el tratamiento de datos personales de menores de edad y personas con capacidades diferentes interdictas, será obtenido a través del consentimiento de los tutores, titulares de la patria potestad o guarda, cumpliendo rigurosamente las condiciones del consentimiento y principios consagrados por la presente ley.

CAPÍTULO II. EXCEPCIONES

Artículo 18. (Excepciones)

Los datos personales podrán ser objeto de tratamiento por una persona natural o jurídica privada, pública o mixta, cuando el titular otorgue el consentimiento expreso e informado, para una o varias finalidades específicas.

Excepcionalmente, el tratamiento de datos personales podrá realizarse sin el consentimiento del titular pero con su conocimiento informado, en los siguientes casos.

1. El tratamiento sea necesario para el cumplimiento de una orden judicial, requerimiento fiscal fundado y motivado, en atención a un proceso abierto y en curso, de autoridad pública competente.

2. El tratamiento sea necesario para el reconocimiento o defensa de los derechos del titular ante una autoridad pública.

3. El tratamiento sea necesario para proteger la vida del titular.

4. El tratamiento sea necesario por razones de interés público establecidas o previstas en ley.

TÍTULO III. DERECHOS Y OBLIGACIONES

CAPÍTULO I. DERECHOS DEL TITULAR DE DATOS PERSONALES

Artículo 19. (Derechos del Titular de los Datos Personales)

En todo momento el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación, oposición y portabilidad de los datos personales que le conciernen. El ejercicio de cualquiera de los derechos referidos anteriormente no es requisito previo, ni impide el ejercicio de otro.

Artículo 20. (Derecho de Acceso)

El titular tendrá el derecho de solicitar el acceso a sus datos personales que estuviesen en posesión del responsable, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento. Los responsables deberán comunicar mediante mecanismos digitales a la Agencia de Protección de Datos Personales – APP de todo tratamiento y acceso que se realice sobre datos personales. La Agencia de Protección de Datos Personales – APP deberá poner a disposición del titular de los datos personales la información de los tratamientos y accesos realizados sobre datos personales de cualquier institución (pública, privada y/o mixta), así como de aquellas personas naturales.

Artículo 21. (Derecho de Rectificación)

El titular tendrá el derecho a obtener del responsable, la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

Artículo 22. (Derecho de Cancelación)

El titular tendrá derecho a solicitar la cancelación o supresión de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este último.

Artículo 23. (Derecho de Oposición

El titular podrá oponerse al tratamiento de sus datos personales cuando:

1. Tenga una razón legítima derivada de su situación particular.

2. El tratamiento de sus datos personales tenga por objeto la mercadotecnia directa, incluida la elaboración de perfiles, en la medida que esté relacionada con dicha actividad.

Artículo 24. (Derecho a no ser Objeto de Decisiones Individuales Automatizadas)

I. El titular tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen únicamente en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

II. Lo dispuesto en el parágrafo anterior no resultará aplicable cuando el tratamiento automatizado de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular y el responsable; esté autorizado por normativa legal vigente, o bien, se base en el consentimiento demostrable del titular.

III. No obstante, cuando sea necesario para la relación contractual o el titular hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.

IV. El responsable no podrá llevar a cabo tratamientos automatizados de datos personales que tengan como efecto la discriminación de los titulares por su origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, así como datos genéticos o datos biométricos.

Artículo 25. (Derecho a la Portabilidad de los Datos Personales)

I. Cuando se traten datos personales por vía electrónica o medios automatizados, el titular tendrá derecho a obtener una copia de los datos personales que hubiere proporcionado al responsable o que sean objeto de tratamiento, en un formato electrónico estructurado, de uso común y lectura mecánica, que le permita seguir utilizándolos y transferirlos a otro responsable, en caso de que lo requiera.

II. El titular podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable cuando sea técnicamente posible.

III. El derecho a la portabilidad de los datos personales no afectará negativamente a los derechos y libertades de otros.

IV. Sin perjuicio de otros derechos del titular, el derecho a la portabilidad de los datos personales no resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular, como es el caso de los datos personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.

Artículo 26. (Derecho a la Limitación del Tratamiento de los Datos Personales)

El titular tendrá derecho a que el tratamiento de datos personales se limite al plazo y finalidad otorgado en el consentimiento para ello. Asimismo, su almacenamiento durante el periodo que medie, entre una solicitud de rectificación u oposición hasta su resolución por el responsable. El titular tendrá derecho a la limitación del tratamiento de sus datos personales cuando éstos sean innecesarios para el responsable, pero los necesite para formular una reclamación.

Artículo 27. (Derecho de Indemnización)

El titular tiene derecho a ser indemnizado cuando hubiere sufrido daños y perjuicios, como consecuencia de una violación a cualquiera de los derechos establecidos en la presente ley, normas conexas y aquellas que otorguen mayor protección a los derechos humanos.

CAPÍTULO II. EJERCICIO DE DERECHOS

Artículo 28. (Ejercicio de los Derechos ARCO)

I. El responsable establecerá medios y procedimientos sencillos, expeditos, accesibles, gratuitos e informales que permitan al titular ejercer sus derechos de acceso, rectificación, cancelación, oposición y portabilidad. Estos mecanismos y procedimientos no podrán exceder los plazos establecidos en el presente artículo.

Siendo los mismos en todo caso supletorios ante la ausencia de medios y procedimientos dictados por el titular.

II. Para el ejercicio de los derechos establecidos en el parágrafo anterior, no se requerirá otro requisito que la identificación del solicitante y se tramitará conforme el siguiente procedimiento:

1. El titular deberá exponer de manera verbal o escrita el derecho que desea hacer valer y las razones que justifican tal solicitud.

2. El responsable deberá registrar la solicitud del titular y entregar una constancia de la recepción de la solicitud realizada.

3. En el plazo máximo de 7 días hábiles el responsable deberá resolver la solicitud realizada por el titular.

4. En caso que el titular no estuviere conforme con la decisión tomada por el responsable, o en el mismo no hubiere emitido una respuesta en el plazo establecido en el numeral anterior, el titular podrá acudir a la Agencia de Protección de Datos Personales – APP y/o ante la jurisdicción constitucional.

5. El responsable únicamente podrá determinar la no procedencia de la solicitud en los casos de rectificación, cancelación, oposición y portabilidad al amparo de las siguientes causales:

– El responsable acredite tener motivos legítimos para que el tratamiento prevalezca sobre los intereses, los derechos y las libertades del titular.

– El tratamiento sea necesario para el cumplimiento de una disposición legal.

TITULO IV. BASE DE DATOS

CAPÍTULO I. BASES DE DATOS PÚBLICAS Y PRIVADAS

Artículo 29. (Creación y Tratamiento de Bases de Datos Públicas)

La creación y tratamiento de bases de datos por parte de las administraciones públicas, sólo podrán realizarse en razón a las materias de su competencia y en estricto cumplimiento a lo descrito en la presente ley. No se generarán bases de datos o su tratamiento, que vulneren los principios y derechos consagrados en la presente norma.

Artículo 30. (Interoperatividad de Datos entre Administraciones Públicas)

Las entidades públicas dentro del desempeño de sus funciones, únicamente podrán realizar la comunicación de datos de carácter personal a terceras entidades públicas de forma justificada y previo consentimiento informado y expreso del titular.

Artículo 31. (Creación y Tratamiento de Bases de Datos Privadas)

Las personas naturales y jurídicas podrán crear y tratar bases de datos que contengan datos de carácter personal cuando sea congruente con la finalidad del servicio que brinda, con estricto cumplimiento a las disposiciones contenidas en la presente ley.

Artículo 32. (Datos de Acceso Público)

1. Los datos personales almacenados en listas de cámaras, entes colegiados o agrupaciones profesionales deberán limitarse a los usos para los cuales fueron recogidos y tratados, en el marco de los principios y derechos enunciados.

2. Toda ampliación o solicitud de datos adicionales deberá recabar el consentimiento previo, informado y expreso del titular, pudiendo éste último oponerse y en cualquier momento ejercer el derecho de cancelación sobre dicho tratamiento, así como todos los derechos reconocidos por la presente ley.

3. Los datos personales comunicados a través de medios de comunicación convencionales y difusión masiva como la televisiva, radial, escrita y plataformas web, no podrán ser considerados como una aceptación tácita para la creación de ficheros, ni para el tratamiento de datos personales. Dichas comunicaciones deberán enmarcarse en todo momento a los principios y derechos consagrados en la Constitución Política del Estado Plurinacional de Bolivia, la presente ley y normas conexas.

Artículo 33. (Tratamiento de Datos Personales con Fines Publicitarios)

1. Las entidades que se dediquen a la recopilación de direcciones, reparto de documentos, publicidad, venta a distancia, gestión comercial y otras actividades análogas, utilizarán nombres y direcciones u otros datos de carácter personal cuando los mismos hayan sido facilitados por los titulares y hayan sido otorgados a través de un consentimiento previo, informado y expreso.

2. Los mensajes publicitarios y comerciales deberán ser claramente identificados con esa naturaleza.

3. Los titulares tendrán derecho a conocer el origen de sus datos personales cuando hayan recibido comunicaciones comerciales o mensajes publicitarios.

4. Los titulares tendrán derecho a oponerse, previa petición y sin gastos, al tratamiento de los datos que les conciernan, en cuyo caso serán dados de baja del tratamiento de forma inmediata, cancelándose las informaciones que sobre ellos figuren, a simple solicitud.

CAPÍTULO II. TRANSFERENCIA DE RESPONSABILIDADES DE TRATAMIENTO DE DATOS PERSONALES

Artículo 34. (Delegación del Tratamiento de Datos Personales por el Responsable)

I. La delegación del tratamiento de datos personales del responsable en favor de un tercero por fuera de su estructura organizacional, deberá formalizarse mediante la suscripción de un contrato o instrumento jurídico suscrito por las partes, bajo los lineamientos dictados por la autoridad.

II. El contrato o instrumento jurídico establecerá, al menos, el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento; el tipo de datos personales; las categorías de titulares, así como las obligaciones y responsabilidades del responsable y encargado.

III. El contrato o instrumento jurídico establecerá, al menos, las siguientes cláusulas generales relacionadas con los servicios:

1. Realizar el tratamiento de los datos personales conforme a las instrucciones del responsable.

2. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable.

3. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables.

4. Informar al responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones.

5. Guardar confidencialidad respecto de los datos personales tratados.

6. Suprimir, devolver o comunicar a un nuevo encargado designado por el responsable los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable, excepto que una disposición legal exija la conservación de los datos personales, o bien, que el responsable autorice la comunicación de éstos a otro encargado o exportador, de forma expresa y especifique las condiciones para dicho efecto.

7. Abstenerse de transferir los datos personales, sin autorización expresa del responsable, salvo por mandato expreso de la Agencia de Protección de Datos Personales –APP.

8. Permitir al responsable o Agencia de Protección de Datos Personales – APP, realizar inspecciones y verificaciones in situ.

9. Generar, actualizar y conservar la documentación que sea necesaria y que le remita acreditar sus obligaciones, siempre y cuando no esté relacionada con la información de la Base de Datos Personales.

10. Colaborar con el responsable en todo lo relativo al cumplimiento de la legislación del Estado Plurinacional de Bolivia que resulte aplicable a la materia.

IV. El Encargado o Exportador están obligados a verificar la existencia del consentimiento de los titulares de las bases de datos que tratará por encargo del responsable.

V. Una vez concluida la relación con el responsable, el encargado o exportador deberá destruir la información, sin importar el medio de soporte que la contenga, referente a los Datos Personales y la Base de Datos delegada por el responsable.

VI. La delegación del tratamiento, no exonera de responsabilidad al responsable, contando todas las partes intervinientes en la obtención y tratamiento de los Datos Personales, responsabilidades frente al titular.

Artículo 35. (Subcontratación de Servicios)

El Encargado podrá, a su vez, subcontratar servicios que impliquen el tratamiento de datos personales, siempre y cuando exista una autorización previa por escrito y específica del responsable, a través del contrato o instrumento jurídico suscrito entre este último y el encargado.

Instrumento legal que deberá enmarcarse a los lineamientos dictados por la Agencia de Protección de Datos Personales – APP.

Artículo 36. (Reglas Generales para las Transferencias de Datos Personales)

I. El Responsable o Exportador podrán realizar transferencias internacionales de datos personales cuando se cumplan los siguientes supuestos:

1. En el país donde se hará el tratamiento de los datos personales hubiere reconocido un nivel adecuado de protección de datos personales por parte de la autoridad.

2. El exportador ofrezca garantías suficientes del tratamiento de los datos personales en el país destinatario, y éste, a su vez, acredite el cumplimiento de las condiciones mínimas y suficientes establecidas en la legislación aplicable.

3. El exportador y destinatario suscriban cláusulas contractuales o cualquier otro instrumento jurídico que ofrezca garantías suficientes y que permita demostrar el alcance del tratamiento de los datos personales, las obligaciones y responsabilidades asumidas por las partes y los derechos de los titulares. La Agencia de Protección de Datos Personales – APP validará cláusulas contractuales e instrumentos jurídicos donde se reconocerá la nacionalidad y jurisdicción de los datos personales.

4. Cuando sea requerido, la Agencia de Protección de Datos Personales – APP, autorizará la transferencia.

Artículo 37. (Oficial de Protección de Datos Personales)

I. El Responsable, Encargado y/o el Exportador, deberán designar a un oficial de protección de datos personales cuando:

1. Sea una entidad pública.

2. Lleve a cabo tratamientos de datos personales que tengan habitualidad y aplicación sistemática.

3. Realice tratamientos de datos personales donde sea probable que entrañe un alto riesgo de afectación del derecho a la protección de datos personales de los titulares, considerando, entre otros factores y de manera únicamente enunciativa más no limitativa, el tratamiento de datos personales sensibles; debiendo registrar y estar al alcance del titular a simple petición, las transferencias que se efectúen; el alcance del tratamiento; las tecnologías de información utilizadas o las finalidades de éstos y los servidores públicos que hayan accedido a dichos datos personales.

II. El responsable que no se encuentre en alguna de las causales previstas en el parágrafo anterior, podrá designar a un oficial de protección de datos personales si así lo estima conveniente.

III. El responsable estará obligado a otorgar al oficial de protección de datos personales en el desempeño de sus funciones, los recursos necesarios para su desempeño y para el mantenimiento de sus conocimientos especializados y la actualización de éstos.

IV. El oficial de protección de datos personales tendrá, al menos, las siguientes funciones:

1. Asesorar al responsable respecto a los temas que sean sometidos a su consideración en materia de protección de datos personales.

2. Coordinar, al interior de la organización del responsable, las políticas, programas, acciones y demás actividades que correspondan para el cumplimiento de la normativa relativa a la protección de datos.

3. Supervisar al interior de la organización del responsable el cumplimiento de la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

Artículo 38. (Privacidad en el Tratamiento de Datos Personales)

El responsable aplicará, desde el diseño, en la determinación de los medios del tratamiento de los datos personales, durante el mismo y antes de recabar los datos personales, medidas preventivas de diversa naturaleza que permitan aplicar de forma efectiva los principios, derechos y demás obligaciones previstas en la presente Ley.

El responsable garantizará que sus programas, servicios, sistemas, plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que implique un tratamiento de datos personales, cumpla por defecto o se ajusten a los principios, derechos y demás obligaciones previstas en la presente Ley.

Artículo 39. (Mecanismos de Autorregulación)

El responsable podrá adherirse, de manera voluntaria, a esquemas de autorregulación vinculante.

Artículo 40. (Evaluación de Impacto a la Protección de Datos Personales)

Cuando el responsable pretenda tratar datos personales sensibles o que por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación del derecho a la protección de datos personales de los titulares, realizará, de manera previa, a la implementación del recojo y tratamiento, una evaluación del impacto a la protección de los datos personales, aplicable al caso en concreto, estipulando medidas específicas de seguridad que permitan l mayor protección para los titulares. Informe que será presentado ante la Agencia de Protección de Datos Personales – APP para su correspondiente aprobación.

TÍTULO V. REGULACIÓN DEL TRATAMIENTO DE DATOS PERSONALES

CAPÍTULO I. AGENCIA DE PROTECCIÓN DE DATOS PERSONALES – APP

Artículo 41. (Naturaleza)

Se crea la Agencia de Protección de Datos Personales – APP como entidad pública autárquica, con personalidad jurídica de derecho público, con jurisdicción nacional, autonomía de gestión técnica, administrativa y presupuestaria.

Artículo 42. (Objeto)

II. La Agencia de Protección de Datos Personales – APP tiene como objeto ejecutar la regulación y supervisión del recojo y tratamiento de los Datos Personales, con la finalidad de velar por el sano funcionamiento y desarrollo de las Bases de Datos con dichas características, bajo los postulados y derechos expuestos en la presente ley.

III. La Agencia de Protección de Datos Personales – APP, es la institución encargada de ejercer las funciones de regulación, supervisión y control de las personas naturales y jurídicas de derecho privado, público y mixto, en base a las disposiciones de la presente Ley.

Artículo 43. (Directorio)

El Directorio de la Agencia de Protección de Datos Personales – APP estará conformado por los siguientes representantes:

1. Un representante del Ministerio de Obras Públicas, Servicios y Vivienda.

2. Tres representantes de los Gobiernos Autónomos Departamentales.

3. Un representante de la Confederación de Empresarios Privados de Bolivia (CEPB).

4. Dos representantes de la sociedad civil.

Artículo 44. (Atribuciones)

La Agencia de Protección de Datos Personales – APP tiene las siguientes atribuciones, además de aquellas que sean inherentes al ejercicio de sus funciones:

1. Registrar, regular, supervisar y sancionar a las personas naturales y jurídicas de cualquier naturaleza, que tengan bases de datos públicas y privadas en las que se almacenen y traten datos personales.

2. La Agencia de Protección de Datos Personales – APP, emitirá reglamentación específica y supervisará su cumplimiento en el marco de la normativa aplicable.

3. conocerá y resolverá los recursos de alzada y jerárquico que se interpongan contra los actos definitivos de las instancias que recojan y traten Datos Personales.

4. Garantizar y defender los derechos e intereses del consumidor financiero.

5. Vigilar el cumplimiento de las normas que regulan la actividad de recolección y tratamiento de Datos Personales.

6. Normar y vigilar la correcta aplicación de las normas aplicables a la materia, así como la presente ley.

7. Establecer sistemas preventivos de control y vigilancia.

8. Ejercer supervisión consolidada de grupos comerciales.

9. Imponer sanciones por infracción de las disposiciones legales y reglamentarias. Disponer la regularización obligatoria y la intervención de las personas naturales y/o jurídicas que incumplan el marco normativo aplicable en concordancia con la presente ley.

10. Celebrar acuerdos o convenios con otros organismos extranjeros de regulación y supervisión del tratamiento de datos personales, para la cooperación, capacitación y el intercambio de información.

11. Instruir mejoras y ajustes en los sistemas de seguridad aplicados por los Responsables, Encargados y/o Exportadores.

12. Suspender determinadas operaciones en el tratamiento de datos personales de manera fundamentada.

13. Supervisar el control de riesgos y el cumplimiento a las disposiciones legales específicas aplicables al tratamiento de datos personales.

14. Instruir acciones a los Responsables, Encargados y/o Exportadores, para resolver reclamaciones y denuncias que presenten los titulares.

15. Autorizar la incorporación al ámbito de la regulación a otro tipo de servicios y empresas que tengan relación con el tratamiento de datos personales.

16. Emitir normativa prudencial de carácter general y específico, extendiéndose a la regulación de normativa para aplicación de los Responsables, Encargados y/o Exportadores.

17. Hacer cumplir la presente Ley y otras disposiciones legales y reglamentarias conexas.

18. Emitir normativa para regular la información, publicidad o propaganda relacionada con datos personales, y prohibir o suspender la publicidad o propaganda cuando vulneren derechos fundamentales y ARCO de los titulares, con mayor énfasis cuando se trate de menores de edad.

19. Emitir reglamentos de cumplimiento obligatorio respecto al tratamiento de datos personales.

20. Pronunciarse e imponer sanciones ante el rechazo inadecuado u omisión en el pronunciamiento en plazo respecto al reclamo de un derecho ARCO por parte del titular ante el responsable del tratamiento de datos personales.

21. Imponer sanciones ante el incumplimiento de sus resoluciones, la presente Ley y normativa conexa, por parte de los Responsables, Encargados o Exportadores de tratamiento de datos personales.

22. Realizar actividades de fiscalización sobre los Responsables, Encargados y Exportadores del tratamiento de datos personales. Estas tareas entre otras incluirá la realización de auditorías y pericias técnicas.

23. Aprobar y registrar los contratos y documentos legales de transferencia de datos personales entre Responsables, Encargados y/o Exportadores.

24. Establecer un canon de montos a ser cobrados por los diferentes registros, servicios prestados e infracciones a ser cobradas. Misma que deberán ser aprobadas por el Directorio de la Agencia de Protección de Datos Personales – APP.

25. Diseñar e implementar ofertas de formación y capacitación en temas de datos personales dirigidas a funcionarios, ciudadanía, empresarios, académicos y otros públicos interesados.

Artículo 45. (Auditoría de Protección de Datos)

La Agencia de Protección de Datos –APP, realizará auditorías periódicas de oficio, con la finalidad de detectar el incumplimiento al marco legislativo aplicable a la materia y la vulneración a derechos de los titulares. Así también, estará facultada para realizar auditorías de protección de datos tanto a empresas privadas, instituciones y empresas públicos y/o mixtas, ante reclamaciones fundamentadas de los titulares de datos personales como posibles afectados, a fin de evaluar que las bases de datos y los respectivos datos personales que alberguen se estén tratando en apego a los derechos y principios insertos en la presente ley, en la Constitución Política del Estado Plurinacional y normas conexas.

Artículo 46. (Estructura)

La Agencia de Protección de Datos Personales – APP está compuesta por: Una Directora o Director Ejecutivo con sede en la ciudad de La Paz y cuatro (4) Directores Regionales con sede en las capitales de los Departamentos de Chuquisaca, La Paz, Santa Cruz y Cochabamba. También formarán parte de la Agencia de Protección de Datos Personales – APP, intendentes que, previa aprobación del Directorio, serán designados por la Directora o el Director Regional en las capitales de departamento donde no existan Direcciones Regionales, los mismos que sólo ejercerán funciones técnicas y administrativas que garanticen el uso inmediato de los recursos previstos por esta norma, sin tener facultad para resolverlos. La estructura administrativa y el alcance de la competencia territorial de las Direcciones Regionales se establecerán por reglamento.

Artículo 47. (Directora o Director Ejecutivo)

I. Será designada(o) por dos tercios de votos de los miembros del Directorio. En caso de no contar con el quorum necesario en la reunión convocada para éste fin, se convocará a una segunda reunión donde se designará por simple mayoría a la Directora o al Director Ejecutivo de la Agencia de Protección de Datos Personales – APP. Si aun así no es factible, se nombrará por simple mayoría de los asistentes a la tercera reunión de directorio, dejando constar este extremo en acta.

II. En caso de renuncia, fallecimiento o término del mandato, se nombrará nuevo Director o Directora Ejecutiva a través de la correspondiente reunión de Directorio, siguiendo el quorum definido previamente.

III. Será suspendida(o) temporalmente de sus funciones si se hubiera dictado acusación formal en su contra que disponga su procesamiento penal, o resolución por la que se le atribuya responsabilidad administrativa que implique la destitución del cargo conforme a ley. Será restituida en sus funciones si descarga su responsabilidad.

Artículo 48. (Requisitos para ser Designada(o) Directora(o) Ejecutiva(o)

Para ser designada(o) como Directora(o) Ejecutiva(o) General o Regional se requiere cumplir los siguientes requisitos:

1. Ser de nacionalidad boliviana.

2. Tener reconocida idoneidad en materia.

3. Tener como mínimo título universitario a nivel de licenciatura y diez (10) años de experiencia profesional.

4. No tener sentencia ejecutoriada penal en su contra.

A estos efectos se tomará en cuenta el ejercicio de la cátedra, la investigación científica, títulos y grados académicos.

Artículo 49. (Incompatibilidades)

Las funciones de las o los Directores Ejecutivos, tanto General como Regionales, son incompatibles con el ejercicio de todo otro cargo público remunerado, con excepción de las funciones docentes universitarias y de las comisiones codificadoras. Son igualmente incompatibles con las funciones directivas de instituciones privadas, mercantiles, políticas y sindicales. La aceptación de cualquiera de estas funciones implica renuncia tácita a la función como Directora o Director, quedando nulos sus actos a partir de dicha aceptación.

Artículo 50. (Periodo de Funciones y Destitución de la Directora o Director).- La Directora o Director Ejecutivo General, desempeñará sus funciones por un período de seis (6) años y los Directores Regionales por un período de cinco (5) años, no pudiendo ser reelegidos sino pasado un tiempo igual al que hubiese ejercido su mandato.

TÍTULO VI. RECURSOS ADMINISTRATIVOS

CAPÍTULO I. GENERALIDADES

Artículo 51. (Características)

Los recursos contemplados en el presente capítulo, gozarán de las siguientes propiedades:

1. Primará el principio de informalidad;

2. Serán gratuitos;

3. Con procedimientos abreviados;

4. Accesibles y con medios idóneos para permitir a los titulares procesar los mismos en cumplimiento a todos los principios y derechos otorgados a los titulares de datos personales;

5. Serán sustentados fundamentadamente por las Autoridades;

6. Se regirán por el debido proceso y derechos constitucionales;

7. El titular tendrá acceso a todos los documentos necesarios que requiera para hacer prevalecer sus derechos;

8. Será sustentado bajo el principio pro homine.

Asimismo, cualquier duda será interpretada a favor del ejercicio de los derechos del titular afectado o que se considere afectado.

Artículo 52. (Recursos)

Los titulares de datos personales que consideren que sus derechos están siendo amedrentados o vulnerados, podrán interponerse Recurso de Alzada en los casos, forma y plazo que se establecerá en la reglamentación específica.

Contra la resolución que resuelve el Recurso de Alzada solamente cabe el Recurso Jerárquico, que se tramitará ante el Directorio de la Agencia de Protección de Datos –APP conforme al procedimiento que establecerá reglamentariamente para este efecto.

La interposición del Recurso de Alzada así como el del Jerárquico tienen efecto devolutivo. La vía administrativa se agotará con la resolución que resuelva el Recurso Jerárquico, pudiendo las Partes acudir a la impugnación judicial por la vía del proceso contencioso administrativo ante la Sala competente del Tribunal Supremo de Justicia.

Artículo 53. (Procedimiento de Oposición, Acceso, Rectificación o Cancelación)

I. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de rectificación y cancelación serán establecidos mediante Resolución de la Autoridad de Control de Datos Personales en base a lo establecido en la presente Ley.

II. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición, acceso, rectificación o cancelación

CAPÍTULO II. PROCEDIMIENTO

Artículo 54. (Recurso de Alzada)

El Recurso de Alzada será presentado ante las Direcciones Regionales. Será admisible contra todo acto que vulnere o amenace vulnerar los derechos de los titulares de datos personales. Este Recurso deberá interponerse dentro del plazo perentorio de veinte (20) días improrrogables, computables a partir de la notificación con el acto o el conocimiento del acto que se considera vulneratorio.

Artículo 55. (Recurso Jerárquico)

Quién considere que la resolución que resuelve el Recurso de Alzada lesione sus derechos, podrá interponer de manera fundamentada, Recurso Jerárquico ante la Dirección Regional que resolvió el Recurso de Alzada, dentro del plazo de veinte (20) días improrrogables, computables a partir de la notificación con la respectiva Resolución. El Recurso Jerárquico será sustanciado por el Directorio de la Agencia de Protección de Datos Personales – APP

Artículo 56. (Revisión Extraordinaria)

Únicamente por medio del Directorio de la APP, se podrán revisar, de oficio o a instancia de parte, dentro del plazo de dos (2) años, los actos administrativos firmes, en los siguientes supuestos:

1. Cuando exista error de identidad en las personas.

2. Cuando después de dictado el acto se recobren o descubran documentos decisivos detenidos por fuerza mayor o por obra de la parte a favor de la cual se hubiera dictado el acto.

3. Cuando dichos actos tengan como base documentos declarados falsos por sentencia judicial ejecutoriada o bien cuando su falsedad se desconocía al momento de su dictado.

4. Cuando dichos actos se hubieran dictado como consecuencia de prevaricato, cohecho, violencia u otra acción delictiva y se haya declarado así en sentencia judicial ejecutoriada.

La resolución que se emita declarará la nulidad del acto revisado o su anulabilidad total o parcial. La declaratoria de nulidad o anulabilidad total o parcial del acto o resolución, cuando corresponda, deberá emitirse en un plazo máximo de sesenta (60) días a contar desde la presentación de la solicitud del interesado cuando sea a instancia de parte, en mérito a pruebas que la acrediten.

Ante la declaración de nulidad o anulabilidad total o parcial del acto o resolución, se emitirá un nuevo acto o resolución que corrija al anterior, procediendo contra este nuevo, los Recursos Administrativos previstos en este Título.

Artículo 57. (Reglamentación)

Los procedimientos de los Recursos de Alzada y Jerárquico se sujetarán a los plazos, términos, condiciones, requisitos y forma dispuestos por disposiciones reglamentarias.

Artículo 58. (Proceso Contencioso Administrativo)

Conforme a la atribución Séptima del parágrafo I del artículo 118° de la Constitución Política del Estado, el proceso contencioso administrativo contra la resolución que resuelva el Recurso Jerárquico será conocido por el Tribunal Supremo de Justicia, sujetándose al trámite contenido en el Código de Procedimiento Civil.

Las cantidades reembolsadas, bajo el derecho a indemnización, serán actualizadas, aplicando la tasa de interés activa promedio para Unidades de Fomento de la Vivienda, desde la fecha en que se vulneró el derecho al titular, hasta la fecha en que se notificó al mismo con el fallo administrativo o judicial en firme. En caso de incumplirse el plazo para efectuar el reembolso, la tasa de interés se aplicará hasta el día en que efectivamente se realice el mismo.

TÍTULO VII. SEGURIDAD EN EL TRATAMIENTO DE DATOS PERSONALES

CAPÍTULO ÚNICO. INCUMPLIMIENTO

Artículo 59. (Notificación de Incumplimiento al Titular de los Datos Personales)

Cuando el Responsable tenga conocimiento de una vulneración de seguridad de datos personales ocurrida en cualquier fase del tratamiento, entendida como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental, notificará a la Agencia de Protección de Datos Personales – APP y a los titulares afectados, dicho acontecimiento, sin dilación alguna. Lo anterior no resultará aplicable cuando el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de la vulneración de seguridad ocurrida, o bien, que ésta no represente un riesgo para los derechos y las libertades de los titulares involucrados.

I. La notificación que realice el Responsable a él o los titulares afectados, estará redactada en un lenguaje claro y sencillo. El titular podrá pedir ampliación a la información proporcionada que debe ser otorgada por el Responsable, sin dilaciones.

II. La notificación a que se refieren los numerales anteriores contendrá, al menos, la siguiente información:

1. La naturaleza del incidente.

2. Los datos personales comprometidos.

3. Las acciones correctivas realizadas de forma inmediata.

4. Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses.

5. Los medios disponibles al titular para obtener mayor información al respecto.

III. El Responsable documentará toda vulneración de seguridad de los datos personales ocurrida en cualquier fase del tratamiento, identificando, de manera enunciativa más no limitativa, la fecha en que ocurrió; el motivo de la vulneración; los hechos relacionados con ella y sus efectos y las medidas correctivas implementadas de forma inmediata y definitiva, la cual estará a disposición de la autoridad de control.

TÍTULO VIII. INFRACCIONES Y SANCIONES

CAPÍTULO ÚNICO. GRADOS

Artículo 60. (Infracciones)

Las infracciones se calificarán como leves, graves o muy graves. Serán normadas por disposiciones reglamentarias, que mínimamente contemplarán, lo siguiente:

I. Son infracciones leves:

a. No dar contestación a las solicitudes ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los datos personales.

b. No proporcionar o colaborar con las solicitudes de información que solicite la autoridad competente en el ejercicio de sus facultades.

II. Son infracciones graves:

c. La creación de bases de datos o tratar datos personales sin haber obtenido el consentimiento previo, expreso e informado del titular.

d. La creación de bases de datos de titularidad privada o el tratamiento de datos de carácter personal con finalidades distintas a las que fueron comunicadas y que derivaron en el consentimiento obtenido del titular.

e. El impedimento o la obstaculización por parte de los Responsables del tratamiento para el ejercicio de los derechos reconocidos en la presente ley y normas conexas.

f. No rectificar o eliminar los datos de carácter personal cuando éstos se hubieran informado como inexactos o el titular se hubiera opuesto al tratamiento.

g. No implementar las debidas condiciones de seguridad previstas en las disposiciones reglamentarias.

h. Incumplir los deberes y responsabilidades reflejados en la presente Ley.

III. Son infracciones gravísimas:

i. El tratamiento de datos de mala fe, por medio del error y engaño al titular de los datos personales.

j. La comunicación, transferencia o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.

k. Desobedecer los requerimientos de cese de tratamiento de datos cuando estos hubieran sido dictados por la Agencia de Protección de Datos o por una orden judicial o resolución fundada.

Artículo 61. (Sanciones)

Las sanciones serán definidas por la Agencia de Protección de Datos – APP a través de disposiciones reglamentarias.

DISPOSICIÓN TRANSITORIA ÚNICA

Todos los plazos y procedimientos necesarios para ejecutar la presente ley, serán dispuestos por normas reglamentarias específicas emitidas por la Agencia De Protección De Datos Personales – APP.

DISPOSICIÓN FINAL PRIMERA

Se derogan y abrogan todas las normas contrarias a la presente ley.

DISPOSICIÓN FINAL SEGUNDA

El presente Código entrará en vigencia noventa (90) días después de su publicación en la Gaceta Oficial de Bolivia, con excepción de las Disposiciones Transitorias que entrarán en vigencia a la publicación de su Reglamento.

16May/21

Proyecto de Ley 121/000046, 19 de febrero de 2021

Proyecto de Ley 121/000046. Proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. (Boletín Oficial de las Cortes Generales. Congreso de los Diputados. XIV Legislatura, 19 de febrero de 2021).

121/000046 Proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

La Mesa de la Cámara, en su reunión del día de hoy, ha adoptado el acuerdo que se indica respecto del asunto de referencia.

(121) Proyecto de ley.

Proyecto de Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.

Acuerdo:

Encomendar Dictamen por el procedimiento de urgencia, conforme a los artículos 109 y 93 del Reglamento, a la Comisión de Interior. Asimismo, publicar en el Boletín Oficial de las Cortes Generales, estableciendo plazo de enmiendas, por un período de ocho días hábiles, que finaliza el día 1 de marzo de 2021.

En ejecución de dicho acuerdo se ordena la publicación de conformidad con el artículo 97 del Reglamento de la Cámara.

Palacio del Congreso de los Diputados, 16 de febrero de 2021. P.D. El Secretario General del Congreso de los Diputados, Carlos Gutiérrez Vicén.

PROYECTO DE LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES TRATADOS PARA FINES DE PREVENCIÓN, DETECCIÓN, INVESTIGACIÓN Y ENJUICIAMIENTO DE INFRACCIONES PENALES Y DE EJECUCIÓN DE SANCIONES PENALES

Exposición de motivos

I

La Unión Europea es un espacio en el que los estándares y las garantías de protección de los derechos de las personas físicas a la protección de los datos personales se encuentran en la vanguardia internacional y constituyen un referente mundial. El rápido desarrollo tecnológico, especialmente de Internet, así como la creciente globalización de la economía mundial y europea han hecho imprescindible abordar la reforma del marco jurídico de la protección de datos, al objeto de consolidar e incluso mejorar este elevado nivel de protección a través de la creación de un marco legislativo nuevo, adaptado a la realidad cambiante, al tiempo que sólido, coherente e integral. En definitiva, un entorno normativo para un mundo globalizado y digital.

En este sentido, la Comunicación de la Comisión Europea «Un enfoque global de la protección de los datos personales en la Unión Europea», de 4 de noviembre de 2010, precedida de un intenso periodo de consultas durante más de dos años con los Estados miembros, el público en general, así como con los distintos sectores afectados, sentó las bases de lo que sería esta nueva perspectiva normativa.

El marco normativo resultante consta, principalmente, de dos instrumentos: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), que sustituye a una norma vigente desde hacía más de veinte años, y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

En nuestro ordenamiento jurídico, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, adaptó el Reglamento General de Protección de Datos, en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos.

II

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, objeto de transposición por esta ley orgánica, deroga la Decisión Marco 2008/977/JAI del Consejo, de 27 de noviembre de 2008, relativa a la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, que había sido superada por varias razones.

En primer lugar, se trataba de una norma previa al Tratado de Lisboa que requería de su oportuna adaptación a los nuevos Tratados, en particular, al artículo 16 del Tratado de Funcionamiento de la Unión Europea, que exige que el Consejo y el Parlamento Europeo, a través del procedimiento legislativo ordinario, regulen la protección de los datos personales.

En segundo término, la decisión marco se aprobó conforme a la estructura de pilares de la Unión Europea, previa al Tratado de Lisboa, por lo que contaba con un ámbito de aplicación limitado exclusivamente al tratamiento de datos personales de carácter transfronterizo entre los Estados miembros, sin alcanzar, por tanto, a los tratamientos de carácter estrictamente nacional.

Asimismo, otorgaba una amplísima capacidad de maniobra a los Estados miembros, sin asegurar un nivel mínimo de armonización deseable en determinados ámbitos, como el reconocimiento en todos los Estados del derecho de acceso de los interesados a sus propios datos, el principio del tratamiento de los datos para fines determinados o las condiciones para las transferencias internacionales.

En definitiva, la fragmentación y complejidad de la regulación en este campo perjudicaba la necesaria confianza entre los actores de la cooperación policial y judicial penal en Europa, quienes mostraban recelos a compartir información, entre otros motivos, por la ausencia de una mínima armonización en cuanto a la protección de los datos de carácter personal; unos datos que resultan esenciales en el terreno de la cooperación operativa.

III

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, subsana estas deficiencias, ampliando su ámbito de aplicación al tratamiento nacional de los datos personales en el espacio de la cooperación policial y judicial penal. Toda vez que cubre otras carencias de la normativa europea anterior, dado que incluye la regulación de los datos genéticos —que reclamaba el Tribunal Europeo de Derechos Humanos—, así como la distinción entre los datos personales según su grado de exactitud y fiabilidad, o la diferenciación entre distintas categorías de interesados.

Resulta pertinente poner de relieve que la citada directiva que transpone esta ley orgánica se aprobó como respuesta a las crecientes amenazas para la seguridad en el contexto nacional e internacional, que tienen, en numerosos casos, un componente transfronterizo. Por esta razón, la cooperación internacional y la transmisión de información de carácter personal entre los servicios policiales y judiciales de los países implicados se convierten en un objetivo ineludible. En efecto, los atentados terroristas de Nueva York en 2001 supusieron un punto de inflexión en la necesidad de reforzar la cooperación judicial y policial en la lucha contra el terrorismo, como volvería a ponerse de manifiesto con ocasión de los atentados de Bruselas y Niza en 2016.

La cooperación encaminada a compartir a tiempo la información operativa precisa se erige en un requisito de eficacia en la prevención y lucha contra este tipo de amenazas. Todo ello, teniendo en cuenta el estado de la técnica, que permite, en la actualidad, tratamientos de datos a gran escala en el ámbito de la seguridad.

Este intercambio de información debe realizarse, en todo caso, de manera que se garanticen los principios democráticos y la seguridad de las personas a lo largo de las fases del tratamiento.

En consecuencia, esta ley orgánica asume la finalidad de lograr un elevado nivel de protección de los derechos de la ciudadanía, en general, y de sus datos personales, en particular, que resulte homologable al del resto de los Estados miembros de la Unión Europea, incorporando y concretando las reglas que establece la directiva.

En este sentido, la Constitución española fue precursora del reconocimiento y la defensa del derecho fundamental a la protección de datos personales. Así, el artículo 18.4 de nuestra norma fundamental dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de la ciudadanía y el pleno ejercicio de sus derechos. El Tribunal Constitucional, en reiterada jurisprudencia, entiende la protección de datos como un derecho fundamental que garantiza a toda persona la capacidad de controlar el uso y destino de sus datos, con el propósito de evitar el tráfico ilícito o lesivo de los mismos o una utilización para fines distintos de los que justificaron su obtención.

Por todo ello, la transposición de esta directiva por los Estados miembros supone el establecimiento de un marco jurídico consistente, que proporciona la seguridad jurídica necesaria para facilitar la cooperación policial y judicial penal y, por tanto, una mayor eficacia en el desempeño de sus funciones por las Fuerzas y Cuerpos de Seguridad y de nuestro sistema judicial penal en su conjunto, incluido el penitenciario.

IV

Esta ley orgánica consta de sesenta y cinco artículos estructurados en ocho capítulos, cinco disposiciones adicionales, una disposición derogatoria y diez disposiciones finales.

El capítulo I, relativo a las disposiciones generales, define el objeto de la ley orgánica, entendiéndose como la regulación del tratamiento de los datos personales para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluida la protección y de prevención frente a las amenazas contra la seguridad pública, cuando dicho tratamiento se lleve a cabo por los órganos que, a efectos de esta ley orgánica, tengan la consideración de autoridades competentes.

La finalidad principal es que los datos sean tratados por estas autoridades competentes de manera que se cumplan los fines prevenidos a la par que establecer los mayores estándares de protección de los derechos fundamentales y las libertades de los ciudadanos, de forma que se cumpla lo dispuesto en el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, así como en el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea y el artículo 18.4 de la Constitución.

Asimismo, en correspondencia con lo que dispone el artículo 22.6 de la Ley Orgánica 3/2018, de 5 de diciembre, cuando el tratamiento de los datos personales se realice para alguno de los fines establecidos en este ley orgánica y proceda de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad, o bien se lleve a cabo por los órganos competentes para la vigilancia y control en los centros penitenciarios o para el control, regulación, vigilancia y disciplina del tráfico, dichos tratamientos se regularán por las disposiciones de esta ley orgánica complementándose, en lo que no resulte contrario a su contenido, con la normativa vigente que regula estos ámbitos. De este modo, se establece un nuevo sistema que gira en torno a las obligaciones de los responsables del tratamiento y a las distintas misiones que se les asignan.

Aunque se deben excluir con carácter general, se incluyen igualmente algunas previsiones específicas para el tratamiento de los datos de personas fallecidas a similitud de lo que se dispone en la precitada Ley Orgánica 3/2018, de 5 de diciembre.

Las autoridades competentes, a efectos de esta ley orgánica, se definen como autoridades públicas con competencias legalmente encomendadas para la consecución de los fines específicos incluidos en el ámbito de aplicación. En concreto, se determina que serán autoridades competentes: las Fuerzas y Cuerpos de Seguridad; las autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal; las Administraciones Penitenciarias; la Dirección Adjunta de Vigilancia Aduanera; el Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias; y la Comisión de Vigilancia de Actividades de Financiación del Terrorismo. Todo ello, sin perjuicio de que los tratamientos que se lleven a cabo por los órganos jurisdiccionales se rijan por lo dispuesto en esta ley orgánica, en la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, y en las leyes procesales penales.

Se excluyen expresamente del ámbito de aplicación ciertos tratamientos, como los realizados por las autoridades competentes para fines distintos de los cubiertos por la ley orgánica; los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito del capítulo II del título V del Tratado de la Unión Europea, en relación a la Política Exterior y de Seguridad Común; los derivados de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión Europea; y los sometidos a la normativa sobre materias clasificadas. Entre estos últimos se mencionan los tratamientos relativos a la Defensa Nacional, así como los tratamientos incluidos en ficheros clasificados relativos a la lucha contra el terrorismo y las formas graves de delincuencia organizada; para estos últimos se establecen, no obstante, unos requisitos específicos dirigidos a incrementar la protección de los derechos de los interesados.

El capítulo II se refiere a los principios de protección de datos cuya garantía corresponde al responsable del tratamiento. Estos principios se regulan en términos similares a lo establecido en el Reglamento General de Protección de Datos, con algunas especialidades propias del ámbito de esta ley orgánica.

Se incluye un deber de colaboración con las autoridades competentes, según el cual, salvo que legalmente sea exigible una autorización judicial, las Administraciones Públicas o cualquier persona física o jurídica deberá proporcionar a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial la información necesaria para la investigación o enjuiciamiento de infracciones penales o la ejecución de las penas y la información necesaria para la protección y prevención frente a un peligro real y grave para la seguridad pública. Todo ello, con la obligación de no informar al interesado de dichos tratamientos ulteriores. Esta última precisión resulta fundamental para evitar que la puesta de la información a disposición del interesado pueda poner en peligro los fines que, de acuerdo con la directiva y esta ley orgánica, justifican el tratamiento de los datos.

Se regulan, también, los plazos de conservación y de revisión de los datos de carácter personal tratados, siendo relevante el establecimiento de un plazo máximo de conservación de los datos con carácter general y la implantación de un sistema que permite al responsable revisar, en el plazo que el mismo establezca dentro del margen legal, la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de sus actividades de tratamiento. El responsable deberá, en sus tratamientos, distinguir los datos que correspondan a las diversas categorías de interesados, tales como los sospechosos, los condenados o los sancionados, las víctimas o los terceros involucrados, así como diferenciar, en la medida de lo posible, si los datos que trata son datos basados en hechos o en apreciaciones.

Se exigen igualmente ciertas condiciones que determinan la licitud de todo tratamiento de datos de carácter personal, esto es, que sean tratados por las autoridades competentes; que resulten necesarios para los fines de esta ley orgánica y que, en caso necesario y en cada ámbito particular, se especifiquen las especialidades por una norma con rango de ley que incluya unos contenidos mínimos.

En el supuesto de transmisión de datos sujetos a condiciones específicas de tratamiento, dichas condiciones deberán ser respetadas por el destinatario de los mismos, en especial, la prohibición de transmitirlos o de utilizarlos para fines distintos para los que fueron transmitidos.

De igual modo, se exige que el tratamiento de categorías especiales de datos, como son los que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical o los genéticos o biométricos, sólo pueda tener lugar cuando sea estrictamente necesario y se cumplan ciertas condiciones.

Los datos biométricos (como las huellas dactilares o la imagen facial) sólo se consideran incluidos en esta categoría especial cuando su tratamiento está dirigido a identificar de manera unívoca a una persona física. Esta necesidad de identificación en las actuaciones amparadas legalmente se lleva a cabo, con frecuencia, por las distintas autoridades competentes. El propósito es singularizar los autores o partícipes de infracciones penales, así como poder reconocer si son las personas que se supone o se busca, y de esta forma, atribuir o exonerar, sin género de dudas, la participación en determinados hechos, gracias a posibles indicios o vestigios biométricos.

Habida cuenta de la vertiginosa evolución tecnológica y los medios electrónicos de los que se dispone, se incluye la habilitación legal que facilite una respuesta rápida y adecuada en el uso de estos datos, con el objetivo final de garantizar y proteger los derechos de los interesados y de la ciudadanía en general.

Se prohíbe, igualmente, la adopción de decisiones individuales automatizadas, incluida la elaboración de perfiles en este ámbito, salvo que esté autorizado por una norma con rango de ley del ordenamiento jurídico español o europeo.

El capítulo III, se divide en dos secciones y aborda los derechos de las personas. Regula una serie de condiciones generales del ejercicio de los derechos, tales como la obligación exigible al responsable de facilitar la información correspondiente a los derechos del interesado de forma concisa, con un lenguaje claro y sencillo y de manera gratuita. Se establece la información que debe ponerse a disposición del interesado, siendo algunos datos obligatorios, en todo caso, y otros en casos concretos.

Se reconocen los derechos de acceso, rectificación, supresión y limitación del tratamiento. En virtud de tales derechos se faculta al interesado a conocer si se están tratando o no sus datos y, en caso afirmativo, acceder a cierta información sobre el tratamiento; a obtener la rectificación de sus datos si estos resultaran inexactos; a suprimirlos cuando fueran contrarios a lo dispuesto en los artículos 6, 11 o 13, o cuando así lo requiera una obligación legal exigible al responsable; y a limitar el tratamiento, cuando el interesado ponga en duda la exactitud de los datos o estos datos deban conservarse únicamente a efectos probatorios.

Estos derechos podrán ser ejercidos por el interesado directamente o, en determinados casos, a través de la autoridad de protección de datos.

Dispone esta ley orgánica que estos derechos pueden ser restringidos por ciertas causas tasadas, como cuando sea necesario para evitar que se obstaculice una investigación o se ponga en peligro la seguridad pública o la seguridad nacional.

Se establece, en su sección segunda, un régimen especial de derechos de los interesados en el marco de investigaciones y procesos penales.

El capítulo IV recoge las obligaciones y responsabilidades de los responsables y encargados de protección de datos, las medidas de seguridad y la figura del delegado de protección de datos, a lo largo de tres secciones. El responsable del tratamiento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las medidas técnicas y organizativas apropiadas.

El encargado del tratamiento llevará a cabo sus funciones por cuenta del responsable, debiendo ofrecer garantías para aplicar medidas técnicas y organizativas apropiadas.

Todo responsable y encargado del tratamiento deberá conservar un registro de actividades de tratamiento, con datos identificativos, tales como los datos de contacto del responsable, los fines o las categorías de interesados, y un registro de operaciones, pieza angular de este sistema e instrumento básico para acreditar el cumplimiento de varios de los principios de tratamiento, que comprenderá la recogida, la alteración, las consultas y las transferencias de los datos personales entre otras operaciones.

Asimismo, están obligados a cooperar con la autoridad de protección de datos, en el marco de la legislación vigente.

Se establecen ciertas obligaciones que responden a un nuevo modelo de responsabilidad activa que exige una valoración previa del riesgo que pudiera generar el tratamiento de los datos de carácter personal para los interesados, para, a partir de dicha valoración, adoptar las medidas que procedan.

Se presta una atención detallada a la seguridad del tratamiento, regulándose alguna de las medidas de seguridad que se aplicarán, si bien solo se dispone como obligatoria la puesta en marcha del citado registro de operaciones como medida técnica y organizativa, siendo las demás las que el responsable determine como las más adecuadas para lograr el control que se le solicita en virtud del tipo de tratamiento que se esté llevando a cabo y del nivel de riesgo que se estime, tras el correspondiente análisis. Se impone, asimismo, el deber de notificación a la autoridad de protección de datos de cualquier violación de la seguridad que, con carácter general, deberá ser notificada al interesado, salvo en supuestos expresamente previstos en la ley.

El delegado de protección de datos se configura como el órgano o figura de asesoramiento y supervisión de los responsables de protección de datos, que podrá ser único para varias autoridades competentes y cuya designación será obligatoria salvo en relación con los tratamientos de datos con fines jurisdiccionales. En el caso de que se dispongan tratamientos que queden bajo distintos ámbitos de aplicación, con el fin de evitar disfunciones en las organizaciones de las autoridades competentes, se establece que la figura del delegado de protección de datos será única para todos ellos.

El capítulo V regula las transferencias de datos personales realizadas por las autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea o a una organización internacional, incluidas las transferencias ulteriores a otro Estado que no pertenezca a la Unión Europea u otra organización internacional y se establecen las condiciones que deberán cumplirse para que éstas sean lícitas.

Así, con el fin de garantizar que no se menoscabe el nivel de protección de las personas físicas previsto en esta ley orgánica, la transferencia respetará ciertas condiciones previstas en la misma. De este modo, sólo deben realizarse cuando sean necesarias para los fines de esta ley orgánica y cuando el responsable del tratamiento en el tercer país u organización internacional sea autoridad competente en relación a dichos fines.

Asimismo, cuando el dato se transfiere a un tercer país o a una organización internacional, la autoridad competente del Estado miembro en el que se obtuvo el dato, debe autorizar previamente esta transferencia y las ulteriores que puedan tener lugar a otro tercer país o a una organización internacional. En cuanto al tercer país u organización internacional destinatario de la trasferencia, deberá ser objeto de evaluación por la Comisión Europea a la vista de su nivel de protección de datos o, en caso de ausencia de decisión, debe entenderse por el responsable del tratamiento que ofrece garantías adecuadas. Sólo por las causas excepcionales previstas en esta ley orgánica se podrán autorizar transferencias fuera de estos supuestos.

Este capítulo finaliza con la regulación de la transferencia internacional de datos personales a destinatarios que, no siendo autoridades competentes, están establecidos en terceros países.

El capítulo VI, relativo a las autoridades de protección de datos, dispone que dichas autoridades sean la Agencia Española de Protección de Datos y las Agencias Autonómicas de Protección de Datos, en sus respectivos ámbitos competenciales. Asimismo, la ley orgánica recoge sus potestades, funciones y la asistencia entre autoridades de protección de datos de los Estados miembros. Se remite en lo restante a la normativa que les resulte de aplicación.

El capítulo VII prevé que los procedimientos de reclamación que se planteen ante las autoridades de protección de datos se rijan por lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre, o, en su caso, por la normativa reguladora de la autoridad de protección de datos correspondiente. Se refiere a aquellos supuestos en que los responsables o encargados del tratamiento, o de la autoridad de protección de datos, en su caso, incumplan esta ley orgánica y generen un daño o lesión en los bienes o derechos del interesado.

Este capítulo, además, aborda la responsabilidad de los responsables o encargados del tratamiento o de la autoridad de protección de datos, en su caso, cuando incumplan esta ley orgánica y se genere un daño o lesión en los bienes o derechos de un interesado. De igual modo, se detalla la forma de ejercer el derecho a la tutela judicial efectiva ante la jurisdicción contencioso-administrativa contra las decisiones de una autoridad de protección de datos que puedan entenderse que conciernen a los interesados.

Finalmente, el capítulo VIII regula el régimen sancionador específico aplicable ante incumplimientos de las obligaciones previstas en esta ley orgánica. Se definen los sujetos sobre los que recaerá la responsabilidad por las infracciones cometidas. Se determinan las reglas del concurso de normas para resolver los casos en los que un hecho pueda ser calificado con arreglo a dos o más de ellas. Al tiempo que se tipifican las infracciones, que, en función de su gravedad, podrán ser leves, graves o muy graves.

Por último, se establecen las sanciones que se pueden imponer, y se fijan los plazos de prescripción tanto de las infracciones como de las sanciones y de caducidad.

Las disposiciones adicionales se refieren a regímenes específicos, al intercambio de datos dentro de la Unión Europea, a los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial, y a los tratamientos que se efectúen en relación con los ficheros y al registro de Población de las Administraciones Públicas.

Las disposiciones finales introducen las modificaciones necesarias en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, para adecuarla a las previsiones de esta ley orgánica en relación con los tratamientos para ejecución de la pena; en la Ley Orgánica 3/2018, de 5 de diciembre; en la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves en correspondencia con determinadas obligaciones de los operadores; en la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte; en la Ley 5/2014, de 4 de abril, de Seguridad Privada para adecuar, en ambos casos, los plazos de caducidad de los expedientes sancionadores; y en el texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por el Real Decreto Legislativo 6/2015, de 30 de octubre, para dar soporte legal específico a las matriculaciones por razones de Seguridad Nacional.

En la elaboración de esta ley orgánica se han observado los principios de necesidad, eficacia,

proporcionalidad, seguridad jurídica, transparencia y eficiencia, exigidos por el artículo 129 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

En primer lugar, se trata de una norma necesaria, dado que la transposición de la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, exige una ley de carácter orgánico, al afectar la norma comunitaria a un derecho fundamental reconocido en el artículo 18 de la Constitución y por imperativo del artículo 81 de la misma. En este sentido, el artículo 18.4 de la Constitución dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de la ciudadanía y el pleno ejercicio de sus derechos.

Esta ley orgánica, además, incorpora a nuestro ordenamiento interno los instrumentos que permitirán una eficaz protección de los datos de las personas físicas frente a su tratamiento por parte de las autoridades competentes con fines de prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

Por lo que respecta al principio de seguridad jurídica, en razón de la materia objeto de regulación, la transposición de la directiva se realiza mediante una ley orgánica, cuya tramitación e integración en el ordenamiento jurídico goza de las garantías que amparan las normas de esta naturaleza.

En cuanto al principio de proporcionalidad, esta ley orgánica contempla un importante número de garantías orientadas a que el tratamiento de datos personales sea proporcional, oportuno, mínimo y suficiente para el cumplimiento de los fines que se persiguen. En particular, su tratamiento se sujeta a los principios que rigen el tratamiento de datos personales, por lo que se exige que no sean tratados para otros fines distintos de los establecidos en la norma, salvo que dicho tratamiento esté autorizado por el Derecho de la Unión Europea o por nuestro Derecho interno. Cuando los datos personales sean tratados para otros fines que no sean los de la prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública, se aplicará el Reglamento General de Protección de Datos, a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión Europea.

Se cumple, también, el principio de transparencia, puesto que esta norma ha sido sometida a los correspondientes trámites de participación pública, esto es, el de consulta pública previa y el de audiencia e información pública.

En la tramitación de esta ley orgánica, además de los diversos Ministerios concernidos por razón de la materia, han emitido informe la Agencia Española de Protección de Datos; la Agencia Vasca de Protección de Datos; la Autoridad Catalana de Protección de Datos; el Consejo Fiscal; el Consejo General del Poder Judicial; los Departamentos de Seguridad Pública del Gobierno Vasco y de Interior de la Generalidad de Cataluña; y finalmente el Consejo de Estado. Se trata, por tanto, de un texto en el cual se han incorporado las consideraciones de órganos tan relevantes como los expuestos.

Por último, esta ley orgánica se dicta al amparo de las reglas 1.ª, 6.ª, 18.ª y 29.ª del artículo 149.1 de la Constitución, que atribuyen al Estado las competencias exclusivas, respectivamente, para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales; sobre legislación penal, penitenciaria y procesal; respecto a las bases del régimen jurídico de las Administraciones Públicas, el procedimiento administrativo común y en relación al sistema de responsabilidad de todas las Administraciones públicas; y en materia de seguridad pública.

CAPÍTULO I. Disposiciones generales

Artículo 1. Objeto.

Esta ley orgánica tiene por objeto establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos de carácter personal por parte de las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y prevención frente a las amenazas contra la seguridad pública.

Artículo 2. Ámbito de aplicación.

1. Será de aplicación al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero, realizado por las autoridades competentes, con fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, incluidas las protección y prevención frente a las amenazas contra la seguridad pública.

2. El tratamiento de los datos personales llevado a cabo con ocasión de la tramitación por los órganos judiciales y fiscalías de las actuaciones o procesos de los que sean competentes, así como el realizado dentro de la gestión de la Oficina judicial y fiscal, se regirá por lo dispuesto en la presente Ley Orgánica, sin perjuicio de las disposiciones de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, las leyes procesales que le sean aplicables y, en su caso, por la Ley 50/1981, de 30 de diciembre, por la que se regula el Estatuto Orgánico del Ministerio Fiscal. Las autoridades de protección de datos a las que se refiere el capítulo VI no serán competentes para controlar estas operaciones de tratamiento.

3. Quedan fuera del ámbito de aplicación de esta ley orgánica los siguientes tratamientos de datos personales:

a) Los realizados por las autoridades competentes para fines distintos de los previstos en el artículo 1, incluidos los fines de archivo por razones de interés público, investigación científica e histórica o estadísticos. Estos tratamientos se someterán plenamente a lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), así como en la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales.

b) Los llevados a cabo por los órganos de la Administración General del Estado en el marco de las actividades comprendidas en el ámbito de aplicación del capítulo II del título V del Tratado de la Unión Europea.

c) Los tratamientos que afecten a actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión Europea.

d) Los relativos a la Defensa Nacional.

e) Los sometidos a la normativa sobre materias clasificadas, entre los que se encuentran los tratamientos relativos a la lucha contra el terrorismo y a las formas graves de delincuencia organizada.

A las actividades de tratamiento en materia de lucha contra el terrorismo y las formas graves de delincuencia organizada, no les será de aplicación ni el Reglamento General de Protección de Datos, ni la Ley Orgánica 3/2018, de 5 de diciembre, sino que estarán sujetos a lo dispuesto en la citada normativa sobre materias clasificadas y seguridad de la información. No obstante, en estos supuestos, el responsable del tratamiento comunicará previamente a la Autoridad de protección de datos competente, la actividad de tratamiento que se llevará a cabo, sus fines, las categorías de datos tratados, las categorías de interesados y destinatarios, las categorías de transferencias internacionales de datos personales y la elaboración de perfiles, en su caso, así como los elementos esenciales relativos a las medidas de seguridad.

4. Esta ley orgánica no se aplicará a los tratamientos de datos de personas fallecidas, sin perjuicio de lo establecido en el artículo siguiente.

Artículo 3. Datos de personas fallecidas.

1. Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso, rectificación o supresión de los datos de aquel, de acuerdo con lo dispuesto en esta ley orgánica.

2. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona interesada.

3. En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el apartado anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

Artículo 4. Autoridades competentes.

1. Será autoridad competente, a los efectos de esta ley orgánica, toda autoridad pública que tenga competencias encomendadas legalmente para el tratamiento de datos personales con alguno de los fines previstos en el artículo 1.

En particular, tendrán esa consideración, en el ámbito de sus respectivas competencias, las siguientes autoridades:

a) Las Fuerzas y Cuerpos de Seguridad.

b) Las Administraciones Penitenciarias.

c) La Dirección Adjunta de Vigilancia Aduanera de la Agencia Estatal de Administración Tributaria.

d) El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.

e) La Comisión de Vigilancia de Actividades de Financiación del Terrorismo.

2. También tendrán consideración de autoridades competentes las Autoridades judiciales del orden jurisdiccional penal y el Ministerio Fiscal.

Artículo 5. Definiciones.

A efectos de esta ley orgánica se entenderá por:

a) «datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable a toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, unos datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

b) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

c) «limitación del tratamiento»: el marcado de los datos personales conservados con el fin de limitar su tratamiento en el futuro;

d) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

e) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional se mantenga por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

f) «fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o dispersado de forma funcional o geográfica;

g) «autoridad competente»: toda autoridad pública competente para la prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública; o cualquier otro órgano o entidad a quien en nuestro ordenamiento jurídico haya confiado el ejercicio de la autoridad pública y las competencias públicas a efectos de prevención, investigación, detección o enjuiciamiento de infracciones penales o ejecución de sanciones penales, incluidas la protección y prevención frente a amenazas para la seguridad pública;

h) «responsable del tratamiento» o «responsable»: la autoridad competente que sola o conjuntamente con otras, determine los fines y medios del tratamiento de datos personales;

i) «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;

j) «destinatario»: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo al que se comuniquen datos personales, se trate o no de un tercero. No obstante, no se considerará destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el ordenamiento jurídico interno o de la Unión; el tratamiento de tales datos por las citadas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;

k) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita, o la comunicación o acceso no autorizados a datos personales transmitidos, conservados o tratados de otra forma;

l) «datos genéticos»: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de la persona física de que se trate;

m) «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o de conducta de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

n) «datos relativos a la salud»: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud;

ñ) «autoridad de control»: una autoridad pública independiente, como la Agencia Española de Protección de Datos y las Agencias autonómicas;

o) «organización internacional»: una organización internacional y sus entes subordinados de Derecho internacional público o cualquier otro organismo creado mediante un acuerdo entre dos o más países o en virtud de tal acuerdo.

CAPÍTULO II. Principios, licitud del tratamiento y videovigilancia

Sección 1.ª. Principios y licitud del tratamiento

Artículo 6. Principios relativos al tratamiento de datos personales.

1. Los datos personales serán:

a) Tratados de manera lícita y leal.

b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados de forma incompatible con esos fines.

c) Adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados.

d) Exactos y, si fuera necesario, actualizados. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen, sin dilación indebida, los datos personales que sean inexactos con respecto a los fines para los que son tratados.

e) Conservados de forma que permitan identificar al interesado durante un período no superior al necesario para los fines para los que son tratados.

f) Tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Para ello, se utilizarán las medidas técnicas u organizativas adecuadas.

2. Los datos personales recogidos por las autoridades competentes no serán tratados para otros fines distintos de los establecidos en el artículo 1, salvo que dicho tratamiento esté autorizado por el Derecho de la Unión Europea o por la legislación española. Cuando los datos personales sean tratados para otros fines, se aplicará el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, a menos que el tratamiento se efectúe como parte de una actividad que quede fuera del ámbito de aplicación del Derecho de la Unión Europea.

3. Los datos personales podrán ser tratados por el mismo responsable o por otro, para fines establecidos en el artículo 1 distintos de aquel para el que hayan sido recogidos, en la medida en que concurran cumulativamente las dos circunstancias siguientes:

a) Que el responsable del tratamiento sea competente para tratar los datos para ese otro fin, de acuerdo con el Derecho de la Unión Europea o la legislación española.

b) Que el tratamiento sea necesario y proporcionado para la consecución de ese otro fin, de acuerdo con el Derecho de la Unión Europea o la legislación española.

4. El tratamiento por el mismo responsable o por otro podrá incluir el archivo por razones de interés público, y el uso científico, estadístico o histórico para los fines establecidos en el artículo 1, con sujeción a las garantías adecuadas para los derechos y libertades de los interesados.

5. El responsable del tratamiento deberá garantizar y estar en condiciones de demostrar el cumplimiento de lo establecido en este artículo.

Artículo 7. Deber de colaboración.

1. Las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán a las autoridades judiciales, al Ministerio Fiscal o a la Policía Judicial los datos, informes, antecedentes y justificantes que les soliciten y que sean necesarios para la investigación y enjuiciamiento de infracciones penales o para la ejecución de las penas. La petición de la policía judicial deberá ser concreta y específica.

La comunicación de datos, informes, antecedentes y justificantes por la Administración tributaria, la Administración de la Seguridad Social y la Inspección de Trabajo y Seguridad Social, se efectuará de acuerdo con su legislación respectiva.

2. En los restantes casos, las Administraciones públicas, así como cualquier persona física o jurídica, proporcionarán los datos, informes, antecedentes y justificantes a las autoridades competentes que los soliciten, siempre que éstos sean necesarios para el desarrollo específico de sus misiones para la prevención, detección e investigación de infracciones penales y para la prevención y protección frente a un peligro real y grave para la seguridad pública. La petición de la autoridad competente deberá ser concreta y específica y contener la motivación que acredite su relación con los indicados supuestos.

3. No será de aplicación lo dispuesto en los apartados anteriores cuando legalmente sea exigible la autorización judicial para recabar los datos necesarios para el cumplimiento de los fines del artículo 1.

4. En los supuestos contemplados en los apartados anteriores, el interesado no será informado de la transmisión de sus datos a las autoridades competentes, ni de haber facilitado el acceso a los mismos por dichas autoridades de cualquier otra forma, a fin de garantizar la actividad investigadora.

Con el mismo propósito, los sujetos a los que el ordenamiento jurídico imponga un deber específico de colaboración con las autoridades competentes para el cumplimiento de los fines establecidos en el artículo 1, no informarán al interesado de la transmisión de sus datos a dichas autoridades, ni de haber facilitado el acceso a los mismos por dichas autoridades de cualquier otra forma, en cumplimiento de sus obligaciones específicas.

Artículo 8. Plazos de conservación y revisión.

1. El responsable del tratamiento determinará que la conservación de los datos personales tenga lugar sólo durante el tiempo necesario para cumplir con los fines previstos en el artículo 1.

2. El responsable del tratamiento deberá revisar la necesidad de conservar, limitar o suprimir el conjunto de los datos personales contenidos en cada una de las actividades de tratamiento bajo su responsabilidad, como máximo cada tres años. Si es posible, se hará mediante el tratamiento automatizado apropiado. El plazo máximo de conservación será de 20 años.

Artículo 9. Distinción entre categorías de interesados.

El responsable del tratamiento, en la medida de lo posible, establecerá entre los datos personales de las distintas categorías de interesados, distinciones tales como:

a) Personas respecto de las cuales existan motivos fundados para presumir que hayan cometido, puedan cometer o colaborar en la comisión de una infracción penal.

b) Personas condenadas o sancionadas por una infracción penal.

c) Víctimas o afectados por una infracción penal o que puedan serlo.

d) Terceros involucrados en una infracción penal o un tratamiento comprendido en la letra a), como son, personas que puedan ser citadas a testificar en investigaciones relacionadas con infracciones o procesos penales ulteriores, personas que puedan facilitar información sobre dichas infracciones, o personas de contacto o asociados de una de las personas mencionadas en las letras a) y b).

Artículo 10. Verificación de la calidad de los datos personales.

1. El responsable del tratamiento, en la medida de lo posible, establecerá una distinción entre los datos personales basados en hechos y los basados en apreciaciones personales.

2. Las autoridades competentes adoptarán todas las medidas razonables para garantizar que los datos personales que sean inexactos, incompletos o no estén actualizados, no se transmitan ni se pongan a disposición de terceros. En toda transmisión de datos se trasladará al mismo tiempo la valoración de su calidad, exactitud y actualización.

En la medida de lo posible, en todas las transmisiones de datos personales se añadirá la información necesaria para que la autoridad competente receptora pueda valorar hasta qué punto son exactos, completos y fiables, y en qué medida están actualizados. Igualmente, la autoridad competente transmisora controlará la calidad de los datos personales antes de transmitirlos o ponerlos a disposición de terceros.

3. Si se observara que los datos personales transmitidos son incorrectos o que se han transmitido ilegalmente, estas circunstancias se pondrán en conocimiento del destinatario sin dilación indebida. En tal caso, los datos deberán rectificarse o suprimirse, o el tratamiento deberá limitarse de conformidad con lo previsto en el artículo 23.

Artículo 11. Licitud del tratamiento.

1. El tratamiento sólo será lícito en la medida en que sea necesario para los fines señalados en el artículo 1 y se realice por una autoridad competente en ejercicio de sus funciones.

2. Cualquier ley que regule tratamientos de datos personales para los fines incluidos dentro del ámbito de aplicación de esta ley orgánica deberá indicar, al menos, los objetivos del tratamiento, los datos personales que vayan a ser objeto del mismo y las finalidades del tratamiento.

Artículo 12. Condiciones específicas de tratamiento.

1. Cuando el Derecho de la Unión Europea o la legislación española prevea condiciones específicas aplicables al tratamiento, la autoridad competente transmitente deberá informar al destinatario al que se transmitan los datos, de dichas condiciones y de la obligación de respetarlas.

2. Las condiciones específicas de tratamiento podrán ser, entre otras, la prohibición de transmisión de datos o de su utilización para fines distintos para los que fueron transmitidos o, en caso de limitación del derecho a la información, la prohibición de dar información al interesado sin la autorización previa de la autoridad transmisora.

3. La autoridad competente transmitente no aplicará a los destinatarios de otros Estados miembros de la Unión Europea o de organismos, agencias y órganos establecidos en virtud de los capítulos 4 y 5 del título V de la tercera parte del Tratado de Funcionamiento de la Unión Europea, condiciones distintas de las aplicables a las transmisiones de datos similares dentro de España.

Artículo 13. Tratamiento de categorías especiales de datos personales.

1. El tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, así como el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud o a la vida sexual o a la orientación sexual de una persona física, sólo se permitirá cuando sea estrictamente necesario, con sujeción a las garantías adecuadas para los derechos y libertades del interesado y cuando se cumplan alguna de las siguientes circunstancias:

a) Se encuentre previsto por una norma con rango de ley o por el Derecho de la Unión Europea.

b) Resulte necesario para proteger los intereses vitales, así como los derechos y libertades fundamentales del interesado o de otra persona física.

c) Dicho tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos.

2. Las autoridades competentes, en el marco de sus respectivas funciones y competencias, podrán tratar datos biométricos dirigidos a identificar de manera unívoca a una persona física con los fines de prevención, investigación, detección de infracciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

3. Los datos de los menores de edad y de las personas con capacidad modificada judicialmente o que estén incursas en procesos de dicha naturaleza, se tratarán garantizando el interés superior de los mismos y con el nivel de seguridad adecuado.

Artículo 14. Mecanismo de decisión individual automatizado.

1. Están prohibidas las decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos negativos para el interesado o que le afecten significativamente, salvo que se autorice expresamente por una norma con rango de ley o por el Derecho de la Unión Europea. La norma habilitante del tratamiento deberá establecer las medidas adecuadas para salvaguardar los derechos y libertades del interesado, incluyendo el derecho a obtener la intervención humana en el proceso de revisión de la decisión adoptada.

2. Las decisiones a las que se refiere el apartado anterior no se basarán en las categorías especiales de datos personales contempladas en el artículo 13, salvo que se hayan tomado las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.

3. Queda prohibida la elaboración de perfiles que dé lugar a una discriminación de las personas físicas sobre la base de categorías especiales de datos personales establecidas en el artículo 13.

Sección 2.ª. Tratamiento de datos personales en el ámbito de la videovigilancia por Fuerzas y Cuerpos de Seguridad

Artículo 15. Sistemas de grabación de imágenes y sonido por las Fuerzas y Cuerpos de Seguridad.

1. La captación, reproducción y tratamiento de datos personales por las Fuerzas y Cuerpos de Seguridad en los términos previstos en esta ley orgánica, así como las actividades preparatorias, no se considerarán intromisiones ilegítimas en el derecho al honor, a la intimidad personal y familiar y a la propia imagen, a los efectos de lo establecido en el artículo 2.2 de la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

2. En la instalación de sistemas de grabación de imágenes y sonidos se tendrán en cuenta, conforme al principio de proporcionalidad, los siguientes criterios: asegurar la protección de los edificios e instalaciones propias; asegurar la protección de edificios e instalaciones públicas y de sus accesos que estén bajo custodia; salvaguardar y proteger las instalaciones útiles para la seguridad nacional; prevenir, detectar o investigar la comisión de infracciones penales y la protección y prevención frente a las amenazas contra la seguridad pública.

3. En el caso de que dicha utilización se realice por las Unidades de Policía Judicial se estará a lo dispuesto en la Ley de Enjuiciamiento Criminal y en su normativa de aplicación. En los supuestos de uso destinados al control, regulación, vigilancia y disciplina del tráfico, se llevará a cabo conforme a la normativa específica en la materia.

Artículo 16. Instalación de sistemas fijos.

1. En las vías o lugares públicos donde se instalen videocámaras fijas, el responsable del tratamiento deberá realizar una valoración del citado principio de proporcionalidad en su doble versión de idoneidad e intervención mínima. Asimismo, llevar a cabo un análisis de los riesgos o una evaluación de impacto de protección de datos relativo al tratamiento que se pretenda llevar a cabo, en función del nivel de perjuicio que se pueda derivar para la ciudadanía y de la finalidad perseguida.

2. Esta disposición se aplicará asimismo cuando las Fuerzas y Cuerpos de Seguridad utilicen instalaciones fijas de videocámaras de las que no sean titulares y exista, por su parte, un control y dirección efectiva del proceso completo de tratamiento.

3. Estas instalaciones fijas de videocámaras no estarán sujetas al control preventivo de las entidades locales previsto en su legislación reguladora básica, ni al ejercicio de las competencias de las diferentes Administraciones públicas, sin perjuicio de que deban respetar los principios de la legislación vigente en cada ámbito material de la actuación administrativa.

4. Los propietarios y, en su caso, los titulares de derechos reales sobre los bienes afectados por estas instalaciones, o quienes los posean por cualquier título, están obligados a facilitar y permitir su instalación y mantenimiento, sin perjuicio de las indemnizaciones que procedan.

5. El público será informado de manera clara y permanente de la existencia de estas videocámaras fijas, sin especificar su emplazamiento, así como de la autoridad responsable del tratamiento ante la que poder ejercer sus derechos.

Artículo 17. Dispositivos móviles.

cumplimiento de los fines previstos en esta ley orgánica, conforme a las competencias específicas de las Fuerzas y Cuerpos de Seguridad. La toma de imagen y sonido, que ha de ser conjunta, queda supeditada, en todo caso, a la concurrencia de un peligro o evento concreto. El uso de los dispositivos móviles deberá estar autorizado por la persona titular de la Delegación o Subdelegación del Gobierno, quien atenderá a la naturaleza de los eventuales hechos susceptibles de filmación, adecuando la utilización de dichos dispositivos a los principios de tratamiento y al de proporcionalidad.

En el caso de los Cuerpos de Policía propios de las comunidades autónomas que tengan y ejerzan competencias asumidas para la protección de las personas y bienes y para el mantenimiento del orden público, serán sus órganos correspondientes los que autorizarán este tipo de actuaciones para sus fuerzas policiales, así como para las dependientes de las Corporaciones locales radicadas en su territorio.

2. En estos supuestos de dispositivos móviles, las autorizaciones no se podrán conceder en ningún caso con carácter indefinido o permanente, siendo otorgadas por el plazo adecuado a la naturaleza y las circunstancias derivadas del peligro o evento concreto, por un periodo máximo de un mes prorrogable por otro.

3. En casos de urgencia o necesidad inaplazable será el responsable operativo de las Fuerzas y Cuerpos de Seguridad competentes el que podrá determinar su uso, siendo comunicada tal actuación con la mayor brevedad posible, y siempre en el plazo de 24 horas, al Delegado o Subdelegado del Gobierno o autoridad competente de las comunidades autónomas.

Artículo 18. Tratamiento y conservación de las imágenes.

1. Realizada la filmación de acuerdo con los requisitos establecidos en esta ley orgánica, si la grabación captara la comisión de hechos que pudieran ser constitutivos de infracciones penales, las Fuerzas y Cuerpos de Seguridad pondrán la cinta o soporte original de las imágenes y sonidos en su integridad, a disposición judicial a la mayor brevedad posible y, en todo caso, en el plazo máximo de setenta y dos horas desde su grabación. De no poder redactarse el atestado en tal plazo, se relatarán verbalmente los hechos a la autoridad judicial, o al Ministerio Fiscal, junto con la entrega de la grabación.

2. Si se captaran hechos que pudieran ser constitutivos de infracciones administrativas relacionadas con la seguridad pública, se remitirán al órgano competente, de inmediato, para el inicio del oportuno procedimiento sancionador.

3. Las grabaciones serán destruidas en el plazo máximo de tres meses desde su captación, salvo que estén relacionadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, sujetas a una investigación policial en curso o con un procedimiento judicial o administrativo abierto.

Artículo 19. Régimen disciplinario.

1. Sin perjuicio de las responsabilidades penales en las que pudieran incurrir, las infracciones a lo dispuesto en esta ley orgánica por los miembros de las Fuerzas y Cuerpos de Seguridad, serán sancionadas con arreglo al régimen disciplinario correspondiente a los infractores y, en su defecto, con sujeción al régimen general de sanciones en materia de protección de datos de carácter personal establecido en esta ley orgánica.

2. Se considerarán faltas muy graves en el régimen disciplinario de las Fuerzas y Cuerpos de Seguridad del Estado, las siguientes infracciones:

a) Alterar o manipular los registros de imágenes y sonidos, siempre que no constituya delito.

b) Permitir el acceso de personas no autorizadas a las imágenes y sonidos grabados o utilizar  éstos para fines distintos de los previstos legalmente.

c) Reproducir las imágenes y sonidos para fines distintos de los previstos en esta ley orgánica.

d) Utilizar los medios técnicos regulados en esta ley orgánica para fines distintos de los  previstos en la misma.

CAPÍTULO III. Derechos de las personas

Sección 1.ª. Régimen general

Artículo 20. Condiciones generales de ejercicio de los derechos de los interesados.

1. El responsable del tratamiento deberá facilitar al interesado, de forma concisa, inteligible, de fácil acceso y con lenguaje claro y sencillo para todas las personas, incluidas aquellas con discapacidad, toda la información contemplada en el artículo 21, así como la derivada de los artículos 14, 22 a 26 y 39.

Además, el responsable del tratamiento deberá adoptar las medidas necesarias para garantizar al interesado el ejercicio de sus derechos a los que se refieren los artículos 14 y 22 a 26.

2. El interesado, con capacidad de obrar, podrá actuar en su propio nombre y representación o por medio de representantes, de acuerdo con lo previsto en la normativa sobre el procedimiento administrativo común de las Administraciones Públicas.

3. La información será facilitada por cualquier medio adecuado, incluidos los medios electrónicos, procurando utilizar el mismo medio empleado en la solicitud.

4. El responsable del tratamiento informará por escrito al interesado, sin dilación indebida, sobre el curso dado a su solicitud. La solicitud se entenderá desestimada si transcurrido un mes desde su presentación no ha sido resuelta expresamente y notificada al interesado.

5. La información a la que se refiere el apartado 1 se facilitará gratuitamente. Cuando las solicitudes de un interesado sean manifiestamente infundadas o excesivas, en particular debido a su carácter repetitivo, el responsable del tratamiento podrá inadmitirlas a trámite, mediante resolución motivada.

El responsable del tratamiento deberá demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

En todo caso se considerará que la solicitud es repetitiva cuando se realicen tres solicitudes sobre el mismo supuesto durante el plazo de seis meses, salvo que exista causa legítima para ello.

6. Cuando el responsable del tratamiento tenga dudas razonables acerca de la identidad de la persona física que formula la solicitud a la que se refieren los artículos 22 y 23, le requerirá para que facilite la información complementaria que resulte necesaria para confirmar su identidad en el plazo de diez días. Transcurrido dicho plazo sin que se aporte la información, se le tendrá por desistido de su petición mediante resolución motivada. El plazo de diez días comenzará a contar desde la fecha en que el interesado facilite la información solicitada.

Artículo 21. Información que debe ponerse a disposición del interesado.

1. El responsable del tratamiento de los datos pondrá a disposición del interesado, al menos, la siguiente información:

a) La identificación del responsable del tratamiento y sus datos de contacto.

b) Los datos de contacto del delegado de protección de datos, en su caso.

c) Los fines del tratamiento a los que se destinen los datos personales.

d) El derecho a presentar una reclamación ante la autoridad de protección de datos competente y los datos de contacto de la misma.

e) El derecho a solicitar del responsable del tratamiento el acceso a los datos personales relativos al interesado y su rectificación, supresión o la limitación de su tratamiento.

2. Además de la información a la que se refiere el apartado 1, atendiendo a las circunstancias del caso concreto, el responsable del tratamiento proporcionará al interesado la siguiente información adicional para permitir el ejercicio de sus derechos:

a) La base jurídica del tratamiento.

b) El plazo durante el cual se conservarán los datos personales o, cuando esto no sea posible, los criterios utilizados para determinar ese plazo.

c) Las categorías de destinatarios de los datos personales, cuando corresponda, en particular, los establecidos en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.

d) Cualquier otra información necesaria, en especial, cuando los datos personales se hayan recogido sin conocimiento del interesado.

Artículo 22. Derecho de acceso del interesado a sus datos personales.

1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. En caso de que se confirme el tratamiento, el interesado tendrá derecho a acceder a dichos datos personales, así como a la siguiente información:

a) Los fines y la base jurídica del tratamiento.

b) Las categorías de datos personales de que se trate.

c) Los destinatarios o las categorías de destinatarios a quienes hayan sido comunicados los datos personales, en particular, los destinatarios establecidos en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.

d) El plazo de conservación de los datos personales, cuando sea posible, o, en caso contrario, los criterios utilizados para determinar dicho plazo.

e) La existencia del derecho a solicitar del responsable del tratamiento la rectificación o supresión de los datos personales relativos al interesado o la limitación de su tratamiento.

f) El derecho a presentar una reclamación ante la autoridad de protección de datos competente y los datos de contacto de la misma.

g) La comunicación de los datos personales objeto de tratamiento, así como cualquier información disponible sobre su origen, sin revelar la identidad de ninguna persona física, en especial en el caso de fuentes confidenciales.

2. Cuando el responsable trate una gran cantidad de información relativa al interesado y éste ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá requerir al interesado que concrete la solicitud en el plazo de diez días.

3. Se entenderá concedido el derecho de acceso si el responsable del tratamiento facilita al interesado un sistema remoto, directo y seguro que garantice, de modo permanente, el acceso a la totalidad de sus datos personales. La notificación informando al interesado del procedimiento puesto en marcha a través de este sistema, permitirá denegar su solicitud de acceso efectuada por otras vías.

Si el acceso remoto no facilita la totalidad de la información contenida en el apartado 1, el interesado tendrá derecho a solicitarla.

4. Cuando el interesado elija un medio distinto al que se le ofrece que suponga un coste

desproporcionado, la solicitud será considerada excesiva, por lo que dicho interesado asumirá el exceso de coste que su elección comporte. En este caso, sólo será exigible al responsable del tratamiento que la satisfacción del derecho de acceso a través del medio propuesto se produzca sin dilaciones indebidas. Si el interesado no asumiera el exceso de coste, se le facilitará el acceso por el medio inicialmente propuesto por el responsable del tratamiento.

Artículo 23. Derechos de rectificación, supresión de datos personales y limitación de su tratamiento.

1. El interesado tendrá derecho a obtener del responsable del tratamiento, sin dilación indebida, la rectificación de los datos personales que le conciernen, cuando tales datos resulten inexactos.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales cuando éstos resulten incompletos.

El interesado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa del carácter incompleto o inexacto de los datos objeto de tratamiento.

2. El responsable del tratamiento, a iniciativa propia o como consecuencia del ejercicio del derecho de supresión del interesado, suprimirá los datos personales sin dilación indebida y, en todo caso, en el plazo máximo de un mes a contar desde que tenga conocimiento, cuando el tratamiento infrinja los artículos 6, 11 o 13, o cuando los datos personales deban ser suprimidos en virtud de una obligación legal a la que esté sujeto.

3. En lugar de proceder a la supresión, el responsable del tratamiento limitará el tratamiento de los datos personales cuando se dé alguna de las siguientes circunstancias:

a) El interesado ponga en duda la exactitud de los datos personales y no pueda determinarse su exactitud o inexactitud.

b) Los datos personales hayan de conservarse a efectos probatorios.

Cuando el tratamiento esté limitado en virtud de la letra a), el responsable del tratamiento informará al interesado antes de levantar la limitación del tratamiento.

4. En caso de que el responsable del tratamiento rectifique unos datos personales inexactos que provengan de otra autoridad competente, se deberá comunicar a ésta la rectificación.

5. Cuando los datos personales hayan sido rectificados o suprimidos o el tratamiento haya sido limitado, el responsable del tratamiento lo notificará a los destinatarios, que deberán rectificar o suprimir los datos personales que estén bajo su responsabilidad o limitar su tratamiento.

Artículo 24. Restricciones a los derechos de información, acceso, rectificación, supresión de datos personales y a la limitación de su tratamiento.

1. El responsable del tratamiento podrá aplazar, limitar u omitir la información a la que se refiere el artículo 21.2, así como denegar, total o parcialmente, las solicitudes de ejercicio de los derechos contemplados en los artículos 22 y 23, siempre que, teniendo en cuenta los derechos fundamentales y los intereses legítimos de la persona afectada, resulte necesario y proporcional para la consecución de los siguientes fines:

a) Impedir que se obstaculicen indagaciones, investigaciones o procedimientos judiciales.

b) Evitar que se cause perjuicio a la prevención, detección, investigación y enjuiciamiento de infracciones penales o a la ejecución de sanciones penales.

c) Proteger la seguridad pública.

d) Proteger la Seguridad Nacional.

e) Proteger los derechos y libertades de otras personas.

2. En caso de restricción de los derechos contemplados en los artículos 22 y 23, el responsable del tratamiento informará por escrito al interesado sin dilación indebida, y en todo caso, en el plazo de un mes a contar desde que tenga conocimiento, de dicha restricción, de las razones de la misma, así como de las posibilidades de presentar una reclamación ante la autoridad de protección de datos, sin perjuicio de las restantes acciones judiciales que pueda ejercer en virtud de lo dispuesto en esta ley orgánica.

Las razones de la restricción podrán ser omitidas o ser sustituidas por una redacción neutra cuando la revelación de los motivos de la restricción pueda poner en riesgo los fines a los que se refiere el apartado anterior.

3. El responsable del tratamiento documentará los fundamentos de hecho o de derecho en los que se sustente la decisión denegatoria del ejercicio del derecho de acceso. Dicha información estará a disposición de las autoridades de protección de datos.

Artículo 25. Ejercicio de los derechos del interesado a través de la autoridad de protección de datos.

1. En los casos en que se produzca un aplazamiento, limitación u omisión de la información a que se refiere el artículo 21 o una restricción del ejercicio de los derechos contemplados en los artículos 22 y 23, en los términos previstos en el artículo 24, el interesado podrá ejercer sus derechos a través de la autoridad de protección de datos competente. El responsable del tratamiento informará al interesado de esta posibilidad.

2. Cuando, en virtud de lo establecido en el apartado anterior, se ejerciten los derechos a través de la autoridad de protección de datos, ésta deberá informar al interesado, al menos, de la realización de todas las comprobaciones necesarias o la revisión correspondiente y de su derecho a interponer recurso contencioso-administrativo.

Sección 2.ª. Régimen especial

Artículo 26. Derechos de los interesados como consecuencia de investigaciones y procesos penales.

1. El ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento a los que se hace referencia en los artículos anteriores se llevará a cabo de conformidad con las normas procesales penales cuando los datos personales figuren en una resolución judicial, o en un registro, diligencias o expedientes tramitados en el curso de investigaciones y procesos penales.

2. Cuando los datos sean objeto de un tratamiento con fines jurisdiccionales del que sea responsable un órgano del orden jurisdiccional penal, el ejercicio de los derechos de información, acceso, rectificación, supresión y limitación del tratamiento se realizará de conformidad con lo previsto en la Ley Orgánica 6/1985, de 1 de julio, y en las normas procesales.

3. En defecto de regulación del ejercicio de estos derechos en dichas normas, se aplicará lo dispuesto en esta ley orgánica.

CAPÍTULO IV. Responsable y encargado de tratamiento

Sección 1.ª Obligaciones generales

Artículo 27. Obligaciones del responsable del tratamiento.

1. El responsable del tratamiento, tomando en consideración la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicará las medidas técnicas y organizativas apropiadas para garantizar que el tratamiento se lleve a cabo de acuerdo con esta ley orgánica y con lo previsto en la legislación sectorial y en sus normas de desarrollo. Tales medidas se revisarán y actualizarán cuando resulte necesario.

2. Entre las medidas mencionadas en el apartado anterior se incluirá la aplicación de las oportunas políticas de protección de datos, cuando sean proporcionadas en relación con las actividades de tratamiento.

Artículo 28. Protección de datos desde el diseño y por defecto.

1. En el momento de determinar los medios para el tratamiento, así como en el momento del tratamiento propiamente dicho, deberán aplicarse las medidas técnicas y organizativas que resulten apropiadas conforme al estado de la técnica y el coste de la aplicación, la naturaleza, el ámbito, el contexto, los fines del tratamiento y los riesgos para los derechos y libertades de las personas físicas. El objetivo será salvaguardar los principios de protección de datos de forma efectiva, al tiempo que integrar las garantías necesarias en el tratamiento. Entre estas medidas técnicas, se podrá adoptar la seudonimización de los datos personales a los efectos de contribuir a la aplicación de los principios establecidos en esta ley orgánica, en particular, el de minimización de datos personales.

2. Además, las medidas técnicas y organizativas deberán garantizar que, por defecto, sólo sean objeto de tratamiento los datos personales que resulten necesarios para cada uno de los fines específicos del tratamiento. Dicha obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su período de conservación y a su accesibilidad.

Tales medidas garantizarán que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas sin intervención humana.

Artículo 29. Supuestos de corresponsabilidad en el tratamiento.

1. Cuando dos o más responsables del tratamiento determinen conjuntamente los objetivos y los medios de tratamiento serán considerados corresponsables del tratamiento.

2. Salvo que las responsabilidades hayan sido previstas por el Derecho de la Unión Europea o por la legislación española, los corresponsables del tratamiento establecerán, de modo transparente y de mutuo acuerdo, a través del instrumento oportuno, sus respectivas responsabilidades en el cumplimiento de esta ley orgánica, en particular, en lo referido al ejercicio de los derechos del interesado y a sus respectivas obligaciones en el suministro de la información contemplada en el artículo 21.

El citado acuerdo designará el punto de contacto para los interesados, a menos que venga ya determinado legalmente.

La concreción de las responsabilidades se realizará atendiendo a las actividades que efectivamente desarrolle cada uno de los corresponsables del tratamiento.

Artículo 30. Encargado del tratamiento.

1. Cuando una operación de tratamiento vaya a ser llevada a cabo por cuenta de un responsable del tratamiento, éste recurrirá únicamente a encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos de esta ley orgánica y garantice la protección de los derechos del interesado.

El encargado podrá ser una persona física o jurídica, de naturaleza privada o pública.

2. El encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito del responsable del tratamiento. El encargado informará siempre al responsable de cualquier cambio previsto referido a la adición o sustitución de otros encargados, pudiendo el responsable oponerse a dichos cambios.

3. El tratamiento por medio de un encargado se regirá por un contrato, convenio u otro instrumento jurídico que corresponda, por escrito, incluyendo la posibilidad del formato electrónico, concluido con arreglo al Derecho de la Unión Europea o a la legislación española. Dicho instrumento jurídico vinculará al encargado con el responsable y fijará el objeto y la duración del tratamiento, su naturaleza y finalidad, el tipo de datos personales y categorías de interesados, así como las obligaciones y derechos del responsable.

El instrumento jurídico estipulará, en particular, que el encargado del tratamiento deberá:

a) Actuar únicamente siguiendo las instrucciones del responsable del tratamiento.

b) Garantizar, a través del instrumento o sistema oportuno, que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación profesional de secreto o confidencialidad.

c) Asistir al responsable del tratamiento por cualquier medio adecuado para garantizar el cumplimiento de las disposiciones sobre los derechos del interesado.

d) Suprimir o devolver, a elección del responsable del tratamiento, todos los datos personales al responsable del tratamiento, una vez finalice la prestación de los servicios de tratamiento, así como suprimir las copias existentes, a menos que el Derecho de la Unión Europea o la legislación española requieran la conservación de los datos personales.

e) Poner a disposición del responsable del tratamiento toda la información necesaria para demostrar el cumplimiento de estas obligaciones.

f) Respetar las condiciones indicadas en este apartado y en el apartado 2 para contratar a otro encargado del tratamiento.

4. Si un encargado del tratamiento determinase los fines y medios de dicho tratamiento, infringiendo esta ley orgánica, será considerado responsable con respecto a ese tratamiento.

5. El encargado del tratamiento se regirá, en lo no previsto por esta ley orgánica, por lo establecido en la Ley Orgánica 3/2018, de 5 de diciembre.

Artículo 31. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento.

El encargado del tratamiento, así como cualquier persona que actúe bajo la autoridad del responsable o del encargado del tratamiento y tenga acceso a datos personales, sólo podrá someterlos a tratamiento siguiendo instrucciones del responsable del tratamiento, a menos que esté obligado a hacerlo por el Derecho de la Unión Europea o por la legislación española.

Artículo 32. Registros de las actividades de tratamiento.

1. Cada responsable debe conservar un registro de todas las actividades de tratamiento de datos personales efectuadas bajo su responsabilidad. Dicho registro deberá contener la información siguiente:

a) La identificación del responsable del tratamiento y sus datos de contacto, así como del corresponsable y del delegado de protección de datos.

b) Los fines del tratamiento.

c) Las categorías de destinatarios a quienes se hayan comunicado o vayan a comunicarse los datos personales, incluidos los destinatarios en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.

d) La descripción de las categorías de interesados y de las categorías de datos personales.

e) El recurso a la elaboración de perfiles, en su caso.

f) Las categorías de transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional, en su caso.

g) La indicación de la base jurídica del tratamiento, así como, en su caso, las transferencias internacionales de las que van a ser objeto los datos personales.

h) Los plazos previstos para la supresión de las diferentes categorías de datos personales, cuando sea posible.

i) La descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 37.1, cuando sea posible.

2. Cada encargado del tratamiento llevará un registro de todas las actividades de tratamiento de datos personales efectuadas en nombre de un responsable. Este registro contendrá la información siguiente:

a) El nombre y los datos de contacto del encargado o encargados del tratamiento, de cada responsable del tratamiento en cuyo nombre actúe el encargado y, en su caso, del delegado de protección de datos.

b) Las categorías de tratamientos efectuados en nombre de cada responsable.

c) Las transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional, en su caso, incluida la identificación de dicho Estado o de dicha organización internacional cuando el responsable del tratamiento así lo ordene explícitamente.

d) La descripción general de las medidas técnicas y organizativas de seguridad a las que se refiere el artículo 37.1, cuando sea posible.

3. Los registros referidos en este artículo se establecerán y llevarán por escrito, incluida la posibilidad del formato electrónico.

Estos registros estarán a disposición de la autoridad de protección de datos competente, a solicitud de ésta, de conformidad con lo dispuesto legalmente.

4. Los responsables de los tratamientos harán público el registro de sus actividades de tratamiento, accesible por medios electrónicos, en el que constará la información a la que se refiere el apartado 1.

Artículo 33. Registro de operaciones.

1. Los responsables y encargados del tratamiento deberán mantener registros de, al menos, las siguientes operaciones de tratamiento en sistemas de tratamiento automatizados: recogida, alteración, consulta, comunicación, incluidas las transferencias, y combinación o supresión. Los registros de consulta y comunicación harán posible determinar la justificación, la fecha y la hora de tales operaciones y, en la medida de lo posible, el nombre de la persona que consultó o comunicó los datos personales, así como la identidad de los destinatarios de dichos datos personales.

2. Estos registros se utilizarán únicamente a efectos de verificar la legalidad del tratamiento, controlar el cumplimiento de las medidas y de las políticas de protección de datos, garantizar la integridad y la seguridad de los datos personales en el ámbito de los procesos penales.

Dichos registros estarán a disposición de la autoridad de protección de datos competente a solicitud de ésta, de conformidad con lo dispuesto legalmente.

Artículo 34. Cooperación con las autoridades de protección de datos.

El responsable y el encargado del tratamiento cooperarán con la autoridad de protección de datos competente, en el marco de la legislación vigente, cuando ésta lo solicite en el desempeño de sus funciones.

Artículo 35. Evaluación de impacto relativa a la protección de datos.

1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, suponga por su naturaleza, alcance, contexto o fines, un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, con carácter previo, una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales.

2. La evaluación incluirá, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a estos peligros, así como las medidas de seguridad y mecanismos destinados a garantizar la protección de los datos personales y a demostrar su conformidad con esta ley orgánica. Esta evaluación tendrá en cuenta los derechos e intereses legítimos de los interesados y de las demás personas afectadas.

3. Las autoridades de protección de datos podrán establecer una lista de tratamientos que estén sujetos a la realización de una evaluación de impacto con arreglo a lo dispuesto en el apartado anterior y, del mismo modo, podrán establecer una lista de tratamientos que no estén sujetos a esta obligación.

Ambas listas tendrán un carácter meramente orientativo.

Artículo 36. Consulta previa a la autoridad de protección de datos.

1. El responsable o el encargado del tratamiento consultará a la autoridad de protección de datos, antes de proceder al tratamiento de datos personales que vayan a formar parte de un nuevo fichero, en cualquiera de las siguientes circunstancias:

a) Cuando la evaluación del impacto en la protección de los datos indique que el tratamiento entrañaría un alto nivel de riesgo, a falta de medidas adoptadas por el responsable para mitigar el riesgo o los posibles daños.

b) Cuando el tipo de tratamiento pueda generar un alto nivel de riesgo para los derechos y libertades de los interesados, en particular, cuando se usen tecnologías, mecanismos o procedimientos nuevos.

2. La autoridad de protección de datos correspondiente podrá establecer una lista de carácter orientativo, de las operaciones de tratamiento sujetas a consulta previa, con arreglo a lo dispuesto en el apartado anterior.

3. El responsable del tratamiento facilitará a la autoridad de protección de datos competente, la evaluación de impacto contemplada en el artículo 35 y, previa solicitud, cualquier información adicional que permita a dicha autoridad de protección de datos evaluar la conformidad del tratamiento y, más concretamente, el nivel de riesgo para la protección de los datos personales del interesado y las garantías correspondientes.

4. Cuando la autoridad de protección de datos considere que el tratamiento previsto en el apartado 1 pudiera infringir lo dispuesto en esta ley orgánica deberá, en un plazo de seis semanas desde la solicitud de la consulta, asesorar por escrito al responsable del tratamiento y, en su caso, al encargado del tratamiento, en especial, cuando el responsable del tratamiento no haya identificado o mitigado suficientemente el peligro o el nivel de riesgo. Asimismo, la autoridad de protección de datos podrá ejercer cualquiera de sus potestades de investigación, corrección o consulta.

Este plazo podrá prorrogarse un mes, en función de la complejidad del tratamiento previsto. La autoridad de protección de datos informará al responsable y, en su caso, al encargado acerca de la prórroga, en el plazo de un mes a partir de la recepción de la solicitud de consulta, junto con los motivos de la dilación.

En caso de no contestar a la consulta en el plazo previsto, se estará a lo dispuesto en el artículo 80.3 de la Ley 39/2015, de 1 de octubre.

Sección 2.ª. Seguridad de los datos personales

Artículo 37. Seguridad del tratamiento.

1. El responsable y el encargado del tratamiento, teniendo en cuenta el estado de la técnica y los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los niveles de riesgo para los derechos y libertades de las personas físicas, aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, especialmente en lo relativo al tratamiento de las categorías de datos personales a las que se refiere el artículo 13. En particular, deberán aplicar a los tratamientos de datos personales las medidas incluidas en el Esquema Nacional de Seguridad.

2. Por lo que respecta al tratamiento automatizado, el responsable o encargado del tratamiento, a raíz de una evaluación de los riesgos, pondrá en práctica medidas de control con el siguiente propósito:

a) En el control de acceso a los equipamientos, denegar el acceso a personas no autorizadas a los equipamientos utilizados para el tratamiento.

b) En el control de los soportes de datos, impedir que éstos puedan ser leídos, copiados, modificados o cancelados por personas no autorizadas.

c) En el control del almacenamiento, impedir que se introduzcan sin autorización datos personales, o que éstos puedan inspeccionarse, modificarse o suprimirse sin autorización.

d) En el control de los usuarios, impedir que los sistemas de tratamiento automatizado puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos.

e) En el control del acceso a los datos, garantizar que las personas autorizadas a utilizar un sistema de tratamiento automatizado, sólo puedan tener acceso a los datos personales para los que han sido autorizados.

f) En el control de la transmisión, garantizar que sea posible verificar y establecer a qué organismos se han transmitido o pueden transmitirse, o a cuya disposición pueden ponerse los datos personales mediante equipamientos de comunicación de datos.

g) En el control de la introducción, garantizar que pueda verificarse y constatarse, a posteriori, qué datos personales se han introducido en los sistemas de tratamiento automatizado, en qué momento y quién los ha introducido.

h) En el control del transporte, impedir que durante las transferencias de datos personales o durante el transporte de soportes de datos, los datos personales puedan ser leídos, copiados, modificados o suprimidos sin autorización.

i) En el control de restablecimiento, garantizar que los sistemas instalados puedan restablecerse en caso de interrupción.

j) En el control de fiabilidad e integridad, garantizar que las funciones del sistema no presenten defectos, que los errores de funcionamiento sean señalados y que los datos personales almacenados no se degraden por fallos de funcionamiento del sistema.

Artículo 38. Notificación a la autoridad de protección de datos de una violación de la seguridad de los datos personales.

1. Cualquier violación de la seguridad de los datos personales será notificada por el responsable del tratamiento a la autoridad de protección de datos competente, a menos que sea improbable que la violación de la seguridad de los datos personales constituya un peligro para los derechos y las libertades de las personas físicas.

La notificación deberá realizarse en el plazo de las setenta y dos horas siguientes al momento en que se haya tenido constancia de ella. En caso contrario, deberá ir acompañada de los motivos de la dilación.

2. El encargado del tratamiento notificará, sin dilación indebida, al responsable del tratamiento, las violaciones de la seguridad de los datos personales de las que tenga conocimiento.

3. La notificación contemplada en el apartado 1 deberá, al menos:

a) Referir la naturaleza de la violación de la seguridad de los datos personales, incluyendo, cuando sea posible, las categorías y el número aproximado de personas afectadas, así como las categorías y el número aproximado de registros de datos personales afectados por la violación de la seguridad.

b) Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Detallar las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar sus posibles efectos negativos.

4. Si no fuera posible facilitar la información simultáneamente, se podrá facilitar de forma progresiva, a medida que se disponga de ella.

5. El responsable del tratamiento documentará cualquier violación de la seguridad de los datos personales, incluidos los hechos relativos a dicha violación, sus efectos y las medidas correctivas adoptadas.

Dicha documentación estará a disposición de la autoridad de protección de datos competente al objeto de verificar el cumplimiento de lo dispuesto en este artículo.

6. Cuando la violación de la seguridad de los datos personales afecte a datos que hayan sido transmitidos por el responsable del tratamiento o al responsable del tratamiento de otro Estado miembro de la Unión Europea, la información recogida en el apartado 3 se comunicará al responsable del tratamiento de dicho Estado.

7. Todas las actividades relacionadas en este artículo se realizarán sin dilaciones indebidas.

Artículo 39. Comunicación de una violación de la seguridad de los datos personales al interesado.

1. Cuando existan indicios de que una violación de la seguridad de los datos personales supondría un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento comunicará al interesado, sin dilación indebida, la violación de la seguridad de los datos personales.

2. La comunicación al interesado describirá con lenguaje claro, sencillo y accesible conforme a sus circunstancias y capacidades, la naturaleza de la violación de la seguridad de los datos personales y contendrá, al menos, la información y las medidas a las que se refiere el artículo 38.3. b), c) y d).

3. No se efectuará la comunicación al interesado que prevé el apartado 1 cuando se cumpla alguna de las condiciones siguientes:

a) Que el responsable del tratamiento haya adoptado medidas apropiadas de protección técnica y organizativa y dichas medidas se hayan aplicado a los datos personales afectados por la violación de la seguridad antes de la misma, en particular, aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como en el caso del cifrado.

b) Que el responsable del tratamiento haya tomado medidas ulteriores para garantizar que no se materialice el alto nivel de riesgo para los derechos y libertades del interesado a que hace referencia el apartado 1.

c) Que suponga un esfuerzo desproporcionado, en cuyo caso, se optará por su publicación en el boletín oficial correspondiente, en la sede electrónica del responsable del tratamiento o en otro canal oficial que permita una comunicación efectiva con el interesado.

4. En el supuesto de que el responsable del tratamiento no haya comunicado al interesado la violación de la seguridad de los datos personales, la autoridad de protección de datos competente, una vez valorada la existencia de un alto nivel de riesgo, podrá exigirle que proceda a dicha comunicación, o bien que determine la concurrencia de alguna de las condiciones previstas en el apartado 3.

5. La comunicación al interesado referida en el apartado 1 podrá aplazarse, limitarse u omitirse con sujeción a las condiciones y por los motivos previstos en el artículo 24.

Sección 3.ª. Delegado de protección de datos

Artículo 40. Designación del delegado de protección de datos.

1. Los responsables del tratamiento designarán, en todo caso, un delegado de protección de datos.

No estarán obligados a designarlo los órganos jurisdiccionales o el Ministerio Fiscal cuando el tratamiento de datos personales se realice en el ejercicio de sus funciones jurisdiccionales.

2. El delegado de protección de datos será designado atendiendo a sus cualidades profesionales.

En concreto, se tendrán en cuenta sus conocimientos especializados en legislación, su experiencia en materia de protección de datos y su capacidad para desempeñar las funciones a las que se refiere el artículo 42. En el caso de estar designado un delegado de protección de datos al amparo del Reglamento General de Protección de Datos, este será el que asumirá las funciones de delegado de protección de datos previstas en esta ley orgánica.

3. Podrá designarse a un único delegado de protección de datos para varias autoridades competentes, teniendo en cuenta la estructura organizativa y el tamaño de éstas.

4. Los responsables del tratamiento publicarán los datos de contacto del delegado de protección de datos y comunicarán a la autoridad de protección de datos competente su designación y cese, en el plazo de diez días desde que se haya producido.

Artículo 41. Posición del delegado de protección de datos.

1. El responsable del tratamiento velará por que el delegado de protección de datos participe adecuada y oportunamente en todas las cuestiones relativas a la protección de datos personales, al tiempo que cuidará de que mantenga sus conocimientos especializados, cuente con los recursos necesarios para el desempeño de sus funciones y acceda a los datos personales y a las operaciones de tratamiento.

2. El delegado de protección de datos no podrá ser removido ni sancionado por el responsable o el encargado por desempeñar sus funciones, salvo que incurriera en dolo o negligencia grave en su ejercicio.

Se garantizará la independencia del delegado de protección de datos dentro de la organización, debiendo evitar cualquier conflicto de intereses.

3. En el ejercicio de sus funciones el delegado de protección de datos tendrá acceso a los datos personales y procesos de tratamiento. La existencia de cualquier deber de confidencialidad o secreto, no permitirá que el responsable o el encargado del tratamiento se oponga a dicho acceso.

4. Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará y lo comunicará inmediatamente a los órganos de dirección del responsable o del encargado del tratamiento.

Artículo 42. Funciones del delegado de protección de datos.

El responsable del tratamiento encomendará al delegado de protección de datos, al menos, las siguientes funciones:

a) Informar y asesorar al responsable del tratamiento y a los empleados que se ocupen del mismo, acerca de las obligaciones que les incumben en virtud de esta ley orgánica y de otras disposiciones de protección de datos aplicables.

b) Supervisar el cumplimiento de lo dispuesto en esta ley orgánica y en otras disposiciones de protección de datos aplicables, así como de lo establecido en las políticas del responsable del tratamiento en materia de protección de datos personales, incluidas la asignación de responsabilidades, la concienciación y formación del personal que participe en las operaciones de tratamiento y las auditorías correspondientes.

c) Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización.

d) Cooperar con la autoridad de protección de datos en los términos de la legislación vigente.

e) Actuar como punto de contacto de la autoridad de protección de datos para las cuestiones relacionadas con el tratamiento, incluida la consulta previa referida en el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

CAPÍTULO V. Transferencias de datos personales a terceros países que no sean miembros de la Unión Europea o a organizaciones internacionales

Artículo 43. Principios generales de las transferencias de datos personales.

1. Al objeto de garantizar el nivel de protección de las personas físicas previsto en esta ley orgánica, cualquier transferencia de datos personales realizada por las autoridades competentes españolas a un Estado que no sea miembro de la Unión Europea o a una organización internacional, incluidas las transferencias ulteriores a otro Estado que no pertenezca a la Unión Europea o a otra organización internacional, deberá cumplir las siguientes condiciones:

a) Que la transferencia sea necesaria para los fines establecidos en el artículo 1.

b) Que los datos personales sean transferidos a un responsable del tratamiento competente para los fines mencionados en el artículo 1.

c) Que, en caso de que los datos personales hayan sido transferidos a la autoridad competente española procedentes de otro Estado miembro de la Unión Europea, dicho Estado miembro autorice previamente la transferencia ulterior de conformidad con su Derecho nacional.

d) Que la Comisión Europea haya adoptado una decisión de adecuación de acuerdo con el artículo 44 o, a falta de dicha decisión, cuando se hayan aportado o existan garantías apropiadas de conformidad con el artículo 45 o, a falta de ambas, cuando resulten de aplicación las excepciones para situaciones específicas de acuerdo con el artículo 46.

e) Cuando se trate de una transferencia ulterior a un Estado que no sea miembro de la Unión Europea u organización internacional, de datos transferidos inicialmente por una autoridad competente española, ésta autorizará la transferencia ulterior, una vez considerados todos los factores pertinentes, entre éstos, la gravedad de la infracción penal, la finalidad para la que se transfirieron inicialmente los datos personales y el nivel de protección existente en ese Estado u organización internacional a los que se transfieran ulteriormente los datos personales.

2. Las transferencias de datos personales por las autoridades españolas sin autorización previa de otro Estado miembro, conforme al párrafo 1c), sólo se permitirán si la transferencia de datos personales resulta necesaria para prevenir una amenaza inmediata y grave para la seguridad pública, tanto de un Estado miembro de la Unión Europea como no perteneciente a la misma, o para los intereses fundamentales de un Estado miembro de la Unión Europea, y cuando la autorización previa no pueda conseguirse a su debido tiempo.

Las autoridades españolas informarán sin dilación a la autoridad responsable de conceder la autorización previa, y en todo caso en el plazo máximo de diez días a contar desde que se haya producido la transferencia.

3. Se impulsará el establecimiento de mecanismos de cooperación internacional y de asistencia mutua, se fomentará el intercambio de normativa y de buenas prácticas con los Estados que no sean miembros de la Unión Europea y con las organizaciones internacionales, de manera que se facilite la aplicación efectiva de la legislación sobre la protección de datos personales, incluido en el ámbito de la resolución de conflictos jurisdiccionales, procurando la participación de todas las partes interesadas.

Artículo 44. Transferencias basadas en una decisión de adecuación.

1. Cuando la Comisión Europea, mediante una decisión de adecuación, haya decidido que un Estado que no sea miembro de la Unión Europea, un territorio o uno o varios sectores específicos de dicho Estado, o la organización internacional de que se trate, garantizan un nivel de protección adecuado, podrán realizarse transferencias de datos personales a ese Estado u organización internacional. Dichas transferencias no requerirán ninguna autorización específica.

2. Toda decisión de adecuación de la Comisión Europea que determine que un Estado que no sea miembro de la Unión Europea, un territorio o uno o varios sectores específicos de dicho Estado, o una organización internacional ha dejado de garantizar un nivel de protección adecuado, se entenderá sin perjuicio de las transferencias de datos personales a dicho Estado, territorio o sector del mismo o a la organización internacional de que se trate, en virtud de los artículos 45 y 46.

Artículo 45. Transferencias mediante garantías apropiadas.

1. En ausencia de una decisión de adecuación de la Comisión Europea conforme al artículo 44 podrán realizarse transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional cuando concurra alguna de las siguientes circunstancias:

a) Se hayan aportado garantías apropiadas respecto a la protección de datos personales en un instrumento jurídicamente vinculante.

b) Se hayan evaluado, por parte del responsable del tratamiento, todas las circunstancias que concurren en la transferencia de datos personales y se haya concluido que existen garantías apropiadas respecto a la protección de datos personales.

2. El responsable del tratamiento informará a la autoridad de protección de datos competente acerca de las categorías de transferencias a tenor del párrafo 1.b).

3. Cuando las transferencias se basen en lo dispuesto en el párrafo 1.b) deberán documentarse. La documentación se pondrá a disposición de la autoridad de protección de datos competente, previa solicitud, con inclusión de la siguiente información: fecha, hora de la transferencia, información sobre la autoridad competente destinataria, justificación de la transferencia y datos personales transferidos.

Artículo 46. Excepciones para situaciones específicas.

1. En ausencia de una decisión de adecuación de la Comisión Europea o de garantías apropiadas de acuerdo con los artículos 44 y 45, podrán realizarse transferencias de datos personales a un Estado que no sea miembro de la Unión Europea o a una organización internacional cuando la transferencia sea necesaria por concurrir alguna de las siguientes circunstancias:

a) Para proteger los intereses vitales o los derechos y libertades fundamentales del interesado o de otra persona.

b) Para salvaguardar intereses legítimos del interesado reconocidos por la legislación española.

c) Para prevenir una amenaza grave e inmediata para la seguridad pública de un Estado, tanto miembro de la Unión Europea como no perteneciente a la misma.

d) En casos individuales, a efectos del artículo 1.

e) Para el ejercicio, en un caso individual, de acciones legales o para la defensa frente a ellas en relación con los fines incluidos en el artículo 1.

2. Los datos personales no se transferirán, si la autoridad competente de la transferencia determina que los derechos y libertades fundamentales del interesado prevalecen sobre el interés público en la transferencia, establecido en las letras d) y e) del apartado anterior.

3. Las transferencias basadas en lo dispuesto en este artículo deberán documentarse. Esta documentación quedará a disposición de la autoridad de protección de datos competente, con inclusión de la fecha y la hora de la transferencia, la información sobre la autoridad competente destinataria, la justificación de la transferencia y los datos personales transferidos.

Artículo 47. Transferencias directas de datos personales a destinatarios, que no sean autoridades competentes, establecidos en Estados no pertenecientes a la Unión Europea.

1. Excepcionalmente, en casos particulares y específicos y sin perjuicio de la existencia de un acuerdo internacional entre España y un Estado que no sea miembro de la Unión Europea en el ámbito de la cooperación judicial penal o de la cooperación policial, las autoridades competentes españolas podrán transferir datos personales directamente a destinatarios que no tengan la condición de autoridad competente, establecidos en Estados que no sean miembros de la Unión Europea, siempre que se cumplan las disposiciones de esta ley orgánica y se satisfagan todas las condiciones siguientes:

a) Que la transferencia sea estrictamente necesaria para la realización de una función de la autoridad competente que lleva a cabo la transferencia conforme al Derecho de la Unión Europea o a la legislación española, con cualquiera de los fines del artículo 1.

b) Que la autoridad competente que realiza la transferencia determine que ninguno de los derechos y libertades fundamentales del interesado son superiores al interés público que precise de la transferencia de que se trate.

c) Que la autoridad competente que realiza la transferencia considere que la transferencia a una autoridad competente del Estado en el que está establecido el destinatario, con cualquiera de los fines del artículo 1, resultaría ineficaz o inadecuada, en particular porque la transferencia no pueda efectuarse dentro de plazo.

d) Que se informe sin dilación indebida a la autoridad competente para los fines que contempla el artículo 1 de dicho Estado, salvo que esto resulte ineficaz o inadecuado.

e) Que la autoridad competente que realiza la transferencia informe al destinatario de la finalidad o finalidades específicas para las que puede tratar los datos personales, siempre y cuando dicho tratamiento sea necesario.

2. La autoridad competente que realiza la transferencia informará a la autoridad de protección de datos competente acerca de las transferencias efectuadas a tenor de este artículo.

3. Las transferencias basadas en lo dispuesto en este artículo deberán documentarse.

CAPÍTULO VI. Autoridades de Protección de Datos Independientes

Artículo 48. Autoridades de protección de datos.

 A los efectos de esta ley orgánica son autoridades de protección de datos independientes:

a) La Agencia Española de Protección de Datos.

b) Las autoridades autonómicas de protección de datos, exclusivamente en relación a aquellos tratamientos de los que sean responsables en su ámbito de competencia, y conforme a lo dispuesto en el artículo 57.1 de la Ley Orgánica 3/2018, de 5 de diciembre.

Dichas autoridades se regirán por esta ley orgánica respecto de los tratamientos sometidos a la misma, y por lo establecido en el Título VII de la Ley Orgánica 3/2018, de 5 de diciembre, y en sus normas de creación, así como por lo que establezcan sus normas de desarrollo.

La Agencia Española de Protección de Datos actuará como representante de las autoridades de protección de datos en el Comité Europeo de Protección de Datos.

Artículo 49. Funciones.

1. Las autoridades de protección de datos ejercerán, respecto de los tratamientos sometidos a esta ley orgánica, las siguientes funciones:

a) Supervisar y hacer cumplir las disposiciones adoptadas con arreglo a esta ley orgánica.

b) Promover la sensibilización y la comprensión del público acerca de los riesgos, normas, garantías y derechos relativos al tratamiento.

c) Asesorar a las Cortes Generales, al Gobierno de la Nación y a los organismos dependientes o vinculados a la Administración General del Estado, así como, de acuerdo con su ámbito competencial, a las Asambleas Legislativas de las comunidades autónomas, los Consejos de Gobierno y los organismos dependientes o vinculados a la Administración de las comunidades autónomas, acerca de las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

d) Promover la sensibilización de los responsables y encargados del tratamiento en relación con las obligaciones que les incumben.

e) Facilitar la información solicitada por los interesados sobre el ejercicio de sus derechos en virtud de esta ley orgánica y, en su caso, cooperar a tal fin con las autoridades de protección de datos de otros Estados miembros de la Unión Europea.

f) Tramitar y responder las reclamaciones presentadas por un interesado o por una entidad, organización o asociación de conformidad con el artículo 55, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable.

g) Controlar, de acuerdo con lo dispuesto en el artículo 25, la licitud del tratamiento e informar al interesado en un plazo razonable sobre el resultado del control o sobre los motivos por los que no se ha llevado a cabo.

h) Cooperar, en particular compartiendo información, con otras autoridades de protección de datos y prestarse asistencia mutua.

i) Llevar a cabo investigaciones sobre la aplicación de esta ley orgánica, en particular basándose en la información recibida de otra autoridad de protección de datos u otra autoridad pública.

j) Realizar un seguimiento de acontecimientos que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, de manera concreta sobre el desarrollo de las tecnologías de la información y la comunicación.

k) Prestar asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36.

l) Contribuir a las actividades del Comité Europeo de Protección de Datos.

m) Informar todas las disposiciones legales o reglamentarias que afecten a tratamientos sometidos a esta ley orgánica.

2. Las autoridades de protección de datos adoptarán medidas tendentes a facilitar la formulación de las reclamaciones incluidas en el párrafo 1f), tales como proporcionar formularios que puedan cumplimentarse electrónicamente, sin excluir otros medios.

3. El desempeño de las funciones de las autoridades de control no implicará coste alguno para el interesado ni para el delegado de protección de datos.

4. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, la autoridad de protección de datos podrá negarse a actuar respecto de la solicitud. La carga de la demostración del carácter manifiestamente infundado o excesivo de la solicitud recaerá en la autoridad de protección de datos.

Artículo 50. Potestades.

Las autoridades de protección de datos tendrán atribuidas, en el ámbito de esta ley orgánica, las siguientes potestades:

a) De investigación, incluyendo el acceso a todos los datos que estén siendo tratados por el responsable o el encargado del tratamiento, en los términos previstos por la legislación vigente.

b) De advertencia y control de lo exigido en esta ley orgánica, incluida la sanción de las infracciones cometidas, la elaboración de recomendaciones, órdenes de rectificación, supresión o limitación del tratamiento de datos personales o de limitación temporal o definitiva del tratamiento, incluida su prohibición, así como la orden a los responsables del tratamiento de comunicar las vulneraciones de seguridad de los datos a los interesados.

c) De asesoramiento, que comprende la consulta previa prevista en el artículo 36 y la emisión, por propia iniciativa o previa solicitud, de dictámenes destinados a las Cortes Generales o al Gobierno, a otras instituciones u organismos, así como al público en general, acerca de todo asunto relacionado con la protección de datos personales sujeto a esta ley orgánica.

Artículo 51. Asistencia entre autoridades de protección de datos de los Estados miembros de la Unión Europea.

1. Las autoridades de protección de datos españolas facilitarán la asistencia y cooperación necesaria a las autoridades de protección de datos de otros Estados miembros de la Unión Europea, debiendo responder a las solicitudes de éstas sin dilación indebida, y en cualquier caso, en el plazo máximo de un mes desde su recepción. La asistencia mutua abarcará, en particular, las solicitudes de información y las medidas de control, así como las solicitudes para llevar a cabo consultas, inspecciones e investigaciones.

2. Las autoridades de protección de datos españolas podrán solicitar, en el ejercicio de sus funciones, la asistencia y cooperación de las autoridades de protección de datos de otros Estados miembros de la Unión Europea.

Las solicitudes deberán contener toda la información necesaria para su contestación, incluidos los motivos y la finalidad de la solicitud. La información intercambiada se utilizará únicamente para el fin para el que haya sido solicitada.

3. Las contestaciones de las autoridades de protección de datos españolas deberán indicar los resultados obtenidos o las medidas adoptadas con base en la solicitud recibida. Estas respuestas serán remitidas en formato electrónico, en la medida de lo posible.

4. La solicitud de asistencia procedente de una autoridad de protección de datos de un Estado miembro de la Unión Europea únicamente podrá negarse a ser atendida, de manera motivada, cuando la autoridad de protección de datos española no sea competente respecto al objeto o a las medidas solicitadas, o bien cuando el hecho de atender la solicitud vulnere la legislación española o el Derecho de la Unión Europea. Se informará, en su caso, de la restricción de los derechos del interesado adoptada en aplicación del artículo 24.

5. Las medidas adoptadas con ocasión de una solicitud de asistencia mutua serán gratuitas, sin perjuicio de que en circunstancias excepcionales puedan pactarse indemnizaciones por gastos específicos derivados de la prestación de la asistencia.

CAPÍTULO VII. Reclamaciones

Artículo 52. Régimen aplicable a los procedimientos tramitados ante las autoridades de protección de datos.

1. En el caso de que los interesados aprecien que el tratamiento de los datos personales haya infringido las disposiciones de esta ley orgánica o no haya sido atendida su solicitud de ejercicio de los derechos reconocidos en los artículos 21, 22 y 23 tendrán derecho a presentar una reclamación ante la autoridad de protección de datos.

2. Dichas reclamaciones serán tramitadas por la autoridad de protección de datos competente con sujeción al procedimiento establecido en el título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, y, en su caso, a la legislación de las comunidades autónomas que resulte de aplicación.

3. Tales procedimientos tramitados por la autoridad de protección de datos competente se regirán por lo dispuesto en el Reglamento General de Protección de Datos, la Ley Orgánica 3/2018, de 5 de diciembre, y las disposiciones reglamentarias dictadas en su desarrollo y, con carácter supletorio, por la normativa de procedimiento administrativo común de las Administraciones públicas.

4. Todo interesado tendrá derecho a interponer recurso contencioso-administrativo, de acuerdo con su normativa reguladora, en caso de que la autoridad de protección de datos competente no dicte resolución expresa y se la notifique no dé curso en el plazo de tres meses.

Artículo 53. Derecho a indemnización por entes del sector público.

1. Los interesados tendrán derecho a ser indemnizados por el responsable del tratamiento, o por el encargado del tratamiento cuando formen parte del sector público, en el caso de que sufran daño o lesión en sus bienes o derechos como consecuencia del incumplimiento de lo dispuesto en esta ley orgánica.

2. Cuando quien incumpla lo dispuesto en esta ley orgánica tenga la consideración de administración pública, la responsabilidad se exigirá de acuerdo con la legislación reguladora del régimen de responsabilidad previsto en la normativa sobre el procedimiento administrativo común de las Administraciones públicas y sobre el régimen jurídico del sector público.

3. Cuando quien incumpla esta ley orgánica tenga la consideración de autoridad judicial o del Ministerio Fiscal, la responsabilidad se exigirá conforme a lo previsto en la Ley Orgánica 6/1985, de 1 de julio.

Artículo 54. Derecho a indemnización por encargados del tratamiento del sector privado.

1. Los interesados que sufran daño o lesión en sus bienes o derechos por parte del encargado del tratamiento que no forme parte del sector público, como consecuencia del incumplimiento de lo dispuesto en esta ley orgánica, tendrán derecho a ser indemnizados.

2. El encargado del tratamiento estará obligado a indemnizar todos los daños y perjuicios que cause a los interesados o a terceros como resultado de las operaciones de tratamientos de datos previstas en el contrato u otro instrumento acto jurídico suscrito con el responsable del tratamiento conforme al artículo 30, de conformidad con el régimen de responsabilidad del contratista por los daños causados por terceros regulado en la normativa sobre contratos del sector público.

3. Cuando tales daños y perjuicios hayan sido ocasionados como consecuencia inmediata y directa de una orden de la autoridad competente responsable del tratamiento, será ésta la responsable.

4. Los interesados o los terceros perjudicados podrán requerir al responsable del tratamiento, dentro del año siguiente a la producción del hecho, para que informe, una vez oído el encargado del tratamiento, acerca de cuál de las partes contratantes o de las que hayan suscrito el acto jurídico conforme al artículo 30, corresponde la responsabilidad de los daños. El ejercicio de esta facultad interrumpe el plazo de prescripción de la acción.

5. Con independencia de lo previsto en los apartados anteriores, el encargado del tratamiento que no forme parte del sector público responderá de los daños y perjuicios que durante las operaciones de tratamiento de datos cause. Deberá hacerlo tanto respecto del responsable del tratamiento, como respecto del interesado o de terceros por incumplimientos de esta ley orgánica, de infracciones de preceptos legales o reglamentarios, o por el incumplimiento de las previsiones contenidas en el contrato o en otro acto jurídico suscrito. El encargado del tratamiento que no forme parte del sector público deberá haber incurrido en actuaciones que le sean imputables, sin perjuicio de la aplicación del régimen sancionador, en su caso.

Artículo 55. Tutela judicial efectiva.

1. Sin perjuicio de cualquier otro recurso administrativo, toda persona física o jurídica tendrá derecho a recurrir ante la jurisdicción contencioso-administrativa, de acuerdo con su legislación reguladora, contra los actos y resoluciones dictadas por la autoridad de protección de datos competente.

2. El interesado podrá conferir su representación a una entidad, organización o asociación sin ánimo de lucro que haya sido correctamente constituida, cuyos objetivos estatutarios sean de interés público y que actúe en el ámbito de la protección de los derechos y libertades de los interesados en materia de protección de sus datos personales, para que ejerza los derechos contemplados en el apartado anterior.

CAPÍTULO VIII. Régimen sancionador

Artículo 56. Sujetos responsables.

1. La responsabilidad por las infracciones cometidas recaerá directamente en los sujetos obligados que, por acción u omisión, realizaran la conducta en que consista la infracción.

2. Están sujetos al régimen sancionador:

a) Los responsables de los tratamientos.

b) Los encargados de los tratamientos.

c) Los representantes de los encargados no establecidos en el territorio de la Unión Europea.

d) El resto de las personas físicas o jurídicas obligadas por el contenido del deber de colaboración establecido en el artículo 7.

3. No será de aplicación el régimen sancionador establecido en este capítulo al delegado de protección de datos.

Artículo 57. Concurso de normas.

1. Los hechos susceptibles de ser calificados con arreglo a dos o más preceptos de esta u otra ley, siempre que no constituyan infracciones al Reglamento General de Protección de Datos, ni a la Ley Orgánica 3/2018, de 5 de diciembre, se sancionarán observando las siguientes reglas:

a) El precepto especial se aplicará con preferencia al general.

b) El precepto más amplio o complejo absorberá el que sancione las infracciones subsumidas en aquél.

c) En defecto de los criterios anteriores, se aplicará el precepto que sancione los hechos con la sanción mayor.

2. En el caso de que un solo hecho constituya dos o más infracciones, o cuando una de ellas sea medio necesario para cometer la otra, la conducta será sancionada por aquella infracción que conlleve una mayor sanción.

Artículo 58. Infracciones muy graves.

Son infracciones muy graves:

a) El tratamiento de datos personales que vulnere los principios y garantías establecidos en el artículo 6 o sin que concurra alguna de las condiciones de licitud del tratamiento establecidas en el artículo 11, siempre que se causen perjuicios de carácter muy grave a los interesados.

b) El acceso, cesión, alteración y divulgación de los datos al margen de los supuestos autorizados por el responsable o encargado de los datos, siempre que no constituya ilícito penal.

c) La transferencia temporal o definitiva de datos de carácter personal con destino a Estados que no sean miembros de la Unión Europea o a destinatarios que no sean autoridades competentes, establecidos en dichos Estados incumpliendo las condiciones previstas en los artículos 43 y 47.

d) La utilización de los datos para una finalidad que no sea compatible con el objetivo para el que fueron recogidos o cuando no se cumplan las condiciones establecidas en el artículo 6, siempre que no se cuente con una base legal para ello.

e) El tratamiento de datos personales de las categorías especiales sin que concurra alguna de las circunstancias previstas en el artículo 13 o sin garantizar las medidas de seguridad adecuadas, que cause perjuicios graves a los interesados.

f) La omisión del deber de informar al interesado acerca del tratamiento de sus datos de carácter personal conforme a lo dispuesto en esta ley orgánica.

g) La vulneración del deber de confidencialidad del encargado del tratamiento, establecido en el artículo 30.

h) La adopción de decisiones individuales automatizadas sin las garantías señaladas en el artículo 14, siempre que se causen perjuicios de carácter muy grave para los interesados.

i) El impedimento, la obstaculización o la falta de atención reiterada del ejercicio de los derechos del interesado de acceso, rectificación, supresión de sus datos o limitación del tratamiento, siempre que se causen perjuicios de carácter muy grave para los interesados.

j) La negativa a proporcionar a las autoridades competentes la información necesaria para la prevención, detección, investigación y enjuiciamiento de infracciones penales, para la ejecución de sanciones penales o para la protección y prevención frente a las amenazas contra la seguridad pública de acuerdo con lo previsto en el artículo 7, así como informar al interesado cuando se comuniquen sus datos en virtud del deber de colaboración establecido en dicho artículo.

k) La resistencia u obstrucción del ejercicio de la función inspectora de las autoridades de protección de datos competentes.

l) La falta de notificación a las autoridades de protección de datos competentes acerca de una violación de la seguridad de los datos personales, cuando sea exigible, así como la ausencia de comunicación al interesado de una violación de la seguridad cuando sea procedente de acuerdo con el artículo 39, siempre que se deriven perjuicios de carácter muy grave para el interesado.

m) El incumplimiento de las resoluciones dictadas por las autoridades de protección de datos competentes, en el ejercicio de las potestades que le confiere el artículo 50.

n) No facilitar el acceso del personal de las autoridades de protección de datos competentes a los datos personales, información, locales, equipos y medios de tratamiento, cuando sean requeridos por las mismas, en el ejercicio de sus poderes de investigación.

Artículo 59. Infracciones graves.

Son infracciones graves:

a) El incumplimiento de los plazos de conservación y revisión establecidos en virtud del artículo 8.

b) El tratamiento de los datos de carácter personal cuando se incumplan los principios del artículo 6 o las condiciones de licitud del tratamiento del artículo 9, siempre que no constituya una infracción muy grave.

c) El tratamiento de datos personales de las categorías especiales sin que concurra alguna de las circunstancias previstas en el artículo 13 o sin garantizar las medidas de seguridad adecuadas, siempre que no constituya una infracción muy grave.

d) La adopción de decisiones individuales automatizadas sin las garantías señaladas en el artículo 14, siempre que no constituya una infracción muy grave.

e) La falta de designación de un delegado de protección de datos en los términos previstos en el artículo 40 o no posibilitar la efectiva participación del mismo en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.

f) El incumplimiento de la puesta a disposición al interesado de la información prevista en el artículo 21 o del deber de comunicación al mismo, o a la autoridad de protección de datos competente, de una violación de la seguridad de los datos, que entrañe un grave perjuicio para los derechos y libertades del interesado.

g) La ausencia de adopción de aquellas medidas técnicas y organizativas que resulten apropiadas para aplicar de forma efectiva los principios de protección de datos, incluidas las medidas oportunas desde el diseño y por defecto, así como para integrar las garantías necesarias en el tratamiento.

h) El impedimento, la falta de atención o la obstaculización de los derechos del interesado de acceso, rectificación, supresión de sus datos o limitación del tratamiento, siempre que no constituya infracción muy grave.

i) El incumplimiento de la obligación de llevanza de los registros de actividades de tratamiento o del registro de operaciones de tratamiento, si se causan perjuicios de carácter grave a los interesados.

j) El incumplimiento de las estipulaciones recogidas en el contrato u acto jurídico que vincula al responsable y al encargado del tratamiento, salvo en los supuestos en que fuese necesario para evitar la infracción de la legislación en materia de protección de datos y se hubiese advertido de ello al responsable o al encargado del tratamiento, así como el incumplimiento de las obligaciones impuestas en el artículo 30.

k) La falta de colaboración diligente con las autoridades competentes en el cumplimiento de las obligaciones establecidas en el artículo 7, cuando no constituya una infracción muy grave.

l) La falta de cooperación, la actuación negligente o el impedimento de la función inspectora de las autoridades de protección de datos competentes, cuando no constituya infracción muy grave.

m) El incumplimiento de la evaluación de impacto en la protección de los datos de carácter personal, si se derivan perjuicios o riesgos de carácter grave para los interesados.

n) El tratamiento de datos personales sin haber consultado previamente a la autoridad de protección de datos competente, en los casos en que dicha consulta resulte preceptiva conforme al artículo 36.

Artículo 60. Infracciones leves.

Son infracciones leves:

a) La afectación leve de los derechos de los interesados como consecuencia de la ausencia de la debida diligencia o del carácter inadecuado o insuficiente de las medidas técnicas y organizativas que se hubiesen implantado.

b) El incumplimiento del principio de transparencia de la información o del derecho de información del interesado establecido en el artículo 21 cuando no se facilite toda la información exigida en esta ley orgánica.

c) La inobservancia de la obligación de informar al interesado y a los destinatarios a los que se hayan comunicado o de los que procedan los datos personales rectificados, suprimidos o respecto de los que se haya limitado el tratamiento, conforme a lo establecido en el artículo 23.

d) El incumplimiento de la llevanza de registros de actividades de tratamiento o del registro de operaciones o que los mismos no incorporen toda la información exigida legalmente, siempre que no constituya infracción grave.

e) El incumplimiento de la obligación de suprimir los datos referidos a una persona fallecida cuando fuera exigible legalmente.

f) La falta de formalización por los corresponsables del tratamiento del acuerdo que determine las obligaciones, funciones y responsabilidades respectivas, a propósito del tratamiento de datos personales y de sus relaciones con los interesados, así como la inexactitud o la falta de concreción en la determinación de las mismas.

g) El incumplimiento de la obligación del encargado del tratamiento de informar al responsable del tratamiento acerca de una posible infracción de las disposiciones de esta ley orgánica, como consecuencia de una instrucción recibida de éste.

h) La notificación incompleta o defectuosa a la autoridad de protección de datos competente de la información relacionada con una violación de seguridad de los datos personales, el incumplimiento de la obligación de documentarla o del deber de comunicar al interesado su existencia, cuando que no constituya una infracción grave.

i) La aportación de información inexacta o incompleta a la autoridad de protección de datos competente, en los supuestos en los que el responsable del tratamiento deba elevarle una consulta previa.

j) La falta de publicación de los datos de contacto del delegado de protección de datos, o la ausencia de comunicación de su designación y cese a la autoridad de protección de datos competente, de conformidad con el artículo 40, cuando su nombramiento sea exigible de acuerdo con esta ley orgánica.

Artículo 61. Régimen jurídico.

El ejercicio de la potestad sancionadora se regirá por lo dispuesto en el presente capítulo, por los títulos VII y IX de la Ley Orgánica 3/2018, de 5 de diciembre, y, en cuanto no las contradigan, con carácter supletorio, por la normativa de procedimiento administrativo común de las Administraciones públicas.

Artículo 62. Sanciones.

Por la comisión de las infracciones tipificadas en esta ley orgánica se impondrán las siguientes sanciones:

1. En caso de que el sujeto responsable sea algunos de los enumerados en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, se impondrán las sanciones y se adoptarán las medidas establecidas en dicho artículo.

2. En caso de que el sujeto infractor sea distinto de los señalados en el artículo 77.1 de la Ley Orgánica 3/2018, de 5 de diciembre, podrá ser sancionado, con multa de la siguiente cuantía:

a) Las infracciones muy graves, con multa de 360.001 a 1.000.000 euros.

b) Las infracciones graves, con multa de 60.001 a 360.000 euros.

c) Las leves, con multa de 6.000 a 60.000 euros.

A efectos de la determinación de la cuantía de la sanción, se tendrán en cuenta los criterios establecidos en el artículo 83.2 del Reglamento General de Protección de Datos y en el artículo 76.2 de la Ley Orgánica 3/2018, de 5 de diciembre.

Artículo 63. Prescripción de las infracciones y sanciones.

1. Las infracciones administrativas tipificadas en esta ley orgánica prescribirán a los seis meses, a los dos o a los tres años de haberse cometido, según sean leves, graves o muy graves, respectivamente.

Los plazos señalados en esta ley orgánica se computarán desde el día en que se haya cometido la infracción. No obstante, en los casos de infracciones continuadas y de infracciones de efectos permanentes, los plazos se computarán, respectivamente, desde el día en que se realizó la última infracción y desde que se eliminó la situación ilícita.

Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador, reiniciándose el plazo de prescripción si el expediente sancionador estuviere paralizado durante más de seis meses por causas no imputables al presunto infractor.

Se interrumpirá igualmente la prescripción como consecuencia de la apertura de un procedimiento judicial penal, hasta que la autoridad judicial comunique al órgano administrativo su finalización.

2. Las sanciones impuestas por infracciones muy graves prescribirán a los tres años, las impuestas por infracciones graves, a los dos años, y las impuestas por infracciones leves al año, computados desde el día siguiente a aquel en que adquiera firmeza en vía administrativa la resolución por la que se impone la sanción.

La prescripción se interrumpirá por la iniciación, con conocimiento del interesado, del procedimiento de ejecución, volviendo a transcurrir el plazo si el mismo está paralizado durante más de seis meses por causa no imputable al infractor.

Artículo 64. Caducidad del procedimiento.

1. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de éste.

2. La resolución que declare la caducidad se notificará al interesado y pondrá fin al procedimiento, sin perjuicio de que la administración pueda acordar la incoación de un nuevo procedimiento en tanto no haya prescrito la infracción. Los procedimientos caducados no interrumpirán el plazo de prescripción.

Artículo 65. Carácter subsidiario del procedimiento administrativo sancionador respecto del penal.

1. No podrán sancionarse los hechos que hayan sido sancionados penal o administrativamente cuando se aprecie identidad de sujeto, de hecho y de fundamento.

2. En los supuestos en que las conductas pudieran ser constitutivas de delito, el órgano administrativo pasará el tanto de culpa a la autoridad judicial o al Ministerio Fiscal y se abstendrá de seguir el procedimiento sancionador mientras la autoridad judicial no dicte sentencia firme o resolución que de otro modo ponga fin al procedimiento penal, o el Ministerio Fiscal no acuerde la improcedencia de iniciar o proseguir las actuaciones en vía penal, quedando hasta entonces interrumpido el plazo de prescripción.

La autoridad judicial y el Ministerio Fiscal comunicarán al órgano administrativo la resolución o acuerdo que hubieran adoptado.

3. De no haberse estimado la existencia de ilícito penal, o en el caso de haberse dictado resolución de otro tipo que ponga fin al procedimiento penal, podrá iniciarse o proseguir el procedimiento sancionador.

En todo caso, el órgano administrativo quedará vinculado por los hechos declarados probados en vía judicial.

4. Las medidas cautelares adoptadas antes de la intervención judicial podrán mantenerse mientras la autoridad judicial no resuelva otra cosa.

Disposición adicional primera. Regímenes específicos.

1. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, para los fines previstos en al artículo 1, se regirá por esta ley orgánica, sin perjuicio de los requisitos establecidos en regímenes legales especiales que regulan otros ámbitos concretos como el procesal penal, la regulación del tráfico o la protección de instalaciones propias.

2. El tratamiento de los datos personales procedentes de las imágenes y sonidos obtenidos mediante la utilización de cámaras y videocámaras por las Fuerzas y Cuerpos de Seguridad y por los órganos competentes para la vigilancia y control en los centros penitenciarios y para el control, regulación, vigilancia y disciplina del tráfico, para fines distintos de los previstos en el artículo 1, se regirá por lo dispuesto en la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, y en su Reglamento de desarrollo y ejecución, aprobado por el Real Decreto 596/1999, de 16 de abril, en todo aquello que no se oponga a lo dispuesto en esta ley orgánica.

Disposición adicional segunda. Intercambio de datos dentro de la Unión Europea.

El intercambio de datos personales por parte de las autoridades competentes españolas en el interior de la Unión Europea, cuando el Derecho de la Unión Europea o la legislación española exijan dicho intercambio, no estará limitado ni prohibido por motivos relacionados con la protección de las personas físicas respecto al tratamiento de sus datos personales.

Disposición adicional tercera. Acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial.

Los acuerdos internacionales en el ámbito de la cooperación judicial en materia penal y de la cooperación policial que impliquen la transferencia de datos personales a Estados que no sean miembros de la Unión Europea u organizaciones internacionales y que hubieran sido celebrados por España antes del 6 de mayo de 2016, cumpliendo lo dispuesto en el Derecho de la Unión Europea aplicable antes de dicha fecha, seguirán en vigor hasta que sean objeto de modificación, enmienda o terminación.

Disposición adicional cuarta. Ficheros y Registro de Población de las Administraciones Públicas.

1. Las autoridades competentes podrán solicitar al Instituto Nacional de Estadística y a los órganos estadísticos de ámbito autonómico, sin consentimiento del interesado, una copia actualizada del fichero formado con los datos del documento de identidad, nombre, apellidos, domicilio, sexo y fecha de nacimiento que constan en el padrón municipal de habitantes y en el censo electoral correspondiente a los territorios donde ejerzan sus competencias. Esta solicitud deberá estar motivada en base a cualquiera de los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública.

2. Los datos obtenidos tendrán como único propósito el cumplimiento de los fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, así como de protección y de prevención frente a las amenazas contra la seguridad pública y la comunicación de estas autoridades con los interesados residentes en los respectivos territorios, respecto a las relaciones jurídico-administrativas derivadas de las competencias respectivas.

Disposición adicional quinta. Referencias normativas.

Las referencias contenidas en normas vigentes en relación a las disposiciones que se derogan expresamente, deberán entenderse efectuadas a los artículos de esta ley orgánica que regulan la misma materia que aquéllas.

Disposición derogatoria única. Derogación normativa.

Quedan derogadas todas las normas de igual o inferior rango en lo que contradigan o se opongan a lo dispuesto en esta ley orgánica.

Disposición final primera. Modificación de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria.

Se introduce un nuevo artículo 15 bis en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, que queda redactado como sigue:

«Artículo 15 bis. Tratamientos de datos de carácter personal.

1. Admitido en el establecimiento un interno, se procederá a verificar su identidad personal, efectuando la reseña alfabética, dactilar y fotográfica, así como a la inscripción en el libro de ingresos y a la apertura de un expediente personal relativo a su situación procesal y penitenciaria, respecto del que se reconoce el derecho de acceso. Este derecho sólo se verá limitado de forma individualizada y fundamentada en concretas razones de seguridad o tratamiento.

2. El tratamiento de los datos personales de los internos se regirá por lo previsto en la Ley Orgánica de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como de protección y de prevención frente a las amenazas contra la seguridad pública. Los datos personales de categorías especiales que no figuren en el apartado anterior se podrán tratar con el consentimiento del interesado. Sólo se prescindirá de dicho consentimiento cuando sea estrictamente necesario y se efectúe con las garantías adecuadas para proteger el derecho a la protección de datos de los interesados, atendiendo al tipo de datos que se traten y a las finalidades de los distintos tratamientos dirigidos a la ejecución de la pena.

3. Igualmente se procederá al cacheo de su persona y al registro de sus efectos, retirándose los enseres y objetos no autorizados.

4. En el momento del ingreso se adoptarán las medidas de higiene personal necesarias, entregándose al interno las prendas de vestir adecuadas que precise, firmando el mismo su recepción.»

Disposición final segunda. Modificación de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Se modifica la disposición adicional decimoquinta que queda redactada como sigue:

«Disposición adicional decimoquinta. Requerimiento de información por parte de la Comisión Nacional del Mercado de Valores.

Cuando no haya podido obtener por otros medios la información necesaria para realizar sus labores de supervisión e inspección relacionadas con la detección de delitos graves, la Comisión Nacional del Mercado de Valores podrá recabar de los operadores que presten servicios de comunicaciones electrónicas disponibles al público y de los prestadores de servicios de la sociedad de la información, los datos que obren en su poder relativos a la comunicación electrónica o servicio de la sociedad de la información proporcionados por dichos prestadores que sean distintos a su contenido y resulten imprescindibles para el ejercicio de dichas labores.

La cesión de estos datos requerirá la previa obtención de autorización judicial otorgada conforme a las normas procesales.»

Disposición final tercera. Modificación de la Ley Orgánica 1/2020, de 16 de septiembre, sobre la utilización de los datos del registro de nombres de pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos de terrorismo y delitos graves.

Se modifica el artículo 10 que queda redactado como sigue:

«1. Los momentos en los que las compañías aéreas deben transmitir los datos PNR a la UIP serán los siguientes:

a) Entre las 24 y las 48 horas antes de la hora de salida programada del vuelo, e b) inmediatamente después del cierre del vuelo, una vez que los pasajeros hayan embarcado en el avión en preparación de la salida y no sea posible embarcar o desembarcar.

Las compañías aéreas podrán limitar esta transmisión prevista en el párrafo b) a las actualizaciones de la información transmitida conforme al párrafo a).

2. El Proveedor de Servicios de Navegación Aérea en el espacio aéreo de soberanía española, en colaboración con las compañías aéreas, deberá comunicar a la UIP cualquier cambio producido, previamente o durante el trayecto, respecto al destino donde se tuviera previsto aterrizar, así como la realización de una escala no programada.

3. Además, cuando sea necesario acceder a los datos PNR para responder a una amenaza real y concreta relacionada con delitos de terrorismo o con delitos graves, en momentos distintos de los previstos en el apartado 1, todos los sujetos obligados, caso por caso, deberán transmitir a la UIP dichos datos con carácter inmediato al requerimiento recibido.»

Disposición final cuarta. Modificación de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte.

Se modifica el artículo 30 que queda redactado como sigue:

«Artículo 30. Procedimiento sancionador.

1. El ejercicio de la potestad sancionadora a la que se refiere este título, se regirá por lo dispuesto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y sus disposiciones de desarrollo, sin perjuicio de las especialidades que se regulan en este título.

2. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de éste.»

Disposición final quinta. Modificación de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Se modifica el artículo 69 que queda redactado como sigue:

«Artículo 69. Régimen Jurídico.

1. El ejercicio de la potestad sancionadora en materia de seguridad privada se regirá por lo dispuesto en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y sus disposiciones de desarrollo, sin perjuicio de las especialidades que se regulan en este título.

2. El procedimiento caducará transcurridos seis meses desde su incoación sin que se haya notificado la resolución, debiendo, no obstante, tenerse en cuenta en el cómputo las posibles paralizaciones por causas imputables al interesado o la suspensión que debiera acordarse por la existencia de un procedimiento judicial penal, cuando concurra identidad de sujeto, hecho y fundamento, hasta la finalización de éste.

3. Iniciado el procedimiento sancionador, el órgano que haya ordenado su incoación podrá adoptar las medidas cautelares necesarias para garantizar su adecuada instrucción, así como para evitar la continuación de la infracción o asegurar el pago de la sanción, en el caso de que ésta fuese pecuniaria, y el cumplimiento de la misma en los demás supuestos.

4. Dichas medidas, que deberán ser congruentes con la naturaleza de la presunta infracción y proporcionadas a la gravedad de la misma, podrán consistir en:

a) La ocupación o precinto de vehículos, armas, material o equipo prohibido, no homologado o que resulte peligroso o perjudicial, así como de los instrumentos y efectos de la infracción.

b) La retirada preventiva de las autorizaciones, habilitaciones, permisos o licencias, o la suspensión, en su caso, de la eficacia de las declaraciones responsables.

c) La suspensión de la habilitación del personal de seguridad privada y, en su caso, de la tramitación del procedimiento para el otorgamiento de aquélla, mientras dure la instrucción de expedientes por infracciones graves o muy graves en materia de seguridad privada.

También podrán ser suspendidas las indicadas habilitación y tramitación, hasta tanto finalice el proceso por delitos contra dicho personal.

5. Las medidas cautelares previstas en los párrafos b) y c) del apartado anterior no podrán tener una duración superior a un año.»

Disposición final sexta. Modificación del texto refundido de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial, aprobado por el Real Decreto Legislativo 6/2015, de 30 de octubre.

Se modifica el artículo 68 que queda redactado como sigue:

«Artículo 68. Matrículas.

1. Para poner en circulación vehículos a motor, así como remolques de masa máxima autorizada superior a la que reglamentariamente se determine, es preciso matricularlos y que lleven las placas de matrícula con los caracteres que se les asigne del modo que se establezca. Esta obligación será exigida a los ciclomotores en los términos que reglamentariamente se determine.

2. Deben ser objeto de matriculación definitiva en España los vehículos a los que se refiere el apartado anterior, cuando se destinen a ser utilizados en el territorio español por personas o entidades que sean residentes en España o que sean titulares de establecimientos situados en España. Reglamentariamente se establecerán los plazos, requisitos y condiciones para el cumplimiento de esta obligación y las posibles exenciones a la misma.

3. La matriculación ordinaria será única para cada vehículo, salvo en los supuestos que se determinen reglamentariamente. Cuando concurran circunstancias que puedan afectar a la Seguridad Nacional, el Secretario de Estado de Seguridad podrá autorizar una nueva matrícula distinta de la inicialmente asignada. Este tipo de matrículas no serán públicas en el Registro General de Vehículos e, incluso en circunstancias excepcionales, podrá utilizarse una titularidad supuesta en el marco de la actuación de las Fuerzas y Cuerpos de Seguridad y del Centro Nacional de Inteligencia en el tráfico jurídico.

4. En casos justificados, la autoridad competente para expedir el permiso de circulación podrá conceder permisos de circulación temporales y provisionales en los términos que se determine reglamentariamente.»

Disposición final séptima. Naturaleza de la ley.

Esta ley tiene el carácter de ley orgánica. No obstante, tienen carácter ordinario:

a) El Capítulo VI.

b) El Capítulo VII.

c) El Capítulo VIII.

d) Las disposiciones finales cuarta, quinta y sexta.

Disposición final octava. Título competencial.

Esta ley orgánica se dicta al amparo de las reglas 1.ª, 6.ª, 18.ª y 29.ª del artículo 149.1 de la Constitución, que atribuyen al Estado las competencias exclusivas, respectivamente, para la regulación de las condiciones básicas que garanticen la igualdad de todos los españoles en el ejercicio de los derechos y en el cumplimiento de los deberes constitucionales; respecto a las bases del régimen jurídico de las Administraciones Públicas, el procedimiento administrativo común y en relación al sistema de responsabilidad de todas las Administraciones públicas; sobre legislación penal, penitenciaria, procesal; y en materia de seguridad pública.

Disposición final novena. Incorporación del Derecho de la Unión Europea.

Mediante esta ley orgánica se incorpora al ordenamiento jurídico español la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

Disposición final décima. Entrada en vigor.

Esta ley orgánica entrará en vigor a los veinte días de su publicación en el «Boletín Oficial del Estado».

No obstante, las previsiones contenidas en el capítulo IV producirán efectos a los seis meses de la entrada en vigor de la ley orgánica.

11May/21

Informe 9 de abril de 2021, Proyecto de Ley Orgánica de Protección de Datos Personales

Informe 9 de abril de 2021, Para Segundo Debate del Proyecto de Ley Orgánica de Protección de Datos Personales

PROYECTO DE LEY

EXPOSICIÓN DE MOTIVOS

Es de conocimiento general el espíritu cambiante de la sociedad en que vivimos; las nuevas tendencias y comportamientos componen un sinfín de mecanismos que enmarcan caminos y definen horizontes. El individuo en sí mismo pertenece a un conglomerado de oportunidades que siembra libertades, pero no siempre las materializa, esto en virtud de elementos que ajenos a los fines se apropia de ellos y los modifican.

El legislador en esta posición y en términos aristotélicos vendría a ser la justicia animada, en donde el justo medio de un todo revelará una sociedad fructífera, que no esté viciada por extremos equiparables a una inequidad, que dista de lo justo que en sí mismo debe ser permanente y acceder a todos los espacios para adjudicarse como tal.

En este contexto es imperante mencionar que el espacio en el que actualmente el individuo se desarrolla no se limita a sus expectativas, sino más bien, en sintonía con la evolución previamente mencionada, el sujeto es símbolo de conservación, labra estrategias que le permiten afianzarse a un terreno sólido y en el camino sobrevivir ante la vulneración de sus libertades, ya que como es conocido, todo aquel mecanismo que las genere será el mismo que las limitará.

Trasladándose al escenario actual, la colectividad ha experimentado cambios que por su irrevocable importancia han dejado precedentes en la historia, esto es por ejemplo un relativismo ideológico, nuevas formas de agrupación familiar, aumento en la esperanza de vida y en paralelo disminución de la tasa de natalidad y en particular la omnipresencia de la tecnología.

Es así que el individuo, aun víctima de las dificultades que con ello advienen, recolecta los aspectos positivos y disfruta de los avances en todo ámbito posible, en el caso puntual, la región digital que de la mano con el perfeccionamiento tecnológico extienden las posibilidades de un nuevo mundo, colaborando así no solo con la efectivización de procesos, sino también con el desarrollo económico, facilitando el vivir cotidiano creando redes de distribución de la información y generando en función a ello réditos económicos.

Es de admitir que, las personas se desenvuelven en una sociedad altamente conectada, esto permite que la provisión de distintos servicios y la comunicación, se realicen desde cualquier parte del mundo y en tiempo real. Las tecnologías de la información y comunicación (TIC) han impactado sustancialmente en la vida de las personas, tanto es así, que se han convertido en herramientas y procesos indispensables e ineludibles para la satisfacción de necesidades básicas de los seres humanos.

Su versatilidad permite que estas logren adaptarse a las necesidades y requerimientos de forma personalizada, es por eso que el ser humano las acopla en todas sus actividades manteniendo con ellas una relación incluso cercana a la dependencia. Como consecuencia de ello se ha generado la omnipresencia de las mismas, en la totalidad de las áreas en las que los individuos se desenvuelven (salud, comercio, educación, migración, cooperación internacional), respeto y garantía de derechos, cultura, entre otros).

Es indudable que las TIC representan un sin número de beneficios que tienen como objetivo mejorar la calidad de vida de los seres humanos, sin embargo, también se ha de reconocer que el mismo potencial ha sido invertido para configurar un espacio lleno de múltiples riesgos para las personas.

Esto en virtud de que los individuos no son conscientes del valor de sus datos, considerando que, usados de manera adecuada, pueden generar una serie de ventajas, no solo para tu titular, sino también para los proveedores de bienes o servicios públicos o privados que los procesan; pero cuando se tratan de forma irresponsable o abusiva pueden llegar a afectar gravemente la dignidad e integridad de los seres humanos, es así que, su recopilación, procesamiento y comunicación inadecuada puede significar una vulneración a derechos fundamentales como la vida, la salud, el acceso a servicios públicos, la integridad física, psicológica o sexual, entre muchos otros; lesiones que se han podido evidenciar a nivel mundial y que incluso ya se han familiarizado con la realidad ecuatoriana.

La casi arbitraria libertad con la que se mueve la información acaece desconcierto social por la ausencia de mecanismos de protección que controlen su tratamiento, eso en virtud de que gran parte de esta sujeta datos personales, que utilizados o tratados inadecuadamente pueden por ejemplo, alterar elecciones presidenciales, determinar quién recibe servicios de salud o alimenticios, ser una herramienta para la delincuencia organizada (trata de personas, narcotráfico o terrorismo). Situaciones que parecen lejanas a nuestra realidad; sin embargo, estas circunstancias se evidencian actualmente incluso en nuestro país, donde se han evidenciado robos, ataques o exposiciones ilegítimas de bases de datos de carácter público o privado que han generado perjuicios sociales y económicos.

En lo que respecta al siglo pasado la relación instituida entre el Estado y el individuo en cuanto a identificación mutua ha sido realmente escasa; el ambiente percibido en tal época se contenía en cajas de información registrada a mano que en virtud del tiempo se volvía frágil, quebrando consigo toda relación existente.

Actualmente el Estado constituye en sí una de las mayores fuentes de información en razón de la posesión de grandes bases de datos necesarias para la consecución de sus fines administrativos, convirtiéndolo en un efectivizador de procesos que atraviesa la delgada línea entre su posición garantista de derechos humanos y la susceptibilidad de vulnerarlos.

A lo largo de la historia, el ser humano ha sido testigo de grandes vulneraciones a la dignidad, debido al procesamiento de información con fines ajenos al interés general, eventos históricos como la Segunda Guerra Mundial no habrían dejado tantas víctimas, si aquellos que abusaron del poder no hubieran tenido en sus manos información que les permitiera aniquilar a millones de personas.

Hito histórico que parece ajeno a nuestra realidad territorial y actual, pero ejemplos como el proyecto SAFARI en la Francia de 1974 o el Plan Cóndor cultivado por los regímenes dictatoriales del Cono Sur que desencadenaron los “Archivos del terror” de Paraguay en 1993, evidencian lo peligroso que puede ser para el ser humano, no ser consciente del valor de su información.

Con la influencia actual de las tecnologías de la información y comunicación, y los procesos de analítica de datos, es cada vez más necesario entender su trascendencia; en el Ecuador, constantemente se suscitan circunstancias de afectación a derechos, debido al tratamiento inadecuado de datos personales, es muy común encontrar noticias que anuncian el robo de bases de datos, la modificación de las mismas para la obtención de beneficios ilegales, incluso, un intento de incidir en su derecho a elegir por la emisión de noticias falsas.

Es imperante, denotar que las transgresiones no solo se suscitan en el ámbito público, sino que también ocurren a nivel privado, con mayor frecuencia de la que el individuo percibe; en el Ecuador, cualquier abonado a servicios móviles, recibe innumerables llamadas para el ofrecimiento de planes celulares, de seguros y tarjetas de crédito, sin conocer cómo empresas con las que nunca han tenido relaciones obtienen su información y que a pesar de su incomodidad no pueden dejar de ser parte de estas redes.

Así mismo, son innumerables las denuncias por el inicio de procesos que tienen el objeto de deudas que en la mayoría de los casos son inexistentes o la denegación de acceso a servicios por criterios sin fundamento y en algunos casos discriminatorio.

Los datos en la actualidad se consideran activos digitales con gran valor económico, incluso equiparable al del dinero; los sujetos se enfrentan a una realidad en donde su información forma parte de un mercado negro, del que nadie habla pero es innegable.

Para enfrentar estas dificultades y aprovechar el potencial de las TIC para el desarrollo sostenible, generar confianza en línea y garantizar las oportunidades que brindan los adelantos tecnológicos, cada uno de los países, sobre la base de su estructura normativa propia, ha optado por desarrollar mecanismos de protección de las personas y sus datos.

Hay pocos Estados que no han desarrollado normativa alguna sobre la materia, o la que tienen es incompleta, dispersa o contradictoria, estos son los que mayor desventaja presentan no solo frente a los riesgos y peligros que trae consigo el manejo de datos personales, sino ante la imposibilidad de usarlos como insumos clave para su desarrollo económico y social, lo cual evidencia la posibilidad real de quedar aún más rezagados.

En ese contexto, es indispensable dar certidumbre a usuarios, empresas, organizaciones y Estados, sobre todo en este momento en el cual la economía mundial se desplaza más hacia un espacio de información masiva, hiper-conectada, en tiempo real, de flujo incesante proveniente de internet de las cosas, automatizada con algoritmos de inteligencia artificial cada vez más sofisticados, y de la réplica incesante mediante tecnologías de registros distribuidos. Todo esto, unido a que los datos no tienen fronteras y que las plataformas y servicios son de libre disposición y se almacenan en centros de datos de todo el mundo, obliga a los países a realizar marcos jurídicos compatibles en distintos niveles: nacional, regional y mundial que faciliten el intercambio y al mismo tiempo respeten y protejan los derechos humanos.

Por otro lado, en lo que respecta al contexto internacional, el Consejo de Derechos Humanos de la Asamblea General de Naciones Unidas, en Resolución 28/16Profundamente preocupado por los efectos negativos que pueden tener para el ejercicio y el goce de los derechos humanos la vigilancia y la interceptación de las comunicaciones, incluidas la vigilancia y la interceptación extraterritoriales de las comunicaciones y la recopilación de datos personales, en particular cuando se llevan a cabo a gran escala” nombra por primera vez al Relator especial sobre el derecho a la privacidad en la era digital con la finalidad de que, entre otras, presente informes que incluya “observaciones importantes” sobre cómo garantizar este derecho fundamental, así como denuncias sobre posibles violaciones.

En el mismo sentido, el 25 de mayo de 2018, entró en vigencia el Reglamento General Europeo de Protección de Datos Personales, su aplicación afecta a todos los países del mundo, ya que únicamente permite e incentiva que países que cuenten con niveles adecuados de protección puedan tratar datos de ciudadanos europeos.

Adicionalmente, es importante mencionar que en el año 2016 se suscribió el Protocolo de Adhesión de Ecuador al Acuerdo Comercial Multipartes con la Unión Europea, con el objetivo de buscar mejores condiciones para el intercambio de bienes y servicios entre los países miembros de la UE y el Estado ecuatoriano; este acuerdo, sin embargo, se ha visto afectado dado que para el intercambio de bienes o servicios, en la mayoría de los casos, se requiere que exista el flujo transfronterizo de datos personales, y al no tener normativa amparada por un ente controlador especializado en la materia, no le es posible al país ofrecer un nivel adecuado de protección, lo que desalienta el comercio y genera que se prefieran destinos como Colombia, Perú y los demás países suscriptores del acuerdo, que si cuentan con Ley de Protección de Datos Personales.

En virtud de estos antecedentes, y dada la urgencia de la legislación especializada que se encargue de regular el tratamiento de datos personales, es necesario contar con una Ley, que salvaguarde los derechos, promueva la actividad económica, comercial, de innovación tecnológica, social, cultural, entre otras y que delimite los parámetros para un tratamiento adecuado en el ámbito público y privado.

ASAMBLEA NACIONAL DE LA REPÚBLICA DE ECUADOR

EL PLENO

CONSIDERANDO

Que, el artículo 1 de la Constitución de la República dispone que el “Estado ecuatoriano es un Estado constitucional de derechos y justicia, social, democrático (…)”.

Que, el artículo 3 en sus numerales 1, 5 y 8 de la Carta Magna determinan que son deberes primordiales del Estado “1 Garantizar sin discriminación alguna el efectivo goce de los derechos establecidos en la Constitución y en los instrumentos internacionales, en particular la educación, la salud, la alimentación, la seguridad social y el agua para sus habitantes. 5 Planificar el desarrollo nacional, erradicar la pobreza, promover el desarrollo sustentable y la redistribución equitativa de los recursos y la riqueza, para acceder al buen vivir. 8 Garantizar a sus habitantes el derecho a una cultura de paz, a la seguridad integral y a vivir en una sociedad democrática y libre de corrupción.”;

Que, el numeral 1 del artículo 11 de la Norma Suprema establece que “Los derechos se podrán ejercer, promover y exigir de forma individual o colectiva ante las autoridades competentes, estas autoridades garantizarán su cumplimiento.”;

Que el numeral 2 del artículo 11 de la Norma Suprema prescribe que “Todas las personas son iguales y gozarán de los mismos derechos y oportunidades”;

Que, el numeral 3 del artículo 11 de la Constitución de la República preceptúa que “Los derechos y garantías establecidas en la Constitución y en los instrumentos internacionales de derechos humanos serán de directa e inmediata aplicación por y ante cualquier servidora o servidor público, administrativo o judicial, de oficio o a petición de parte”;

Que, el numeral 8 del artículo 11 de la Norma Suprema dispone que “El contenido de los derechos y garantías establecidos en la Constitución y en los instrumentos internacionales de derechos humanos, no excluirá los demás derechos derivados de la dignidad de las personas, comunidades, pueblos y nacionalidades, que sean necesarios para su pleno desenvolvimiento. Será inconstitucional cualquier acción u omisión de carácter regresivo que disminuya, menoscabe o anule injustificadamente el ejercicio de los derechos”,

Que, el artículo 16 numerales 1 y 2 de la Carta Magna determina que “Todas las personas, en forma individual o colectiva, tienen derecho a 1 Una comunicación libre, intercultural, incluyente, diversa y participativa, en todos los ámbitos de la interacción social, por cualquier medio y forma, en su propia lengua y con sus propios símbolos 2 El acceso universal a las tecnologías de información y comunicación”;

Que, el artículo 17 numeral 2 de la Norma Suprema preceptúa que “El Estado fomentará pluralidad y la diversidad en la comunicación, y al efecto 2 Facilitará la creación y el fortalecimiento de medios de comunicación públicos, privados y comunitarios, así como el acceso universal a las tecnologías de la información y comunicación en especial para las personas y colectividades que carezcan de dicho acceso o lo tengan de forma limitada”;

Que, el artículo 26 de la Constitución de la República reconoce que “La educación es un derecho de las personas a lo largo de su vida y un deber inexcusable el Estado. Constituye un área prioritaria de la política pública y de la inversión estatal, garantía de la igualdad e inclusión social v condición indispensable para el buen vivir. Las personas, las familias y la sociedad tienen el derecho y la responsabilidad de participar en el proceso educativo”;

Que, el artículo 35 de la Carta Magna establece que “Las personas adultas mayores, niñas, niños y adolescentes, mujeres embarazadas, personas con discapacidad, personas privadas de libertad y quienes adolezcan de enfermedades catastróficas o de alta complejidad, recibirán atención prioritaria y especializada en los ámbitos públicos y privado. La misma atención prioritaria recibirán las personas en situación de riesgo, las víctimas de violencia doméstica y sexual, maltrato infantil, desastres naturales o antropogénicos. El Estado prestará especial protección a las personas en condición de doble vulnerabilidad.”,

Que, el artículo 44 de la Norma Suprema dispone que “El Estado, la sociedad, y la familia promoverán de forma prioritaria el desarrollo integral de los niñas, niños y adolescentes, y asegurarán el ejercicio pleno de sus derechos, se atenderá al principio de su interés superior y sus derechos prevalecerán sobre los de las demás personas. Las niñas, niños y adolescentes tendrán derecho a su desarrollo integral, entendido como proceso de crecimiento, maduración y despliegue de su intelecto y de sus capacidades, potencialidades y aspiraciones, en un entorno familiar, escolar, social y comunitario de efectividad v seguridad. Este entorno permitirá la satisfacción de sus necesidades sociales, afectivo-emocionales y culturales, con el apoyo de políticas intersectoriales nacionales y locales.”,

Que, el artículo 66 numeral 19 de la Constitución de la República reconoce y garantiza a las personas: “19 El derecho a la protección de datos carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos personales requerirán la autorización del titular o el mandato de ley”,’

Que, el numeral 6 del artículo 76 de la Carta Magna determina que “En todo proceso que se determinen derechos y obligaciones de cualquier orden, se asegurará el derecho al debido proceso que incluirá las siguientes garantías básicas 6 La ley establecerá la debida proporcionalidad entre las infracciones y las sanciones penales, administrativas o de otra naturaleza.”

Que, el artículo 92 de la Norma Suprema prescribe que “Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados”;

Que, el artículo 227 de la Constitución de la República establece que “La administración pública constituye un servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía, desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación.”

Que, el artículo 277 de la Constitución de la República determina que “Para la consecución del buen vivir, serán deberes generales del Estado 1 Garantizar los derechos de las personas, las colectividades y la naturaleza 2 Dirigir, planificar y regular el proceso de desarrollo 3 Generar y ejecutar las políticas públicas y controlar y sancionar su incumplimiento 4 Producir bienes, crear y mantener infraestructura y proveer servicios públicos 5 Impulsar el desarrollo de las actividades económicas mediante un orden jurídico e instituciones políticas que las promuevan, fomenten y defiendan mediante el cumplimiento de la Constitución y la ley 6 Promover e impulsar la ciencia, la tecnología, las artes, los saberes ancestrales y en general las actividades de la iniciativa creativa, comunitaria, asociativa, cooperativa y privada.”;

Que, el artículo 417 de la Norma Suprema dispone que “Los tratados internacionales ratificados por el Ecuador se sujetarán a lo establecido en la Constitución. En el caso de los tratados y otros instrumentos internacionales de derechos humano se aplicarán los principios pro ser humano, de no restricción de derechos, de aplicabilidad directa y de cláusula abierta establecida en la Constitución”;

Que, el numeral 3 del artículo 423 de la Constitución de la República prevé que “La integración en especial con los países de Latinoamérica y el Caribe será un objetivo estratégico del Estado. En todas las instancias y procesos de integración, el Estado ecuatoriano se comprometerá a 3 Fortalecer la armonización de las legislaciones nacionales con énfasis en los derechos (..), de acuerdo con los principios de progresividad y no regresividad.”;

Que, el artículo 424 de la Carta Magna prescribe que “La Constitución es la norma suprema y prevalece e sobre cualquier otra del ordenamiento jurídico. Las normas y los actos del poder público deberán mantener conformidad con las disposiciones constitucionales, en caso contrario carecerán de eficacia jurídica. La Constitución y los tratados internacionales de derechos humanos ratificados por el Estado que reconozcan derechos más favorables a los contenidos en la Constitución, prevalecerán sobre cualquier otra norma jurídica o acto del poder público.”;

Que, la Resolución 45/95 de 14 de diciembre de 1990 de la Organización de las Naciones Unidas adopta principios rectores para la reglamentación de los ficheros computarizados de datos personales, garantías mínimas que deberán preverse en legislaciones nacionales para efectivizar este derecho;

Que, uno de los ejes de la Estrategia acordada en el año 2016 de la red Iberoamericana de Datos Personales 2020 consiste en “Impulsar y contribuir al fortalecimiento y adecuación de los procesos regulatorios en la región, mediante la elaboración de directrices que sirvan de parámetros para futuras regulaciones o para revisión de las existentes en materia de protección de datos personales”;

Que, el 20 de junio de 2017 se aprobaron los Estándares de Protección de Datos Personales para los Estados Iberoamericanos;

Que, el Comité Jurídico Interamericano de la Organización de Estados Americanos adoptó la propuesta de declaración de principios de privacidad y protección de datos personales en las Américas;

Que, la Organización de Estados Americanos el 27 de marzo de 2015 desarrolló el Proyecto de Ley Modelo sobre Protección de datos Personales;

Que, la protección de datos personales forma parte de los ejes estratégicos para la construcción de la sociedad de la información y el conocimiento en el Ecuador conforme el Libro Blanco de la Sociedad de la Información y del Conocimiento 2018;

Que, la Acción Estratégica clave del enfoque para Gobierno de protección de datos personales del Eje 6 del Plan Nacional de la Sociedad de la Información y del Conocimiento 2018-2021, es “Promulgar una ley orgánica de protección de datos personales para garantizar el derecho constitucional.”;

Que, el principio de Legalidad de la Carta Iberoamericana de Gobierno Electrónico del año 2007 establece que “(…) el uso de comunicaciones electrónicas promovidas por la Administración Pública deberá tener observancia de las normas en materia de protección de datos personales”, con el objetivo de precautelar el derecho que tienen los ciudadanos a relacionarse electrónicamente con el Estado;

Que, la Estrategia 3 del Programa de Gobierno Abierto del Plan Nacional de Gobierno Electrónico apunta a “Impulsar la protección de la información y datos personales”; y,

En uso de la atribución que le confiere el número 6 del artículo 120 de la Constitución de la República, expide lo siguiente:

LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

CAPÍTULO I. ÁMBITO DE APLICACIÓN INTEGRAL

Artículo 1.- Objeto y finalidad

El objeto y finalidad de la presente ley es garantizar el ejercicio del derecho a la protección de datos personales, que incluye el acceso y decisión sobre información y datos de este carácter, así como su correspondiente protección. Para dicho efecto regula, prevé y desarrolla principios, derechos, obligaciones y mecanismos de tutela.

Artículo 2. Ámbito de aplicación material

La presente ley se aplicará al tratamiento de datos personales contenidos en cualquier tipo de soporte, automatizados o no, así como a toda modalidad de uso posterior. La ley no será aplicable a:

a) Personas naturales que utilicen estos datos en la realización de actividades familiares o domésticas;

b) Personas fallecidas, sin perjuicio de lo establecido en el artículo 28 de la presente Ley;

c) Datos anonimizados, en tanto no sea posible identificar a su titular. Tan pronto los datos dejen de estar disociados o de ser anónimos, su tratamiento estará sujeto al cumplimiento de las obligaciones de esta ley, especialmente la de contar con una base de licitud para continuar tratando los datos de manera no anonimizada o disociada;

d) Actividades periodísticas y otros contenidos editoriales;

e) Datos personales cuyo tratamiento se encuentre regulado en normativa especializada de igual o mayor jerarquía en materia de gestión de riesgos por desastres naturales; y, seguridad y defensa del Estado, en cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad;

f) Datos o bases de datos establecidos para la prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, llevado a cabo por los organismos estatales competentes en cumplimiento de sus funciones legales. En cualquiera de estos casos deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad; y

g) Datos que identifican o hacen identificable a personas jurídicas. Son accesibles al público y susceptibles de tratamiento los datos personales referentes al contacto de profesionales y los datos de comerciantes, representantes y socios y accionistas de personas jurídicas y servidores públicos, siempre y cuando se refieran al ejercicio de su profesión, oficio, giro de negocio, competencias, facultades, atribuciones o cargo y se trate de nombres y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, y, número de teléfono profesional. En el caso de los servidores públicos, además serán de acceso público y susceptibles de tratamiento de datos, el histórico y vigente de la declaración patrimonial y de su remuneración

Artículo 3.- Ámbito de aplicación territorial

Sin perjuicio de la normativa establecida en los instrumentos internacionales ratificados por el Estado ecuatoriano que versen sobre esta materia, se aplicará la presente Ley cuando:

1. El tratamiento de datos personales se realice en cualquier parte del territorio nacional;

2. El responsable o encargado del tratamiento de datos personales se encuentre domiciliado en cualquier parte del territorio nacional;

3. Se realice tratamiento de datos personales de titulares que residan en el Ecuador por parte de un responsable o encargado no establecido en el Ecuador, cuando las actividades del tratamiento estén relacionadas con: 1) La oferta de bienes o servicios a dichos titulares, independientemente de si a estos se les requiere su pago, o, 2) del control de su comportamiento, en la medida en que este tenga lugar en el Ecuador.; y

4. Al responsable o encargado del tratamiento de datos personales, no domiciliado en el territorio nacional, le resulte aplicable la legislación nacional en virtud de un contrato o de las regulaciones vigentes del derecho internacional público.

Artículo 4.- Términos y definiciones

Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:

Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la presente ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales.

Anonimización: La aplicación de medidas dirigidas a impedir la identificación o reidentificación de una persona natural, sin esfuerzos desproporcionados.

Base de datos o fichero: Conjunto estructurado de datos cualquiera que fuera la forma, modalidad de creación, almacenamiento, organización, tipo de soporte, tratamiento, procesamiento, localización o acceso, centralizado, descentralizado o repartido de forma funcional o geográfica.

Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.

Dato genético: Dato personal único relacionado a características genéticas heredadas o adquiridas de una persona natural que proporcionan información única sobre la fisiología o salud de un individuo.

Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.

Datos personales crediticios: Datos que integran el comportamiento económico de personas naturales, para analizar su capacidad financiera. Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos, datos relativos a las personas apatridas y refugiados que requieren protección internacional, y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales.

Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.

Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales. Elaboración de perfiles: Todo tratamiento de datos personales que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, ubicación, movimiento físico de una persona, entre otros.

Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.

Entidad Certificadora: Entidad reconocida por la Autoridad de Protección de Datos Personales, que podrá, de manera no exclusiva, proporcionar certificaciones en materia de protección de datos personales. Fuente accesible al público: Bases de datos que pueden ser consultadas por cualquier persona, cuyo acceso es público, incondicional y generalizado. Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otrosdecide sobre la finalidad y el tratamiento de datos personales.

Sellos de protección de datos personales: Acreditación que otorga la entidad certificadora al responsable o al encargado del tratamiento de datos personales, de haber implementado mejores prácticas en sus procesos, con el objetivo de promover la confianza del titular, de conformidad con la normativa técnica emitida por la Autoridad de Protección de Datos Personales.

Seudonimización: Tratamiento de datos personales de manera tal que ya no puedan atribuirse a un titular sin utilizar información adicional, siempre que dicha información adicional, figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Titular: Persona natural cuyos datos son objeto de tratamiento.

Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.

Vulneración de la seguridad de los datos personales: Incidente de seguridad que afecta la confidencialidad, disponibilidad o integridad de los datos personales.

Artículo 5.- Integrantes del sistema de protección de datos personales

Son parte del sistema de protección de datos personales, los siguientes:

1) Titular;

2) Responsable del tratamiento;

3) Encargado del tratamiento;

4) Destinatario;

5) Autoridad de Protección de Datos Personales; y,

6) Delegado de protección de datos personales.

Artículo 6.- Normas aplicables al ejercicio de derechos

El ejercicio de los derechos previstos en esta Ley se canalizarán a través del responsable del tratamiento, Autoridad de Protección de Datos Personales o jueces competentes, de conformidad con el procedimiento establecido en la presente Ley y su respectivo Reglamento de aplicación. El Reglamento a esta Ley u otra norma secundaria no podrán limitar al ejercicio de los derechos.

Artículo 7.- Tratamiento legítimo de datos personas

El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:

1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades específicas;

2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;

3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente ley;

4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta ley y a los criterios de legalidad, proporcionalidad y necesidad;

5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;

6) Para proteger intereses vitales, del interesado o de otra persona natural, como su vida, salud o integridad;

7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,

8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.

Artículo 8.- Consentimiento

Se podrán tratar y comunicar datos personales cuando se cuente con la manifestación de la voluntad del titular para hacerlo. El consentimiento será válido, cuando la manifestación de la voluntad sea: Libre, es decir, cuando se encuentre exenta de vicios del consentimiento; Específica, en cuanto a la determinación concreta de los medios y fines del tratamiento; Informada, de modo que cumpla con el principio de transparencia y efectivice el derecho a la transparencia; Inequívoca, de manera que no presente dudas sobre el alcance de la autorización otorgada por el titular; El consentimiento podrá revocarse en cualquier momento sin que sea necesaria una justificación, para lo cual el responsable del tratamiento de datos personales establecerá mecanismos que garanticen celeridad, eficiencia, eficacia y gratuidad, así como un procedimiento sencillo, similar al proceder con el cual recabó el consentimiento.

El tratamiento realizado antes de revocar el consentimiento es lícito, en virtud de que este no tiene efectos retroactivos. Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste que dicho consentimiento se otorga para todas ellas.

Artículo 9.- Interés legítimo

Cuando el tratamiento de datos personales tiene como fundamento el interés legítimo:

a) únicamente podrán ser tratados los datos que sean estrictamente necesarios para la realización de la finalidad.

b) el responsable debe garantizar que el tratamiento sea transparente para el titular.

c) la Autoridad de Protección de Datos puede requerir al responsable un informe con de riesgo para la protección de datos, en el cual se verificará si no hay amenazas concretas a las expectativas legítimas de los titulares y a sus derechos fundamentales.

CAPÍTULO II. PRINCIPIOS

Artículo 10.- Principios

Sin perjuicio de otros principios establecidos en la Constitución de la República, los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se regirá por los principios de:

A. Juridicidad.- Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.

B. Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados. En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.

C. Transparencia.- El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro. Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.

D. Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular; no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

E. Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.

F. Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma de las categorías especiales de datos.

G. Confidencialidad.- El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley. Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio.

H. Calidad y exactitud.- Los datos personales que sean objeto de tratamiento deben ser exactos, íntegros, precisos, completos, comprobables, claros; y, de ser el caso, debidamente actualizados; de tal forma que no se altere su veracidad. Se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

En caso de tratamiento por parte de un encargado, la calidad y exactitud será obligación del responsable del tratamiento de datos personales.

Siempre que el responsable del tratamiento haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, no le será imputable la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos:

a) Hubiesen sido obtenidos por el responsable directamente del titular.

b) Hubiesen sido obtenidos por el responsable de un intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario que recoja en nombre propio los datos de los afectados para su transmisión al responsable.

c) Fuesen obtenidos de un registro público por el responsable.

I. Conservación.- Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento. Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica. La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en esta norma.

J. Seguridad de datos personales.- Los responsables y encargados de tratamiento de los datos personales deberán implementar todas las medidas de seguridad adecuadas y necesarias, entendiéndose por tales las aceptadas por el estado de la técnica, sean estas organizativas, técnicas o de cualquier otra índole, para proteger los datos personales frente a cualquier riesgo, amenaza, vulnerabilidad, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y el contexto.

K. Responsabilidad proactiva y demostrada.- El responsable del tratamiento de datos personales deberá acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento de los principios, derechos y obligaciones establecidos en la presente Ley, para lo cual, además de lo establecido en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y coregulación, códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro mecanismo que se determine adecuado a los fines, la naturaleza del dato personal o el riesgo del tratamiento. El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y a la Autoridad de Protección de Datos Personales. El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel de eficacia en cuanto a la aplicación de la presente Ley.

L. Aplicación favorable al titular.- En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.

M. Independencia del control.- Para el efectivo ejercicio del derecho a la protección de datos personales, y en cumplimiento de las obligaciones de protección de los derechos que tiene el Estado, la Autoridad de Protección de Datos deberá ejercer un control independiente, imparcial y autónomo, así como llevar a cabo las respectivas acciones de prevención, investigación y sanción.

CAPÍTULO III. DERECHOS

Artículo 11.- Normativa especializada

Los datos personales cuyo tratamiento se encuentre regulado en normativa especializada en materia de ejercicio de la libertad de expresión, sectores regulados por normativa específica, gestión de riesgos, desastres naturales, seguridad nacional y defensa del Estado; y, los datos personales que deban proporcionarse a autoridades administrativas o judiciales en virtud de solicitudes y órdenes amparadas en competencias atribuidas en la normativa vigente, estarán sujetos a los principios establecidos en sus propias normas y los principios establecidos en esta Ley, en los casos que corresponda y sea de aplicación favorable. En todo caso deberá darse cumplimiento a los estándares internacionales en la materia de derechos humanos y a los principios de esta ley, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad.

Artículo 12.- Derecho a la información

El titular de datos personales tiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre:

1) Los fines del tratamiento;

2) La base legal para el tratamiento;

3) Tipos de tratamiento;

4) Tiempo de conservación;

5) La existencia de una base de datos en la que constan sus datos personales;

6) El origen de los datos personales cuando no se hayan obtenido directamente del titular;

7) Otras finalidades y tratamientos ulteriores;

8) Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluirá: dirección del domicilio legal, número de teléfono y correo electrónico;

9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;

10) Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;

11) Las consecuencias para el titular de los datos personales de su entrega o negativa a ello;

12) El efecto de suministrar datos personales erróneos o inexactos;

13) La posibilidad de revocar el consentimiento;

14) La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas.

15) Los mecanismos para hacer efectivo su derecho a la portabilidad, cuando el titular lo solicite;

16) Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales y la Autoridad de Protección de Datos Personales, y;

17) La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.

En el caso que los datos se obtengan directamente del titular, la información deberá ser comunicada de forma previa a este, es decir, en el momento mismo de la recogida del dato personal. Cuando los datos personales no se obtuvieren de forma directa del titular o fueren obtenidos de una fuente accesible al público, el titular deberá ser informado dentro de los siguientes treinta (30) días o al momento de la primera comunicación con el titular, cualquiera de las dos circunstancias que ocurra primero. Se le deberá proporcionar información expresa, inequívoca, transparente, inteligible, concisa, precisa y sin barreras técnicas.

La información proporcionada al titular podrá transmitirse de cualquier modo comprobable en un lenguaje claro, sencillo y de fácil comprensión, de preferencia propendiendo a que pueda ser accesible en la lengua de su elección.

En el caso de productos o servicios dirigidos, utilizados o que pudieran ser utilizados por niñas, niños y adolescentes, la información a la que hace referencia el presente artículo será proporcionada a su representante legal conforme a lo dispuesto en la presente Ley.

Artículo 13.- Derecho de acceso

El titular tiene derecho a conocer y a obtener, gratuitamente, del responsable de tratamiento acceso a todos sus datos personales y a la información detallada en el artículo precedente, sin necesidad de presentar justificación alguna. El responsable del tratamiento de datos personales deberá establecer métodos razonables que permitan el ejercicio de este derecho, el cual deberá ser atendido dentro del plazo de quince (15) días. El derecho de acceso no podrá ejercerse de forma tal que constituya abuso del derecho.

Artículo 14.- Derecho de rectificación y actualización

El titular tiene el derecho a obtener del responsable del tratamiento la rectificación y actualización de sus datos personales inexactos o incompletos.

Para tal efecto, el titular deberá presentar los justificativos del caso, cuando sea pertinente. El responsable de tratamiento deberá atender el requerimiento en un plazo de quince (15) días y en este mismo plazo, deberá informar al destinatario de los datos, de ser el caso, sobre la rectificación, a fin de que lo actualice.

Artículo 15.- Derecho de eliminación

El titular tiene derecho a que el responsable del tratamiento suprima sus datos personales, cuando:

1) El tratamiento no cumpla con los principios establecidos en la presente ley;

2) El tratamiento no sea necesario o pertinente para el cumplimiento de la finalidad;

3) Los datos personales hayan cumplido con la finalidad para la cual fueron recogidos o tratados;

4) Haya vencido el plazo de conservación de los datos personales;

5) El tratamiento afecte derechos fundamentales o libertades individuales;

6) Revoque el consentimiento prestado o señale no haberlo otorgado para uno o varios fines específicos, sin necesidad de que medie justificación alguna; o,

7) Exista obligación legal.

El responsable del tratamiento de datos personales implementará métodos y técnicas orientadas a eliminar, hacer ilegible, o dejar irreconocibles de forma definitiva y segura los datos personales. Esta obligación la deberá cumplir en el plazo de quince (15) días de recibida la solicitud por parte del titular y será gratuito.

Artículo 16.- Derecho de oposición

El titular tiene el derecho a oponerse o negarse al tratamiento de sus datos personales, en los siguientes casos:

1) No se afecten derechos y libertades fundamentales de terceros, la ley se lo permita y no se trate de información pública, de interés público o cuyo tratamiento está ordenado por la ley.

2) El tratamiento de datos personales tenga por objeto la mercadotecnia directa; el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles; en cuyo caso los datos personales dejarán de ser tratados para dichos fines.

3) Cuando no sea necesario su consentimiento para el tratamiento como consecuencia de la concurrencia de un interés legítimo, previsto en el artículo 7, y se justifique en una situación concreta personal del titular, siempre que una ley no disponga lo contrario.

El responsable de tratamiento dejará de tratar los datos personales en estos casos, salvo que acredite motivos legítimos e imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del titular, o para la formulación, el ejercicio o la defensa de reclamaciones.

Esta solicitud deberá ser atendida dentro del plazo de quince (15) días

Artículo 17.- Derecho a la portabilidad

El titular tiene el derecho a recibir del responsable del tratamiento, sus datos personales en un formato compatible, actualizado, estructurado, común, inter-operable y de lectura mecánica, preservando sus características; o a transmitirlos a otros responsables. La Autoridad de Protección de Datos Personales deberá dictar la normativa para el ejercicio del derecho a la portabilidad.

El titular podrá solicitar que el responsable del tratamiento realice la transferencia o comunicación de sus datos personales a otro responsable del tratamiento en cuanto fuera técnicamente posible y sin que el responsable pueda aducir impedimento de cualquier orden con el fin de ralentizar el acceso, la transmisión o reutilización de datos por parte del titular o de otro responsable del tratamiento. Luego de completada la transferencia de datos, el responsable que lo haga procederá a su eliminación, salvo que el titular disponga su conservación. El responsable que ha recibido la información asumirá las responsabilidades contempladas en esta Ley. Para que proceda el derecho a la portabilidad de datos es necesario que se produzca al menos una de las siguientes condiciones:

1) Que el titular haya otorgado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos. La transferencia o comunicación se hará entre responsables del tratamiento de datos personales cuando la operación sea técnicamente posible; en caso contrario los datos deberán ser transmitidos directamente al titular.

2) Que el tratamiento se efectúe por medios automatizados;

3) Que se trate de un volumen relevante de datos personales, según los parámetros definidos en el reglamento de la presente ley; o,

4) Que el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos del responsable o encargado del tratamiento de datos personales, o del titular en el ámbito del derecho laboral y seguridad social.

Esta transferencia o comunicación debe ser económica y financieramente eficiente, expedita y sin trabas.

No procederá este derecho cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable del tratamiento de datos personales con base en los datos personales proporcionados por el titular, como es el caso de los datos personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.

Artículo 18.- Excepciones a los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad

Excepciones a los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad. No proceden los derechos de rectificación, actualización, eliminación, oposición, anulación y portabilidad, en los siguientes casos:

1) Si el solicitante no es el titular de los datos personales o su representante legal no se encuentre debidamente acreditado;

2) Cuando los datos son necesarios para el cumplimiento de una obligación legal o contractual;

3) Cuando los datos son necesarios para el cumplimiento de una orden judicial, resolución o mandato motivado de autoridad pública competente;

4) Cuando los datos son necesarios para la formulación, ejercicio o defensa de reclamos o recursos;

5) Cuando se pueda causar perjuicios a derechos o afectación a intereses legítimos de terceros y ello sea acreditado por el Responsable de la base de datos al momento de dar respuesta al titular a su solicitud de ejercicio del derecho respectivo;

6) Cuando se pueda obstaculizar actuaciones judiciales o administrativas en curso, debidamente notificadas;

7) Cuando los datos son necesarios para ejercer el derecho a la libertad de expresión y opinión;

8) Cuando los datos son necesarios para proteger el interés vital del interesado o de otra persona natural;

9) En los casos en los que medie el interés público, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta ley y a los criterios de legalidad, proporcionalidad y necesidad;

10) En el tratamiento de datos personales que sean necesarios para el archivo de información que constituya patrimonio del Estado, investigación científica, histórica o estadística.

Artículo 19.- Derecho a la suspensión del tratamiento

El titular tendrá derecho a obtener del responsable del tratamiento la suspensión del tratamiento de los datos, cuando se cumpla alguna de las condiciones siguientes:

1) Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos;

2) El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;

3) El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones; y,

4) Cuando el interesado se haya opuesto al tratamiento en virtud del artículo 31 de la presente ley, mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

De existir negativa por parte del responsable o encargado del tratamiento de datos personales, y el titular recurra por dicha decisión ante la Autoridad de Protección de Datos Personales, esta suspensión se extenderá hasta la resolución del procedimiento administrativo.

Cuando el titular impugne la exactitud de los datos personales, mientras el responsable de tratamiento verifica la exactitud de los mismos, deberá colocarse en la base de datos, en donde conste la información impugnada, que ésta ha sido objeto de inconformidad por parte del titular. El responsable de tratamiento podrá tratar los datos personales, que han sido objeto del ejercicio del presente derecho por parte del titular, únicamente, en los siguientes supuestos: para la formulación, el ejercicio o la defensa de reclamaciones; con el objeto de proteger los derechos de otra persona natural o jurídica o por razones de interés público importante.

Artículo 20.- Derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas

El titular tiene derecho a no ser sometido a una decisión basada única o parcialmente en valoraciones que sean producto de procesos automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus derechos y libertades fundamentales, para lo cual podrá:

a. Solicitar al responsable del tratamiento una explicación motivada sobre la decisión tomada por el responsable o encargado del tratamiento de datos personales;

b. Presentar observaciones;

c. Solicitar los criterios de valoración sobre el programa automatizado; o,

d. Solicitar al responsable información sobre los tipos de datos utilizados y la fuente de la cual han sido obtenidos los mismos; e. Impugnar la decisión ante el responsable o encargado del tratamiento

No se aplicará este derecho cuando:

1. La decisión es necesaria para la celebración o ejecución de un contrato entre el titular y el responsable o encargado del tratamiento de datos personales;

2. Está autorizada por la normativa aplicable, orden judicial, resolución o mandato motivado de autoridad técnica competente, para lo cual se deberá establecer medidas adecuadas para salvaguardar los derechos fundamentales y libertades del titular; o,

3. Se base en el consentimiento explicito del titular.

4. La decisión no conlleve impactos graves o riesgos verificables para el titular. No se podrá exigir la renuncia a este derecho en forma adelantada a través de contratos de adhesión masivos.

A más tardar en el momento de la primera comunicación con el titular de los datos personales, para informar una decisión basada únicamente en valoraciones automatizadas, este derecho le será informado explícitamente por cualquier medio idóneo.

Artículo 21.- Derecho de niñas, niños y adolescentes a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas

Además de los presupuestos establecidos en el derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas, no se podrán tratar datos sensibles o datos de niñas, niños y adolescentes a menos que se cuente con la autorización expresa del titular o de su representante legal; o, cuando dicho tratamiento esté destinado a salvaguardar un interés público esencial, el cual se evalúe en atención a los estándares internacionales de derechos humanos, y como mínimo satisfaga los criterios de legalidad, proporcionalidad y necesidad, y además incluya salvaguardas específicas para proteger los derechos fundamentales de los interesados. Los adolescentes, en ejercicio progresivo de sus derechos, a partir de los 15 años, podrán otorgar, en calidad de titulares, su consentimiento explícito para el tratamiento de sus datos personales, siempre que se les especifique con claridad sus fines.

Artículo 22.- Derecho de consulta

Las personas tienen derecho a la consulta pública y gratuita ante el Registro Nacional de Protección de Datos Personales, de conformidad con la presente Ley.

Artículo 23. Derecho a la educación digital

Las personas tienen derecho al acceso y disponibilidad del conocimiento, aprendizaje, preparación, estudio, formación, capacitación, enseñanza e instrucción relacionados con el uso y manejo adecuado, sano, constructivo, seguro y responsable de las tecnologías de la información y comunicación, en estricto apego a la dignidad e integridad humana, los derechos fundamentales y libertades individuales con especial énfasis en la intimidad, la vida privada, autodeterminación informativa, identidad y reputación en línea, ciudadanía digital y el derecho a la protección de datos personales, así como promover una cultura sensibilizada en el derecho de protección de datos personales.

El derecho a la educación digital tendrá un carácter inclusivo sobre todo en lo que respecta a las personas con necesidades educativas especiales.

El sistema educativo nacional, incluyendo el sistema de educación superior, garantizará la educación digital no solo a favor de los estudiantes de todos los niveles sino también de los docentes, debiendo incluir dicha temática en su proceso de formación.

Artículo 24.- Ejercicio de derechos

El Estado, entidades educativas, organizaciones de la sociedad civil, proveedores de servicios de la sociedad de la información y el conocimiento, y otros entes relacionados, dentro del ámbito de sus relaciones, están obligados a proveer información y capacitación relacionadas con el uso y tratamiento responsable, adecuado y seguro de datos personales de niñas, niños y adolescentes, tanto a sus titulares como a sus representantes legales, de conformidad con la normativa técnica emitida por la Autoridad de Protección de Datos Personales.

Los adolescentes mayores de doce (12) años y menores de quince (15) años, así como las niñas y niños, para el ejercicio de sus derechos necesitarán de su representante legal. Los adolescentes mayores de quince (15) años y menores de dieciocho (18) años, podrán ejercitarlos de forma directa ante la Autoridad de Protección de Datos Personales o ante el responsable de la base de datos personales del tratamiento.

Los derechos del titular son irrenunciables. Será nula toda estipulación en contrario.

CAPÍTULO IV. CATEGORÍAS ESPECIALES DE DATOS

Artículo 25.- Categorías especiales de datos personales

Se considerarán categorías especiales de datos personales, los siguientes:

a) Datos sensibles;

b) Datos de niñas, niños y adolescentes;

c) Datos de salud; y,

d) Datos de personas con discapacidad y de sus sustitutos, relativos a la discapacidad.

Artículo 26.- Tratamiento de datos sensibles

Queda prohibido el tratamiento de datos personales sensibles salvo que concurra alguna de las siguientes circunstancias:

a) El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificandose claramente sus fines.

b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad y protección social.

c) El tratamiento es necesario para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento.

d) El tratamiento se refiere a datos personales que el titular ha hecho manifiestamente públicos.

e) El tratamiento se lo realiza por orden de autoridad judicial.

f) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular.

g) Cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la presente ley.

Artículo 27.- Datos personales de personas fallecidas

Los titulares de derechos sucesorios de las personas fallecidas, podrán dirigirse al responsable del tratamiento de datos personales con el objeto de solicitar el acceso, rectificación y actualización o eliminación de los datos personales del causante, siempre que el titular de los datos no haya, en vida, indicado otra utilización o destino para sus datos.

Las personas o instituciones que la o el fallecido haya designado expresamente para ello, podrán también solicitar con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste; y, en su caso, su rectificación, actualización o eliminación.

En caso de fallecimiento de niñas, niños, adolescentes o personas que la ley reconozca como incapaces, las facultades de acceso, rectificación, actualización o eliminación, podrán ser ejercidas por quien hubiese sido su último representante legal. El Reglamento a la presente ley establecerá los mecanismos para el ejercicio de las facultades enunciadas en el presente artículo.

Artículo 28.- Datos crediticios

Salvo prueba en contrario será legítimo y lícito el tratamiento de datos destinados a informar sobre la solvencia patrimonial o crediticia, incluyendo aquellos relativos al cumplimiento o incumplimiento de obligaciones de carácter comercial o crediticia que permitan evaluar la concertación de negocios en general, la conducta comercial o la capacidad de pago del titular de los datos, en aquellos casos en que los mismos sean obtenidos de fuentes de acceso público o procedentes de informaciones facilitadas por el acreedor. Tales datos pueden ser utilizados solamente para esa finalidad de análisis y no serán comunicados o difundidos, ni podrán tener cualquier finalidad secundaria.

La protección de datos personales crediticios se sujetará a lo previsto en la presente ley, en la legislación especializada sobre la materia y demás normativa dictada por la Autoridad de Protección de Datos Personales.

Sin perjuicio de lo anterior, en ningún caso podrán comunicarse los datos crediticios relativos a obligaciones de carácter económico, financiero, bancario o comercial una vez transcurridos cinco años desde que la obligación a la que se refieran se haya hecho exigible.

Artículo 29- Derechos de los Titulares de Datos Crediticios

1. Sin perjuicio de los derechos reconocidos en esta Ley, los Titulares de Datos Crediticios tienen los siguientes derechos:

a) Acceder de forma personal a la información de la cual son titulares;

b) Que el reporte de crédito permita conocer de manera clara y precisa la condición en que se encuentra su historial crediticio; y,

c) Que las fuentes de información actualicen, rectifiquen o eliminen, según el caso, la información que fuese ilícita, falsa, inexacta, errónea, incompleta o caduca

2. Sobre el derecho de acceso por el Titular del Dato Crediticio, éste será gratuito, cuantas veces lo requiera, respecto de la información que sobre sí mismos esté registrada ante los prestadores de servicios de referencia crediticia y a través de los siguientes mecanismos:

a) Observación directa a través de pantallas que los prestadores del servicio de referencia crediticia pondrán a disposición de dichos titulares; y,

b) Entrega de impresiones de los reportes que a fin de que el Titular del Dato Crediticio compruebe la veracidad y exactitud de su contenido, sin que pueda ser utilizado con fines crediticios o comerciales.

3. Sobre los derechos de actualización, rectificación o eliminación, el Titular del Dato Crediticio podrá exigir estos derechos frente a las fuentes de información mediante solicitud escrita. Las fuentes de información, dentro del plazo de quince días de presentada la solicitud, deberán resolverla admitiéndola o rechazándola motivadamente. El Titular del Dato Crediticio tiene derecho a solicitar a los prestadores del servicio de referencias crediticias que, en tanto se sigue el proceso de revisión, señalen en los reportes de crédito que emitan, que la información materia de la solicitud está siendo revisada a pedido del titular.

Artículo 30.- Datos relativos a la salud

Las instituciones que conforman el Sistema Nacional de Salud y los profesionales de la salud pueden recolectar y tratar los datos relativos a la salud de sus pacientes que estén o hubiesen estado bajo tratamiento de aquellos, de acuerdo a lo previsto en la presente ley, en la legislación especializada sobre la materia y demás normativa dictada por la Autoridad de Protección de Datos Personales en coordinación con la autoridad sanitaria nacional. Los responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este, estarán sujetas al deber de confidencialidad, de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas organizativas apropiadas. Esta obligación será complementaria del secreto profesional de conformidad con cada caso. Las obligaciones establecidas en los apartados anteriores se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento. No se requerirá el consentimiento del titular para el tratamiento de datos de salud cuando ello sea necesario por razones de interés público esencial en el ámbito de la salud, el que en todo caso deberá ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular; Asimismo, tampoco se requerirá el consentimiento del titular cuando el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, como en el caso de amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, siempre y cuando se establezcan medidas adecuadas y específicas para proteger los derechos y libertades del titular y, en particular, el secreto profesional.

Artículo 31.- Tratamiento de datos relativos a la salud

Todo tratamiento de datos relativos a la salud deberán cumplir con los siguientes parámetros mínimos y aquellos que determine la Autoridad de Protección de Datos Personales en la normativa emitida para el efecto:

1. Los datos relativos a la salud generados en establecimientos de salud públicos o privados, serán tratados cumpliendo los principios de confidencialidad y secreto profesional. El titular de la información deberá brindar su consentimiento previo conforme lo determina esta Ley, salvo en los casos en que el tratamiento sea necesario para proteger intereses vitales del interesado, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; o sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base de la legislación especializada sobre la materia o en virtud de un contrato con un profesional sanitario. En este último caso el tratamiento sólo podrá ser realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, de acuerdo con la legislación especializada sobre la materia o con las demás normas que al respecto pueda establecer la Autoridad.

2. Los datos relativos a la salud que se traten, siempre que sea posible, deberán ser previamente anonimizados o seudonimizados, evitando la posibilidad de identificar a los titulares de los mismos.

3. Todo tratamiento de datos de salud anonimizados deberá ser autorizado previamente por la Autoridad de Protección de Datos Personales. Para obtener la autorización mencionada, el interesado deberá presentar un protocolo técnico que contenga los parámetros necesarios que garanticen la protección de dichos datos y el informe previo favorable emitido por la Autoridad Sanitaria.

Artículo 32.- Tratamiento de datos de salud por entes privados y públicos con fines de investigación

Los datos relativos a salud que consten en las instituciones que conforman el Sistema Nacional de Salud, podrán ser tratados por personas naturales y jurídicas privadas y públicas con fines de investigación científica, siempre que según el caso encuentren anonimizados, o dicho tratamiento sea autorizado por la Autoridad de Protección de Datos Personales, previo informe de la Autoridad Sanitaria Nacional.

CAPÍTULO V. TRANSFERENCIA O COMUNICACIÓN Y ACCESO A DATOS PERSONALES POR TERCEROS

Artículo 33.- Transferencia o comunicación de datos personales

Los datos personales podrán transferirse o comunicarse a terceros cuando se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del destinatario, cuando la transferencia se encuentre configurada dentro de una de las causales de legitimidad establecidas en esta Ley, y se cuente, además, con el consentimiento del titular. Se entenderá que el consentimiento es informado cuando para la transferencia o comunicación de datos personales el Responsable del tratamiento haya entregado información suficiente al titular que le permita conocer la finalidad a que se destinarán sus datos y el tipo de actividad del tercero a quien se pretende transferir o comunicar dichos datos.

Artículo 34.- Acceso a datos personales por parte del encargado

No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.

El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.

El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley.

Artículo 35.- Acceso a datos personales por parte de terceros

No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.

El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del

tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.

El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley.

Artículo 36.- Excepciones de consentimiento para la transferencia o comunicación de datos personales

No es necesario contar con el consentimiento del titular para la transferencia o comunicación de datos personales, en los siguientes supuestos:

1) Cuando los datos han sido recogidos de fuentes accesibles al público;

2) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica entre el responsable de tratamiento y el titular, cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con base de datos. En este caso la transferencia o comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique;

3) Cuando los datos personales deban proporcionarse a autoridades administrativas o judiciales en virtud de solicitudes y órdenes amparadas en competencias atribuidas en la norma vigente;

4) Cuando la comunicación se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando dichos datos se encuentren debidamente disociados o a lo menos anonimizados, y,

5) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que implique intereses vitales de su titular y este se encontrare impedido de otorgar su consentimiento.

6) Cuando la comunicación de datos de carácter personal relativos a la salud sea necesaria para realizar los estudios epidemiológicos de interés público, dando cumplimiento a los estándares internacionales en la materia de derechos humanos, y como mínimo a los criterios de legalidad, proporcionalidad y necesidad. El tratamiento deberá ser de preferencia anonimizado, y en todo caso agregado, una vez pasada la urgencia de interés público. Cuando sea requerido el consentimiento del titular para que sus datos personales sean comunicados a un tercero, este puede revocarlo en cualquier momento, sin necesidad de que medie justificación alguna. La presente ley obligatoriamente debe ser aplicada por el destinatario, por el solo hecho de la comunicación de los datos; a menos que estos hayan sido anonimizados o sometidos a un proceso de

CAPÍTULO VI. SEGURIDAD DE DATOS PERSONALES

Artículo 37.- Seguridad de datos personales

El responsable o encargado del tratamiento de datos personales según sea el caso, deberá sujetarse al principio de seguridad de datos personales, para lo cual deberá tomar en cuenta las categorías y volumen de datos personales, el estado de la técnica, mejores prácticas de seguridad integral y los costos de aplicación de acuerdo a la naturaleza, alcance, contexto y los fines del tratamiento, así como identificar la probabilidad de riesgos.

El responsable o encargado del tratamiento de datos personales, deberá implementar un proceso de verificación, evaluación y valoración continua y permanente de la eficiencia, eficacia y efectividad de las medidas de carácter técnico, organizativo y de cualquier otra índole, implementadas con el objeto de garantizar y mejorar la seguridad del tratamiento de datos personales. El responsable o encargado del tratamiento de datos personales deberá evidenciar que las medidas adoptadas e implementadas mitiguen de forma adecuada los riesgos identificados. Entre otras medidas, se podrán incluir las siguientes:

1) Medidas de anonimización, seudonomización o cifrado de datos personales;

2) Medidas dirigidas a mantener la confidencialidad, integridad y disponibilidad permanentes de los sistemas y servicios del tratamiento de datos personales y el acceso a los datos personales, de forma rápida en caso de incidentes; y

3) Medidas dirigidas a mejorar la resiliencia técnica, física, administrativa, y jurídica.

4) Los responsables y encargados del tratamiento de datos personales, podrán acogerse a estándares internacionales para una adecuada gestión de riesgos enfocada a la protección de derechos y libertades, así como para la implementación y manejo de sistemas de seguridad de la información o a códigos de conducta reconocidos y autorizados por la Autoridad de Protección de Datos Personales.

Artículo 38.- Medidas de seguridad en el ámbito del sector público

El mecanismo gubernamental de seguridad de la información deberá incluir las medidas que deban implementarse en el caso de tratamiento de datos personales para hacer frente a cualquier riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación accidental o ilícita en el tratamiento de los datos conforme al principio de seguridad de datos personales.

El mecanismo gubernamental de seguridad de la información abarcará y aplicará a todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución de la República de Ecuador, así como a terceros que presten servicios públicos mediante concesión u otras figuras legalmente reconocidas. Estas, podrán incorporar medidas adicionales al mecanismo gubernamental de seguridad de la información.

Artículo 39.- Protección de datos personales desde el diseño y por defecto

Se entiende a la protección de datos desde el diseño como el deber del responsable del tratamiento de tener en cuenta, en las primeras fases de concepción y diseño del proyecto, que determinados tipos de tratamientos de datos personales entrañan una serie de riesgos para los derechos de los titulares en atención al estado de la técnica, naturaleza y fines del tratamiento, para lo cual, implementará las medidas técnicas, organizativas y de cualquier otra índole, con miras a garantizar el cumplimiento de las obligaciones en materia de protección de datos, en los términos del reglamento. La protección de datos por defecto hace referencia a que el responsable debe aplicar las medidas técnicas y organizativas adecuadas con miras a que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines del tratamiento, en los términos del reglamento.

Artículo 40.- Análisis de riesgo, amenazas y vulnerabilidades

Para el análisis de riesgos, amenazas y vulnerabilidades, el responsable y el encargado del tratamiento de los datos personales deberán utilizar una metodología que considere, entre otras:

1) Las particularidades del tratamiento;

2) Las particularidades de las partes involucradas; y,

3) Las categorías y el volumen de datos personales objeto de tratamiento.

Artículo 41.- Determinación de medidas de seguridad aplicables

Para determinar las medidas de seguridad, aceptadas por el estado de la técnica, a las que están obligadas el responsable y el encargado del tratamiento de los datos personales, se deberán tomar en consideración, entre otros:

1) Los resultados del análisis de riesgos, amenazas y vulnerabilidades;

2) La naturaleza de los datos personales;

3) Las características de las partes involucradas; y,

4) Los antecedentes de destrucción de datos personales, la pérdida, alteración, divulgación o impedimento de acceso a los mismos por parte del titular, sean accidentales e intencionales, por acción u omisión, así como los antecedentes de transferencia, comunicación o de acceso no autorizado o exceso de autorización de tales datos.

El responsable y el encargado del tratamiento de datos personales deberán tomar las medidas adecuadas y necesarias, de forma permanente y continua, para evaluar, prevenir, impedir, reducir, mitigar y controlar los riesgos, amenazas y vulnerabilidades, incluidas las que conlleven un alto riesgo para los derechos y libertades del titular, de conformidad con la normativa que emita la Autoridad de Protección de Datos Personales.

Artículo 42.- Evaluación de impacto del tratamiento de datos personales

El responsable realizará una evaluación de impacto del tratamiento de datos personales cuando se haya identificado la probabilidad de que dicho tratamiento, por su naturaleza, contexto o fines, conlleve un alto riesgo para los derechos y libertades del titular o cuando la Autoridad de Protección de Datos Personales lo requiera. La evaluación de impacto relativa a la protección de los datos será de carácter obligatoria en caso de:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas naturales;

b) tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales, o

c) observación sistemática a gran escala de una zona de acceso público.

La Autoridad de Protección de Datos Personales establecerá otros tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos. La evaluación de impacto deberá efectuarse previo al inicio del tratamiento de datos personales.

Artículo 43.- Notificación de vulneración de seguridad

El responsable del tratamiento deberá notificar la vulneración de la seguridad de datos personales a la Autoridad de Protección de Datos Personales y la Agencia de Regulación y Control de las Telecomunicaciones, tan pronto sea posible, y a más tardar en el término de cinco (5) días después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la Autoridad de Protección de Datos no tiene lugar en el término de cinco (5) días, deberá ir acompañada de indicación de los motivos de la dilación. El encargado del tratamiento deberá notificar al responsable cualquier vulneración de la seguridad de datos personales tan pronto sea posible, y a más tardar dentro del término de dos (2) días contados a partir de la fecha en la que tenga conocimiento de ella.

Artículo 44.- Acceso a datos personales para atención a emergencias e incidentes informáticos

Las autoridades públicas competentes, los equipos de respuesta de emergencias informáticas, los equipos de respuesta a incidentes de seguridad informática, los centros de operaciones de seguridad, los prestadores y proveedores de servicios de telecomunicaciones y los proveedores de tecnología y servicios de seguridad, nacionales e internacionales, podrán acceder y efectuar tratamientos sobre los datos personales contenidos en las notificaciones de vulneración a las seguridades, durante el tiempo necesario, exclusivamente para la detección, análisis, protección y respuesta ante cualquier tipo de incidentes así como para adoptar e implementar medidas de seguridad adecuadas y proporcionadas a los riesgos identificados.

Artículo 45.- Garantía del secreto de las comunicaciones y seguridad de datos personales. –

Para la correcta prestación de los servicios de telecomunicaciones y la apropiada operación de redes de telecomunicaciones, los prestadores de servicios de telecomunicaciones deben garantizar el secreto de las comunicaciones y seguridad de datos personales. Únicamente por orden judicial, los prestadores de servicios de telecomunicaciones podrán utilizar equipos, infraestructuras e instalaciones que permitan grabar los contenidos de las comunicaciones específicas dispuestas por los jueces competentes. Si se evidencia un tratamiento de grabación o interceptación de

las comunicaciones no autorizadas por orden judicial, se aplicará lo dispuesto en la presente Ley.

Artículo 46.- Notificación de vulneración de seguridad al titular

El responsable del tratamiento deberá notificar sin dilación la vulneración de seguridad de datos personales al titular cuando conlleve un riesgo a sus derechos fundamentales y libertades individuales, dentro del término de tres días contados a partir de la fecha en la que tuvo conocimiento del riesgo. No se deberá notificar la vulneración de seguridad de datos personales al titular en los siguientes casos:

1. Cuando el responsable del tratamiento haya adoptado medidas de protección técnicas organizativas o de cualquier otra índole apropiadas aplicadas a los datos personales afectados por la vulneración de seguridad que se pueda demostrar que son efectivas;

2. Cuando el responsable del tratamiento haya tomado medidas que garanticen que el riesgo para los derechos fundamentales y las libertades individuales del titular, no ocurrirá; y,

3. Cuando se requiera un esfuerzo desproporcionado para hacerlo; en cuyo caso, el responsable del tratamiento deberá realizar una comunicación pública a través de cualquier medio en la que se informe de la vulneración de seguridad de datos personales a los titulares. La procedencia de las excepciones de los numerales 1 y 2 deberá ser calificada por la Autoridad de Protección de Datos, una vez informada esta tan pronto sea posible, y en cualquier caso dentro de los plazos contemplados en el Artículo 43. La notificación al titular del dato objeto de la vulneración de seguridad contendrá lo señalado en el artículo 43 de esta ley.

En caso de que el responsable del tratamiento de los datos personales no cumpliese oportunamente y de modo justificado con la notificación será sancionado conforme al régimen sancionatorio previsto en esta ley. La notificación oportuna de la violación por parte del responsable de tratamiento al titular y la ejecución oportuna de medidas de respuesta, serán consideradas atenuante de la infra

CAPÍTULO VII. DEL RESPONSABLE, ENCARGO Y DELEGADO DE PROTECCIÓN DE DATOS PERSONALES

Artículo 47.- Obligaciones del responsable y encargado del tratamiento de datos personales

El responsable del tratamiento de datos personales está obligado a:

1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;

2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;

3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas implementadas;

4) Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;

5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;

6) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;

7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;

8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;

9) Implementar la protección de datos personales desde el diseño y por defecto;

10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;

11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar el derecho a la protección de datos personales conforme a lo establecido en la presente ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel nacional o internacional;

12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales;

13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;

14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales; y,

15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.

El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente ley y su reglamento.

Artículo 48.- Delegado de protección de datos personales

Se designará un delegado de protección de datos personales en los siguientes casos:

1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;

2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;

3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta ley; y,

4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.

La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.

Artículo 49.- Funciones del delegado de protección de datos personales

El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones:

1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

2) Supervisar el cumplimiento de las disposiciones contenidas en esta ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;

4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,

5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.

En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.

Artículo 50.- Consideraciones especiales para el delegado de protección de datos personales

Para la ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de tratamiento de datos personales, deberán observar lo siguiente:

1) Garantizar que la participación del delegado de protección de datos personales, en todas las cuestiones relativas a la protección de datos personales, sea apropiada y oportuna;

2) Facilitar el acceso a los datos personales de las operaciones de tratamiento, así como todos los recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones;

3) Capacitar y actualizar en la materia al delegado de protección de datos personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales;

4) No podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones;

5) El delegado de protección de datos personales mantendrá relación directa con el más alto nivel ejecutivo y de decisión del responsable y con el encargado;

6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; y,

7) El delegado de protección de datos personales estará obligado a mantener la más estricta confidencialidad respecto a la ejecución de sus funciones.

Siempre que no exista conflicto con las responsabilidades establecidas en la presente ley, su reglamento, directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales, el delegado de protección de datos personales podrá desempeñar otras funciones dispuestas por el responsable o el encargado del tratamiento de datos personales.

Artículo 51.- Registro Nacional de protección de datos personales

El responsable del tratamiento de datos personales deberá reportar y mantener actualizada la información ante la Autoridad de Protección de Datos Personales, sobre lo siguiente:

1) Identificación de la base de datos o del tratamiento;

2) El nombre domicilio legal y datos de contacto del responsable y encargado del tratamiento de datos personales;

3) Características y finalidad del tratamiento de datos personales;

4) Naturaleza de los datos personales tratados;

5) Identificación, nombre, domicilio legal y datos de contacto de los destinatarios de los datos personales, incluyendo encargados y terceros;

6) Modo de interrelacionar la información registrada;

7) Medios utilizados para implementar los principios, derechos y obligaciones contenidas en la presente ley y normativa especializada;

8) Requisitos y herramientas administrativas técnicas y físicas, organizativas y jurídicas implementadas para garantizar la seguridad y protección de datos personales;

9) Tiempo de conservación de los datos;

CAPÍTULO VIII. DE LA RESPONSABILIDAD PROACTIVA

Artículo 52.- Autorregulación

Los responsables y encargados de tratamiento de datos personales podrán, de manera voluntaria, acogerse o adherirse a códigos de conducta, certificaciones, sellos y marcas de protección, cláusulas tipo, sin que esto constituya eximente de la responsabilidad de cumplir con las disposiciones de la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y demás normativa sobre la materia.

Artículo 53.- Códigos de conducta

La Autoridad de Regulación y Control promoverá la elaboración de códigos de conducta por sectores, industrias, empresas, organizaciones, que tengan como fin el cumplimiento de la normativa vigente en materia de protección de datos. Los códigos de conducta deberán tomar en cuenta las necesidades específicas de los sectores en los que se efectúe tratamiento de datos personales, así como cumplir con los requisitos que se determinen en la normativa secundaria y con las disposiciones previstas en la presente Ley, para su aprobación por la Autoridad de Regulación y Control.

Los responsables o encargados de tratamiento de datos personales interesados podrán adherirse e implementar los códigos de conducta aprobados, para lo cual seguirán el procedimiento establecido en el Reglamento a la presente Ley.

Artículo 54.- Entidades de Certificación

En materia de protección de datos personales las Entidades de Certificación, de manera no exclusiva y en concordancia con el artículo 52, podrán:

1) Emitir certificaciones de cumplimiento de la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y demás normativa sobre la materia;

2) Emitir sellos de protección de datos personales;

3) Llevar a cabo auditorías de protección de datos personales, y,

4) Certificar los procesos de transferencias internacionales de datos personales. Los resultados de las auditorías podrán ser considerados como elementos probatorios dentro de los procesos sancionatorios.

CAPÍTULO IX TRANSFERENCIA O COMUNICACIÓN INTERNACIONAL DE DATOS PERSONALES

Artículo 55.- Transferencia o comunicación internacional de datos personales

La transferencia o comunicación internacional de datos personales será posible si se sujeta a lo previsto en el presente capítulo, la presente Ley o la normativa especializada en la materia, propendiendo siempre al efectivo ejercicio del derecho a la protección de datos personales.

Artículo 56.- Transferencia o comunicación internacional de datos personales a países declarados como nivel adecuado de protección

Por principio general se podrán transferir o comunicar datos personales a países, organizaciones y personas jurídicas en general que brinden niveles adecuados de protección, y que se ajusten a la obligación de cumplimiento y garantía de estándares reconocidos internacionalmente conforme a los criterios establecidos en el Reglamento a la ley. Cuando resulte necesario por la naturaleza de la transferencia, la Autoridad de Protección de Datos Personales podrá implementar métodos de control ex post que serán definidos en el Reglamento a la Ley. También establecerá acciones conjuntas entre las autoridades de ambos países con el objeto de prevenir, corregir o mitigar el tratamiento indebido de datos en ambos países. Para declarar de nivel adecuado de protección a países u organizaciones, la Autoridad de Protección de Datos Personales emitirá resolución motivada, en la que se establezca que la transferencia o comunicación internacional de datos personales cumple niveles adecuados de protección o de garantías adecuadas de protección, conforme a lo establecido en esta ley y su reglamento.

Artículo 57.- Transferencia o comunicación mediante garantías adecuadas

En caso de realizar una transferencia internacional de datos a un país, organización o territorio económico internacional que no haya sido calificado por la Autoridad de Protección de Datos de tener un nivel adecuado de protección, se podrá realizar la referida transferencia internacional siempre que el responsable o encargado del tratamiento de datos personales ofrezca garantías adecuadas para el titular, para lo cual se deberá observar lo siguiente: a. Garantizar el cumplimiento de principios, derechos y obligaciones en el tratamiento de datos personales en un estándar igual o mayor a la normativa ecuatoriana vigente.

b. Efectiva tutela del derecho a la protección de datos personales, a través de la disponibilidad permanente de acciones administrativas o judiciales; y, c. El derecho a solicitar la reparación integral, de ser el caso. Para que ello ocurra, la transferencia internacional de datos personales se sustentará en un instrumento jurídico que contemple los estándares antes determinados, así como aquellos que establezca la Autoridad de Protección de Datos Personales, el mismo que deberá ser vinculante.

Artículo 58. Normas corporativas vinculantes

Los responsables o encargados del tratamiento de datos personales podrán presentar a la Autoridad de Protección de Datos Personales, normas corporativas vinculantes, específicas y aplicadas al ámbito de su actividad, las cuales deberán cumplir las siguientes condiciones:

1. Será de obligatorio cumplimiento para el responsable del tratamiento y para la empresa a la que eventualmente transfieran datos personales.

2. Brindar a los titulares los mecanismos adecuados para el ejercicio de sus derechos relacionados al tratamiento de sus datos personales observando las disposiciones de la presente ley;

3. Incluir una enunciación detallada de las empresas filiales que, además del responsable del tratamiento, pertenecen al mismo grupo empresarial. Además, se incluirá la estructura y los datos del contacto del grupo empresarial o joint venture, dedicadas a una actividad económica conjunta y de cada uno de sus miembros.

4. Incluir el detalle de las empresas encargadas del tratamiento de datos personales, las categorías de datos personales a ser utilizados. así como el tipo de tratamiento a realizarse y su finalidad;

5. Observar en su contenido todas las disposiciones de la presente ley referentes a principios de tratamiento de datos personales, medidas de seguridad de datos, requisitos respecto a transferencia o comunicación internacional y transferencia o comunicación ulterior a organismos no sujetos a normas corporativas vinculantes;

6. Contener la aceptación por parte del responsable o del encargado del tratamiento de los datos personales, o de cualquier miembro de su grupo empresarial sobre su responsabilidad por cualquier violación de las normas corporativas vinculantes. El responsable o encargado del tratamiento de datos personales no será responsable si demuestra que el acto que originó la violación no le es imputable;

7. Incluir los mecanismos en que se facilita al titular la información clara y completa, respecto a las normas corporativas vinculantes;

8. Incluir las funciones de todo delegado de protección de datos designado de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o del joint venture dedicadas a una actividad económica conjunta bajo un mismo control así como los mecanismos y procesos de supervisión y tramitación de reclamaciones;

9. Enunciar de forma detallada los mecanismos establecidos en el grupo empresarial o empresas afiliadas que permitan al titular verificar efectivamente el cumplimiento de las normas corporativas vinculantes. Entre estos mecanismos se incluirán auditorías de protección de datos, y aquellos métodos técnicos que brinden acciones correctivas para proteger los derechos del titular. Los resultados de las auditorías serán comunicadas al delegado de protección de datos designado de conformidad con la presente ley, o cualquier otra entidad o persona encargada del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o empresas afiliadas dedicadas a una actividad económica conjunta y al Directorio de la empresa que controla un grupo empresarial, y a disposición de la Autoridad de protección de datos personales;

10. Incluir los mecanismos para cooperar de forma coordinada con la autoridad de protección de datos personales y el responsable del tratamiento de los datos personales; y,

11. Incluir la declaración y compromiso del responsable del tratamiento de los datos personales de promover la protección de datos personales entre sus empleados con formación continua. La Autoridad de Protección de Datos Personales definirá el formato y los procedimientos para la transferencia o comunicación de datos realizada por parte de los responsables, los encargados y las autoridades de control en lo relativo a la aplicación de las normas corporativas vinculantes a las que se refiere este artículo. Cualquier cambio a ser realizado a estas normas deberá ser notificado a la autoridad de protección de datos personales y al titular conforme a los mecanismos señalados por el responsable de tratamiento en su solicitud.

Artículo 59.- Autorización para transferencia internacional

Para todos aquellos casos no contemplados en los artículos precedentes, en los que se pretenda realizar una transferencia internacional de datos personales, se requerirá la autorización de la Autoridad de Protección de Datos, para lo cual, se deberá garantizar documentadamente el cumplimiento de la normativa vigente sobre protección de datos de carácter personal, según lo determinado en el Reglamento de aplicación a la presente Ley. Sin perjuicio de lo anterior, la información sobre transferencias internacionales de datos personales deberá ser registradas previamente en el Registro Nacional de Protección de Datos Personales por parte del responsable del tratamiento o, en su caso, del encargado, según el procedimiento establecido en el Reglamento de aplicación a la presente Ley.

Artículo 60. Casos excepcionales de transferencias o comunicaciones internacionales

Sin perjuicio de lo establecido en los artículos precedentes se podrá realizar transferencias o comunicaciones internacionales de datos personales, en los siguientes casos:

1. Cuando los datos personales sean requeridos para el cumplimiento de competencias institucionales, de conformidad con la normativa aplicable;

2. Cuando el titular haya otorgado su consentimiento explícito a la transferencia o comunicación propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias o comunicaciones internacionales, debido a la ausencia de una resolución de nivel adecuado de protección y de garantías adecuadas.

3. Cuando la transferencia internacional tenga como finalidad el cumplimiento de una obligación legal o regulatoria;

4. Cuando la transferencia internacional de datos personales sea necesaria para la ejecución de un contrato entre el titular y el responsable del tratamiento de datos personales, o para la ejecución de medidas de carácter precontractual adoptadas a solicitud del titular;

5. Cuando la transferencia sea necesaria por razones de interés público.

6. Cuando la transferencia internacional sea necesaria para la colaboración judicial internacional.

7. Cuando la transferencia internacional sea necesaria para la cooperación dentro de la investigación de infracciones.

8. Cuando la transferencia internacional es necesaria para el cumplimiento de compromisos adquiridos en procesos de cooperación internacional entre Estados;

9. Cuando se realicen transferencias de datos en operaciones bancarias y bursátiles.

10. Cuando la transferencia internacional de datos personales sea necesaria para la formulación, el ejercicio o la defensa de reclamaciones, acciones administrativas o jurisdiccionales y recursos; y,

11. Cuando la transferencia internacional de datos personales sea necesaria para proteger los intereses vitales del interesado o de otras personas, cuando el interesado esté física o jurídicamente incapacitado para dar su consentimiento.

Artículo 61.- Control continuo

La Autoridad de Protección de Datos Personales en acciones conjuntas con la academia, realizará reportes continuos sobre la realidad internacional en materia de protección de datos personales. Dichos estudios servirán como elemento de control continuo del nivel adecuado de protección de datos personales de los países u organizaciones que ostenten tal reconocimiento. En caso de detectarse que un país u organización ya no cumple con un nivel adecuado de protección conforme los principios, derechos y obligaciones desarrollados en la presente Ley, la Autoridad de Protección de Datos Personales procederá a emitir la correspondiente resolución de no adecuación, a partir de la cual no procederán transferencias de datos personales, salvo que operen otros mecanismos de transferencia conforme lo dispuesto en el presente capítulo. La Autoridad de Protección de Datos Personales publicará en cualquier medio, de forma permanente y debidamente la lista de países, organizaciones, empresas o grupos económicos que garanticen niveles adecuados de protección de datos personales.

CAPÍTULO X. DE LOS REQUERIMIENTOS DIRECTOS Y DE LA GESTIÓN DEL PROCEDIMIENTO ADMINISTRATIVO

Artículo 62.- Requerimiento directo del titular del dato de carácter personal al responsable del tratamiento

El titular podrá en cualquier momento, de forma gratuita, por medios físicos o digitales puestos a su disposición por parte del responsable del tratamiento de los datos personales, presentar requerimientos, peticiones, quejas o reclamaciones directamente al responsable del tratamiento, relacionadas con el ejercicio de sus derechos, la aplicación de principios y el cumplimiento de obligaciones por parte del responsable del tratamiento, que tengan relación con él.

Presentado el requerimiento ante el responsable este contará con un término de diez (10) días para contestar afirmativa o negativamente, notificar y ejecutar lo que corresponda.

Artículo 63.- Actuaciones previas

La Autoridad de Protección de Datos Personales podrá iniciar, de oficio o a petición del titular, actuaciones previas con el fin de conocer las circunstancias del caso concreto o la conveniencia o no de iniciar el procedimiento, para lo cual se estará conforme a las disposiciones del Código Orgánico Administrativo.

Artículo 64.- Procedimiento administrativo

En el caso de que el responsable del tratamiento no conteste el requerimiento, en el término establecido en la presente ley, o éste fuere negado, el titular podrá presentar el correspondiente reclamo administrativo ante la Autoridad de Protección de Datos Personales, para lo cual se deberá estar conforme al procedimiento establecido en el Código Orgánico Administrativo, la presente ley y demás normativa emitida por la Autoridad de Protección de Datos Personales. Sin perjuicio, el titular podrá presentar acciones civiles, penales o constitucionales de las que se crea asistido.

CAPÍTULO XI. MEDIDAS CORRECTIVAS, INFRACCIONES Y RÉGIMEN SANCIONATORIO

Artículo 65.- Medidas correctivas

En caso de incumplimiento de las disposiciones previstas en la presente Ley, su reglamento, directrices y lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia, o transgresión a los derechos y principios que componen al derecho a la protección de datos personales, la Autoridad de Protección de Datos Personales dictará medidas correctivas con el objeto de evitar que se siga cometiendo la infracción y que la conducta se produzca nuevamente, sin perjuicio de la aplicación de las correspondientes sanciones administrativas. Las medidas correctivas podrán consistir, entre otras, en:

1) El cese del tratamiento, bajo determinadas condiciones o plazos;

2) La eliminación de los datos; y

3) La imposición de medidas técnicas, jurídicas, organizativas o administrativas a garantizar un tratamiento adecuado de datos personales.

La Autoridad de Protección de Datos Personales, en el marco de esta Ley, dictará, para cada caso, las medidas correctivas, previo informe de la unidad técnica competente, que permitan corregir, revertir o eliminar las conductas contrarias a la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia.

Artículo 66.- Aplicación de medidas correctivas

La Autoridad de Protección de Datos Personales, en el marco de esta ley, previo informe de la unidad técnica competente, aplicará para cada caso las medidas correctivas citadas en el artículo anterior, que permitan corregir, revertir o eliminar las conductas contrarias a la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia. Para la aplicación de las medidas correctivas se seguirán las siguientes reglas:

1. En el caso de que los responsables, encargados de tratamiento de datos personales y organismos de certificación y de ser el caso, a terceros, se encuentran incursos en el presunto cometimiento de una infracción leve y estos consten dentro del Registro Único de responsables y encargados incumplidos; la Autoridad de Protección de Datos Personales activará directamente el procedimiento administrativo sancionatorio, haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida; y,

2. En el caso de que los responsables, encargados del tratamiento de datos personales y organismos de certificación, se encuentren incursos en el presunto cometimiento de una infracción grave; la Autoridad de Protección de Datos Personales; aplicará en primera instancia medidas correctivas. Si las medidas correctivas fueren cumplidas de forma tardía, parcial o defectuosa, la Autoridad de Protección de Datos Personales, aplicará las sanciones que corresponden a las infracciones graves, activando para el efecto el procedimiento administrativo sancionatorio y haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida; y,

3. En el caso de que los responsables, encargados del tratamiento de datos personales y organismos de certificación, se encuentren incursos en el presunto cometimiento de una infracción muy grave, la Autoridad de Protección de Datos Personales activará directamente el procedimiento administrativo sancionatorio haciendo constar dentro de la resolución tanto las medidas correctivas aplicables como la sanción correspondiente a la infracción cometida.

Sección 1ª. De las infracciones del Responsable de protección de datos

Artículo 67.- Infracciones leves del Responsable de protección de datos

Se consideran infracciones leves las siguientes:

1. No tramitar, tramitar fuera del término previsto o negar injustificadamente las peticiones o quejas realizadas por el titular;

2. No implementar protección de datos desde el diseño y por defecto;

3. No mantener disponibles políticas de protección de datos personales afines al tratamiento de datos personales;

4. Elegir un encargado del tratamiento de datos personales que no ofrezca garantías suficientes para hacer efectivo el ejercicio del derecho a la protección de datos personales;

5. Incumplir las medidas correctivas dispuestas por la Autoridad de Protección de Datos Personales.

Artículo 68.- Infracciones graves del Responsable de protección de datos.- Se consideran infracciones graves las siguientes:

1) No implementar medidas administrativas, técnicas y físicas, organizativas y jurídicas, a fin de garantizar el tratamiento de datos personales que realice conforme la presente ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

2) Utilizar información o datos para fines distintos a los declarados;

3) Ceder o comunicar datos personales sin cumplir con los requisitos y procedimientos establecidos en la presente ley y su reglamento, directrices lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

4) No utilizar metodologías de análisis y gestión de riesgos adaptadas a la naturaleza de los datos personales ,las particularidades del tratamiento y de las partes involucradas;

5) No realizar evaluaciones de impacto al tratamiento de datos en los casos en que era necesario realizarlas;

6) No implementar medidas técnicas organizativas o de cualquier índole necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones a la seguridad de datos personales que hayan sido identificadas;

7) No notificar a la Autoridad de Protección de Datos Personales y al titular, de vulneraciones a la seguridad y protección de datos personales, cuando afecte los derechos fundamentales y libertades individuales de los titulares;

8) No notificar a la Autoridad de Protección de Datos Personales del titular las vulneraciones de seguridad y protección de datos personales, cuando exista afectación a los derechos fundamentales y libertades individuales de los titulares;

9) No suscribir contratos que incluyan cláusulas de confidencialidad y tratamiento adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;

10) No mantener actualizado el Registro Nacional de protección de datos personales de conformidad a lo dispuesto en la presente ley su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

11) No consignar en el Registro Nacional de Protección de Datos Personales lo dispuesto en la presente ley y su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

12) No designar al delegado de protección de datos personales cuando corresponda;

13) No permitir y no contribuir a la realización de auditorías o inspecciones por parte del auditor acreditado por la Autoridad de Protección de Datos Personales; y,

14) Incumplir las medidas correctivas o cumplir de forma tardía, parcial o defectuosa, siempre y cuando hubiese precedido por dicha causa la aplicación de una sanción por infracción leve, o incurrir de forma reiterada en faltas leves.

Sección 2ª. De las infracciones del Encargado de protección de datos

Artículo 69.- Infracciones leves del Encargado de protección de datos

Se consideran infracciones leves las siguientes:

1) No colaborar con el responsable del tratamiento datos personales, para que este cumpla con su obligación de atender solicitudes que tengan por objeto el ejercicio de los derechos del titular frente al tratamiento de sus datos personales;

2) No facilitar el acceso al responsable del tratamiento de datos personales a toda la información referente al cumplimiento de las obligaciones establecidas en la presente Ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia;

3) No permitir o no contribuir a la realización de auditorías o inspecciones, por parte del responsable del tratamiento de datos personales o de otro auditor autorizado por la Autoridad de Protección de Datos Personales; y,

4) Incumplir las medidas correctivas dispuestas por la Autoridad de Protección de Datos Personales.

Artículo 70.- Infracciones graves del Encargado de protección de datos

Se consideran infracciones graves las siguientes:

1) Realizar tratamientos de datos personales sin observar los principios y derechos desarrollados en la presente Ley y su reglamento, directrices y lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

2) No tratar datos personales de conformidad con lo previsto en el contrato que mantenga con el responsable del tratamiento de datos personales inclusive en lo que respecta a la transferencia o comunicación internacional;

3) No suscribir contratos que contengan cláusulas de confidencialidad y tratamiento adecuado de datos personales con el personal a cargo del tratamiento de datos personales o quien tenga conocimiento de los datos personales;

4) No implementar mecanismos destinados a mantener la confidencialidad, integridad, disponibilidad y resiliencia de los datos personales;

5) No implementar medidas preventivas y correctivas en la seguridad de los datos personales a fin de evitar vulneraciones;

6) No suprimir los datos personales transferidos o comunicados al responsable del tratamiento de los datos personales, una vez haya culminado su encargo;

7) Proceder a la comunicación de datos personales sin cumplir con los requisitos y procedimientos establecidos en la presente ley, su reglamento directrices lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia;

8) Incumplir las medidas correctivas o cumplirlas de forma tardía parcial o defectuosa, siempre y cuando hubiese precedido por dicha causa la aplicación de una sanción por infracción leve; y,

9) No notificar al responsable del tratamiento de datos personales sobre cualquier vulneración de la seguridad de datos personales conforme dispone esta ley o hacerlo con retraso injustificado.

Artículo 71.- Sanciones por infracciones leves

La Autoridad de Protección de Datos Personales impondrá las siguientes sanciones administrativas, en el caso de verificarse el cometimiento de una infracción leve, según las siguientes reglas:

1. Servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones leves establecidas en la presente ley, serán sancionados con una multa de uno (1) a diez (10) salarios básicos unificados del trabajador en general, sin perjuicio de la responsabilidad extracontractual del Estado, la cual se sujetará a las reglas establecidas en la normativa correspondiente;

2. Si el responsable o el encargado del tratamiento de datos personales o de ser el caso un tercero es una entidad de derecho privado o una empresa pública, se aplicará una multa de entre el 0.1% y el 0.7% calculada sobre su volumen de negocio correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa. La Autoridad de Protección de Datos Personales establecerá la multa aplicable en función del principio de proporcionalidad, para lo cual deberá verificar los siguientes presupuestos:

a) La intencionalidad, misma que se establecerá en función a la conducta del infractor;

b) Reiteración de la infracción, es decir cuando el responsable, el encargado del tratamiento de datos personales o de ser el caso un tercero, hubiese sido previamente sancionado por dos o más infracciones precedentes, que establezcan sanciones de menor gravedad a la que se pretende aplicar; o cuando hubiesen sido previamente sancionados por una infracción cuya sanción sea de igual o mayor gravedad a la que se pretende aplicar;

c) La naturaleza del perjuicio ocasionado, es decir, las consecuencias lesivas para el ejercicio del derecho a la protección de datos personales; y,

d) Reincidencia, es decir, cuando la infracción precedente sea de la misma naturaleza de aquella que se pretende sancionar.

Artículo 72.- Sanciones por infracciones graves

La Autoridad de Protección de Datos Personales impondrán las siguientes sanciones administrativas, en el caso de verificarse el cometimiento de una infracción grave, conforme a los presupuestos establecidos en el presente Capítulo: Los servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones graves establecidas en la presente ley serán sancionados con una multa de entre 10 a 20 salarios básicos unificados del trabajador en general; sin perjuicio de la Responsabilidad Extracontractual del Estado, la cual se sujetará a las reglas establecidas en la normativa correspondiente;

1) Si el responsable, encargado del tratamiento de datos personales o de ser el caso un tercero, es una entidad de derecho privado o una empresa pública se aplicará una multa de entre el 0.7% y el 1% calculada sobre su volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la multa. La Autoridad de Protección de Datos Personales establecerá la multa aplicable en función del principio de proporcionalidad, para lo cual deberá verificar los siguientes presupuestos:

a) La intencionalidad, misma que se establecerá en función a la conducta del infractor;

b) Reiteración de la infracción, es decir, cuando el responsable, encargado del tratamiento de datos personales o de ser el caso, de un tercero hubiese sido previamente sancionado por dos o más infracciones precedentes que establezcan sanciones de menor gravedad a la que se pretende aplicar; o cuando hubiesen sido previamente sancionados por una infracción cuya sanción sea de igual o mayor gravedad a la que se pretende aplicar;

c) La naturaleza del perjuicio ocasionado, es decir, las consecuencias lesivas para el ejercicio del derecho a la protección de datos personales; y,

d) Reincidencia, es decir, cuando la infracción precedente sea de la misma naturaleza de aquella que se pretende sancionar.

En el caso de que el responsable, encargado del tratamiento de datos personales a un tercero de ser el caso; sea una organización sin domicilio ni representación jurídica en el territorio ecuatoriano, se deberá notificar de la resolución con la cual se establezca la infracción cometida la Autoridad de Protección de Datos Personales, o quien hiciera sus veces, del lugar en donde dicha organización tiene su domicilio principal, a fin de que sea dicho organismo quien sustancia las acciones o procedimientos destinados al cumplimiento de las medidas correctivas y sanciones a las que hubiere lugar.

Artículo 73.- Volumen de negocio

A efectos del régimen sancionatorio de la presente ley, se entiende por volumen de negocio, a la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica.

Artículo 74.- Medidas provisionales o cautelares

La Autoridad de Protección de Datos Personales podrá aplicar medidas provisionales de protección o medidas cautelares contempladas en la norma procedimental administrativa.

CAPÍTULO XII. AUTORIDAD DE PROTECCIÓN DE DATOS PERSONALES

Artículo 75.- Autoridad de protección de datos personales

La Autoridad de Protección de Datos Personales podrá iniciar, de oficio o a petición del titular, actuaciones previas con el fin de conocer las circunstancias del caso concreto o la conveniencia o no de iniciar el procedimiento, para lo cual se estará conforme a las disposiciones del Código Orgánico Administrativo.

Artículo 76.- Funciones atribuciones y facultades

La Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades:

1) Ejercer la supervisión, control y evaluación de las actividades efectuadas por el responsable y encargado del tratamiento de datos personales;

2) Ejercer la potestad sancionadora respecto de responsables, delegados, encargados y terceros, conforme a lo establecido en la presente Ley;

3) Conocer, sustanciar y resolver los reclamos interpuestos por el titular o aquellos iniciados de oficio, así como aplicar las sanciones correspondientes;

4) Realizar o delegar auditorías técnicas al tratamiento de datos personales;

5) Emitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales;

6) Crear, dirigir y administrar el Registro Nacional de Protección de Datos Personales, así como coordinar las acciones necesarias con entidades del sector público y privado para su efectivo funcionamiento;

7) Promover una coordinación adecuada y eficaz con los encargados de la rendición de cuentas y participar en iniciativas internacionales y regionales para la protección de la protección de los datos personales;

8) Dictar las cláusulas estándar de protección de datos, así como verificar el contenido de las cláusulas o garantías adicionales o específicas;

9) Atender consultas en materia de protección de datos personales;

10) Ejercer el control y emitir las resoluciones de autorización para la transferencia internacional de datos;

11) Ejercer la representación internacional en materia de protección de datos personales;

12) Emitir directrices para el diseño y contenido de la política de tratamiento de datos personales;

13) Establecer directrices para el análisis evaluación y selección de medidas de seguridad de los datos personales;

14) Llevar un registro estadístico sobre vulneraciones a la seguridad de datos personales e identificar posibles medidas de seguridad para cada una de ellas;

15) Publicar periódicamente una guía de la normativa relativa a la protección de datos personales;

16) Promover e incentivar el ejercicio del derecho a la protección de datos personales, así como la concientización en las personas y la comprensión de los riesgos, normas, garantías y derechos, en relación con el tratamiento y uso de sus datos personales, con especial énfasis en actividades dirigidas a grupos de atención prioritaria tales como niñas niños y adolescentes;

17) Controlar y supervisar el ejercicio del derecho a la protección de datos personales dentro del tratamiento de datos llevado a cabo a través del Sistema Nacional de Registros Públicos; y,

18) Las demás atribuciones establecidas en la normativa vigente.

Artículo 77.- Del titular de la Autoridad de Protección de Datos

El Superintendente de Protección de Datos será designado de acuerdo a lo establecido en la Constitución de la República, de la terna que remita la Presidente o Presidente de la República, siguiendo criterios de especialidad y méritos; se sujetará a escrutinio público y derecho de impugnación ciudadana.

El Superintendente de Protección de Datos deberá ser un profesional del Derecho, de Sistemas de Información, de Comunicación o de Tecnologías, con título de cuarto nivel y experiencia de al menos 10 años con áreas afines a la materia objeto de regulación de esta ley.

Ejercerá sus funciones por un período de 5 años y únicamente cesará en sus funciones por las causales establecidas en la ley que regula el servicio público que le sean aplicables o por destitución, luego de enjuiciamiento político realizado por la Asamblea Nacional.

DISPOSICIONES GENERALES

PRIMERA

En lo dispuesto al procedimiento administrativo se estará a lo previsto en el Código Orgánico Administrativo.

SEGUNDA

En el ámbito del derecho de acceso a la información pública son aplicables las disposiciones de las leyes de la materia.

TERCERA

En el ámbito de los datos personales registrables, son aplicables las disposiciones de las leyes de la materia.

CUARTA

La Autoridad de Protección de Datos Personales será responsable de coordinar las acciones necesarias con entidades del sector público y privado para el efectivo funcionamiento del Registro Nacional de Protección de Datos Personales.

QUINTA

La Autoridad de Protección de Datos Personales será responsable de presentar informes anuales de evaluación y revisión de la presente Ley, a la ciudadanía.

SEXTA

Créase el Registro Único de Responsables y Encargados Incumplidos, en el cual se llevará un registro de los Responsables y Encargados del Tratamiento de Datos Personales, que hayan incurrido en una de las infracciones establecidas en la presente Ley; mismo que tendrá fines sociales, estadísticos, preventivos y de capacitación, cuyo funcionamiento estará establecido en el Reglamento de la Ley de Protección de Datos Personales.

SÉPTIMA

El ejercicio de los derechos reconocidos en la presente norma podrá ser exigido por el titular independientemente de la entrada en vigor del régimen sancionatorio.

OCTAVA

Ninguna entidad pública o privada, podrá cobrar valores por servicios de entrega de información sustentada en datos del solicitante de los mismos.

NOVENA

Se procurará que en lo referente a los pueblos y nacionalidades indígenas, el tratamiento de sus datos personales sea en sus idiomas y lenguas ancestrales.

DISPOSICIONES TRANSITORIAS

PRIMERA

Las disposiciones relacionadas con las medidas correctivas y el régimen sancionatorio entrarán en vigencia en dos años contados a partir de la publicación de esta ley en el Registro Oficial, en el transcurso de este tiempo los responsables y encargados del tratamiento de datos personales se adecuarán a los preceptos establecidos dentro de esas disposiciones, su reglamento de aplicación y demás normativa emitida por la Autoridad de Protección de Datos Personales. El resto de disposiciones establecidas en esta ley entrarán en vigencia conforme se establece en la Disposición Final de esta Ley.

SEGUNDA

Todo tratamiento realizado previo a la entrada en vigencia de la presente Ley deberá adecuarse a lo previsto en la presente norma dentro del plazo de dos años contados a partir de su publicación en el Registro Oficial.

El incumplimiento de la presente disposición dará lugar a la aplicación del régimen sancionatorio establecido en esta Ley.

TERCERA

Los responsables y encargados del tratamiento de datos personales que hayan implementado los preceptos recogidos dentro de esta Ley antes de plazo señalado en la Disposición Transitoria Primera obtendrán un reconocimiento por buenas prácticas por parte de la Autoridad de Protección de Datos Personales.

CUARTA

La transferencia internacional de datos personales que hubiere sido realizada antes de la entrada en vigencia de la presente Ley será legítima, sin perjuicio de que el responsable del tratamiento de datos personales deba aplicar lo dispuesto en esta norma para acreditar su responsabilidad proactiva y demostrada.

El responsable de tratamiento deberá adecuar la transferencia internacional de datos personales a la presente norma en un plazo no mayor de dos años contados a partir de la publicación de la presente norma en el Registro Oficial.

El incumplimiento de la presente disposición dará lugar a la aplicación del régimen sancionatorio establecido en esta Ley.

DISPOSICIONES REFORMATORIAS

PRIMERA

De la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el Suplemento del Registro Oficial 557 del 17 de abril de 2002:

1. Suprímese las definiciones de intimidad, datos personales, datos personales autorizados del glosario de términos establecido en la Disposición General Novena.

SEGUNDA

En la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos publicada en el suplemento del Registro Oficial 162 del 31 de marzo del 2010:

1.- Sustitúyese:

a) El término Dirección Nacional de Registro de Datos Públicos por Dirección Nacional de Registros Públicos;

b) El término Sistema Nacional de Registro de Datos Públicos por Sistema Nacional de Registros Públicos;

c) El término Registro de Datos Públicos por Registros Públicos;

d) El término datos de carácter personal por datos personales;

e) El término datos públicos registrales por la expresión datos públicos y datos personales registrables;

f) El artículo 6, por el siguiente: “Art. 6.- Accesibilidad y confidencialidad.- Son confidenciales los datos de carácter personal. El acceso a estos datos, solo será posible cuando quien los requiera se encuentre debidamente legitimado, conforme a los parámetros previstos en la Ley Orgánica de Protección de Datos Personales, su respectivo reglamento y demás normativa emitida por la Autoridad de Protección de Datos Personales.

Al amparo de esta Ley, para acceder a la información sobre el patrimonio de las personas cualquier solicitante deberá justificar y motivar su requerimiento, declarar el uso que hará del mismo y consignar sus datos básicos de identidad, tales como nombres y apellidos completos, número del documento de identidad o ciudadanía, dirección domiciliaria y los demás datos que mediante el respectivo reglamento se determinen. Un uso distinto al declarado dará lugar a la determinación de responsabilidades, sin perjuicio de las acciones legales que el titular de la información pueda ejercer.

La Directora o Director Nacional de Registros Públicos, definirá los demás datos que integran el sistema nacional y el tipo de reserva y accesibilidad.

2.- Incorpórase:

a) En el artículo 31 referente a las atribuciones y facultades de la Dirección Nacional de Registro Públicos antes del numeral 14 lo siguiente:

“14. Controlar y supervisar que las entidades pertenecientes al Sistema Nacional de Registros Públicos incorporen mecanismos de protección de datos personales, así como dar cumplimiento a las disposiciones establecidas en la Ley Orgánica de Protección de Datos Personales, su reglamento de aplicación y demás normativa que la Autoridad de Protección de Datos Personales dicte para el efecto:

15. Tratar datos procedentes del Sistema Nacional de Registros Públicos o de cualquier otra fuente, para realizar procesos de analítica de datos, con el objeto de prestar servicios al sector público, al sector privado y a personas en general, así como generar productos, reportes, informes o estudios, entre otros. Se utilizarán medidas adecuadas que garanticen el derecho a la protección de datos personales y su uso en todas las etapas del tratamiento, como por ejemplo, técnicas de disociación de datos, y,”

3.- Suprímese del numeral 13 del artículo 31 lo siguiente: “y”;

4.- Reenumerar el numeral 14 del artículo 31 por numeral “16”;

TERCERA

En el Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación publicado en el suplemento del Registro Oficial 899 del 09 de diciembre de 2016, sustitúyase la palabra confidencialidad por Protección en el numeral 5 del artículo 67.

CUARTA

En la Ley Orgánica de Telecomunicaciones, publicada en el tercer suplemento del Registro Oficial 439 del 18 de febrero de 2015:

1.- Suprímese:

a) El inciso segundo, tercer y cuarto del artículo 79;

b) En el primer inciso del artículo 83 lo siguiente “(…) y seguridad de datos personales (.)”; y,

c) En el inciso primero del artículo 85 lo siguiente “(…) como de seguridad de datos personal (…)”

2.- Sustitúyese:

a) El artículo 78 por el siguiente:

“Art. 78.- Seguridad de los Datos Personales.- Las y los prestadores de servicios de telecomunicaciones deberán adoptar las medidas técnicas, organizativas y de cualquier otra índole adecuadas para preservar la seguridad de su red con el fin de garantizar la protección de los datos personales de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales.”

b) El artículo 81 por el siguiente:

“Art. 81.- Guías telefónicas o de abonados en general.- Los abonados, clientes o usuarios tienen el derecho a no figurar en guías telefónicas o de abonados. Deberán ser informados, de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales, de sus derechos con respecto a la utilización de sus datos personales en las guías telefónicas o de abonados y, en particular, sobre el fin o los fines de dichas guías, así como sobre el derecho que tienen, en forma gratuita, a no ser incluidos, en tales guías.”

c) El artículo 82 por el siguiente:

“Art. 82.- Uso comercial de datos personales.- Las y los prestadores de servicios no podrán usar datos personales, información del uso del servicio, información de tráfico o el patrón de consumo de sus abonados, clientes o usuarios para la promoción comercial de servicios o productos, a menos que el abonado o usuario al que se refieran los datos o tal información, haya dado su consentimiento conforme lo establecido en la Ley Orgánica de Protección de Datos Personales. Los usuarios o abonados dispondrán de la posibilidad clara y fácil de retirar su consentimiento para el uso de sus datos y de la información antes indicada. Tal consentimiento deberá especificar los datos personales o información cuyo uso se autorizan, el tiempo y su objetivo específico.

Sin contar con tal consentimiento y con las mismas características, las y los prestadores de servicios de telecomunicaciones no podrán comercializar, ceder o transferir a terceros los datos personales de sus usuarios, clientes o abonados. Igual requisito se aplicará para la información del uso del servicio, información de tráfico o del patrón de consumo de sus usuarios, clientes y abonados.”

d) El artículo 83 por el siguiente:

“Art. 83.- Control técnico.- Cuando para la realización de las tareas de control técnico, ya sea para verificar el adecuado uso del espectro radioeléctrico, la correcta prestación de los servicios de telecomunicaciones, el apropiado uso y operación de redes de telecomunicaciones o para comprobar las medidas implementadas para garantizar el secreto de las comunicaciones y seguridad de datos personales, sea necesaria la utilización de equipos, infraestructuras e instalaciones que puedan vulnerar la seguridad e integridad de las redes. La Agencia de Regulación y Control de las Telecomunicaciones deberá diseñar y establecer procedimientos que reduzcan al mínimo el riesgo de afectar los contenidos de las comunicaciones.

Cuando, como consecuencia de los controles técnicos efectuados, quede constancia de los contenidos, se deberá coordinar con la Autoridad de Protección de Datos Personales para que:

a) Los soportes en los que éstos aparezcan no sean ni almacenados ni divulgados; y,

b) Los soportes sean inmediatamente destruidos y desechados

Si se evidencia un tratamiento ilegítimo o ilícito de datos personales, se aplicará lo dispuesto en la Ley Orgánica de Protección de Datos Personales.”

DISPOSICIONES DEROGATORIAS

PRIMERA

Derógase el artículo 9 de la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos, publicada en el suplemento del Registro Oficial 557 del 17 de abril de 2002.

SEGUNDA

Derógase los artículos 80 y 84 de la Ley Orgánica de Telecomunicaciones, publicada en el tercer suplemento del Registro Oficial 439 del 18 de febrero de 2015.

TERCERA

Derógase el artículo 5 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos publicada en el suplemento del Registro Oficial 162 de 3l de marzo de 2010.

CUARTA

Quedan así mismo derogadas todas aquellas disposiciones de igual o menor jerarquía que se contrapongan con la presente Ley Orgánica.

DISPOSICIÓN FINAL

La presente Ley entrará en vigencia una vez publicada en el Registro Oficial.

Dado en la sede de la Asamblea Nacional, ubicada en el Distrito Metropolitano de Quito, provincia de Pichincha, a los … días del mes … de dos mil veinte.

Memorando Nro. AN-VJPF-2021-0046-M

Quito, D.M., 07 de abril de 2021

PARA: Sr. Fernando Patricio Flores Vasquez, Presidente de la Comisión Especializada Permanente de Soberanía, Integración, Relaciones Internacionales y Seguridad Integral

ASUNTO: Voto – “informe para segundo debate del “Proyecto de Ley Orgánica de Protección de Datos Personales”

De mi consideración:

Con relación al desarrollo de la continuación de la Sesión nº 147-2019-2021, modalidad virtual, celebrada el 7 de abril del presente año, la cual se refiere a la aprobación del “informe para segundo debate del “Proyecto de Ley Orgánica de Protección de Datos Personales“, votado y aprobado con 7 votos a favor; y, con la finalidad de dar cumplimiento a la solicitud emitida por la Secretaria General de la Asamblea Nacional mediante la “Guía para Procesos Legislativos durante la Emergencia Sanitaria” de 03 de abril de 2020, y al Memorando Nro.AN-SG-2020-0682-M de 22 de mayo de 2020, procedo a señalar que mi voto el mencionado informe fue A FAVOR.

Atentamente,

Documento firmado electrónicamente

Sr. Pedro Fabricio Villamar Jácome, ASAMBLEÍSTA

Señor Fernando Flores, PRESIDENTE DE LA COMISIÓN DE RELACIONES INTERNACIONALES. Quito

De mi consideración:

Por medio del presente tiene a bien confirmar la votación a favor del Informe para segundodebate del “Proyecto de Ley Orgánica de Protección de Datos Personales”,votado y aprobado con 7 votos a favor en la continuación de la Sesión nº 147-2019-2021,modalidad virtual, celebrada a partir de las 10h00 del 06 de abril del presente año.

28Abr/21

CJI/RES. 266 (XCVIII/21) de 9 de abril de 2021. Principios actualizados sobre la privacidad y la protección de datos personales, con anotaciones.

CJI/RES. 266 (XCVIII/21) de 9 de abril de 2021. Principios actualizados sobre la privacidad y la protección de datos personales, con anotaciones.

CJI/RES. 266 (XCVIII/21)

PRINCIPIOS ACTUALIZADOS SOBRE LA PRIVACIDAD Y LA PROTECCIÓN DE DATOS PERSONALES, CON ANOTACIONES

EL COMITÉ JURÍDICO INTERAMERICANO,

TENIENDO EN CUENTA:

Que la Asamblea General de la OEA, mediante resolución AG/RES. 2926 (XLVIII-O/18) “Derecho Internacional”, en el punto i sobre “Observaciones y Recomendaciones al Informe Anual del Comité Jurídico Interamericano”, solicitó a este órgano que inicie la actualización de los Principios sobre la Protección de Datos Personales, teniendo en cuenta la evolución de los mismos; y que mediante resolución AG/RES. 2930 (XLIX-O/19) “Derecho Internacional” solicitó al CJI continuar con dicha labor;

Que el CJI, a fin de dar cumplimiento a este mandato, procedió a la actualización de los “Principios sobre Privacidad y Protección de Datos Personales, con Anotaciones” adoptados en el año 2015 por el CJI como guía legislativa para los Estados miembros de la OEA, con base en los desarrollos normativos internacionales ocurridos desde 2015 y a la fecha;

Que además de realizar una revisión exhaustiva y minuciosa de los Principios Anotados a la luz de los avances más recientes a nivel internacional, la relatoría del tema llevó a cabo un proceso de consultas entre agosto de 2020 y febrero de 2021, abierto a todos los Estados miembros y algunas entidades internacionales con el fin de incorporar estos valiosos insumos en su revisión, a fin de producir un documento que refleje las distintas aproximaciones que sobre el tema coexisten en la región;

RESUELVE:

1. Aprobar los “Principios Actualizados sobre la Privacidad y la Protección de los Datos Personales, con Anotaciones” (documento CJI/doc. 638/21) anexos a la presente resolución.

2. Agradecer a la relatora del tema, doctora Mariana Salazar Albornoz, por la labor realizada, incluyendo la presentación de la versión final del documento referido en el numeral 1 anterior, la cual recoge además los comentarios y sugerencias realizadas por los demás miembros del Comité Jurídico Interamericano durante este 98º período de sesiones.

3. Transmitir la presente resolución y los Principios Actualizados sobre la Privacidad y la Protección de los Datos Personales contenidos en la sección I del documento anexo, sin sus correspondientes anotaciones, a la Asamblea General para su debido conocimiento, y recomendar su aprobación por parte de este órgano.

4. Solicitar al Departamento de Derecho Internacional, en su calidad de Secretaría Técnica del Comité Jurídico Interamericano, que le dé a estos Principios la mayor difusión entre los diversos actores interesados.

La presente resolución fue aprobada por unanimidad en la sesión ordinaria celebrada el 9 de abril de 2021, por los siguientes miembros: doctores

Mariana Salazar Albornoz,

George Rodrigo Bandeira Galindo,

Ramiro Gastón Orias Arredondo,

José Antonio Moreno Rodríguez,

Cecília Fresnedo de Aguirre,

Ruth Stella Correa Palacio,

Stephen G. Larson, Eric P. Rudge,

Luis García-Corrochano Moyano,

Miguel Angel Espeche Gil y

Milenko Bertrand-Galindo Arriagada.

25Abr/21

Estándares de Protección de Datos Personales para los Estados Iberoamericanos, de 20 de junio de 2017

Los Estados Iberoamericanos:

1) Considerando que la protección de las personas físicas en relación con el tratamiento de sus datos personales es un derecho fundamental que se encuentra reconocido con rango máximo en la mayoría de las Constituciones Políticas de los Estados Iberoamericanos, bajo la forma del derecho a la protección de datos personales o habeas data, y que en algunos casos ha sido definido jurisprudencialmente por sus Tribunales o Cortes Constitucionales;

(2) Determinando que el derecho a la protección de datos personales se ha conceptualizado en algunos países Iberoamericanos, legislativamente o jurisprudencialmente, como un derecho de naturaleza distinta a los derechos a la vida privada y familiar, a la intimidad, al honor, al buen nombre y otros derechos similares, que en su conjunto garantizan el libre desarrollo de la personalidad de la persona física, hasta conformarse en un derecho autónomo, con características y dinámica propias, que tiene por objeto salvaguardar el poder de disposición y control que tiene toda persona física con respecto a la información que le concierne, fundamentalmente en atención al empleo de las tecnologías de la información y las comunicaciones que cobran cada vez mayor relevancia en todos los quehaceres de la vida cotidiana;

(3) Asumiendo que salvaguardar el derecho de las personas físicas respecto al tratamiento de sus datos personales es compatible con el objetivo de garantizar y proteger otros derechos, los cuales se reconocen como indivisibles e interdependientes unos con otros, y que requieren de una protección conforme para resguardar en su esfera más amplia a las personas físicas en contra de intrusiones ilegales o arbitrarias, incluso aquellas derivadas del tratamiento de datos personales. Lo anterior, no impide que el derecho a la protección de datos personales resulte aplicable a las personas jurídicas en cumplimiento a lo establecido en el derecho interno de los Estados Iberoamericanos;

(4) Recordando que la Red Iberoamericana de Protección de Datos surgió con motivo del acuerdo alcanzado en el Encuentro Iberoamericano de Protección de Datos, celebrado en La Antigua, Guatemala, del 1 al 6 de junio de 2003, con la asistencia de representantes de 14 países iberoamericanos. Iniciativa que contó desde sus inicios con un apoyo político reflejado en la Declaración Final de la XIII Cumbre de Jefes de Estado y de Gobierno de los países Iberoamericanos, celebrada en Santa Cruz de la Sierra, Bolivia, el 14 y 15 de noviembre de 2003, conscientes del carácter de la protección de datos personales como un derecho fundamental;

(5) Teniendo en cuenta que con motivo de la Resolución adoptada en la XXV Cumbre Iberoamericana de Jefes de Estado y de Gobierno, que tuvo lugar en Cartagena de Indias, Colombia, los días 28 y 29 de octubre de 2016, se reafirmó que la adopción, elaboración e impulso de diversos manuales, programas, iniciativas y proyectos fortalecerían la gestión e impacto de las acciones de cooperación entre los países de Iberoamérica;

(6) Asumiendo que la Red Iberoamericana de Protección de Datos se constituye en un foro permanente de intercambio de información abierto a todos los países miembros de la Comunidad Iberoamericana y que permite el involucramiento de los sectores público, privado y social, con la finalidad de promover los desarrollos normativos necesarios para garantizar una regulación avanzada del derecho a la protección de datos personales en un contexto democrático y global;

(7) Recordando que con motivo de la reunión celebrada en Santa Cruz de la Sierra, Bolivia, del 3 a 5 de mayo de 2006, se elaboró el documento denominado Directrices para la Armonización de la Protección de Datos en la Comunidad Iberoamericana, el cual establece un conjunto de disposiciones que tienen por objeto contribuir a la elaboración de las iniciativas regulatorias de la protección de datos que surjan en la Comunidad Iberoamericana, constituyéndose como un referente para el desarrollo de los presentes Estándares;

(8) Teniendo en cuenta que la Unión Europea ha adoptado un nuevo marco normativo en la materia, con el objetivo de modernizar sus disposiciones y garantizar mayor solidez y coherencia en la protección efectiva del derecho fundamental a la protección de datos personales en la Unión Europea y con el fin de generar confianza en la sociedad en general y, a su vez, facilitar el desarrollo de la economía digital, tanto en su mercado interior como en sus relaciones globales; marco normativo que se posiciona como un referente obligado y determinante para la elaboración de las legislaciones nacionales de protección de datos en Iberoamérica;

(9) Reconociendo que existe una falta de armonización en los Estados Iberoamericanos respecto al reconocimiento, adopción, definición y desarrollo de las figuras, principios, derechos y procedimientos que dan contenido al derecho a la protección de datos personales en sus legislaciones nacionales, lo cual, sin duda, dificulta actualmente hacer frente a los nuevos retos y desafíos para la protección de este derecho derivados de la constante y vertiginosa evolución tecnológica y la globalización en diversos ámbitos;

(10) Haciendo apremiante, en el marco de una constante innovación tecnológica, la adopción de instrumentos regulatorios que garanticen, por una parte, la protección de las personas físicas con relación al tratamiento de sus datos personales y, por la otra, el libre flujo de los datos personales que actualmente constituyen la base para el desarrollo, fortalecimiento e intercambio de bienes y servicios en una economía global y digital, sobre los cuales se erigen las economías de los Estados Iberoamericanos;

(11) Acordando que para garantizar un nivel alto de protección de los derechos y libertades de las personas físicas, entre otras cuestiones, se requiere, a su vez, un nivel uniforme y elevado de protección de las personas físicas con respecto a su información personal que responda a las necesidades y exigencias actuales en un contexto global, con la finalidad de no establecer barreras a la libre circulación de los datos personales en los Estados Iberoamericanos y, en consecuencia, favorecer las actividades comerciales entre la región, así como con otras regiones económicas;

(12) Aceptando que con el objetivo de ampliar y fortalecer el régimen de protección de las personas físicas respecto al tratamiento de sus datos personales, es imperioso establecer un equilibrio entre los intereses de todos los actores del sector público, privado y social y titulares involucrados, incluyendo el establecimiento de excepciones por cuestiones de interés público que sean razonables y compatibles con los derechos y libertades, para evitar incurrir en restricciones o limitaciones injustificadas o desproporcionadas que no sean acordes con los fines perseguidos en sociedades democráticas;

(13) Estando conscientes acerca de los riesgos potenciales que pueden derivarse en la esfera de las personas físicas con motivo del tratamiento de sus datos personales a gran escala efectuado por parte de organismos públicos y privados y, en particular, teniendo en cuenta la especial vulnerabilidad de las niñas, niños y adolescentes, quienes demandan de garantías adecuadas y suficientes de protección frente a usos indebidos o arbitrarios de su información personal, preservando de esta manera su interés superior, el libre desarrollo de su personalidad, su seguridad y otros valores que son objeto de máxima protección por parte de los Estados Iberoamericanos;

(14) Conviniendo que el desarrollo tecnológico facilita el tratamiento de nuevas categorías de datos personales que presentan riesgos específicos, en particular el uso inadecuado de los mimos; por lo que resulta altamente relevante lograr un consenso mínimo respecto de las categorías de datos personales considerados con el carácter de sensible o especialmente protegidos, así como de las reglas para su tratamiento, teniendo en cuenta que las consecuencias e injerencias negativas que pueden derivarse a partir del uso indebido de este tipo de datos personales pueden generar condiciones injustas o discriminatorias para las personas físicas;

(15) Admitiendo que no todos los Estados Iberoamericanos cuentan con una legislación en la materia, situación que puede provocar afectaciones en el resguardo y tratamiento de la información personal, si se considera el acelerado uso de las tecnologías de la información que facilitan y permiten una comunicación masiva de datos personales de manera inmediata y casi ilimitada;

(16) Estableciendo que las legislaciones en materia de protección de datos personales de los Estados Iberoamericanos deben adoptar los referentes contenidos en los presentes Estándares para contar con un marco regulatorio armonizado que ofrezca un nivel de protección a las personas físicas respecto al tratamiento de sus datos personales y, a su vez, garantizando el desarrollo comercial y económico de la zona;

(17) Admitiendo que actualmente las bases jurídicas que legitiman a todo organismo de carácter público o privado a tratar datos personales en su posesión son el consentimiento del titular; el cumplimiento de una disposición legal; el cumplimiento de una orden judicial, resolución o mandato fundado y motivado de autoridad pública competente; el ejercicio de facultades propias de las autoridades públicas; el reconocimiento o defensa de los derechos del titular ante una autoridad pública competente; la ejecución de un contrato o precontrato en el que el titular sea parte; el cumplimiento de una obligación legal aplicable al responsable; la protección de intereses vitales del titular o de otra persona física; el interés legítimo del organismo público o privado, o por razones de interés público;

(18) Enfatizando la necesidad que en los Estados Iberoamericanos se traten los datos personales bajo los mismos estándares y reglas homogéneas que ofrezcan a los titulares las mismas garantías de protección, a través del establecimiento de un catálogo de principios de obligado cumplimiento que responda a los actuales estándares nacionales e internacionales en la materia, así como a las exigencias que demanda un efectivo ejercicio y respeto de este derecho fundamental;

(19) Reconociendo que con el propósito de garantizar de manera efectiva el derecho a la protección de datos personales, es preciso adoptar un marco regulatorio que reconozca a cualquier persona física, en su carácter de titular de sus datos personales, la posibilidad de ejercer, por regla general de manera gratuita y excepcionalmente con costos asociados por razones naturales de reproducción, envío, certificación u otras, los derechos de acceso, rectificación, cancelación, oposición y portabilidad, inclusive en el contexto de tratamientos de datos personales efectuados por motores o buscadores de Internet; derechos que complementan las condiciones necesarias para que los titulares ejerzan de manera plena su derecho a la autodeterminación informativa;

(20) Resaltando la importancia y el papel fundamental que desempeñan los prestadores de servicios que tratan datos personales a nombre y por cuenta del responsable, incluyendo aquéllos que prestan servicios de cómputo en la nube y otras materias, lo cual conlleva a los Estados Iberoamericanos a adoptar, en un mundo globalizado, un régimen que les permita regular este tipo de servicios con la finalidad de establecer una serie de garantías para la protección de los datos personales que con motivo de su encargo poseen y tratan, sin eximir al responsable de sus obligaciones y responsabilidades que tiene ante los titulares y las autoridades de control;

(21) Considerando que el desarrollo de las nuevas tecnologías de la información y las comunicaciones así como los servicios desarrollados en el contexto de la economía digital están contribuyendo al crecimiento continuado de los flujos transfronterizos de datos personales en el marco de una sociedad global, es ineludible la obligación de establecer una base mínima que facilite y permita a responsables y encargados, en su calidad de exportadores, la realización de transferencias internacionales de datos personales con pleno respeto a los derechos de los titulares;

(22) Teniendo en cuenta que mediante el Internet es posible acceder y recabar información disponible en cualquier país, así como llevar a cabo un tratamiento de la misma, como recabar datos de millones de personas sin estar físicamente domiciliado allí, circunstancia que no  debería constituirse en un factor que impida la efectiva protección de los derechos y libertades de las personas en el ciberespacio;

(23) Reconociendo la importancia de la adopción de medidas preventivas que permitan al responsable responder proactivamente ante los posibles problemas relacionados con el derecho a la protección de datos personales como son la adopción de esquemas de autorregulación vinculante o sistemas de certificación en la materia; la designación de un oficial de protección de datos personales; la elaboración de evaluaciones de impacto a la protección de datos personales y la privacidad por defecto y por diseño, entre otras, lo cual resulta esencial en el ámbito de las tecnologías de la información y las telecomunicaciones;

(24) Admitiendo la imperiosa necesidad de que cada Estado Iberoamericano cuente con una autoridad de control independiente e imparcial en sus potestades cuyas decisiones únicamente puedan ser recurribles por el control judicial, ajena a toda influencia externa, con facultades de supervisión e investigación en materia de protección de datos personales y encargada de vigilar el cumplimiento de la legislación nacional en la materia, la cual esté dotada de recursos humanos y materiales suficientes para garantizar el ejercicio de sus poderes y el desempeño efectivo de sus funciones;

(25) Reconociendo que los Estados Iberoamericanos están obligados a adoptar un régimen que garantice a los titulares una serie de mecanismos y procedimientos para presentar sus reclamaciones ante la autoridad de control cuando consideren vulnerado su derecho a la protección de datos personales, así como para ser indemnizados cuando hubieren sufrido daños y perjuicios como consecuencia de una violación de su derecho;

(26) Destacando la importancia de establecer una base mínima para la cooperación internacional entre las autoridades de control latinoamericanas y entre éstas y las de terceros países, con la finalidad de favorecer y facilitar la aplicación de la legislación en la materia y una protección efectiva de los titulares; Han convenido en adoptar los presentes Estándares como máxima prioridad en la Comunidad Iberoamericana para que con el carácter de directrices orientadoras contribuyan a la emisión de iniciativas regulatorias de protección de datos personales en la región de los países que aún no cuentan con estos ordenamientos, o en su caso, sirvan como referente para la modernización y actualización de las legislaciones existentes, favoreciendo la adopción de un marco regulatorio armonizado que ofrezca un nivel adecuado de protección de las personas físicas respecto al tratamiento de sus datos personales y garantizando, a su vez, el desarrollo comercial y económico de la región, al tenor de lo siguiente:

Capítulo I. Disposiciones generales

1. Objeto

1.1. Los presentes Estándares tienen por objeto:

a. Establecer un conjunto de principios y derechos de protección de datos personales que los Estados Iberoamericanos puedan adoptar y desarrollar en su legislación nacional, con la finalidad de garantizar un debido tratamiento de los datos personales y contar con reglas homogéneas en la región.

b. Elevar el nivel de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales, así como entre los Estados Iberoamericanos, el cual responda a las necesidades y exigencias internacionales que demanda el derecho a la protección de datos personales en una sociedad en la cual las tecnologías de la información y del conocimiento cobran cada vez mayor relevancia en todos los quehaceres de la vida cotidiana.

c. Garantizar el efectivo ejercicio y tutela del derecho a la protección de datos personales de cualquier persona física en los Estados Iberoamericanos, mediante el establecimiento de reglas comunes que aseguren el debido tratamiento de sus datos personales.

d. Facilitar el flujo de los datos personales entre los Estados Iberoamericanos y más allá de sus fronteras, con la finalidad de coadyuvar al crecimiento social y económico de la región.

e. Impulsar el desarrollo de mecanismos para la cooperación internacional entre las autoridades de control de los Estados Iberoamericanos, autoridades de control no pertenecientes a la región y autoridades y entidades internacionales en la materia.

2. Definiciones

2.1. Para los efectos de los presentes Estándares se entenderá por:

a. Anonimización: la aplicación de medidas de cualquier naturaleza dirigidas a impedir la identificación o reidentificación de una persona física sin esfuerzos desproporcionados.

b. Consentimiento: manifestación de la voluntad, libre, específica, inequívoca e informada, del titular a través de la cual acepta y autoriza el tratamiento de los datos personales que le conciernen.

c. Datos Personales: cualquier información concerniente a una persona física identificada o identificable, expresada en forma numérica, alfabética, gráfica, fotográfica, alfanumérica, acústica o de cualquier otro tipo. Se considera que una persona es identificable cuando su identidad pueda determinarse directa o indirectamente, siempre y cuando esto no requiera plazos o actividades desproporcionadas.

d. Datos personales sensibles: aquellos que se refieran a la esfera íntima de su titular, o cuya utilización indebida puedan dar origen a discriminación o conlleve un riesgo grave para éste. De manera enunciativa, se consideran sensibles los datos personales que puedan revelar aspectos como origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física.

e. Encargado: prestador de servicios, que con el carácter de persona física o jurídica o autoridad pública, ajena a la organización del responsable, trata datos personales a nombre y por cuenta de éste.

f. Exportador: persona física o jurídica de carácter privado, autoridad pública, servicios, organismo o prestador de servicios situado en territorio de un Estado que efectúe transferencias internacionales de datos personales, conforme a lo dispuesto en los presentes Estándares.

g. Responsable: persona física o jurídica de carácter privado, autoridad pública, servicios u organismo que, solo o en conjunto con otros, determina los fines, medios, alcance y demás cuestiones relacionadas con un tratamiento de datos personales.

h. Titular: persona física a quien le conciernen los datos personales.

i. Tratamiento: cualquier operación o conjunto de operaciones efectuadas mediante procedimientos físicos o automatizados realizadas sobre datos personales, relacionadas, de manera enunciativa más no limitativa, con la obtención, acceso, registro, organización, estructuración, adaptación, indexación, modificación, extracción, consulta, almacenamiento, conservación, elaboración, transferencia, difusión, posesión, aprovechamiento y en general cualquier uso o disposición de datos personales.

3. Ámbito de aplicación subjetivo

3.1. Los presentes Estándares serán aplicables a las personas físicas o jurídicas de carácter privado, autoridades y organismos públicos, que traten datos personales en el ejercicio de sus actividades y funciones.

4. Ámbito de aplicación objetivo

4.1. Los presentes Estándares serán aplicables al tratamiento de datos personales que obren en soportes físicos, automatizados total o parcialmente, o en ambos soportes, con independencia de la forma o modalidad de su creación, tipo de soporte, procesamiento, almacenamiento y organización.

4.2. Por regla general, los presentes Estándares serán aplicables a los datos personales de personas físicas, lo cual no impide que los Estados Iberoamericanos en su legislación nacional dispongan que la información de las personas jurídicas sea salvaguardada acorde con el derecho a la protección de datos personales, en cumplimiento a lo establecido en su derecho interno.

4.3. Los Estándares no resultarán aplicables en los siguientes supuestos:

a. Cuando los datos personales estén destinados a actividades exclusivamente en el marco de la vida familiar o doméstica de una persona física, esto es, la utilización de datos personales en un entorno de amistad, parentesco o grupo personal cercano y que no tengan como propósito una divulgación o utilización comercial.

b. La información anónima, es decir, aquélla que no guarda relación con una persona física identificada o identificable, así como los datos personales sometidos a un proceso de anonimización de tal forma que el titular no pueda ser identificado o reidentificado.

4.4. La legislación nacional de los Estados Iberoamericanos aplicable en la materia podrá establecer categorías de datos personales a las cuales no les resulte aplicable el régimen de protección previsto en los presentes Estándares, en cumplimiento de su derecho interno.

5. Ámbito de aplicación territorial

5.1. Los Estándares serán aplicables al tratamiento de datos personales efectuado:

a. Por un responsable o encargado establecido en territorio de los Estados Iberoamericanos.

b. Por un responsable o encargado no establecido en territorio de los Estados Iberoamericanos, cuando las actividades del tratamiento estén relacionadas con la oferta de bienes o servicios dirigidos a los residentes de los Estados Iberoamericanos, o bien, estén  relacionadas con el control de su comportamiento, en la medida en que éste tenga lugar en los Estados Iberoamericanos.

c. Por un responsable o encargado que no esté establecido en un Estado Iberoamericano pero le resulte aplicable la legislación nacional de dicho Estado, derivado de la celebración de un contrato o en virtud del derecho internacional público.

d. Por un responsable o encargado no establecido en territorio de los Estados Iberoamericanos y que utilice o recurra a medios, automatizados o no, situados en ese territorio para tratar datos personales, salvo que dichos medios se utilicen solamente con fines de tránsito.

5.2. Para los efectos de los presentes Estándares, se entenderá por establecimiento el lugar de la administración central o principal del responsable o encargado, el cual deberá determinarse en función de criterios objetivos e implicar el ejercicio efectivo y real de actividades de gestión que determinen las principales decisiones en cuanto a los fines y medios del tratamiento de datos personales que lleve a cabo, a través de modalidades estables.

5.3. La presencia y utilización de medios técnicos y tecnologías para el tratamiento de datos personales o las actividades de tratamiento no constituirán, en sí mismas, un establecimiento principal y no serán considerados como criterios determinantes para la definición del establecimiento principal del responsable o encargado.

5.4. Cuando el tratamiento de datos personales lo realice un grupo empresarial, el establecimiento principal de la empresa que ejerce el control deberá considerarse el establecimiento principal del grupo empresarial, excepto cuando los fines y medios del tratamiento los determine efectivamente otra de las empresas del grupo.

6. Excepciones generales al derecho a la protección de datos personales.

6.1. La legislación nacional de los Estados Iberoamericanos aplicable en la materia podrá limitar el derecho a la protección de datos para salvaguardar la seguridad nacional, la seguridad pública, la protección de la salud pública, la protección de los derechos y las libertades de terceros, así como por cuestiones de interés público.

6.2. Las limitaciones y restricciones serán reconocidas de manera expresa en ley, con el propósito de brindar certeza suficiente a los titulares acerca de la naturaleza y alcances de la medida.

6.3. Cualquier ley que tenga como propósito limitar el derecho a la protección de datos personales contendrá, como mínimo, disposiciones relativas a:

a. La finalidad del tratamiento.

b. Las categorías de datos personales de que se trate.

c. El alcance de las limitaciones establecidas.

d. Las garantías adecuadas para evitar accesos o transferencias ilícitas o desproporcionadas.

e. La determinación del responsable o responsables.

f. Los plazos de conservación de los datos personales.

g. Los posibles riesgos para los derechos y libertades de los titulares.

h. El derecho de los titulares a ser informados sobre la limitación, salvo que resulte perjudicial o incompatible a los fines de ésta.

6.4. Las leyes serán las necesarias, adecuadas y proporcionales en una sociedad democrática, y deberán respetar los derechos y las libertades fundamentales de los titulares.

7. Ponderación del derecho a la protección de datos personales

7.1. Los Estados Iberoamericanos podrán exentar, en su derecho interno, el cumplimiento de los principios y derechos previstos en los presentes Estándares, exclusivamente en la medida en que resulte necesario conciliar el derecho a la protección de datos personales con otros derechos y libertades fundamentales.

7.2. Esta exención deberá requerir de un ejercicio de ponderación con la finalidad de determinar la necesidad, idoneidad y proporcionalidad de la restricción o excepción conforme a las reglas y criterios que establezcan los Estados Iberoamericanos en su derecho interno.

8. Tratamiento de datos personales de niñas, niños y adolescentes

8.1. En el tratamiento de datos personales concernientes a niñas, niños y adolescentes, los Estados Iberoamericanos privilegiarán la protección del interés superior de éstos, conforme a la Convención sobre los Derechos del Niño y demás instrumentos internacionales que busquen su bienestar y protección integral.

8.2. Los Estados Iberoamericanos promoverán en la formación académica de las niñas, niños y adolescentes, el uso responsable, adecuado y seguro de las tecnologías de la información y comunicación y los eventuales riesgos a los que se enfrentan en ambientes digitales respecto del tratamiento indebido de sus datos personales, así como el respeto de sus derechos y libertades.

9. Tratamiento de datos personales de carácter sensible

9.1. Por regla general, el responsable no podrá tratar datos personales sensibles, salvo que se presente cualquiera de los siguientes supuestos:

a. Los mismos sean estrictamente necesarios para el ejercicio y cumplimiento de las atribuciones y obligaciones expresamente previstas en las normas que regulan su actuación.

b. Se dé cumplimiento a un mandato legal.

c. Se cuente con el consentimiento expreso y por escrito del titular.

d. Sean necesarios por razones de seguridad nacional, seguridad pública, orden público, salud pública o salvaguarda de derechos y libertades de terceros.

9.2. La legislación nacional de los Estados Iberoamericanos aplicable en la materia podrá establecer excepciones, garantías y condiciones adicionales para asegurar el debido tratamiento de los datos personales sensibles, de conformidad con su derecho interno.

Capítulo II. Principios de protección de datos personales

10. Principios aplicables al tratamiento de datos personales

10.1. En el tratamiento de datos personales, el responsable observará los principios de legitimación, licitud, lealtad, transparencia, finalidad, proporcionalidad, calidad, responsabilidad, seguridad y confidencialidad.

11. Principio de legitimación

11.1. Por regla general, el responsable solo podrá tratar datos personales cuando se presente alguno de los siguientes supuestos:

a. El titular otorgue su consentimiento para una o varias finalidades específicas.

b. El tratamiento sea necesario para el cumplimiento de una orden judicial, resolución o mandato fundado y motivado de autoridad pública competente.

c. El tratamiento sea necesario para el ejercicio de facultades propias de las autoridades públicas o se realice en virtud de una habilitación legal.

d. El tratamiento sea necesario para el reconocimiento o defensa de los derechos del titular ante una autoridad pública.

e. El tratamiento sea necesario para la ejecución de un contrato o precontrato en el que el titular sea parte.

f. El tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable.

g. El tratamiento sea necesario para proteger intereses vitales del titular o de otra persona física.

h. El tratamiento sea necesario por razones de interés público establecidas o previstas en ley.

i. El tratamiento sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del titular que requiera la protección de datos personales, en particular cuando el titular sea niño, niña o adolescente. Lo anterior, no resultará aplicable a los tratamientos de datos personales realizados por las autoridades públicas en el ejercicio de sus funciones.

11.2. Tratándose de este último inciso, se entenderá amparado por el interés legítimo el tratamiento de datos personales de contacto que sea imprescindible para la localización de personas físicas que prestan sus servicios al responsable, con la finalidad de mantener cualquier tipo de relación con ésta.

12. Condiciones para el consentimiento

12.1. Cuando sea necesario obtener el consentimiento del titular, el responsable demostrará de manera indubitable que el titular otorgó su consentimiento, ya sea a través de una declaración o una acción afirmativa clara.

12.2. Siempre que sea requerido el consentimiento para el tratamiento de los datos personales, el titular podrá revocarlo en cualquier momento, para lo cual el responsable establecerá mecanismos sencillos, ágiles, eficaces y gratuitos.

13. Consentimiento para el tratamiento de datos personales de niñas, niños y adolescentes

13.1. En la obtención del consentimiento de niñas, niños y adolescentes, el responsable obtendrá la autorización del titular de la patria potestad o tutela, conforme a lo dispuesto en las reglas de representación previstas en el derecho interno de los Estados Iberoamericanos, o en su caso, solicitará directamente la autorización del menor de edad si el derecho interno de cada Estado Iberoamericano ha establecido una edad mínima para que lo pueda otorgar directamente y sin representación alguna del titular de la patria potestad o tutela.

13.2. El responsable realizará esfuerzos razonables para verificar que el consentimiento fue otorgado por el titular de la patria potestad o tutela, o bien, por el menor directamente atendiendo a su edad de acuerdo con el derecho interno de cada Estado Iberoamericano, teniendo en cuenta la tecnología disponible.

14. Principio de licitud

14.1. El responsable tratará los datos personales en su posesión con estricto apego y cumplimiento de lo dispuesto por el derecho interno del Estado Iberoamericano que resulte aplicable, el derecho internacional y los derechos y libertades de las personas.

14.2. El tratamiento de datos personales que realicen las autoridades públicas se sujetará a las facultades o atribuciones que el derecho interno del Estado Iberoamericano de que se trate les confiera expresamente, además de lo previsto en el numeral anterior de los presentes Estándares.

15. Principio de lealtad

15.1. El responsable tratará los datos personales en su posesión privilegiando la protección de los intereses del titular y absteniéndose de tratar éstos a través de medios engañosos o fraudulentos.

15.2. Para los efectos de los presentes Estándares, se considerarán desleales aquellos tratamientos de datos personales que den lugar a una discriminación injusta o arbitraria contra los titulares.

16. Principio de transparencia

16.1. El responsable informará al titular sobre la existencia misma y características principales del tratamiento al que serán sometidos sus datos personales, a fin de que pueda tomar decisiones informadas al respecto.

16.2. El responsable proporcionará al titular, al menos, la información siguiente:

a. Su identidad y datos de contacto.

b. Las finalidades del tratamiento a que serán sometidos sus datos personales.

c. Las comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y las finalidades que motivan la realización de las mismas.

d. La existencia, forma y mecanismos o procedimientos a través de los cuales podrá ejercer los derechos de acceso, rectificación, cancelación, oposición y portabilidad.

e. En su caso, el origen de los datos personales cuando el responsable no los hubiere obtenido directamente del titular.

16.3. La información proporcionada al titular tendrá que ser suficiente y fácilmente accesible, así como redactarse y estructurarse en un lenguaje claro, sencillo y de fácil comprensión para los titulares a quienes va dirigida, especialmente si se trata de niñas, niños y adolescentes.

16.4. Todo responsable contará con políticas transparentes de los tratamientos de datos personales que realice.

17. Principio de finalidad

17.1. Todo tratamiento de datos personales se limitará al cumplimiento de finalidades determinadas, explícitas y legítimas.

17.2. El responsable no podrá tratar los datos personales en su posesión para finalidades distintas a aquéllas que motivaron el tratamiento original de éstos, a menos que concurra alguna de las causales que habiliten un nuevo tratamiento de datos conforme al principio de legitimación.

17.3. El tratamiento ulterior de datos personales con fines archivísticos, de investigación científica e histórica o con fines estadísticos, todos ellos, en favor del interés público, no se considerará incompatible con las finalidades iniciales.

18. Principio de proporcionalidad

18.1 El responsable tratará únicamente los datos personales que resulten adecuados, pertinentes y limitados al mínimo necesario con relación a las finalidades que justifican su tratamiento.

19. Principio de calidad

19.1. El responsable adoptará las medidas necesarias para mantener exactos, completos y actualizados los datos personales en su posesión, de tal manera que no se altere la veracidad de éstos conforme se requiera para el cumplimiento de las finalidades que motivaron su tratamiento.

19.2. Cuando los datos personales hubieren dejado de ser necesarios para el cumplimiento de las finalidades que motivaron su tratamiento, el responsable los suprimirá o eliminará de sus archivos, registros, bases de datos, expedientes o sistemas de información, o en su caso, los someterá a un procedimiento de anonimización.

19.3. En la supresión de los datos personales, el responsable implementará métodos y técnicas orientadas a la eliminación definitiva y segura de éstos.

19.4. Los datos personales únicamente serán conservados durante el plazo necesario para el cumplimiento de las finalidades que justifiquen su tratamiento o aquéllas relacionadas con exigencias legales aplicables al responsable. No obstante, la legislación nacional de los Estados Iberoamericanos aplicable en la materia podrá establecer excepciones respecto al plazo de conservación de los datos personales, con pleno respeto a los derechos y garantías del titular.

20. Principio de responsabilidad

20.1. El responsable implementará los mecanismos necesarios para acreditar el cumplimiento de los principios y obligaciones establecidas en los presentes Estándares, así como rendirá cuentas sobre el tratamiento de datos personales en su posesión al titular y a la autoridad de control, para lo cual podrá valerse de estándares, mejores prácticas nacionales o internacionales, esquemas de autorregulación, sistemas de certificación o cualquier otro mecanismo que determine adecuado para tales fines.

20.2. Lo anterior, aplicará cuando los datos personales sean tratados por parte de un encargado a nombre y por cuenta del responsable, así como al momento de realizar transferencias de datos personales.

20.3. Entre los mecanismos que el responsable podrá adoptar para cumplir con el principio de responsabilidad se encuentran, de manera enunciativa más no limitativa, los siguientes:

a. Destinar recursos para la instrumentación de programas y políticas de protección de datos personales.

b. Implementar sistemas de administración de riesgos asociados al tratamiento de datos personales.

c. Elaborar políticas y programas de protección de datos personales obligatorios y exigibles al interior de la organización del responsable.

d. Poner en práctica un programa de capacitación y actualización del personal sobre las obligaciones en materia de protección de datos personales.

e. Revisar periódicamente las políticas y programas de seguridad de datos personales para determinar las modificaciones que se requieran.

f. Establecer un sistema de supervisión y vigilancia interna y/o externa, incluyendo auditorías, para comprobar el cumplimiento de las políticas de protección de datos personales.

g. Establecer procedimientos para recibir y responder dudas y quejas de los titulares.

20.4. El responsable revisará y evaluará permanentemente los mecanismos que para tal afecto adopte voluntariamente para cumplir con el principio de responsabilidad, con el objeto de medir su nivel de eficacia en cuanto al cumplimiento de la legislación nacional aplicable.

21. Principio de seguridad

21.1. El responsable establecerá y mantendrá, con independencia del tipo de tratamiento que efectúe, medidas de carácter administrativo, físico y técnico suficientes para garantizar la confidencialidad, integridad y disponibilidad de los datos personales.

21.2. Para la determinación de las medidas referidas en el numeral anterior, el responsable considerará los siguientes factores:

a. El riesgo para los derechos y libertades de los titulares, en particular, por el valor potencial cuantitativo y cualitativo que pudieran tener los datos personales tratados para una tercera persona no autorizada para su posesión.

b. El estado de la técnica.

c. Los costos de aplicación.

d. La naturaleza de los datos personales tratados, en especial si se trata de datos personales sensibles.

e. El alcance, contexto y las finalidades del tratamiento.

f. Las transferencias internacionales de datos personales que se realicen o pretendan realizar.

g. El número de titulares.

h. Las posibles consecuencias que se derivarían de una vulneración para los titulares.

i. Las vulneraciones previas ocurridas en el tratamiento de datos personales.

21.3. El responsable llevará a cabo una serie de acciones que garanticen el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora continua de las medidas de seguridad aplicables al tratamiento de los datos personales, de manera periódica.

22. Notificación de vulneraciones a la seguridad de los datos personales

22.1. Cuando el responsable tenga conocimiento de una vulneración de seguridad de datos personales ocurrida en cualquier fase del tratamiento, entendida como cualquier daño, pérdida, alteración, destrucción, acceso, y en general, cualquier uso ilícito o no autorizado de los datos personales aun cuando ocurra de manera accidental, notificará a la autoridad de control y a los titulares afectados dicho acontecimiento, sin dilación alguna.

22.2. Lo anterior, no resultará aplicable cuando el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de la vulneración de seguridad ocurrida, o bien, que ésta no represente un riesgo para los derechos y las libertades de los titulares involucrados.

22.3. La notificación que realice el responsable a los titulares afectados estará redactada en un lenguaje claro y sencillo.

22.4. La notificación a que se refieren los numerales anteriores contendrá, al menos, la siguiente información:

a. La naturaleza del incidente.

b. Los datos personales comprometidos.

c. Las acciones correctivas realizadas de forma inmediata.

d. Las recomendaciones al titular sobre las medidas que éste pueda adoptar para proteger sus intereses.

e. Los medios disponibles al titular para obtener mayor información al respecto.

22.5. El responsable documentará toda vulneración de seguridad de los datos personales ocurrida en cualquier fase del tratamiento, identificando, de manera enunciativa más no limitativa, la fecha en que ocurrió; el motivo de la vulneración; los hechos relacionados con ella y sus efectos y las medidas correctivas implementadas de forma inmediata y definitiva, la cual estará a disposición de la autoridad de control.

22.6. La legislación nacional de los Estados Iberoamericanos aplicable en la materia establecerá los efectos de las notificaciones de vulneraciones de seguridad que realice el responsable a la autoridad de control, en lo que se refiere a los procedimientos, forma y condiciones de su intervención, con el propósito del salvaguardar los intereses, derechos y libertades de los titulares afectados.

23. Principio de confidencialidad

23.1. El responsable establecerá controles o mecanismos para que quienes intervengan en cualquier fase del tratamiento de los datos personales mantengan y respeten la confidencialidad de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular.

Capítulo III. Derechos del titular

24. Derechos ARCO

24.1. En todo momento el titular o su representante podrán solicitar al responsable, el acceso, rectificación, cancelación, oposición y portabilidad de los datos personales que le conciernen.

24.2. El ejercicio de cualquiera de los derechos referidos en el numeral anterior no es requisito previo, ni impide el ejercicio de otro.

25. Derecho de acceso

25.1. El titular tendrá el derecho de solicitar el acceso a sus datos personales que obren en posesión del responsable, así como a conocer cualquier información relacionada con las condiciones generales y específicas de su tratamiento.

26. Derecho de rectificación

26.1. El titular tendrá el derecho a obtener del responsable la rectificación o corrección de sus datos personales, cuando éstos resulten ser inexactos, incompletos o no se encuentren actualizados.

27. Derecho de cancelación

27.1. El titular tendrá derecho a solicitar la cancelación o supresión de sus datos personales de los archivos, registros, expedientes y sistemas del responsable, a fin de que los mismos ya no estén en su posesión y dejen de ser tratados por este último.

28. Derecho de oposición

28.1. El titular podrá oponerse al tratamiento de sus datos personales cuando:

a. Tenga una razón legítima derivada de su situación particular.

b. El tratamiento de sus datos personales tenga por objeto la mercadotecnia directa, incluida la elaboración de perfiles, en la medida que esté relacionada con dicha actividad.

28.2 Tratándose del inciso anterior, cuando el titular se oponga al tratamiento con fines de mercadotecnia directa, sus datos personales dejarán de ser tratados para dichos fines.

29. Derecho a no ser objeto de decisiones individuales automatizadas

29.1. El titular tendrá derecho a no ser objeto de decisiones que le produzcan efectos jurídicos o le afecten de manera significativa que se basen únicamente en tratamientos automatizados destinados a evaluar, sin intervención humana, determinados aspectos personales del mismo o analizar o predecir, en particular, su rendimiento profesional, situación económica, estado de salud, preferencias sexuales, fiabilidad o comportamiento.

29.2. Lo dispuesto en el numeral anterior no resultará aplicable cuando el tratamiento automatizado de datos personales sea necesario para la celebración o la ejecución de un contrato entre el titular y el responsable; esté autorizado por el derecho interno de los Estados Iberoamericanos, o bien, se base en el consentimiento demostrable del titular.

29.3. No obstante, cuando sea necesario para la relación contractual o el titular hubiere manifestado su consentimiento tendrá derecho a obtener la intervención humana; recibir una explicación sobre la decisión tomada; expresar su punto de vista e impugnar la decisión.

29.4. El responsable no podrá llevar a cabo tratamientos automatizados de datos personales que tengan como efecto la discriminación de los titulares por su origen racial o étnico; creencias o convicciones religiosas, filosóficas y morales; afiliación sindical; opiniones políticas; datos relativos a la salud, a la vida, preferencia u orientación sexual, así como datos genéticos o datos biométricos.

30. Derecho a la portabilidad de los datos personales

30.1. Cuando se traten datos personales por vía electrónica o medios automatizados, el titular tendrá derecho a obtener una copia de los datos personales que hubiere proporcionado al responsable o que sean objeto de tratamiento, en un formato electrónico estructurado, de uso común y lectura mecánica, que le permita seguir utilizándolos y transferirlos a otro responsable, en caso de que lo requiera.

30.2. El titular podrá solicitar que sus datos personales se transfieran directamente de responsable a responsable cuando sea técnicamente posible.

30.3. El derecho a la portabilidad de los datos personales no afectará negativamente a los derechos y libertades de otros.

30.4. Sin perjuicio de otros derechos del titular, el derecho a la portabilidad de los datos personales no resultará procedente cuando se trate de información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamiento efectuado por el responsable con base en los datos personales proporcionados por el titular, como es el caso de los datos personales que hubieren sido sometidos a un proceso de personalización, recomendación, categorización o creación de perfiles.

31. Derecho a la limitación del tratamiento de los datos personales

31.1. El titular tendrá derecho a que el tratamiento de datos personales se limite a su almacenamiento durante el periodo que medie entre una solicitud de rectificación u oposición hasta su resolución por el responsable.

31.2. El titular tendrá derecho a la limitación del tratamiento de sus datos personales cuando éstos sean innecesarios para el responsable, pero los necesite para formular una reclamación.

32. Ejercicio de los derechos ARCO y de portabilidad

32.1. El responsable establecerá medios y procedimientos sencillos, expeditos, accesibles y gratuitos que permitan al titular ejercer sus derechos de acceso, rectificación, cancelación, oposición y portabilidad.

32.2. La legislación nacional de los Estados Iberoamericanos aplicable en la materia establecerá los requerimientos, plazos, términos y condiciones en que los titulares podrán ejercer sus derechos de acceso, rectificación, cancelación, oposición y portabilidad, así como las causales de improcedencia al ejercicio de los mismos como podrían ser, de manera enunciativa más no limitativa:

a. Cuando el tratamiento sea necesario para el cumplimiento de un objetivo importante de interés público.

b. Cuando el tratamiento sea necesario para el ejercicio de las funciones propias de las autoridades públicas.

c. Cuando el responsable acredite tener motivos legítimos para que el tratamiento prevalezca sobre los intereses, los derechos y las libertades del titular.

d. Cuando el tratamiento sea necesario para el cumplimiento de una disposición legal.

e. Cuando los datos personales sean necesarios para el mantenimiento o cumplimiento de una relación jurídica o contractual.

32.3. La legislación nacional de los Estados Iberoamericanos aplicable en la materia podrá reconocer que las personas físicas vinculadas a fallecidos o designados por éstos, ejerzan los derechos a que se refiere el presente estándar respecto a los datos personales de fallecidos que les conciernan.

32.4. La legislación nacional de los Estados Iberoamericanos aplicable en la materia reconocerá el derecho que tiene el titular de inconformarse o impugnar las respuestas otorgadas por el responsable ante una solicitud de ejercicio de los derechos aludidos en el presente numeral, o ante la falta de respuesta de éste ante la autoridad de control y, en su caso, ante instancias judiciales de conformidad con el derecho interno de cada Estado Iberoamericano.

Capítulo IV. Encargado

33. Alcance del encargado

33.1. El encargado realizará las actividades de tratamiento de los datos personales sin ostentar poder alguno de decisión sobre el alcance y contenido del mismo, así como limitará sus actuaciones a los términos fijados por el responsable.

34. Formalización de la prestación de servicios del encargado

34.1. La prestación de servicios entre el responsable y encargado se formalizará mediante la suscripción de un contrato o cualquier otro instrumento jurídico que consideren los Estados Iberoamericanos en la legislación nacional aplicable en la materia.

34.2. El contrato o instrumento jurídico establecerá, al menos, el objeto, alcance, contenido, duración, naturaleza y finalidad del tratamiento; el tipo de datos personales; las categorías de titulares, así como las obligaciones y responsabilidades del responsable y encargado.

34.3. El contrato o instrumento jurídico establecerá, al menos, las siguientes cláusulas generales relacionadas con los servicios que preste el encargado:

a. Realizar el tratamiento de los datos personales conforme a las instrucciones del responsable.

b. Abstenerse de tratar los datos personales para finalidades distintas a las instruidas por el responsable.

c. Implementar las medidas de seguridad conforme a los instrumentos jurídicos aplicables.

d. Informar al responsable cuando ocurra una vulneración a los datos personales que trata por sus instrucciones.

e. Guardar confidencialidad respecto de los datos personales tratados.

f. Suprimir, devolver o comunicar a un nuevo encargado designado por el responsable los datos personales objeto de tratamiento, una vez cumplida la relación jurídica con el responsable o por instrucciones de éste, excepto que una disposición legal exija la conservación de los datos personales, o bien, que el responsable autorice la comunicación de éstos a otro encargado.

g. Abstenerse de transferir los datos personales, salvo en el caso de que el responsable así lo determine, o la comunicación derive de una subcontratación, o por mandato expreso de la autoridad de control.

h. Permitir al responsable o autoridad de control inspecciones y verificaciones en sitio.

i. Generar, actualizar y conservar la documentación que sea necesaria y que le permita acreditar sus obligaciones.

j. Colaborar con el responsable en todo lo relativo al cumplimiento de la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

34.4. Cuando el encargado incumpla las instrucciones del responsable y decida por sí mismo sobre el alcance, contenido, medios y demás cuestiones del tratamiento de los datos personales asumirá la calidad de responsable, conforme a la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

35. Subcontratación de servicios

35.1. El encargado podrá, a su vez, subcontratar servicios que impliquen el tratamiento de datos personales, siempre y cuando exista una autorización previa por escrito, específica o general del responsable, o bien, se estipule expresamente en el contrato o instrumento jurídico suscrito entre este último y el encargado.

35.2. El subcontratado asumirá el carácter de encargado en los términos que estipulen la legislación nacional del Estado Iberoamericano aplicable en la materia.

35.3. El encargado formalizará la prestación de servicios del subcontratado a través de un contrato o cualquier otro instrumento jurídico que determine la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

35.4. Cuando el subcontratado incumpla sus obligaciones y responsabilidades respecto al tratamiento de datos personales que lleve a cabo conforme a lo instruido por el encargado, asumirá la calidad de responsable conforme a la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

Capítulo V. Transferencias internacionales de datos personales

36. Reglas generales para las transferencias de datos personales

36.1. El responsable y encargado podrán realizar transferencias internacionales de datos personales en cualquiera de los siguientes supuestos:

a. El país, parte de su territorio, sector, actividad u organización internacional destinatario de los datos personales hubiere sido reconocido con un nivel adecuado de protección de datos personales por parte del país transferente, conforme a la legislación nacional de éste que resulte aplicable en la materia, o bien, el país destinatario o varios sectores del mismo acrediten condiciones mínimas y suficientes para garantizar un nivel de protección de datos personales adecuado.

b. El exportador ofrezca garantías suficientes del tratamiento de los datos personales en el país destinatario, y éste, a su vez, acredite el cumplimiento de las condiciones mínimas y suficientes establecidas en la legislación nacional de cada Estado Iberoamericano aplicable en la materia.

c. El exportador y destinatario suscriban cláusulas contractuales o cualquier otro instrumento jurídico que ofrezca garantías suficientes y que permita demostrar el alcance del tratamiento de los datos personales, las obligaciones y responsabilidades asumidas por las partes y los derechos de los titulares. La autoridad de control podrá validar cláusulas contractuales o instrumentos jurídicos según se determine en la legislación nacional de los Estados Iberoamericanos aplicable en la materia.

d. El exportador y destinatario adopten un esquema de autorregulación vinculante o un mecanismo de certificación aprobado, siempre y cuando éste sea acorde con las disposiciones previstas en la legislación nacional del Estado Iberoamericano aplicable en la materia, que está obligado a observar el exportador.

e. La autoridad de control del Estado Iberoamericano del país del exportador autorice la transferencia, en términos de la legislación  nacional que resulte aplicable en la materia.

36.2. La legislación nacional de los Estados Iberoamericanos aplicable en la materia podrá establecer expresamente límites a las transferencias internacionales de categorías de datos personales por razones de seguridad nacional, seguridad pública, protección de la salud

pública, protección de los derechos y libertades de terceros, así como por cuestiones de interés público.

Capítulo VI. Medidas proactivas en el tratamiento de datos personales

37. Reconocimiento de medidas proactivas

37.1. La legislación nacional de los Estados Iberoamericanos aplicable en la materia podrá reconocer y establecer medidas que promuevan el mejor cumplimiento de su legislación y coadyuven a fortalecer y elevar los controles de protección de datos personales implementados por el responsable, entre las cuales podrán encontrase las que a continuación se indican en el presente Capítulo.

38. Privacidad por diseño y privacidad por defecto

38.1. El responsable aplicará, desde el diseño, en la determinación de los medios del tratamiento de los datos personales, durante el mismo y antes de recabar los datos personales, medidas preventivas de diversa naturaleza que permitan aplicar de forma efectiva los principios, derechos y demás obligaciones previstas en la legislación nacional del Estado Iberoamericano que le resulte aplicable.

38.2. El responsable garantizará que sus programas, servicios, sistemas o plataformas informáticas, aplicaciones electrónicas o cualquier otra tecnología que impliquen un tratamiento de datos personales, cumplan por defecto o se ajusten a los principios, derechos y demás obligaciones previstas en la legislación nacional del Estado Iberoamericano que le resulte aplicable. Específicamente, con el fin de que únicamente sean objeto de tratamiento el mínimo de datos personales y se limite la accesibilidad de éstos, sin la intervención del titular, a un número indeterminado de personas.

39. Oficial de protección de datos personales

39.1. El responsable designará a un oficial de protección de datos personales o figura equivalente en los casos que establezca la legislación nacional de los Estados Iberoamericanos aplicable en la materia y cuando:

a. Sea una autoridad pública.

b. Lleve a cabo tratamientos de datos personales que tengan por objeto una observación habitual y sistemática de la conducta del titular.

c. Realice tratamientos de datos personales donde sea probable que entrañe un alto riesgo de afectación del derecho a la protección de datos personales de los titulares, considerando, entre otros factores y de manera enunciativa más no limitativa, las categorías de datos personales tratados, en especial cuando se trate de datos sensibles; las transferencias que se efectúen; el número de titulares; el alcance del tratamiento; las tecnologías de información utilizadas o las finalidades de éstos.

39.2. El responsable que no se encuentre en alguna de las causales previstas en el numeral anterior, podrá designar a un oficial de protección de datos personales si así lo estima conveniente.

39.3. El responsable estará obligado a respaldar al oficial de protección de datos personales en el desempeño de sus funciones, facilitándole los recursos necesarios para su desempeño y para el mantenimiento de sus conocimientos especializados y la actualización de éstos.

39.4. El oficial de protección de datos personales tendrá, al menos, las siguientes funciones:

a. Asesorar al responsable respecto a los temas que sean sometidos a su consideración en materia de protección de datos personales.

b. Coordinar, al interior de la organización del responsable, las políticas, programas, acciones y demás actividades que correspondan para el cumplimiento de la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

c. Supervisar al interior de la organización del responsable el cumplimiento de la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

40. Mecanismos de autorregulación

40.1. El responsable podrá adherirse, de manera voluntaria, a esquemas de autorregulación vinculante, que tengan por objeto, entre otros, contribuir a la correcta aplicación de la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia y establecer procedimientos de resolución de conflictos entre el responsable y titular sin perjuicio de otros mecanismos que establezca la legislación nacional de la materia aplicable, teniendo en cuenta las características específicas de los tratamientos de datos personales realizados, así como el efectivo ejercicio y respeto de los derechos del titular.

40.2. Para los efectos del numeral anterior, se podrán desarrollar, entre otros, códigos deontológicos y sistemas de certificación y sus respectivos sellos de confianza que coadyuven a contribuir a los objetivos señalados en el presente numeral.

40.3. La legislación nacional de los Estados Iberoamericanos aplicable en la materia establecerá las reglas que correspondan para la validación, confirmación o reconocimiento de los mecanismos de autorregulación aludidos.

41. Evaluación de impacto a la protección de datos personales

41.1. Cuando el responsable pretenda llevar a cabo un tipo de tratamiento de datos personales que, por su naturaleza, alcance, contexto o finalidades, sea probable que entrañe un alto riesgo de afectación del derecho a la protección de datos personales de los titulares, realizará, de manera previa, a la implementación del mismo una evaluación del impacto a la protección de los datos personales.

41.2. La legislación nacional de los Estados Iberoamericanos que resulte aplicable en la materia señalará los tratamientos que requieran de una evaluación de impacto a la protección de datos personales; el contenido de éstas, los supuestos en que resulte procedente presentar el resultado ante la autoridad de control, así como los requerimientos de dicha presentación, entre otras cuestiones.

Capítulo VII. Autoridades de control

42. Naturaleza de las autoridades de control y supervisión

42.1. En cada Estado Iberoamericano deberá existir una o más autoridades de control en materia de protección de datos personales con plena autonomía, de conformidad con su legislación nacional aplicable en la materia.

42.2 Las autoridades de control podrán ser órganos unipersonales o pluripersonales; actuarán con carácter imparcial e independiente en sus potestades, así como serán ajenas a toda influencia externa, ya sea directa o indirecta, y no solicitarán ni admitirán orden ni instrucción alguna.

42.3. El miembro o los miembros de los órganos de dirección de las autoridades de control deberán contar con la experiencia y aptitudes, en particular respecto al ámbito de protección de datos personales, necesarios para el cumplimiento de sus funciones y el ejercicio de sus potestades. Se nombrarán mediante un procedimiento transparente en virtud de la legislación nacional aplicable y únicamente podrán ser removidos por causales graves establecidas en el derecho interno de cada Estado Iberoamericano, conforme a las reglas del debido proceso.

42.4. La legislación nacional de los Estados Iberoamericanos que resulte aplicable en la materia deberá otorgar a las autoridades de control suficientes poderes de investigación, supervisión, resolución, promoción, sanción y otros que resulten necesarios para garantizar el efectivo cumplimiento de ésta, así como el ejercicio y respeto efectivo del derecho a la protección de datos personales.

42.5. Las decisiones de las autoridades de control únicamente estarán sujetas al control jurisdiccional, conforme a los mecanismos establecidos en la legislación nacional de los Estados Iberoamericanos que resulte aplicable en la materia y su derecho interno.

42.6. Las autoridades de control deberán contar con los recursos humanos y materiales necesarios para el cumplimiento de sus funciones.

Capítulo VIII. Reclamaciones y Sanciones

43. Régimen de reclamaciones y de imposición de sanciones

43.1. Todo titular tendrá derecho a presentar su reclamación ante la autoridad de control, así como recurrir a la tutela judicial para hacer efectivos sus derechos conforme a la legislación nacional del Estado Iberoamericano que resulte aplicable en la materia.

43.2. La legislación nacional de los Estados Iberoamericanos aplicable en la materia establecerá un régimen que permita al titular presentar una reclamación ante la autoridad de control cuando considere que el tratamiento de sus datos personales infringe la normativa nacional en la materia, así como a solicitar la tutela judicial.

43.3. La legislación nacional de los Estados Iberoamericanos aplicable en la materia establecerá un régimen que permita la adopción de medidas correctivas y sancionar las conductas que contravengan lo dispuesto en las legislaciones nacionales correspondientes, indicando, al menos, el límite máximo y los criterios objetivos para fijar las correspondientes sanciones, a partir de la naturaleza, gravedad, duración de la infracción y sus consecuencias, así como las medidas implementadas por el responsable para garantizar el cumplimiento de sus obligaciones en la materia.

Capítulo IX. Derecho de indemnización

44. Reparación del daño

44.1. La legislación nacional de los Estados Iberoamericanos aplicable en la materia reconocerá el derecho que tiene el titular a ser indemnizado cuando hubiere sufrido daños y perjuicios, como consecuencia de una violación de su derecho a la protección de datos personales.

44.2. El derecho interno de los Estados Iberoamericanos señalará la autoridad competente para conocer de este tipo de acciones interpuestas por el titular afectado, así como los plazos, requerimientos y términos a través de los cuales será indemnizado éste, en caso de resultar procedente.

Capítulo X. Cooperación internacional

45. Establecimiento de mecanismos de cooperación internacional

45.1. Los Estados Iberoamericanos podrán adoptar mecanismos de cooperación internacional que faciliten la aplicación de las legislaciones nacionales aplicables en la materia, los cuales podrán comprender, de manera enunciativa más no limitativa:

a. El establecimiento de mecanismos que permitan reforzar la asistencia y cooperación internacional en la aplicación de las respectivas legislaciones nacionales en la materia.

b. La asistencia entre las autoridades de control a través de la notificación y remisión de reclamaciones, la asistencia en investigaciones y el intercambio de información.

c. La adopción de mecanismos orientados al conocimiento e intercambio de mejores prácticas y experiencias en materia de protección de datos personales, inclusive en materia de conflictos de jurisdicción con terceros países.

26Nov/15

Sentencia Tribunal Justicia Unión Europea 6 octubre 2015

En el asunto C 362/14, que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por la High Court (Irlanda), mediante resolución de 17 de julio de 2014, recibida en el Tribunal de Justicia el 25 de julio de 2014, en el procedimiento entre

Maximillian Schrems Data Protection Commissionercon intervención de:

Digital Rights Ireland Ltd,

EL TRIBUNAL DE JUSTICIA (Gran Sala), integrado por el Sr. V. Skouris, Presidente, el Sr. K. Lenaerts, Vicepresidente, el Sr. A. Tizzano, la Sra. R. Silva de Lapuerta, los Sres. T. von Danwitz (Ponente) y S. Rodin y la Sra. K. Jürimäe, Presidentes de Sala, y los Sres. A. Rosas, E. Juhász, A. Borg Barthet, J. Malenovský y D. Šváby, la Sra. M. Berger y los Sres. F. Biltgen y C. Lycourgos, Jueces;

Abogado General: Sr. Y. Bot;

Secretario: Sra. L. Hewlett, administradora principal;

habiendo considerado los escritos obrantes en autos y celebrada la vista el 24 de marzo de 2015;

consideradas las observaciones presentadas:

en nombre del Sr. Schrems, por el Sr. N. Travers, SC, el Sr. P. O’Shea, BL, el Sr. G. Rudden, Solicitor, y el Sr. H. Hofmann, Rechtsanwalt;

en nombre del Data Protection Commissioner, por el Sr. P. McDermott, BL, la Sra. S. More O’Ferrall y el Sr. D. Young, Solicitors;

en nombre de Digital Rights Ireland Ltd, por el Sr. F. Crehan, BL, y los Sres. S. McGarr y E. McGarr, Solicitors;

en nombre de Irlanda, por los Sres. A. Joyce y B. Counihan y la Sra. E. Creedon, en calidad de agentes, asistidos por el Sr. D. Fennelly, BL;

en nombre del Gobierno belga, por el Sr. J.-C. Halleux y la Sra. C. Pochet, en calidad de agentes;

en nombre del Gobierno checo, por los Sres. M. Smolek y J. Vláčil, en calidad de agentes;

en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. P. Gentili, avvocato dello Stato;

en nombre del Gobierno austriaco, por los Sres. G. Hesse y G. Kunnert, en calidad de agentes;

en nombre del Gobierno polaco, por las Sras. M. Kamejsza y M. Pawlicka y el Sr. B. Majczyna, en calidad de agentes;

en nombre del Gobierno esloveno, por las Sras. A. Grum y V. Klemenc, en calidad de agentes;

en nombre del Gobierno del Reino Unido, por el Sr. L. Christie y la Sra. J. Beeko, en calidad de agentes, asistidos por el Sr. J. Holmes, Barrister;

en nombre del Parlamento Europeo, por los Sres. D. Moore y A. Caiola y la Sra. M. Pencheva, en calidad de agentes;

en nombre de la Comisión Europea, por los Sres. B. Schima, B. Martenczuk y B. Smulders y la Sra. J. Vondung, en calidad de agentes;

en nombre del Supervisor Europeo de Protección de Datos (SEPD), por los Sres. C. Docksey, A. Buchta y V. Pérez Asinari, en calidad de agentes;

oídas las conclusiones del Abogado General, presentadas en audiencia pública el 23 de septiembre de 2015;

dicta la siguiente

Sentencia

1.- La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»), de los artículos 25, apartado 6, y 28 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281, p. 31), en su versión modificada por el Reglamento (CE) nº 1882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003 (DO L 284, p. 1) (en lo sucesivo, Directiva 95/46), así como, en sustancia, la validez de la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América (DO L 215, p. 7).

2.- Esa petición se ha presentado en el marco de un litigio entre el Sr. Schrems y el Data Protection Commissioner (comisario para la protección de datos; en lo sucesivo, «comisario»), acerca de la negativa de éste a instruir una reclamación presentada por el Sr. Schrems, basada en que Facebook Ireland Ltd (en lo sucesivo, «Facebook Ireland») transfiere a Estados Unidos los datos personales de sus usuarios y los conserva en sus servidores situados en ese país.

 Marco jurídico

 Directiva 95/46

3.-  Los considerandos 2, 10, 56, 57, 60, 62 y 63 de la Directiva 95/46/CE están así redactados:

«(2) […] los sistemas de tratamiento de datos están al servicio del hombre; […] deben, cualquiera que sea la nacionalidad o la residencia de las personas físicas, respetar las libertades y derechos fundamentales de las personas físicas y, en particular, la [vida privada], y contribuir […] al bienestar de los individuos;

[…]

(10) […] las legislaciones nacionales relativas al tratamiento de datos personales tienen por objeto garantizar el respeto de los derechos y libertades fundamentales, particularmente del derecho al respeto de la vida privada reconocido en el artículo 8 del Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales[, firmado en Roma el 4 de noviembre de 1950], así como en los principios generales del Derecho comunitario; […] por lo tanto, la aproximación de dichas legislaciones no debe conducir a una disminución de la protección que garantizan sino que, por el contrario, debe tener por objeto asegurar un alto nivel de protección dentro de la Comunidad;

[…]

(56) […] los flujos transfronterizos de datos personales son necesarios para [el] desarrollo del comercio internacional; […] la protección de las personas garantizada en la Comunidad por la presente Directiva no se opone a la transferencia de datos personales a terceros países que garanticen un nivel de protección adecuado; […] el carácter adecuado del nivel de protección ofrecido por un país tercero debe apreciarse teniendo en cuenta todas las circunstancias relacionadas con la transferencia o la categoría de transferencias;

(57) […] por otra parte, […] cuando un país tercero no ofrezca un nivel de protección adecuado debe prohibirse la transferencia al mismo de datos personales;

[…]

(60) […] en cualquier caso, las transferencias hacia países terceros sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas por los Estados miembros en aplicación de la presente Directiva, y, en particular, de su artículo 8;

[…]

(62) […] la creación de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la protección de las personas en lo que respecta al tratamiento de datos personales;

(63) […] dicha autoridad debe disponer de los medios necesarios para cumplir su función, ya se trate de poderes de investigación o de intervención, en particular en casos de reclamaciones presentadas a la autoridad o de poder comparecer en juicio; […]»

4.- Los artículos 1, 2, 25, 26, 28 y 31 de la Directiva 95/46/CE disponen:

 «Artículo 1.- Objeto de la Directiva

1 Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la [vida privada], en lo que respecta al tratamiento de los datos personales.

[…]

Artículo 2.- Definiciones

A efectos de la presente Directiva, se entenderá por:

a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;

b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;

[…]

d) “responsable del tratamiento”: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que sólo o conjuntamente con otros determine los fines y los medios del tratamiento de datos personales; en caso de que los fines y los medios del tratamiento estén determinados por disposiciones legislativas o reglamentarias nacionales o comunitarias, el responsable del tratamiento o los criterios específicos para su nombramiento podrán ser fijados por el Derecho nacional o comunitario;

[…]

Artículo 25.- Principios

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

2. El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

3. Los Estados miembros y la Comisión se informarán recíprocamente de los casos en que consideren que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2.

4. Cuando la Comisión compruebe, con arreglo al procedimiento establecido en el apartado 2 del artículo 31, que un tercer país no garantiza un nivel de protección adecuado con arreglo al apartado 2 del presente artículo, los Estados miembros adoptarán las medidas necesarias para impedir cualquier transferencia de datos personales al tercer país de que se trate.

5. La Comisión iniciará en el momento oportuno las negociaciones destinadas a remediar la situación que se produzca cuando se compruebe este hecho en aplicación del apartado 4.

6. La Comisión podrá hacer constar, de conformidad con el procedimiento previsto en el apartado 2 del artículo 31, que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 del presente artículo, a la vista de su legislación interna o de sus compromisos internacionales, suscritos especialmente al término de las negociaciones mencionadas en el apartado 5, a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas.

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

Artículo 26.- Excepciones

1. No obstante lo dispuesto en el artículo 25 y salvo disposición contraria del Derecho nacional que regule los casos particulares, los Estados miembros dispondrán que pueda efectuarse una transferencia de datos personales a un país tercero que no garantice un nivel de protección adecuado con arreglo a lo establecido en el apartado 2 del artículo 25, siempre y cuando:

a) el interesado haya dado su consentimiento inequívocamente a la transferencia prevista, o

b) la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado, o

c) la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero, o

d) la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial, o

e) la transferencia sea necesaria para la salvaguardia del interés vital del interesado, o

f) la transferencia tenga lugar desde un registro público que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para la consulta.

2. Sin perjuicio de lo dispuesto en el apartado 1, los Estados miembros podrán autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado con arreglo al apartado 2 del artículo 25, cuando el responsable del tratamiento ofrezca garantías suficientes respecto de la protección de la vida privada, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos; dichas garantías podrán derivarse, en particular, de cláusulas contractuales apropiadas.

3. Los Estados miembros informarán a la Comisión y a los demás Estados miembros acerca de las autorizaciones que concedan con arreglo al apartado 2.

En el supuesto de que otro Estado miembro o la Comisión expresaren su oposición y la justificaren debidamente por motivos derivados de la protección de la vida privada y de los derechos y libertades fundamentales de las personas, la Comisión adoptará las medidas adecuadas con arreglo al procedimiento establecido en el apartado 2 del artículo 31.

Los Estados miembros adoptarán las medidas necesarias para ajustarse a la decisión de la Comisión.

[…]

Artículo 28.- Autoridad de control

1. Los Estados miembros dispondrán que una o más autoridades públicas se encarguen de vigilar la aplicación en su territorio de las disposiciones adoptadas por ellos en aplicación de la presente Directiva.

Estas autoridades ejercerán las funciones que les son atribuidas con total independencia.

2. Los Estados miembros dispondrán que se consulte a las autoridades de control en el momento de la elaboración de las medidas reglamentarias o administrativas relativas a la protección de los derechos y libertades de las personas en lo que se refiere al tratamiento de datos de carácter personal.

3. La autoridad de control dispondrá, en particular, de:

–  poderes de investigación, como el derecho de acceder a los datos que sean objeto de un tratamiento y el de recabar toda la información necesaria para el cumplimiento de su misión de control,

–  poderes efectivos de intervención, como, por ejemplo, el de formular dictámenes antes de realizar los tratamientos, con arreglo al artículo 20, y garantizar una publicación adecuada de dichos dictámenes, o el de ordenar el bloqueo, la supresión o la destrucción de datos, o incluso prohibir provisional o definitivamente un tratamiento, o el de dirigir una advertencia o amonestación al responsable del tratamiento o el de someter la cuestión a los parlamentos u otras instituciones políticas nacionales,

–  capacidad procesal en caso de infracciones a las disposiciones nacionales adoptadas en aplicación de la presente Directiva o [capacidad para] poner dichas infracciones en conocimiento de la autoridad judicial.

Las decisiones de la autoridad de control lesivas de derechos podrán ser objeto de recurso jurisdiccional.

4. Toda autoridad de control entenderá de las solicitudes que cualquier persona, o cualquier asociación que la represente, le presente en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales. Esa persona será informada del curso dado a su solicitud.

Toda autoridad de control entenderá, en particular, de las solicitudes de verificación de la licitud de un tratamiento que le presente cualquier persona cuando sean de aplicación las disposiciones nacionales tomadas en virtud del artículo 13 de la presente Directiva. Dicha persona será informada en todos los casos de que ha tenido lugar una verificación.

[…]

6. Toda autoridad de control será competente, sean cuales sean las disposiciones de Derecho nacional aplicables al tratamiento de que se trate, para ejercer en el territorio de su propio Estado miembro los poderes que se le atribuyen en virtud del apartado 3 del presente artículo. Dicha autoridad podrá ser instada a ejercer sus poderes por una autoridad de otro Estado miembro.

[…]

Artículo 31

[…]

2. En los casos en que se haga referencia al presente artículo, serán de aplicación los artículos 4 y 7 de la Decisión 1999/468/CE [del Consejo, de 28 de junio de 1999, por la que se establecen los procedimientos para el ejercicio de las competencias de ejecución atribuidas a la Comisión (DO L 184, p. 23)], observando lo dispuesto en su artículo 8.

[…]»

Decisión 2000/520

5.- La Decisión 2000/520 fue adoptada por la Comisión con fundamento en el artículo 25, apartado 6, de la Directiva 95/46.

6.- Los considerandos 2, 5 y 8 de esa Decisión están así redactados:

«(2) La Comisión puede determinar que un tercer país garantiza un nivel de protección adecuado. En tal caso, pueden transferirse datos personales desde los Estados miembros sin que sea necesaria ninguna garantía adicional.

[…]

(5) El nivel adecuado de protección de la transferencia de datos desde la Comunidad a Estados Unidos de América, reconocido por la presente Decisión, debe alcanzarse si las entidades cumplen los principios de puerto seguro para la protección de la vida privada, con objeto de proteger los datos personales transferidos de un Estado miembro a Estados Unidos de América (en lo sucesivo denominados “los principios”), así [como] las preguntas más frecuentes (en lo sucesivo denominadas “FAQ”), en las que se proporciona orientación para aplicar los principios, publicadas por el Gobierno de Estados Unidos de América con fecha 21 de julio de 2000. Además, las entidades deben dar a conocer públicamente sus políticas de protección de la vida privada y someterse a la jurisdicción de la Federal Trade Commission (Comisión Federal de Comercio, FTC) a tenor de lo dispuesto en el artículo 5 de la Federal Trade Commission Act, en la que se prohíben actos o prácticas desleales o fraudulentas en el comercio o en relación con él, o a la jurisdicción de otros organismos públicos que garanticen el cumplimiento efectivo de los principios y su aplicación de conformidad con las FAQ.

[…]

(8) Aunque se compruebe el nivel adecuado de la protección, por motivos de transparencia y para proteger la capacidad de las autoridades correspondientes de los Estados miembros de garantizar la protección de las personas en lo que respecta al tratamiento de sus datos personales, resulta necesario especificar en la presente Decisión las circunstancias excepcionales que pudieran justificar la suspensión de flujos específicos de información.»

7.- A tenor de los artículos 1 a 4 de la Decisión 2000/520:

«Artículo 1

1. A los efectos del apartado 2 del artículo 25 de la Directiva 95/46/CE, para todas las actividades cubiertas por la misma, se considerará que los principios de puerto seguro (en lo sucesivo denominados “los principios”), que figuran en el anexo I de la presente Decisión, aplicados de conformidad con la orientación que proporcionan las preguntas más frecuentes (en lo sucesivo denominadas “FAQ”) publicadas por el Departamento de Comercio de Estados Unidos de América con fecha 21 de julio de 2000, que figuran en el anexo II de la presente Decisión, garantizan un nivel adecuado de protección de los datos personales transferidos desde la Comunidad a entidades establecidas en Estados Unidos de América, habida cuenta de los siguientes documentos publicados por el Departamento de Comercio de Estados Unidos de América:

a) Estudio de aplicación, que figura en el anexo III;

b) Memorando sobre daños y perjuicios por violación de la vida privada y autorizaciones explícitas en la legislación estadounidense, que figura en el anexo IV;

c) Carta de la Comisión Federal de Comercio, que figura en el anexo V;

d) Carta del Departamento estadounidense de Transporte, que figura en el anexo VI.

2. En relación con cada transferencia de datos deberán cumplirse las condiciones siguientes:

a) la entidad receptora de los datos deberá haber manifestado de forma inequívoca y pública su compromiso de cumplir los principios aplicados de conformidad con las FAQ;

b) la entidad estará sujeta a la jurisdicción de uno de los organismos públicos estadounidenses que figuran en el anexo VII de la presente Decisión, que estará facultado para investigar las quejas que se presenten y solicitar medidas provisionales contra las prácticas desleales o fraudulentas, así como reparaciones para los particulares, independientemente de su país de residencia o de su nacionalidad, en caso de incumplimiento de los principios y su aplicación de conformidad con las FAQ.

3. Se considerará que la entidad que autocertifica su adhesión a los principios y su aplicación de conformidad con las FAQ cumple las condiciones mencionadas en el apartado 2 a partir de la fecha en que notifique al Departamento de Comercio de Estados Unidos de América o a su representante el compromiso a que se refiere la letra a) del apartado 2, así como la identidad del organismo público a que se refiere la letra b) del apartado 2.

Artículo 2

La presente Decisión se refiere únicamente a la adecuación de la protección proporcionada en Estados Unidos de América con arreglo a los principios y su aplicación de conformidad con las FAQ a fin de ajustarse a los requisitos del apartado 1 del artículo 25 de la Directiva 95/46/CE, y no afecta a la aplicación de las demás disposiciones de dicha Directiva [correspondientes] al tratamiento de datos personales en los Estados miembros, y en particular a su artículo 4.

Artículo 3

1. Sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las disposiciones nacionales adoptadas de conformidad con disposiciones diferentes del artículo 25 de la Directiva 95/46/CE, las autoridades competentes de los Estados miembros podrán ejercer su facultad de suspender los flujos de datos hacia una entidad que haya autocertificado su adhesión a los principios y su aplicación de conformidad con las FAQ, a fin de proteger a los particulares contra el tratamiento de sus datos personales, en los casos siguientes:

a) el organismo público de Estados Unidos de América contemplado en el anexo VII de la presente Decisión, o un [órgano] independiente de recurso, a efectos de la letra a) del principio de aplicación, que figura en el anexo I de la presente Decisión, ha resuelto que la entidad ha vulnerado los principios y su aplicación de conformidad con las FAQ; o

b) existen grandes probabilidades de que se estén vulnerando los principios; existen razones para creer que el [órgano] de aplicación correspondiente no ha tomado o no tomará las medidas oportunas para resolver el caso en cuestión; la continuación de la transferencia podría crear un riesgo inminente de grave perjuicio a los afectados; y las autoridades competentes del Estado miembro han hecho esfuerzos razonables en estas circunstancias para notificárselo a la entidad y proporcionarle la oportunidad de alegar.

La suspensión cesará en cuanto esté garantizado el cumplimiento de los principios y su aplicación de conformidad con las FAQ y las autoridades correspondientes de la Unión Europea hayan sido notificadas de ello.

2. Los Estados miembros informarán a la Comisión a la mayor brevedad de la adopción de medidas con arreglo al apartado 1.

3. Asimismo, los Estados miembros y la Comisión se informarán recíprocamente de aquellos casos en que la actuación de los organismos responsables del cumplimiento de los principios y su aplicación de conformidad con las FAQ en Estados Unidos de América no garantice dicho cumplimiento.

4. Si la información recogida con arreglo a los apartados 1 a 3 demuestra que un organismo responsable del cumplimiento de los principios y su aplicación de conformidad con las FAQ en Estados Unidos de América no está ejerciendo su función, la Comisión lo notificará al Departamento de Comercio de Estados Unidos de América y, si procede, presentará un proyecto de medidas con arreglo al procedimiento que establece el artículo 31 de la Directiva, a fin de anular o suspender la presente Decisión o limitar su ámbito de aplicación.

Artículo 4

1. La presente Decisión podrá adaptarse en cualquier momento de conformidad con la experiencia resultante de su aplicación o si el nivel de protección establecido por los principios y las FAQ es superado por los requisitos de la legislación estadounidense.

La Comisión analizará en todo caso, basándose en la información disponible, la aplicación de la presente Decisión tres años después de su notificación a los Estados miembros e informará de cualquier resultado pertinente al Comité previsto en el artículo 31 de la Directiva 95/46/CE, en particular de toda prueba que pueda afectar a la evaluación de que las disposiciones del artículo 1 de la presente Decisión proporcionan protección adecuada a efectos del artículo 25 de la Directiva 95/46/CE y de toda prueba de que la presente Decisión se está aplicando de forma discriminatoria.

2. La Comisión presentará, si procede, proyectos de medidas de conformidad con el procedimiento establecido en el artículo 31 de la Directiva 95/46/CE

8.- El anexo I de la Decisión 2000/520 tiene la siguiente redacción:

«Principios de puerto seguro (protección de la vida privada) Publicados por el Departamento de Comercio de Estados Unidos de América el 21 de julio de 2000

[…]

[…] el Departamento Federal de Comercio publica el presente documento más las preguntas más frecuentes (“los principios”), o FAQ, en su calidad de autoridad competente para estimular, fomentar y desarrollar el comercio internacional. Dichos principios se formularon en consulta con la industria y la opinión pública para facilitar el comercio y las transacciones entre Estados Unidos de América y la Unión Europea. Son de utilización exclusiva de las entidades estadounidenses que reciben datos personales de la Unión Europea, al efecto de reunir los requisitos de “puerto seguro” y obtener la correspondiente presunción de “adecuación”. Puesto que los principios se concibieron exclusivamente para lograr este objetivo concreto, resultaría impropia su utilización con otros fines. […]

La decisión de adherirse a los requisitos de “puerto seguro” es totalmente voluntaria, pero éstos pueden cumplirse de distintas maneras […]

La adhesión a estos principios puede limitarse: a) [en] cuanto sea necesario para cumplir las exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]; b) por disposición legal o reglamentaria, o jurisprudencia, que originen conflictos de obligaciones o autorizaciones [explícitas], siempre que las entidades que recurran a tales autorizaciones puedan demostrar que el incumplimiento de los principios se limita a las medidas necesarias para garantizar los intereses legítimos esenciales contemplados por las mencionadas autorizaciones; c) por excepción o dispensa prevista en la Directiva o las normas de Derecho interno de los Estados miembros siempre que tal excepción o dispensa se aplique en contextos comparables. A fin de ser coherentes con el objetivo de mejorar la protección de la vida privada, las entidades deberán esforzarse en aplicar estos principios de manera completa y transparente, lo que incluye indicar en sus políticas de protección de la vida privada cuándo se aplicarán de manera regular las limitaciones a los principios permitidas por la anterior letra b). Por esta misma razón, cuando se permita la opción a tenor de los principios y/o de la legislación de Estados Unidos de América, se espera que las entidades opten por el mayor nivel de protección posible.

[…]»

9.- El anexo II de la Decisión 2000/520 está redactado como sigue:

«Preguntas más frecuentes (FAQ)

[…]

FAQ nº 6 .- Autocertificación

P: ¿De qué modo una entidad autocertifica su adhesión a los principios de puerto seguro?

R: Los beneficios del puerto seguro se garantizan desde la fecha en que una entidad autocertifica ante el Departamento de Comercio, o su representante, su adhesión a los principios de conformidad con las directrices que se indican a continuación.

Para proceder a la autocertificación, las entidades pueden proporcionar al Departamento de Comercio (o a su representante) una carta firmada por uno de los responsables de la empresa en nombre de la entidad que se adhiere al puerto seguro, que contendrá cuando menos la información siguiente:

1) nombre de la entidad, señas postales y de correo electrónico, teléfono y fax;

2) descripción de las actividades de la entidad en lo relativo a la información personal recibida de la Unión Europea; y

3) descripción de su política de protección de la vida privada respecto de dicha información personal, con indicación de:

a) el lugar donde puede consultarla el público;

b) la fecha de entrada en vigor de dicha política;

c) una oficina de contacto para la tramitación de las quejas, las solicitudes de acceso y cualquier otra cuestión relacionada con los principios de puerto seguro;

d) el organismo oficial concreto con jurisdicción para entender de cualquier queja contra la entidad por posibles prácticas desleales o fraudulentas y vulneraciones de las leyes o normas sobre la vida privada (y citado en el anexo de los principios);

e) el nombre de los programas de protección de la vida privada a los que esté adscrita la entidad;

f) el método de verificación (por ejemplo, interna, por terceros) […]; y

g) la instancia independiente de recurso que se ocupará de investigar las quejas no resueltas.

Si la entidad desea que los beneficios del puerto seguro se apliquen a la información sobre recursos humanos transferida desde la Unión Europea para usarla en el contexto de la relación laboral, puede hacerlo siempre que exista un organismo oficial con jurisdicción para entender de cualquier queja contra la entidad provocada por información sobre recursos humanos citado en el anexo de los principios. […]

El Departamento (o su representante) llevará una lista de las entidades que presenten dichas cartas, dispensándoles por consiguiente los beneficios del puerto seguro. Asimismo, actualizará la lista con las cartas anuales y las notificaciones recibidas de conformidad con la FAQ nº 11. […]

[…]

FAQ nº 11 .- Resolución de litigios y ejecución

P: ¿Cómo deberán cumplirse los requisitos de resolución de litigios impuestos por el principio de aplicación y cómo se deberá actuar ante el caso de que una entidad incumpla sistemáticamente los principios?

R: El principio de aplicación establece los requisitos en virtud de los cuales se regulan los mecanismos de aplicación del puerto seguro. La FAQ sobre verificación (FAQ nº 7) establece la forma de reunir los requisitos de la letra b) del principio. En la presente FAQ nº 11 se abordan las letras a) y c), que requieren instancias independientes de recurso. Dichas instancias pueden adoptar formas diversas, pero siempre deben reunir los requisitos exigidos por el principio de aplicación. Las entidades podrán cumplirlos de la manera siguiente:

1) conformidad con programas de protección de la vida privada concebidos por el sector privado que incorporen los principios de puerto seguro en sus normas y cuenten con mecanismos de aplicación eficaces, similares a los descritos en el principio de aplicación;

2) conformidad con lo dispuesto por las autoridades de control establecidas legal o reglamentariamente [encargadas de] la tramitación de las quejas individuales y la resolución de litigios; o

3) compromiso de colaboración con las autoridades de protección de datos establecidas en la Comunidad Europea o sus representantes autorizados. Esta lista se ofrece a título ilustrativo y no es de ninguna manera taxativa. El sector privado puede crear otros mecanismos de aplicación, siempre que reúnan los requisitos contemplados en el principio de aplicación y en las FAQ. Obsérvese que los requisitos del principio de aplicación se añaden al requisito expuesto en el apartado 3 de la introducción a los principios, en el sentido de que las iniciativas autorreguladoras deberán ser vinculantes con arreglo al artículo 5 de la Federal Trade Commission Act (Ley de la Comisión Federal de Comercio) o legislación similar.

Instancias de recurso

Se alentará a los consumidores a presentar cualquier queja que tengan ante la entidad correspondiente antes de acudir a las instancias de recurso independientes. […]

[…]

Recurso ante la FTC

La FTC se ha comprometido a tramitar prioritariamente los casos presentados por los organismos de autorregulación privados, como BBBOnline y TRUSTe, y [por] los Estados miembros de la Unión Europea que aleguen el incumplimiento de los principios de puerto seguro, a fin de determinar si se ha vulnerado el artículo 5 de la Ley FTC, por la que se prohíben los actos o prácticas desleales o fraudulentos en el comercio. […]

[…]»

10.- A tenor del anexo IV de la Decisión 2000/520:

«Memorando sobre [indemnización] por violación de las reglas sobre protección de la [vida privada], autorizaciones explícitas y fusiones y absorciones en el Derecho estadounidense

Este documento viene a responder a las aclaraciones solicitadas por la Comisión Europea sobre la legislación estadounidense en materia de:

a) demandas de indemnización de daños y perjuicios por violación del derecho [al respeto de la vida privada],

b) “autorizaciones explícitas” para la utilización de datos personales sin atenerse a los principios […] de puerto seguro y c) efectos de las fusiones y absorciones sobre las obligaciones contraídas en virtud de dichos principios.

[…]

B. Autorizaciones legales explícitas

Los principios de puerto seguro recogen una excepción cuando las normas legales o reglamentarias o la jurisprudencia crean “obligaciones en contrario o autorizaciones explícitas, siempre que en el ejercicio de tal autorización la entidad acredite que el incumplimiento de dichos principios se limita a lo necesario para satisfacer los intereses legítimos que tal autorización considera deben prevalecer”. Es evidente que, si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro. Con respecto a las autorizaciones explícitas, aunque estos principios tienen como finalidad salvar las diferencias entre los regímenes estadounidense y europeo de protección de la [vida privada], debemos respetar las facultades legislativas de nuestros legisladores. Esta limitada excepción del cumplimiento estricto de los principios de puerto seguro trata de encontrar un equilibrio entre los intereses legítimos de cada parte.

La excepción se circunscribe a los casos en los que haya una autorización explícita. Por tanto, como cuestión de partida, la norma legal o reglamentaria o la resolución judicial en cuestión debe autorizar expresamente la conducta concreta de las entidades adheridas a los principios de puerto seguro. [Con otras palabras, la excepción no será aplicable si la ley guarda silencio]. [Además,] la excepción sólo será aplicable si la autorización explícita entra en conflicto con el cumplimiento de dichos principios. Aun en tal caso, la excepción “está limitada a lo necesario para satisfacer los intereses legítimos que tal autorización considera deben prevalecer”. A modo de ejemplo, si la Ley se limita a autorizar a una empresa a proporcionar datos personales a las autoridades públicas, la excepción no sería de aplicación. Por el contrario, si la Ley autoriza expresamente a la empresa a proporcionar información personal a organismos oficiales sin el consentimiento del interesado, esto constituiría una “autorización explícita” para actuar de modo contrario a lo establecido en los principios de puerto seguro. Por su parte, las excepciones concretas a los requisitos expresos de notificar y prestar consentimiento caerían en el ámbito de la excepción (dado que sería equivalente a una autorización explícita a revelar los datos sin notificación ni consentimiento). Por ejemplo, una ley que autorice a los médicos a proporcionar los historiales médicos de sus pacientes a las autoridades sanitarias sin el previo consentimiento de éstos puede permitir una excepción de los principios de notificación y opción. Esta autorización no permitiría al médico entregar estos mismos historiales a las organizaciones de protección de la salud o los laboratorios farmacéuticos comerciales, que quedarían fuera del ámbito de los fines autorizados por la ley y, por tanto, de la excepción.[…]. La autorización legal en cuestión puede ser una autorización “aislada” para hacer determinadas cosas con los datos personales, pero, como ilustran los ejemplos siguientes, será probablemente una excepción a una norma más amplia que prohíba obtener, utilizar o revelar datos personales.

[…]»

Comunicación COM(2013) 846

11.– El 27 de noviembre de 2013 la Comisión adoptó la Comunicación al Parlamento Europeo y al Consejo titulada «Restablecer la confianza en los flujos de datos entre la UE y EE.UU» [COM(2013) 846 final; en lo sucesivo, «Comunicación COM(2013) 846 final»]. Acompañaba a esa Comunicación un informe, también de fecha 27 de noviembre de 2013, que contiene las «conclusiones de los copresidentes de la Unión Europea del grupo de trabajo ad hoc Unión Europea-Estados Unidos sobre protección de datos personales» («Report on the Findings by the EU Co-chairs of the ad hoc EU-US Working Group on Data Protection»). Como expone su punto 1, ese informe se había elaborado en cooperación con Estados Unidos a raíz de la revelación de la existencia en ese país de varios programas de vigilancia que comprendían la recogida y el tratamiento de información a gran escala de datos personales. Ese informe contenía, en particular, un análisis detallado del ordenamiento jurídico de Estados Unidos en lo que concierne especialmente a las bases legales que autorizan la existencia de programas de vigilancia y la recogida y el tratamiento de datos personales por autoridades estadounidenses.

12.– En el punto 1 de la Comunicación COM(2013) 846 final la Comisión precisó que «los intercambios comerciales son objeto de la Decisión 2000/520», y añadió que «dicha Decisión establece una base jurídica para la transferencia de datos personales desde la UE a las empresas establecidas en Estados Unidos que se han adherido a los principios del régimen de puerto seguro.» Además, en ese mismo punto 1 la Comisión puso énfasis en la creciente importancia de los flujos de datos personales, ligada en especial al desarrollo de la economía digital, que «ha dado lugar a un crecimiento exponencial de la cantidad, calidad, diversidad y naturaleza de las actividades de tratamiento de datos».

13.- En el punto 2 de esa Comunicación la Comisión manifiesta que «ha aumentado la preocupación por el nivel de protección de los datos personales de los ciudadanos de la [Unión] transferidos a Estados Unidos en el marco del régimen de puerto seguro» y que «el carácter voluntario y declarativo del régimen ha centrado la atención en su transparencia y cumplimiento.»

14.- Además, la Comisión expuso en el referido punto 2 que «las autoridades estadounidenses pueden acceder y seguir tratando los datos personales de los ciudadanos de la [Unión] enviados a Estados Unidos en el marco del régimen de puerto seguro de forma incompatible con los motivos por los que se recogieron inicialmente dichos datos en la [Unión] y con los fines por los que se transfirieron a Estados Unidos» y que «la mayoría de las empresas estadounidenses de internet relacionadas más directamente con [los] programas [de vigilancia] están certificadas en el marco del régimen de puerto seguro.»

15.- En el punto 3.2 de la Comunicación COM(2013) 846 final la Comisión señaló la existencia de diversas deficiencias en la aplicación de la Decisión 2000/520. Puso de manifiesto que algunas empresas estadounidenses certificadas no respetaban los principios enunciados en el artículo 1, apartado 1, de la Decisión 2000/520 (en lo sucesivo, «principios de puerto seguro»), y que, mediante mejoras de esa Decisión, «deben subsanarse las deficiencias estructurales relacionadas con la transparencia y la aplicación y deben reforzarse los principios sustantivos del régimen de puerto seguro y la aplicación de la excepción por motivos de seguridad nacional». Por otra parte, observó que «el régimen de puerto seguro sirve asimismo de interfaz para la transferencia de los datos personales de los ciudadanos [europeos] desde la [Unión Europea] a los Estados Unidos por parte de las empresas [a] las que se pide que suministren datos a los servicios de información de los Estados Unidos en el marco de los programas de recogida de información de los Estados Unidos».

16.- La Comisión concluyó en ese mismo punto 3.2 que, «habida cuenta de las deficiencias halladas, no puede mantenerse la aplicación actual del régimen de puerto seguro. Sin embargo, su derogación afectaría negativamente a los intereses de las empresas de la [Unión Europea] y de los Estados Unidos que se han adherido al mismo.». Finalmente, la Comisión añadió también en el mismo punto 3.2 que «con carácter de urgencia, la Comisión debatirá con las autoridades de Estados Unidos las deficiencias detectadas».

 Comunicación COM(2013) 847

17.- El mismo día 27 de noviembre de 2013 la Comisión adoptó la Comunicación al Parlamento Europeo y al Consejo sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la UE y las empresas establecidas en la UE [COM(2013) 847 final; en lo sucesivo, «Comunicación COM(2013) 847 final»]. Según resulta de su punto 1, esa Comunicación se basa en particular en las informaciones recibidas por el Grupo de trabajo ad hoc Unión Europea-Estados Unidos y constituye la continuación de los dos informes de evaluación de la Comisión, publicados respectivamente en 2002 y en 2004.

18.- El punto 1 de esa Comunicación precisa que el funcionamiento de la Decisión 2000/520 «se basa en los compromisos y la autocertificación de las entidades que lo han suscrito» y añade que «si bien la firma de estos acuerdos es voluntaria, sus reglas son vinculantes para los que los suscriben».

19.- Además, del punto 2.2 de la Comunicación COM(2013) 847 final resulta que, a 26 de septiembre de 2013, estaban certificadas 3 246 entidades de numerosas industrias y sectores de servicios. Esas empresas prestaban principalmente servicios en el mercado interior de la Unión, en particular en el sector de Internet, y algunas de ellas eran empresas de la Unión que tenían filiales en Estados Unidos. Parte de esas empresas trataban los datos de sus empleados en Europa, datos que transferían a Estados Unidos para la gestión de sus recursos humanos.

20.- En ese mismo punto 2.2 la Comisión puso de relieve que «cualquier fallo en la transparencia o en la aplicación por parte estadounidense [hacía] que la responsabilidad [pasara] a las autoridades de protección de datos y las empresas europeas que utilizan el sistema».

21.- De los puntos 3 a 5 y 8 de la Comunicación COM(2013) 847 final se deduce que en la práctica un número elevado de empresas certificadas no respetaban, o no lo hacían plenamente, los principios de puerto seguro.

22.- Además, en el punto 7 de la misma Comunicación la Comisión manifiesta que «aparentemente todas las empresas involucradas en el programa PRISM [programa de recogida de informaciones a gran escala], y que conceden a las autoridades estadounidenses acceso a los datos almacenados y tratados en Estados Unidos, tienen el certificado de puerto seguro» y que ello «ha hecho de puerto seguro uno de los conductos a través de los cuales se da acceso a las autoridades de inteligencia estadounidenses para recopilar datos personales que han sido tratados inicialmente en la [Unión]». En ese sentido, la Comisión constató en el punto 7.1 de la referida Comunicación que «diversas bases legales con arreglo al ordenamiento jurídico estadounidense permiten la recogida y el tratamiento a gran escala de datos personales almacenados o tratados de otra forma por entidades basadas en Estados Unidos» y que «al tratarse de programas a gran escala, puede ocurrir que las autoridades estadounidenses accedan y procesen los datos transferidos al amparo del puerto seguro más allá de lo estrictamente necesario y proporcionado para la protección de la seguridad nacional, como reza la excepción prevista en la Decisión 2000/520

23.- En el punto 7.2 de la Comunicación COM(2013) 847 final, titulado «Limitaciones y posibilidades de reparación», la Comisión puso de relieve que «las garantías previstas por la legislación estadounidense se refieren fundamentalmente a los ciudadanos estadounidenses o a los residentes legales», y que «es más, no está prevista la posibilidad de que los titulares de los datos, ya sean estadounidenses o de la [Unión], puedan acceder a sus datos, rectificarlos o suprimirlos, ni obtener reparación administrativa o judicial, en lo que respecta a la recogida y el tratamiento posterior de sus datos personales en virtud de los programas de vigilancia estadounidenses».

24.- Según el punto 8 de la Comunicación COM(2013) 847 final, entre las empresas certificadas se encontraban «las empresas de la red, como Google, Facebook, Microsoft, Apple o Yahoo», que «tienen centenares de millones de clientes en Europa» y transfieren datos personales a Estados Unidos para su tratamiento.

25.- La Comisión concluyó en ese mismo punto 8 que «el acceso a gran escala por parte de las agencias de inteligencia a los datos transferidos a Estados Unidos por entidades con certificación de puerto seguro suscita serias cuestiones adicionales en lo que respecta al derecho de los europeos a que sus datos sigan estando protegidos cuando se transfieren a ese país».

 Litigio principal y cuestiones prejudiciales

26.- El Sr. Schrems, nacional austriaco residente en Austria, es usuario de la red Facebook (en lo sucesivo, «Facebook») desde 2008.

27.- Toda persona residente en el territorio de la Unión que desee utilizar Facebook está obligada a concluir en el momento de su inscripción un contrato con Facebook Ireland, filial de Facebook Inc., domiciliada ésta última en Estados Unidos. Los datos personales de los usuarios de Facebook Ireland residentes en el territorio de la Unión se transfieren en todo o en parte a servidores pertenecientes a Facebook Inc, situados en el territorio de Estados Unidos, donde son objeto de tratamiento.

28.- El 25 de junio de 2013 el Sr. Schrems presentó ante el comisario una reclamación en la que le solicitaba en sustancia que ejerciera sus competencias estatutarias, prohibiendo a Facebook Ireland transferir sus datos personales a Estados Unidos. Alegaba que el Derecho y las prácticas en vigor en este último país no garantizaban una protección suficiente de los datos personales conservados en su territorio contra las actividades de vigilancia practicadas en él por las autoridades públicas. El Sr. Schrems hacía referencia en ese sentido a las revelaciones del Sr. Edward Snowden sobre las actividades de los servicios de información de Estados Unidos, en particular las de la National Security Agency (en lo sucesivo, «NSA»).

29.- Considerando que no estaba obligado a investigar sobre los hechos denunciados por el Sr. Schrems en su reclamación, el comisario la desestimó por infundada. Apreció en efecto que no había pruebas de que la NSA hubiera accedido a los datos personales del interesado. El comisario añadió que las imputaciones formuladas por el Sr. Schrems en su reclamación no podían ser eficazmente aducidas, ya que cualquier cuestión referida al carácter adecuado de la protección de los datos personales en Estados Unidos debía resolverse conforme a la Decisión 2000/520, en la que la Comisión había constatado que Estados Unidos garantizaba un nivel adecuado de protección.

30.- El Sr. Schrems interpuso un recurso ante la High Court contra la decisión discutida en el litigio principal. Una vez examinadas las pruebas presentadas por las partes litigantes, ese tribunal apreció que la vigilancia electrónica y la interceptación de los datos personales transferidos desde la Unión a Estados Unidos servían a finalidades necesarias e indispensables para el interés público. No obstante, el referido tribunal añadió que las revelaciones del Sr. Snowden habían demostrado que la NSA y otros organismos federales habían cometido «importantes excesos».

31.- Ahora bien, según ese mismo tribunal, los ciudadanos de la Unión no disponen de ningún derecho efectivo a ser oídos. La supervisión de las acciones de los servicios de información se realiza a través de un procedimiento secreto y no contradictorio. Una vez transferidos los datos personales a Estados Unidos, la NSA y otros organismos federales, como el Federal Bureau of Investigation (FBI), pueden acceder a ellos en el contexto de la vigilancia y de las interceptaciones indiferenciadas que ejecutan a gran escala.

32.- La High Court constató que el Derecho irlandés prohíbe la transferencia de datos personales fuera del territorio nacional, excepto cuando el tercer país interesado asegura un nivel de protección adecuado de la vida privada y de los derechos y libertades fundamentales. La importancia de los derechos al respeto de la vida privada y a la inviolabilidad del domicilio, protegidos por la Constitución irlandesa, exige que toda injerencia en esos derechos sea proporcionada y ajustada a las exigencias previstas por la ley.

33.- Ahora bien, el acceso masivo e indiferenciado a los datos personales es manifiestamente contrario al principio de proporcionalidad y a los valores fundamentales protegidos por la Constitución irlandesa. Para que las interceptaciones de comunicaciones electrónicas puedan ser consideradas conformes con esa Constitución, debe aportarse la prueba de que esas interceptaciones tienen carácter selectivo, de que la vigilancia de determinadas personas o de determinados grupos de personas está objetivamente justificada en interés de la seguridad nacional o de la represión de la delincuencia y de que existen garantías adecuadas y comprobables. Así pues, según la High Court, si el asunto principal se tuviera que resolver con fundamento exclusivo en el Derecho irlandés, se debería apreciar que, dada la existencia de serias dudas de que Estados Unidos garantice un nivel adecuado de protección de los datos personales, el comisario habría debido llevar a cabo una investigación sobre los hechos denunciados por el Sr. Schrems en su reclamación, y que la desestimó indebidamente.

34.- No obstante, la High Court estima que este asunto atañe a la aplicación del Derecho de la Unión, en el sentido del artículo 51 de la Carta, por lo que la legalidad de la decisión discutida en el asunto principal debe apreciarse a la luz del Derecho de la Unión. Ahora bien, según ese tribunal, la Decisión 2000/520 no se ajusta a las exigencias derivadas tanto de los artículos 7 y 8 de la Carta como de los principios enunciados por el Tribunal de Justicia en la sentencia Digital Rights Ireland y otros (C 293/12 y C 594/12, EU:C:2014:238). El derecho al respeto de la vida privada garantizado por el artículo 7 de la Carta y por los valores esenciales comunes a las tradiciones de los Estados miembros quedaría privado de alcance alguno si se permitiera a los poderes públicos acceder a las comunicaciones electrónicas de manera aleatoria y generalizada, sin ninguna justificación objetiva fundada en razones de seguridad nacional o de prevención de la delincuencia ligadas específicamente a los individuos afectados, y sin que esas prácticas se rodeen de garantías adecuadas y comprobables.

35.- La High Court observa además que, en realidad, el Sr. Schrems impugna en su recurso la licitud del régimen de «puerto seguro» establecido por la Decisión 2000/520, de la cual deriva la decisión discutida en el litigio principal. Así pues, aunque el Sr. Schrems no haya impugnado formalmente la validez de la Directiva 95/46/CE ni de la Decisión 2000/520, según ese tribunal se suscita la cuestión de si, en virtud del artículo 25, apartado 6, de la Directiva 95/46, el comisario estaba vinculado por la constatación realizada por la Comisión en esa Decisión, según la cual Estados Unidos garantiza un nivel de protección adecuado, o bien si el artículo 8 de la Carta autorizaba al comisario a separarse, en su caso, de esa constatación.

36.- En esas circunstancias, la High Court decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1) En el marco de la resolución de una reclamación presentada ante el comisario, en la que se afirma que se están transmitiendo datos personales a un tercer país (en el caso de autos, Estados Unidos) cuya legislación y práctica no prevén una protección adecuada de la persona sobre la que versan los datos, ¿está vinculado dicho comisario en términos absolutos por la declaración comunitaria en sentido contrario contenida en la Decisión 2000/520, habida cuenta de los artículos 7, 8 y 47 de la Carta y no obstante lo dispuesto en el artículo 25, apartado 6, de la Directiva 95/46/CE?

2) En caso contrario, ¿puede o debe realizar dicho comisario su propia investigación del asunto a la luz de la evolución de los hechos que ha tenido lugar desde que se publicó por vez primera la Decisión 2000/520

 Sobre las cuestiones prejudiciales

37.- Con sus cuestiones prejudiciales, que es oportuno examinar conjuntamente, el tribunal remitente pregunta en sustancia si, y en qué medida, el artículo 25, apartado 6, de la Directiva 95/46/CE, entendido a la luz de los artículos 7, 8 y 47 de la Carta, debe interpretarse en el sentido de que una decisión, como la Decisión 2000/520, por la que la Comisión constata que un tercer país garantiza un nivel de protección adecuado, impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, pueda examinar la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen, que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona afirma que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.

 Sobre las facultades de las autoridades nacionales de control, a las que se refiere el artículo 28 de la Directiva 95/46, ante una Decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de esa Directiva

38.- Se debe recordar previamente que las disposiciones de la Directiva 95/46, en cuanto regulan el tratamiento de datos personales, que puede vulnerar las libertades fundamentales y, en particular, el derecho al respeto de la vida privada, deben ser necesariamente interpretadas a la luz de los derechos fundamentales protegidos por la Carta (véanse las sentencias Österreichischer Rundfunk y otros, C 465/00, C 138/01 y C 139/01, EU:C:2003:294, apartado 68; Google Spain y Google, C 131/12, EU:C:2014:317, apartado 68, y Ryneš, C 212/13, EU:C:2014:2428, apartado 29).

39.- Del artículo 1 y de los considerandos 2 y 10 de la Directiva 95/46 se deduce que ésta se propone garantizar no sólo una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas frente al tratamiento de los datos personales, sino también un elevado nivel de protección de esas libertades y derechos fundamentales. La jurisprudencia del Tribunal de Justicia destaca la importancia tanto del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta como del derecho fundamental a la protección de los datos personales que garantiza el artículo 8 de ésta (véanse las sentencias Rijkeboer, C 553/07, EU:C:2009:293, apartado 47; Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartado 53, y Google Spain y Google, C 131/12, EU:C:2014:317, apartados 53, 66 y 74 y la jurisprudencia citada).

40.- En lo concerniente a las facultades de las que disponen las autoridades nacionales de control en materia de transferencia de datos personales a terceros países, se ha de señalar que el artículo 28, apartado 1, de la Directiva 95/46 impone a los Estados miembros la obligación de instituir una o varias autoridades públicas encargadas del control, con toda independencia, del cumplimiento de las normas de la Unión en materia de protección de las personas físicas respecto al tratamiento de datos personales. Esa exigencia deriva también del Derecho primario de la Unión, en particular del artículo 8, apartado 3, de la Carta y del artículo 16 TFUE, apartado 2 (véanse, en ese sentido, las sentencias Comisión/Austria, C 614/10, EU:C:2012:631, apartado 36, y Comisión/Hungría C 288/12, EU:C:2014:237, apartado 47).

41.- La garantía de independencia de las autoridades nacionales de control pretende asegurar un control eficaz y fiable del respeto de la normativa en materia de protección de las personas físicas frente al tratamiento de datos personales y debe interpretarse a la luz de dicho objetivo. Esa garantía se ha establecido para reforzar la protección de las personas y de los organismos afectados por las decisiones de dichas autoridades. La creación en los Estados miembros de autoridades de control independientes constituye, pues, un elemento esencial de la protección de las personas frente al tratamiento de datos personales, como señala el considerando 62 de la Directiva 95/46 (véanse las sentencias Comisión/Alemania, C 518/07, EU:C:2010:125, apartado 25 y Comisión/Hungría C 288/12, EU:C:2014:237, apartado 48 y la jurisprudencia citada).

42.- Para garantizar esa protección, las autoridades nacionales de control han de lograr un justo equilibrio entre el respeto del derecho fundamental a la vida privada y los intereses que exigen la libre circulación de datos personales (véanse, en ese sentido, las sentencias Comisión/Alemania, C 518/07, EU:C:2010:125, apartado 24, y Comisión/Hungría C 288/12, EU:C:2014:237, apartado 51).

43.- A tal efecto, las autoridades nacionales de control disponen de una amplia gama de facultades, y éstas, enumeradas de forma no exhaustiva por el artículo 28, apartado 3, de la Directiva 95/46, constituyen otros tantos medios necesarios para el cumplimiento de sus funciones, como destaca el considerando 63 de esa Directiva. Así pues, esas autoridades disponen, en particular, de facultades de investigación, como la de recabar toda la información necesaria para el cumplimiento de su misión de control, de facultades efectivas de intervención, como la de prohibir provisional o definitivamente un tratamiento de datos, o la capacidad de comparecer en juicio.

44.- Del artículo 28, apartados 1 y 6, de la Directiva 95/46 resulta ciertamente que las facultades de las autoridades nacionales de control abarcan los tratamientos de datos personales realizados en el territorio del Estado miembro de esas autoridades, de modo que éstas no disponen, con fundamento en ese artículo 28, de facultades respecto a los tratamientos de datos realizados en el territorio de un tercer país.

45.- No obstante, la operación consistente en hacer transferir datos personales desde un Estado miembro a un tercer país constituye por sí misma un tratamiento de datos personales, en el sentido del artículo 2, letra b), de la Directiva 95/46 (véase, en ese sentido, la sentencia Parlamento/Consejo y Comisión, C 317/04 y C 318/04, EU:C:2006:346, apartado 56), realizado en el territorio de un Estado miembro. En efecto, esa disposición define el «tratamiento de datos personales» como «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales», y cita como ejemplo «la comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos».

46.– El considerando 60 de la Directiva 95/46 precisa que las transferencias de datos personales hacia terceros países sólo podrán efectuarse si se respetan plenamente las disposiciones adoptadas por los Estados miembros en aplicación de la misma Directiva. En ese sentido, el capítulo IV de ésta, en el que figuran los artículos 25 y 26, estableció un régimen dirigido a garantizar un control por los Estados miembros de las transferencias de datos personales hacia terceros países. Es un régimen complementario del régimen general que establece el capítulo II de la misma Directiva, que enuncia las condiciones generales de licitud de los tratamientos de datos personales (véase, en ese sentido, la sentencia Lindqvist, C 101/01, EU:C:2003:596, apartado 63).

47.- Como quiera que las autoridades nacionales de control, conforme al artículo 8, apartado 3, de la Carta y al artículo 28 de la Directiva 95/46, están encargadas del control del cumplimiento de las reglas de la Unión para la protección de las personas físicas frente al tratamiento de datos personales, toda autoridad nacional de control está investida, por tanto, de la competencia para comprobar si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer país respeta las exigencias establecidas por la Directiva 95/46.

48.- Al mismo tiempo que el considerando 56 de la Directiva 95/46 reconoce que las transferencias de datos personales desde los Estados miembros a terceros países son necesarias para el desarrollo del comercio internacional, la Directiva 95/46 establece en su artículo 25, apartado 1, el principio de que esa transferencia sólo se puede realizar si esos terceros países garantizan un nivel de protección adecuado.

49.- Además, el considerando 57 de la misma Directiva precisa que, cuando un tercer país no ofrezca un nivel de protección adecuado, debe prohibirse la transferencia al mismo de datos personales.

50.- El artículo 25 de la Directiva 95/46 impone diversas obligaciones a los Estados miembros y a la Comisión para controlar las transferencias de datos personales a terceros países en función del nivel de protección atribuido a éstos en cada uno de esos países. De ese artículo resulta, en particular, que la constatación de que un tercer país garantiza o no un nivel de protección adecuado pueden realizarla bien los Estados miembros o bien la Comisión, como ha señalado el Abogado General en el punto 86 de sus conclusiones.

51.- La Comisión puede adoptar con fundamento en el artículo 25, apartado 6, de la Directiva 95/46, una decisión que constate que un tercer país garantiza un nivel de protección adecuado. Conforme al párrafo segundo de esa disposición, los destinatarios de esa decisión son los Estados miembros, que deberán adoptar las medidas necesarias para atenerse a ella. En virtud del artículo 288 TFUE, párrafo cuarto, esa decisión tiene carácter obligatorio para todos los Estados miembros destinatarios y vincula por tanto a todos sus órganos (véanse, en ese sentido, las sentencias Albako/BALM, 249/85, EU:C:1987:245, apartado 17, y Mediaset, C 69/13, EU:C:2014:71, apartado 23), en cuanto tiene el efecto de autorizar transferencias de datos personales desde los Estados miembros al tercer país al que se refiere dicha decisión.

52.- Así pues, mientras la decisión de la Comisión no haya sido declarada inválida por el Tribunal de Justicia, los Estados miembros y sus órganos, entre ellos las autoridades de control independientes, no pueden ciertamente adoptar medidas contrarias a esa decisión, como serían actos por los que se apreciara con efecto obligatorio que el tercer país al que se refiere dicha decisión no garantiza un nivel de protección adecuado. En efecto, los actos de las instituciones de la Unión disfrutan en principio de una presunción de legalidad, y producen por tanto efectos jurídicos mientras no hayan sido revocados, anulados en virtud de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad (sentencia Comisión/Grecia, C 475/01, EU:C:2004:585, apartado 18 y la jurisprudencia citada).

53.- No obstante, una decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de la Directiva 95/46, como la Decisión 2000/520, no puede impedir que las personas cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país presenten a las autoridades nacionales de control una solicitud, prevista en el artículo 28, apartado 4, de la Directiva 95/46, para la protección de sus derechos y libertades frente al tratamiento de esos datos. De igual forma, una decisión de esa naturaleza no puede dejar sin efecto ni limitar las facultades expresamente reconocidas a las autoridades nacionales de control por el artículo 8, apartado 3, de la Carta y por el artículo 28 de la referida Directiva, como ha expuesto el Abogado General en los puntos 61, 93 y 116 de sus conclusiones.

54.- Ni el artículo 8, apartado 3, de la Carta, ni el artículo 28 de la Directiva 95/46 excluyen del ámbito de la competencia de las autoridades nacionales designadas a ese efecto el control de las transferencias de datos personales a terceros países a los que se refiera una decisión de la Comisión en virtud del artículo 25, apartado 6, de esa Directiva.

55.- En particular, el artículo 28, apartado 4, párrafo primero, de la Directiva 95/46, que dispone que las autoridades nacionales de control entenderán de la solicitud que presente «cualquier persona […] en relación con la protección de sus derechos y libertades respecto del tratamiento de datos personales», no prevé ninguna excepción en ese sentido, en el supuesto de que la Comisión hubiera adoptado una decisión en virtud del artículo 25, apartado 6, de esa Directiva.

56.- Además, sería contrario al sistema establecido por la Directiva 95/46 y a la finalidad de sus artículos 25 y 28 que una decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de dicha Directiva tuviera el efecto de impedir que una autoridad nacional de control examine la solicitud de una persona para la protección de sus derechos y libertades frente al tratamiento de sus datos personales que hayan sido o pudieran ser transferidos desde un Estado miembro a un tercer país al que se refiere esa decisión de la Comisión.

57.- Por el contrario, el artículo 28 de la Directiva 95/46 se aplica por su propia naturaleza a todo tratamiento de datos personales. Por tanto, incluso habiendo adoptado la Comisión una decisión en virtud del artículo 25, apartado 6, de esa Directiva, las autoridades nacionales de control, a las que una persona haya presentado una solicitud de protección de sus derechos y libertades frente al tratamiento de datos personales que la conciernen, deben poder apreciar con toda independencia si la transferencia de esos datos cumple las exigencias establecidas por la referida Directiva.

58.- Si no fuera así, las personas cuyos datos personales hayan sido o pudieran ser transferidos al tercer país considerado quedarían privadas del derecho garantizado por el artículo 8, apartados 1 y 3, de la Carta de presentar a las autoridades nacionales de control una solicitud para la protección de sus derechos fundamentales (véase, por analogía, la sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartado 68).

59.- Une solicitud, prevista en artículo 28, apartado 4, de la Directiva 95/46, mediante la que una persona cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país alegue, como en el asunto principal, que el Derecho y las prácticas de ese país no garantizan un nivel de protección adecuado, no obstante lo constatado por la Comisión en una decisión adoptada en virtud del artículo 25, apartado 6, de esa Directiva, debe entenderse como concerniente en sustancia a la compatibilidad de esa decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas.

60.- Hay que recordar en ese sentido la reiterada jurisprudencia del Tribunal de Justicia según la cual la Unión es una Unión de Derecho en la que todos los actos de sus instituciones están sujetos al control de su conformidad, en particular, con los Tratados, con los principios generales del Derecho y con los derechos fundamentales (véanse, en ese sentido, las sentencias Comisión y otros/Kadi, C 584/10 P, C 593/10 P y C 595/10 P, EU:C:2013:518, apartado 66; Inuit Tapiriit Kanatami y otros/Parlamento y Consejo, C 583/11 P, EU:C:2013:625, apartado 91, y Telefónica/Comisión, C 274/12 P, EU:C:2013:852, apartado 56). Por tanto, las decisiones de la Comisión adoptadas en virtud del artículo 25, apartado 6, de la Directiva 95/46 no pueden quedar excluidas de ese control.

61.- Sin perjuicio de ello, el Tribunal de Justicia es exclusivamente competente para declarar la invalidez de un acto de la Unión, como una decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de la Directiva 95/46, competencia exclusiva cuyo objeto es garantizar la seguridad jurídica preservando la aplicación uniforme del Derecho de la Unión (véanse las sentencias Melki y Abdeli, C 188/10 y C 189/10, EU:C:2010:363, apartado 54, y CIVAD, C 533/10, EU:C:2012:347, apartado 40).

62.- Aunque los tribunales nacionales están ciertamente facultados para examinar la validez de un acto de la Unión, como una decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de la Directiva 95/46, carecen sin embargo de competencia para declarar ellos mismos su invalidez (véanse, en ese sentido, las sentencias Foto Frost, 314/85, EU:C:1987:452, apartados 15 a 20, e IATA y ELFAA, C 344/04, EU:C:2006:10, apartado 27). A fortiori, al examinar una solicitud, prevista en el artículo 28, apartado 4, de la Directiva 95/46, concerniente a la compatibilidad de una decisión de la Comisión, adoptada en virtud del artículo 25, apartado 6, de la Directiva 95/46, con la protección de la vida privada y de las libertades y derechos fundamentales de las personas, las autoridades nacionales de control no están habilitadas para declarar la invalidez de la referida decisión.

63.- Atendiendo a esas consideraciones, cuando una persona, cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país que haya sido objeto de una decisión de la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, presenta a la autoridad nacional de control una solicitud para la protección de sus derechos y libertades frente al tratamiento de esos datos, e impugna con ocasión de esa solicitud, como en el asunto principal, la compatibilidad de dicha decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas, incumbe a esa autoridad examinar la referida solicitud con toda la diligencia exigible.

64.- En el supuesto de que la referida autoridad llegue a la conclusión de que los datos alegados en apoyo de esa solicitud son infundados y la desestime por ello, la persona que haya presentado la solicitud debe disponer de recursos jurisdiccionales que le permitan impugnar esa decisión lesiva para ella ante los tribunales nacionales, según resulta del artículo 28, apartado 3, párrafo segundo, de la Directiva 95/46, entendido a la luz del artículo 47 de la Carta. Conforme a la jurisprudencia citada en los apartados 61 y 62 de la presente sentencia, esos tribunales están obligados a suspender el procedimiento y plantear al Tribunal de Justicia una cuestión prejudicial de validez si estiman que uno o varios de los motivos de invalidez alegados por las partes o, en su caso, suscitados de oficio son fundados (véase, en ese sentido, la sentencia T & L Sugars y Sidul Açúcares/Comisión, C 456/13 P, EU:C:2015:284, apartado 48 y jurisprudencia citada).

65.- En el supuesto contrario, cuando esa autoridad considere fundadas las alegaciones expuestas por la persona que le haya presentado una solicitud para la protección de sus derechos y libertades frente al tratamiento de sus datos personales, la referida autoridad debe tener capacidad para comparecer en juicio, conforme al artículo 28, apartado 3, párrafo primero, tercer guion, de la Directiva 95/46, entendido a la luz del artículo 8, apartado 3, de la Carta. A ese efecto, corresponde al legislador nacional prever las vías de acción que permitan a la autoridad nacional de control exponer las alegaciones que juzgue fundadas ante los tribunales nacionales, para que éstos, si concuerdan en las dudas de esa autoridad sobre la validez de la decisión de la Comisión, planteen al Tribunal de Justicia una cuestión prejudicial sobre la validez de ésta.

66.- Por las anteriores consideraciones se ha de responder a las cuestiones planteadas que el artículo 25, apartado 6, de la Directiva 95/46, entendido a la luz de los artículos 7, 8 y 47 de la Carta, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, como la Decisión 2000/520, por la que la Comisión constata que un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.

Sobre la validez de la Decisión 2000/520

67.- Según resulta de las explicaciones del tribunal remitente sobre las cuestiones planteadas, en el asunto principal el Sr. Schrems alega que el Derecho y las prácticas de Estados Unidos no garantizan un nivel de protección adecuado, en el sentido del artículo 25 de la Directiva 95/46. Como ha señalado el Abogado General en los puntos 123 y 124 de sus conclusiones, el Sr. Schrems manifiesta dudas, que ese tribunal parece compartir en sustancia, sobre la validez de la Decisión 2000/520. Siendo así, por las consideraciones expuestas en los apartados 60 a 63 de la presente sentencia, y para dar una respuesta completa al referido tribunal, es preciso apreciar si esa Decisión se ajusta a las exigencias derivadas de dicha Directiva entendida a la luz de la Carta.

 Sobre las exigencias derivadas del artículo 25, apartado 6, de la Directiva 95/46

68.- Como ya se ha observado en los apartados 48 y 49 de la presente sentencia, el artículo 25, apartado 1, de la Directiva 95/46 prohíbe las transferencias de datos personales a un tercer país que no garantice un nivel de protección adecuado.

69.– No obstante, a efectos del control de esas transferencias el artículo 25, apartado 6, párrafo primero, de esa Directiva dispone que la Comisión «podrá hacer constar […] que un país tercero garantiza un nivel de protección adecuado de conformidad con el apartado 2 [de ese artículo], a la vista de su legislación interna o de sus compromisos internacionales […], a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas».

70.- Es cierto que ni el artículo 25, apartado 2, de la Directiva 95/46 ni ninguna otra de sus disposiciones contienen una definición del concepto de «nivel de protección adecuado». En particular, el artículo 25, apartado 2, de esa Directiva se limita a enunciar que el carácter adecuado del nivel de protección que ofrece un tercer país «se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos», y enumera sin carácter exhaustivo las circunstancias que se deben considerar en esa apreciación.

71.- No obstante, según resulta de los mismos términos del artículo 25, apartado 6, de la Directiva 95/46, esta disposición exige que un tercer país «garantice» un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales. Por otro lado, también conforme a esa disposición, el carácter adecuado del nivel de protección que ofrece un tercer país se ha de apreciar «a efectos de protección de la vida privada o de las libertades o de los derechos fundamentales de las personas».

72.- De esa forma, el artículo 25, apartado 6, de la Directiva 95/46 da cumplimiento a la obligación expresa de protección de los datos personales, prevista en el artículo 8, apartado 1, de la Carta, y pretende asegurar la continuidad del elevado nivel de protección en caso de transferencia de datos personales a un tercer país, como ha señalado el Abogado General en el punto 139 de sus conclusiones.

73.- Es verdad que el término «adecuado» que figura en el artículo 25, apartado 6, de la Directiva 95/46 significa que no cabe exigir que un tercer país garantice un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la Unión. Sin embargo, como ha manifestado el Abogado General en el punto 141 de sus conclusiones, debe entenderse la expresión «nivel de protección adecuado» en el sentido de que exige que ese tercer país garantice efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de las libertades y derechos fundamentales sustancialmente equivalente al garantizado en la Unión por la Directiva 95/46, entendida a la luz de la Carta. En efecto, a falta de esa exigencia el objetivo mencionado en el anterior apartado de la presente sentencia se frustraría. Además, el elevado nivel de protección garantizado por la Directiva 95/46 entendida a la luz de la Carta se podría eludir fácilmente con transferencias de datos personales desde la Unión a terceros países para su tratamiento en éstos.

74.- De la redacción misma del artículo 25, apartado 6, de la Directiva 95/46 resulta que es el ordenamiento jurídico del tercer país al que se refiere la decisión de la Comisión el que debe garantizar un nivel de protección adecuado. Aunque los medios de los que se sirva ese tercer país para garantizar ese nivel de protección pueden ser diferentes de los aplicados en la Unión para garantizar el cumplimiento de las exigencias derivadas de esa Directiva entendida a la luz de la Carta, deben ser eficaces en la práctica para garantizar una protección sustancialmente equivalente a la garantizada en la Unión.

75.- Siendo así, al valorar el nivel de protección ofrecido por un tercer país la Comisión está obligada a apreciar el contenido de las reglas aplicables en ese país, derivadas de la legislación interna o de los compromisos internacionales de éste, así como la práctica seguida para asegurar el cumplimiento de esas reglas, debiendo atender esa institución a todas las circunstancias relacionadas con una transferencia de datos personales a un tercer país, conforme al artículo 25, apartado 2, de la Directiva 95/46.

76.- De igual modo, dado que el nivel de protección garantizado por un tercer país puede evolucionar, incumbe a la Comisión, tras adoptar una decisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, comprobar periódicamente si sigue siendo fundada en Derecho y de hecho la constatación sobre el nivel de protección adecuado garantizado por el tercer país en cuestión. En cualquier caso esa comprobación es obligada cuando hay indicios que generan una duda en ese sentido.

77.- Además, como ha expuesto el Abogado General en los puntos 134 y 135 de sus conclusiones, al apreciar la validez de una decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de la Directiva 95/46 también se han de tener en cuenta las circunstancias sobrevenidas después de su adopción.

78.- En ese sentido es preciso observar que, dado el importante papel que cumple la protección de los datos personales en relación con el derecho fundamental al respeto de la vida privada, así como el gran número de personas cuyos derechos fundamentales pueden ser vulnerados en caso de transferencia de datos personales a un tercer país que no garantice un nivel de protección adecuado, la facultad de apreciación de la Comisión sobre el carácter adecuado del nivel de protección garantizado por un tercer país queda reducida, por lo que se debe ejercer un control estricto de las exigencias derivadas del artículo 25 de la Directiva 95/46, entendido a la luz de la Carta (véase por analogía la sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartados 47 y 48).

 Sobre el artículo 1 de la Decisión 2000/520

79.- La Comisión manifestó en el artículo 1, apartado 1, de la Decisión 2000/520 que los principios que figuran en el anexo I de ésta, aplicados de conformidad con la orientación que proporcionan las FAQ enunciadas en el anexo II de la misma Decisión, garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a entidades establecidas en Estados Unidos. De esa disposición resulta que tanto esos principios como las FAQ han sido publicados por el Departamento de Comercio estadounidense.

80.- La adhesión de una entidad a los principios de puerto seguro se lleva a cabo conforme a un sistema de autocertificación, como resulta del artículo 1, apartados 2 y 3, de esa Decisión, en relación con la FAQ nº 6 que figura en el anexo II de ésta.

81.- Aunque el recurso por un tercer país a un sistema de autocertificación no es por sí mismo contrario a la exigencia enunciada en el artículo 25, apartado 6, de la Directiva 95/46 de que el tercer país considerado garantice un nivel de protección adecuado «a la vista de su legislación interna o de sus compromisos internacionales», la fiabilidad de ese sistema en relación con dicha exigencia descansa, en esencia, en el establecimiento de mecanismos eficaces de detección y de control que permitan identificar y sancionar en la práctica las posibles infracciones de las reglas que garantizan la protección de los derechos fundamentales, en especial del derecho al respeto de la vida privada y del derecho a la protección de los datos personales.

82.- En el presente asunto, en virtud del anexo I, párrafo segundo, de la Decisión 2000/520, los principios de puerto seguro «son de utilización exclusiva de las entidades estadounidenses que reciben datos personales de la Unión Europea, al efecto de reunir los requisitos de “puerto seguro” y obtener la correspondiente presunción de “adecuación”». Por tanto, esos principios son aplicables únicamente a las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión, sin que se exija que las autoridades públicas estadounidenses se sometan a esos principios.

83.- Además, en virtud del artículo 2 de la Decisión 2000/520, ésta «se refiere únicamente a la adecuación de la protección proporcionada en Estados Unidos de América con arreglo a los principios [de puerto seguro] y su aplicación de conformidad con las FAQ a fin de ajustarse a los requisitos del apartado 1 del artículo 25 de la Directiva 95/46», sin contener no obstante las constataciones suficientes sobre las medidas con las que Estados Unidos garantiza un nivel de protección adecuado, en el sentido del artículo 25, apartado 6, de esa Directiva, a la vista de su legislación interna o de sus compromisos internacionales.

84.- A ello se añade que, conforme al anexo I, párrafo cuarto, de la Decisión 2000/520, la aplicabilidad de esos principios puede limitarse, en especial, por «las exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]», así como por «disposición legal o reglamentaria, o jurisprudencia, que originen conflictos de obligaciones o autorizaciones [explícitas], siempre que las entidades que recurran a tales autorizaciones puedan demostrar que el incumplimiento de los principios se limita a las medidas necesarias para garantizar los intereses legítimos esenciales contemplados por las mencionadas autorizaciones».

85.- En ese sentido, en el título B de su anexo IV la Decisión 2000/520 pone de relieve, respecto a los límites a los que está sometida la aplicabilidad de los principios de puerto seguro, que «es evidente que, si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro».

86.- Así pues, la Decisión 2000/520 reconoce la primacía de las «exigencias de seguridad nacional, interés público y cumplimiento de la ley [de Estados Unidos]» sobre los principios de puerto seguro, primacía en virtud de la cual las entidades estadounidenses autocertificadas que reciban datos personales desde la Unión están obligadas sin limitación a dejar de aplicar esos principios cuando éstos entren en conflicto con esas exigencias y se manifiesten por tanto incompatibles con ellas.

87.- Dado el carácter general de la excepción prevista en el anexo I, párrafo cuarto, de la Decisión 2000/520, ésta hace posibles así injerencias, fundadas en exigencias concernientes a la seguridad nacional, el interés público y el cumplimiento de la ley de Estados Unidos, en los derechos fundamentales de las personas cuyos datos personales se transfieren o pudieran transferirse desde la Unión a Estados Unidos. En ese sentido, para demostrar la existencia de una injerencia en el derecho fundamental al respeto de la vida privada carece de relevancia que la información relativa a la vida privada de que se trate tenga o no carácter sensible o que los interesados hayan sufrido o no inconvenientes en razón de tal injerencia (sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartado 33 y la jurisprudencia citada).

88.- Además, la Decisión 2000/520 no contiene ninguna constatación sobre la existencia en Estados Unidos de reglas estatales destinadas a limitar las posibles injerencias en los derechos fundamentales de las personas cuyos datos se transfieran desde la Unión a Estados Unidos, injerencias que estuvieran autorizadas a llevar a cabo entidades estatales de ese país cuando persigan fines legítimos, como la seguridad nacional.

89.- Se añade a ello el hecho de que la Decisión 2000/520 no pone de manifiesto la existencia de una protección jurídica eficaz contra injerencias de esa naturaleza. Como ha expuesto el Abogado General en los puntos 204 a 206 de sus conclusiones, los mecanismos de arbitraje privado y los procedimientos ante la Comisión Federal de Comercio, cuyas facultades, descritas en particular en las FAQ nº 11 que figuran en el anexo II de esa Decisión, se limitan a los litigios comerciales, atañen al cumplimiento por las empresas estadounidenses de los principios de puerto seguro, y no se pueden aplicar en litigios concernientes a la legalidad de injerencias en los derechos fundamentales derivadas de medidas de origen estatal.

90.- Por otro lado, el análisis precedente de la Decisión 2000/520 se confirma por la apreciación que la misma Comisión ha realizado sobre la situación resultante de la aplicación de esa Decisión. En efecto, en particular en los puntos 2 y 3.2 de la Comunicación COM(2013) 846 final y en los puntos 7.1, 7.2 y 8 de la Comunicación COM(2013) 847 final, cuyo contenido se expone respectivamente en los apartados 13 a 16, y 22, 23 y 25 de la presente sentencia, la Comisión constató que las autoridades estadounidenses podían acceder a los datos personales transferidos a partir de los Estados miembros a Estados Unidos y tratarlos de manera incompatible con las finalidades de esa transferencia, que va más allá de lo que era estrictamente necesario y proporcionado para la protección de la seguridad nacional. De igual modo, la Comisión apreció que las personas afectadas no disponían de vías jurídicas administrativas o judiciales que les permitieran acceder a los datos que les concernían y obtener, en su caso, su rectificación o supresión.

91.- En lo que atañe al nivel de protección de las libertades y derechos fundamentales garantizado en la Unión, según reiterada jurisprudencia del Tribunal de Justicia, una normativa de ésta que haga posible una injerencia en los derechos fundamentales garantizados por los artículos 7 y 8 de la Carta debe contener reglas claras y precisas que regulen el alcance y la aplicación de una medida e impongan unas exigencias mínimas, de modo que las personas cuyos datos personales resulten afectados dispongan de garantías suficientes que permitan proteger eficazmente sus datos personales contra los riesgos de abuso y contra cualquier acceso o utilización ilícitos de éstos. La necesidad de disponer de esas garantías es aún más importante cuando los datos personales se someten a un tratamiento automático y existe un riesgo elevado de acceso ilícito a ellos (sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartados 54 y 55 y la jurisprudencia citada).

92.- Además, y sobre todo, la protección del derecho fundamental al respeto de la vida privada al nivel de la Unión exige que las excepciones a la protección de los datos personales y las limitaciones de esa protección no excedan de lo estrictamente necesario (sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartado 52 y la jurisprudencia citada).

93.- Pues bien, no se limita a lo estrictamente necesario una normativa que autoriza de forma generalizada la conservación de la totalidad de los datos personales de todas las personas cuyos datos se hayan transferido desde la Unión a Estados Unidos, sin establecer ninguna diferenciación, limitación o excepción en función del objetivo perseguido y sin prever ningún criterio objetivo que permita circunscribir el acceso de las autoridades públicas a los datos y su utilización posterior a fines específicos, estrictamente limitados y propios para justificar la injerencia que constituyen tanto el acceso a esos datos como su utilización [véase en ese sentido, acerca de la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO L 105, p. 54), la sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartados 57 a 61].

94.– En particular, se debe considerar que una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada garantizado por el artículo 7 de la Carta (véase, en ese sentido, la sentencia Digital Rights Ireland y otros, C 293/12 y C 594/12, EU:C:2014:238, apartado 39).

95.- De igual manera, una normativa que no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión no respeta el contenido esencial del derecho fundamental a la tutela judicial efectiva que reconoce el artículo 47 de la Carta. En efecto, el artículo 47, párrafo primero, de ésta establece que toda persona cuyos derechos y libertades garantizados por el Derecho de la Unión hayan sido violados tiene derecho a la tutela judicial efectiva, respetando las condiciones establecidas en dicho artículo. En ese sentido, la existencia misma de un control jurisdiccional efectivo para garantizar el cumplimiento de las disposiciones del Derecho de la Unión es inherente a la existencia de un Estado de Derecho (véanse, en ese sentido, las sentencias Les Verts/Parlamento, 294/83, EU:C:1986:166, apartado 23; Johnston, 222/84, EU:C:1986:206, apartados 18 y 19; Heylens y otros, 222/86, EU:C:1987:442, apartado 14, y UGT Rioja y otros, C 428/06 a C 434/06, EU:C:2008:488, apartado 80).

96.- Como se ha apreciado en particular en los apartados 71, 73 y 74 de la presente sentencia, la adopción por la Comisión de una decisión en virtud del artículo 25, apartado 6, de la Directiva 95/46 requiere la constatación debidamente motivada por esa institución de que el tercer país considerado garantiza efectivamente, por su legislación interna o sus compromisos internacionales, un nivel de protección de los derechos fundamentales sustancialmente equivalente al garantizado en el ordenamiento jurídico de la Unión, según resulta de los anteriores apartados de esta sentencia.

97.- Ahora bien, se ha de observar que la Comisión no manifestó en la Decisión 2000/520 que Estados Unidos «garantiza» efectivamente un nivel de protección adecuado en razón de su legislación interna o sus compromisos internacionales.

98.- En consecuencia, y sin que sea preciso apreciar el contenido de los principios de puerto seguro, se debe concluir que el artículo 1 de esa Decisión vulnera las exigencias establecidas por el artículo 25, apartado 6, de la Directiva 95/46, entendido a la luz de la Carta, y es inválido por esa causa.

 Sobre el artículo 3 de la Decisión 2000/520

99.- De las consideraciones expuestas en los apartados 53, 57 y 63 de la presente sentencia se sigue que, en virtud del artículo 28 de la Directiva 95/46, entendido a la luz del artículo 8 de la Carta, las autoridades nacionales de control deben poder examinar con toda independencia cualquier solicitud de protección de los derechos y libertades de una persona frente a un tratamiento de datos personales que la afecte. Así es, en particular, cuando esa persona suscite con ocasión de su solicitud interrogantes sobre la compatibilidad de una decisión de la Comisión adoptada en virtud del artículo 25, apartado 6, de esa Directiva con la protección de la vida privada y de las libertades y derechos fundamentales de las personas.

100.- No obstante, el artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520 establece una regulación específica de las facultades de las que disponen las autoridades nacionales de control ante una constatación realizada por la Comisión sobre el nivel de protección adecuado, en el sentido del artículo 25 de la Directiva 95/46.

101.- De esa forma, a tenor de dicha disposición las referidas autoridades, «sin perjuicio de sus facultades para emprender acciones que garanticen el cumplimiento de las disposiciones nacionales adoptadas de conformidad con disposiciones diferentes del artículo 25 de la Directiva 95/46, […] podrán ejercer su facultad de suspender los flujos de datos hacia una entidad que haya autocertificado su adhesión a los principios [de la Decisión 2000/520, de manera restrictiva, ya que sólo es posible la intervención a partir de un alto umbral de condiciones. Aunque esa disposición no enerva las facultades de esas autoridades para tomar medidas encaminadas a asegurar el cumplimiento de las disposiciones nacionales adoptadas en aplicación de esa Directiva, excluye en cambio la posibilidad de que esas autoridades tomen medidas con objeto de asegurar el cumplimiento del artículo 25 de la misma Directiva.

102.- Por tanto, el artículo 3, apartado 1, párrafo primero, de la Decisión 2000/520 debe entenderse en el sentido de que priva a las autoridades nacionales de control de las facultades que les atribuye el artículo 28 de la Directiva 95/46, en el supuesto de que una persona alegue, con ocasión de una solicitud basada en esa disposición, factores que puedan afectar a la compatibilidad de una decisión de la Comisión, que haya constatado con fundamento en el artículo 25, apartado 6, de esa Directiva que un tercer país garantiza un nivel de protección adecuado, con la protección de la vida privada y de las libertades y derechos fundamentales de las personas.

103.- Ahora bien, la facultad de ejecución atribuida a la Comisión por el legislador de la Unión en el artículo 25, apartado 6, de la Directiva 95/46 no confiere a esa institución la competencia para restringir las facultades de las autoridades nacionales de control a las que se refiere el anterior apartado de esta sentencia.

104.- Siendo así, es preciso apreciar que, al adoptar el artículo 3 de la Decisión 2000/520, la Comisión excedió los límites de la competencia que le atribuye el artículo 25, apartado 6, de la Directiva 95/46, entendido a la luz de la Carta, y que dicho artículo 3 es inválido por esa causa.

105.- Toda vez que los artículos 1 y 3 de la Decisión 2000/520 son indisociables de los artículos 2 y 4 y de los anexos de ésta, su invalidez tiene el efecto de afectar a la validez de esa Decisión en su conjunto.

106.- Por todas las consideraciones precedentes se debe concluir que la Decisión 2000/520 es inválida.

 Costas

107.- Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a éste resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.

En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:

1) El artículo 25, apartado 6, de la de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en su versión modificada por el Reglamento (CE) nº 882/2003 del Parlamento Europeo y del Consejo, de 29 de septiembre de 2003, entendido a la luz de los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea, debe interpretarse en el sentido de que una Decisión adoptada en virtud de la referida disposición, como la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América, por la que la Comisión Europea constata que un tercer país garantiza un nivel de protección adecuado, no impide que una autoridad de control de un Estado miembro, a la que se refiere el artículo 28 de esa Directiva, en su versión modificada, examine la solicitud de una persona relativa a la protección de sus derechos y libertades frente al tratamiento de los datos personales que la conciernen que se hayan transferido desde un Estado miembro a ese tercer país, cuando esa persona alega que el Derecho y las prácticas en vigor en éste no garantizan un nivel de protección adecuado.

2) La Decisión 2000/520 es inválida.

Firmas

 

01Ene/14

Anteproyecto de Ley de enero de 2014, de Protección de Datos Personales y Acción de Hábeas Data de Honduras

NOTA INTRODUCTORIA

Este anteproyecto es el resultado de la revisión de los estándares internacionales en materia de protección de datos personales, específicamente los trabajos que viene realizando la Organización de las Naciones Unidas, a través de la Resolución 45/95 Principios Rectores para la Reglamentación de los Ficheros Computarizados de Datos Personales; el derecho comunitario europeo, mediante la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; y, la labor del foro regional para el intercambio de experiencias que realiza la Red Iberoamericana de Protección de Datos, reflejada en la Propuesta Conjunta para la Redacción de Estándares Internacionales para la Protección de la Privacidad y de los Datos de Carácter Personal.

Complementado la doctrina jurídica y la revisión de los estándares internacionales, toma en cuenta el análisis comparativo de cinco legislaciones referenciales que han de contribuir a sentar las bases para una ley de protección de datos personales y acción de hábeas data en Honduras:

1. Ley General de Protección de Datos Personales de Colombia.

2. Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales de Costa Rica.

3. Ley Orgánica de Protección de Datos de España.

4. Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México.

5. Ley de Protección de Datos Personales y Acción de Habeas Data de Uruguay.

Este Anteproyecto de Ley de Protección de Datos Personales y Acción de Hábeas Data de Honduras es un primer esfuerzo de proponer una legislación que mejor se pueda adaptar al contexto institucional, jurídico, social y económico de Honduras. A continuación se presenta una breve explicación de su estructura y contenido.

I. El Título I “Disposiciones Generales”, establece el objeto de la Ley, el cual consiste en la protección de los datos personales con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas. También detalla el ámbito de aplicación de la Ley, haciendo la salvedad que no será aplicable a las bases de datos de personas naturales destinadas a actividades personales o domésticas; las que tienen por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito; las creadas y reguladas por normas especiales, como las del sector financiero; y, aquellas que contengan información periodística y otros contenidos editoriales. Finalmente, el Título I, define una serie de términos jurídicos y técnicos en materia de protección de datos.

II. El Título II “Principios y Derechos Básicos para la Protección de Datos Personales”, presenta la base de la interpretación y aplicación de la normativa de protección de datos. Ha de ser la brújula que guía el actuar de los titulares y responsables, garantiza la efectiva aplicación del derecho a los titulares y orientan las decisiones del órgano de control como las instancias judiciales. La recopilación de los principios parte de la Resolución 45/95 de la ONU, los establecidos en las legislaciones costarricense, española, mexicana, uruguaya y costarricense, contextualizado a terminología legal hondureña.

III. El Título III “Procedimientos para hacer efectivos los Derechos”, describe los procedimientos para ejercer los Derechos de Acceso, Rectificación, Eliminación y Oposición -Derechos AREO- ante el Responsable del Tratamiento. Para la recolección de datos, la persona titular o su representante, debe manifestar su consentimiento por escrito; ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo. Se incluye el formato y la información que debe contener la solicitud que presenta el Titular de los Datos Personales, los plazos que ha de resolver el Responsable del Tratamiento y atiende posibles casos especiales que se pueden dar en la práctica o situaciones imprevistas.

IV. El Título IV “Deberes de los Responsables” en lista los principales deberes que ha de tener el Responsable del Tratamiento y el Encargado del Tratamiento. Es importante aclarar que ambos sujetos son considerados obligados pero no solidarios. El Responsable del Tratamiento por ser el que obtiene el consentimiento del Titular, es a quien recae el grueso de las obligaciones y sanciones por incumplimiento. Por otro lado, el Responsable del Tratamiento debe asegurar que los datos que brinde al Encargado son correctos y cerciorarse del manejo adecuado de estos por parte de éste.

V. El Título V “Seguridad de datos”, establece los lineamientos para el Responsable del Tratamiento y el Instituto de Acceso a la Información Pública (IAIP) en materia de seguridad. El responsable de la base de datos tiene la obligación de adoptar las medidas de índole técnica y de organización necesarias para garantizar la seguridad de la información, evitando su alteración, destrucción o acceso no autorizado. Consecuentemente, quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aún después de finalizada su relación con la base de datos. Mientras que al IAIP, como órgano regulador establecerá los requisitos y las condiciones que deban reunir las bases de datos, y de las personas que intervengan en la recolección, almacenamiento y uso de los datos..

VI. El Título VI “Categoría Especiales de Datos”, norma el tratamiento de los datos sensibles qué utilizados de manera discrecional o abusiva pueden infringir la privacidad e imagen de la persona, causando daños patrimoniales, discriminación. Asimismo se regula los datos que manejan los operadores de telecomunicaciones, aquellos que se utilizan para fines publicitarios y los buros de crédito. En este último caso, a pesar que la CNBS tiene su propia normativa, se recalca que los derechos AREO se aplican también a normas especiales.

VII. El Título VII “Transferencia de Datos” aclara que el Responsable del Tratamiento de la base de datos, pública o privada, solo podrá transferir datos contenidos en ellas cuando el Titular haya dado su consentimiento expreso e inequívoco, y se haga sin vulnerar los principios y derechos reconocidos en esta Ley y su Reglamento. Asimismo, presenta una serie de causales consideradas excepciones al consentimiento requerido para transferir datos personales.

VIII. El Título VIII “Disposiciones sectoriales”. Este Título se divide en dos capítulos y establece cuales son los requisitos para la creación de bases de datos del Sector Público y del Sector Privado, además de otras cuestiones relativas a la aplicaciones de Ley en algunas bases de datos concretas, como las de la agencia tributaria.

IX. El Título IX “De los Mecanismos de Vigilancia y Sanción”, detalla el rol que tiene el IAIP en materia de protección de datos personales, ahora considerado no solo Instituto de Acceso a la Información Pública, sino también de Protección de Datos Personales –siguiendo la línea de su referente normativo mexicano, el IFAI. También detalla el procedimiento que el Titular del Dato Personal debe evacuar ante el IAIP, una vez el Responsable del Tratamiento no ha respetado sus derechos. También hace una tipificación de las faltas, desde las leves a las muy graves, brindando una descripción sobre lo que consiste cada una.

X. El Título X “De la Acción del Hábeas Data” viene a proponer un esquema procesal para interponer el recurso de Hábeas Data que venga a complementar lo dispuesto en la Ley sobre Justicia Constitucional. Lo anterior, previendo necesario que se realicen reformas a la Constitución de la República y la Ley Sobre Justicia Constitucional, para dar mayor peso jurídico a la Ley de Protección de Datos Personales y Acción de Hábeas Data.

XI. El Título XI “Cánones”, propone que la inscripción de base de datos en el IAIP tenga consigo el pago de cánones en la búsqueda de sostenibilidad financiera e inversión continua en tecnología.

El Anteproyecto, concluye especificando una serie de acciones transitorias para preparar el camino hacia la implementación de la Ley de Protección de Datos Personales y Acción de Hábeas Data, tal como la elaboración del Reglamento de la Ley y la conformación e integración de la Gerencia de Protección de Datos (PRODATOS) en el IAIP y el plazo de adecuación para los responsables de bases de datos públicas y privadas.

 

CONTENIDO

 

CONSIDERANDO: Que la intimidad como derecho fundamental es reconocido en los instrumentos internacionales relativos a los Derechos Humanos ratificados por Honduras, entre estos el Pacto Internacional de Derechos Civiles y Políticos y la Convención Americana de Derechos Humanos, al disponer que toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad, que nadie puede ser objeto de injerencias arbitrarias o ilegales en su vida privada, la de su familia, ni de ataques a su honra o reputación, y que toda persona tiene derecho a la protección de la ley contra esas injerencias o ataques.

 

CONSIDERANDO: Que la Constitución de la República establece que la persona humana es el fin supremo de la sociedad y del Estado. Todos tienen la obligación de respetarla y protegerla.

 

CONSIDERANDO: Que la Constitución de la República garantiza el derecho al honor, a la intimidad personal, familiar y a la propia imagen.

 

CONSIDERANDO: Que ante los avances sociales, económicos y tecnológicos globalizadores a que Honduras es parte, es imperante que el Estado de Honduras establezca unos niveles de protección adecuados de datos personales registrados en bases de datos para garantizar el derecho al honor, a la intimidad personal, familiar y a la propia imagen.

 

CONSIDERANDO: Que el Instituto de Acceso a la Información Pública, es el órgano responsable de la protección de datos personales y establecer los lineamientos y políticas generales para el manejo, mantenimiento, seguridad y protección de los datos personales, que estén en posesión de las dependencias y entidades.

 

TÍTULO I.- DISPOSICIONES GENERALES

 

CAPÍTULO ÚNICO

 

Artículo 1.- Objeto y fin

La presente Ley es de orden público y de observancia general en toda la República y tiene por objeto la protección de los datos personales con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

 

Artículo 2.- Ámbito de aplicación

Esta Ley será de aplicación a los datos personales registrados en bases de datos automatizadas o manuales, de organizaciones del sector público como del sector privado, y a toda modalidad de uso posterior de estos datos.

El régimen de protección de datos personales que se establece en la presente Ley no será de aplicación:

a) A las bases de datos mantenidas por personas naturales en el ejercicio de actividades exclusivamente personales o domésticas.

b) Las bases de datos que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito.

c) Las bases de datos creadas y reguladas por leyes especiales.

d) Las bases de datos y archivos de información periodística y otros contenidos editoriales.

 

Artículo 3.- Definiciones

a) Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el Responsable del Tratamiento que es puesto a disposición del Titular, previo al tratamiento de sus datos personales.

b) Base de Datos: Conjunto organizado de datos personales que sea objeto de tratamiento o procesamiento, automatizado o manual, cualquiera que sea la modalidad de su elaboración, organización o acceso;

c) Consentimiento: Toda manifestación de voluntad, libre, inequívoca, especifica e informada, mediante la cual el Titular consienta el tratamiento de datos personales que le concierne.

d) Datos personales: Cualquier dato relativo a una persona natural identificada o identificable;

e) Datos sensibles: Aquellos que se refieran a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como: Los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud, físicos o psíquicos y preferencias sexuales u otras análogas que afecten su intimidad, así como cualquier otra información excluida por ley; y, cualquier otro dato respecto de la libertad individual que violente el derecho al honor, a la intimidad personal, familiar y a la propia imagen, consagrado en la Constitución de la República o en convenios internacionales suscritos por Honduras.

f) Derecho fundamental a la protección de datos: Es el derecho que toda persona tiene a controlar sus datos personales que se encuentran registrados en bases de datos de entidades públicas o privadas, personas naturales o jurídicas.

g) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en conjunto con otros, realice el tratamiento de datos personales por cuenta del Responsable del Tratamiento.

h) IAIP: Instituto de Acceso a la Información Pública y Protección de Datos Personales a que hace referencia la Ley de Transparencia y Acceso a la Información Pública.

i) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que por sí misma o en conjunto con otros, decida sobre la base de datos y/o el tratamiento de los datos.

j) Titular: Persona natural cuyos datos personales sean objeto de Tratamiento.

k) Tratamiento de datos personales: Cualquier operación o conjunto de operaciones, efectuadas mediante procedimientos automatizados o manuales y aplicadas a datos personales, tales como la recolección, el registro, el almacenamiento, la modificación, la extracción, la consulta, la utilización, la comunicación por transferencia, difusión o cualquier otra forma que facilite el acceso a estos, el cotejo o la interconexión, así como su bloqueo, supresión o destrucción, entre otros.

 

TÍTULO II.- PRINCIPIOS Y DERECHOS BÁSICOS PARA LA PROTECCIÓN DE DATOS PERSONALES

 

CAPÍTULO I.- PRINCIPIOS RECTORES

 

Artículo 4. Principios para la protección de datos personales.

La actuación de los responsables de las bases de datos o de los tratamientos, tanto públicos como privados, y, en general, de todos quienes actúan en relación a datos personales de terceros, deberá ajustarse a los siguientes principios generales, los cuales se han de aplicar, de manera armónica e integral:

a. Principio de lealtad y legalidad: Los datos personales no se recolectaran ni elaborarán con procedimientos desleales o ilícitos, ni se utilizarán con fines contrarios a los propósitos establecidos por esta Ley y demás normativa aplicable.

b. Principio de exactitud: Los datos personales que se recolecten deberán ser exactos, adecuados, ecuánimes y no excesivos en relación con la finalidad para la cual se hubieran obtenido. El Responsable del Tratamiento o del Encargado del Tratamiento tendrá la obligación de verificar la exactitud y pertinencia de los datos registrados y tomará las medidas necesarias para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados.

c. Principio de finalidad: El tratamiento de datos personales deberá limitarse al cumplimiento de las finalidades determinadas, explícitas y legítimas del Responsable del Tratamiento o del Encargado del Tratamiento, debiendo limitarse al cumplimiento de las finalidades previstas en la presente Ley.

Si el Responsable del Tratamiento pretende tratar los datos para un fin distinto que no resulte compatible o análogo a los fines establecidos inicialmente comunicados, se requerirá obtener nuevamente el consentimiento del Titular.

No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

d. Principio de acceso a información: Los datos personales deberán ser almacenados de modo que permitan el ejercicio del derecho de acceso a información de su Titular. En el tratamiento debe garantizarse el derecho del Titular a obtener del Responsable del Tratamiento, en cualquier momento y sin restricciones, información acerca de la existencia de datos que le conciernan.

e. Principio de consentimiento: El Tratamiento sólo puede ejercerse con el consentimiento, previo, expreso e informado del Titular. Los datos personales no podrán ser obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o judicial que releve el consentimiento.

f. Principio de no discriminación: No deberán registrarse datos sensibles que puedan originar una discriminación ilícita o arbitraria, en particular información que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos, así como los relativos a la salud, a la vida sexual y los datos biométricos, entre otros.

g. Principio de seguridad: La información sujeta a tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

h. Principio de Responsabilidad: El Responsable del Tratamiento o Encargado del Tratamiento deberán adoptar las medidas necesarias para cumplir con los principios y obligaciones de la presente Ley y dotarse de aquellos mecanismos necesarios para evidenciar dicho cumplimiento, tanto ante los interesados como ante el IAIP en el ejercicio de sus competencias y facultades.

 

CAPÍTULO II.- DERECHOS DEL TITULAR DE LOS DATOS

 

Artículo 5. Derechos frente a la recolección.

Cuando se recojan datos, el Titular tiene el derecho de ser informado, previamente en forma expresa, precisa e inequívoca la información que se recaba de él o ella y con qué fines, a través del aviso de privacidad.

 

Artículo 6. Contenido del Aviso de Privacidad.

El aviso de privacidad deberá contener, al menos, la siguiente información:

a. La identidad y domicilio del Responsable que recoge los datos;

b. Las finalidades del tratamiento de datos y quienes podrán ser sus destinatarios;

c. Las opciones y medios que el Responsable ofrezca a los titulares para limitar el uso o divulgación de los datos;

d. Las consecuencias de proporcionar los datos y de la negativa a hacerlo o su inexactitud

e. Los medios para ejercer los derechos de acceso, rectificación, eliminación u oposición, de conformidad con lo dispuesto en esta Ley;

f. En su caso, las transferencias de datos que se efectúen, y

g. El procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

En el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos.

 

Artículo 7.- Mecanismos de comunicación.

El aviso de privacidad debe ponerse a disposición del Titular a través de formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología, de la siguiente manera:

a. Cuando los datos personales hayan sido obtenidos personalmente del Titular, el aviso de privacidad deberá ser facilitado en el momento en que se recolecte el dato de forma clara y  fehaciente, a través de los formatos establecidos, salvo que se hubiera facilitado el aviso con anterioridad, y

b. Cuando los datos personales sean obtenidos directamente del Titular por cualquier medio electrónico, óptico, sonoro, visual, o a través de cualquier otra tecnología, el Responsable del Tratamiento deberá proporcionar al Titular de manera inmediata, la información a que se refiere el Artículo anterior.

Cuando los datos personales no hayan sido recolectados del Titular, el Responsable del Tratamiento deberá darle a conocer el cambio en el aviso de privacidad, dentro de los 30 días calendario, siguientes al momento del registro de los datos.

Cuando resulte imposible dar a conocer el aviso de privacidad al Titular o exija esfuerzos desproporcionados, en consideración al número de titulares, o a la antigüedad de los datos, previa autorización del IAIP, el responsable podrá instrumentar medidas compensatorias en términos del Reglamento de esta Ley.

 

Artículo 8.- Excepción al consentimiento previo del titular.

No será necesario el consentimiento previo e informado cuando:

a. Los datos provengan de fuentes públicas de información, tales como registros o publicaciones en medios masivos de comunicación;

b. Se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;

c. Se trate de listados cuyos datos se limiten en el caso de personas naturales a nombres y apellidos, documento de identidad, nacionalidad, domicilio y fecha de nacimiento;

d. Deriven de una relación contractual, científica o profesional del Titular de los datos, y sean necesarios para su desarrollo o cumplimiento;

e. Se realice por personales naturales o jurídicas, privadas o públicas su uso exclusivo, personal o doméstico.

 

Artículo 9.- Derecho de acceso a datos personales.

Todo Titular de datos, tendrá derecho a obtener toda la información concerniente a sí mismo que se encuentre en bases de datos públicas o privadas. Este derecho de acceso a datos personales será ejercido en forma gratuita, debiendo cubrir el Titular únicamente los gastos justificados de envío o con el costo de reproducción en copias u otros formatos.

 

Artículo 10.- Derechos de rectificación y eliminación.

Todo Titular tendrá derecho a solicitar la rectificación y eliminación de sus datos personales cuando se hayan tratado con infracción a las disposiciones de la presente Ley, en particular a causa del carácter incompleto o inexacto de los datos que induzcan a error, o hayan sido recopilados sin autorización del Titular.

La eliminación de datos personales dará lugar a un periodo de bloqueo tras el cual se procederá a la supresión del dato. El Responsable del Tratamiento podrá conservarlos exclusivamente para efectos de las responsabilidades nacidas del tratamiento. El periodo de bloqueo será equivalente al plazo de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento en los términos de la Ley aplicable en la materia.

Una vez cancelado el dato se dará aviso a su titular. Cuando los datos personales hubiesen sido transmitidos con anterioridad a la fecha de rectificación o eliminación y sigan siendo tratados por terceros, el Responsable del Tratamiento deberá hacer de su conocimiento dicha solicitud de rectificación o cancelación, para que proceda a efectuarla también.

 

Artículo 11.-Derecho de oposición.

El Titular podrá oponerse al tratamiento de sus datos personales cuando en el Tratamiento no se respeten los principios, derechos y garantías constitucionales y legales.

El Titular podrá oponerse, igualmente, a aquellas decisiones que conlleven efectos jurídicos basadas únicamente en un tratamiento automatizado de datos personales, excepto cuando la decisión hubiese sido expresamente solicitada por el Titular; o sea precisa para el establecimiento, mantenimiento o cumplimiento de una relación jurídica entre el Responsable del Tratamiento y el Titular. En este último caso, el Titular debe tener la posibilidad de hacer valer su punto de vista, a fin de defender su derecho o interés.

No procederá el ejercicio de este derecho de oposición en aquellos casos en los que el Tratamiento sea necesario para el cumplimiento de una obligación impuesta sobre el Responsable del Tratamiento por la legislación nacional aplicable.

 

Artículo 12.-Derecho referente a la transferencia de datos.

El Responsable del Tratamiento de la base de datos, pública o privada, solo podrá transferir datos contenidos en ellas cuando el Titular haya dado su consentimiento expreso e inequívoco y se haga sin vulnerar los principios y derechos reconocidos en esta Ley y su Reglamento.

El consentimiento para la transferencia de los datos personales puede ser revocado por parte del Titular.

 

Artículo 13.- Derecho de Indemnización.

El Titular que considere que ha sufrido un daño o lesión en sus bienes o derechos como consecuencia del incumplimiento a lo dispuesto en la presente Ley por el Responsable del Tratamiento o el Encargado del Tratamiento, podrá ejercer los derechos que estimen pertinentes para efectos de la indemnización que proceda, en términos de las disposiciones legales correspondientes.

 

Artículo 14.- Excepciones a los principios y derechos para la protección de datos personales.

Los principios, los derechos y las garantías aquí establecidas podrán ser limitados de manera justa, razonable de acorde con el principio de proporcionalidad, cuando se persigan los siguientes fines:

a. La seguridad del Estado.

b. La seguridad y el ejercicio de la autoridad pública.

c. La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d. Se refiera a las partes de un contrato privado, social o administrativo y sean necesarios para su desarrollo y cumplimiento.

e. El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.

f. La adecuada prestación de servicios públicos.

g. La eficaz actividad ordinaria de la Administración, por parte de las autoridades públicas.

 

TÍTULO III.- PROCEDIMIENTOS PARA HACER EFECTIVOS LOS DERECHOS

 

CAPÍTULO ÚNICO

 

Artículo 15.- Ejercicio de los derechos de acceso, rectificación, eliminación y oposición.

El Titular, o en su caso su representante legal o herederos, podrá ejercer los derechos de acceso, rectificación, eliminación u oposición previstos en la presente Ley. El ejercicio de cualquiera de ellos no es requisito previo ni impide el ejercicio de otro. Los datos personales deben ser resguardados de tal manera que permitan el ejercicio sin dilación de estos derechos.

Todo Responsable del Tratamiento deberá designar a una persona, o departamento de datos

personales, quien dará trámite a la solicitud del Titular o su representante legal, para el ejercicio de los derechos a que se refiere la presente Ley.

 

Artículo 16.- Contenido de la solicitud de acceso.

La solicitud de acceso, rectificación, actualización, eliminación u oposición se podrá presentar de manera escrita o por medio electrónico, conteniendo como mínimo, lo siguiente:

a. El nombre del Titular y domicilio y medio para comunicarle la respuesta a su solicitud, ya sea escrito o electrónico;

b. Los documentos que acrediten la identidad o, en su caso, la representación legal del Titular;

c. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos antes mencionados, y

d. Cualquier otro elemento o documento que facilite la localización de los datos personales.

 

Artículo 17.- Entrega de información sobre datos personales.

La información solicitada, ha de ser proporcionada por el Responsable del Tratamiento dentro de los diez (10) días hábiles de haber sido solicitada, entregándose en forma inteligible, empleando para ello un lenguaje claro y sencillo.

Cuando no fuere posible atender la solicitud de acceso a datos personales dentro de dicho plazo, se informará al Titular o representante legal, expresando los motivos del retraso y señalando la fecha en que se atenderá la solicitud, la cual en ningún caso podrá superar los diez (10) días hábiles siguientes al vencimiento del primer plazo.

Sin perjuicio de lo que disponga la regulación aplicable a datos relativos a la actividad comercial o crediticia, la solicitud de acceso a datos personales almacenados en una base de datos solamente se podrá realizar en intervalos de seis (6) meses calendario, salvo que el Titular haga constar en su solicitud un interés legítimo.

 

Artículo 18.- Procedimiento de rectificación, eliminación u oposición.-

El Titular que considere que sus datos personales almacenados en una base de datos debe ser objeto de rectificación, actualización o eliminación, o cuando adviertan el presunto incumplimiento de cualquiera de los deberes contenidos en esta Ley, presentará una solicitud ante el Responsable del Tratamiento, la cual será tramitado bajo las siguientes reglas:

a. La solicitud ha de cumplir con las formalidades establecidas en el Artículo 15 de la presente Ley. En el caso de solicitudes de rectificación de datos personales, el Titular deberá indicar, las modificaciones a realizarse y aportar la documentación que sustente su petición

b. Si la solicitud resulta incompleta, se requerirá al interesado dentro de los tres (3) días hábiles siguientes para que subsane con la información faltante. Transcurridos dos (2) meses calendario desde la fecha del requerimiento, sin que el interesado presente la información requerida, se entenderá que ha desistido dicha solicitud.

c. Una vez recibida solicitud completa, el Responsable del Tratamiento incluirá en la base de datos una leyenda que diga “solicitud en trámite” y el motivo del mismo, en un término no mayor a tres (3) días hábiles. Dicha leyenda deberá mantenerse hasta que la solicitud sea resuelta.

d. El plazo para atender la solicitud será de diez (10) días hábiles contados a partir del siguiente día hábil que la información se encuentre completa. Cuando no fuere posible atender el solicitud dentro de dicho término, se informará al interesado los motivos del retraso y la fecha en que se atenderá su solicitud, la cual en ningún caso podrá superar los diez (10) días hábiles siguientes al vencimiento del primer plazo.

e. El Responsable del Tratamiento comunicará al Titular, en un plazo máximo de veinte (20) días hábiles, contados a partir de la fecha en que se recibió la solicitud de rectificación, actualización, eliminación u oposición, la determinación adoptada, a efecto de que, si resulta procedente, se haga efectiva la misma dentro de los diez (10) días hábiles siguientes a la fecha en que se comunica la respuesta.

Cuando los datos personales hubiesen sido transferidos con anterioridad a la fecha de rectificación o eliminación y sigan siendo tratados por terceros, el Responsable del Tratamiento deberá hacer de su conocimiento dicha solicitud de rectificación o eliminación al tercero, para que proceda a efectuarlo también.

 

Artículo 19.- Denegación justificada al acceso, rectificación, eliminación u oposición.

El Responsable del Tratamiento podrá negar el acceso a los datos personales, o a realizar la rectificación, actualización o conceder la oposición al Tratamiento de los mismos, en los siguientes supuestos:

a. Cuando el solicitante no sea el Titular de los datos personales, o el representante legal no esté debidamente acreditado para ello;

b. Cuando en su base de datos, no se encuentren los datos personales del solicitante;

c. Cuando se lesionen los derechos de un tercero;

d. Cuando exista un impedimento legal, o la resolución de una autoridad competente, que restrinja el acceso a los datos personales, o no permita la rectificación, eliminación u oposición de los mismos, y

e. Cuando la rectificación, eliminación u oposición haya sido previamente realizada.

En todos los casos anteriores, el Responsable del Tratamiento deberá informar el motivo de su decisión y comunicarla al Titular, o en su caso, al representante legal, en un plazo no mayor a diez (10) días hábiles, por el mismo medio por el que se llevó a cabo la solicitud, acompañando, en su caso, las pruebas que resulten pertinentes.

La negativa a que se refiere este Artículo podrá ser parcial en cuyo caso el Responsable del Tratamiento efectuará el acceso, rectificación, eliminación u oposición requerida por el Titular.

 

TÍTULO IV.- DEBERES DE LOS RESPONSABLES

 

CAPÍTULO ÚNICO

 

Artículo 20. Deber del Responsable del Tratamiento.

El Responsable del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente Ley y su Reglamento:

a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho fundamental de protección de datos personales;

b. Informar debidamente al Titular sobre la finalidad de la recolección y los derechos que le asisten por virtud del consentimiento otorgado;

c. Cumplir con las obligaciones en torno al aviso de privacidad;

d. Informar a solicitud del Titular sobre el uso dado a sus datos.

e. Tramitar las solicitudes de acceso, rectificación, eliminación u oposición en los términos señalados en la presente Ley;

f. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

g. Garantizar que la información que se suministre al Encargado del Tratamiento sea veraz, completa, exacta, actualizada, comprobable y comprensible;

h. Actualizar la información, comunicando de forma oportuna al Encargado del Tratamiento, todas los cambios respecto de los datos que previamente le haya suministrado y adoptar las demás medidas necesarias para que la información suministrada a éste se mantenga actualizada;

i. Rectificar la información cuando sea incorrecta y comunicar lo pertinente al Encargado del Tratamiento;

j. Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo Tratamiento esté previamente autorizado de conformidad con lo previsto en la presente Ley y su Reglamento;

k. Exigir al Encargado del Tratamiento en todo momento, el respeto a las condiciones de seguridad y privacidad de la información del Titular;

l. Informar al Encargado del Tratamiento cuando determinada información se encuentra en discusión por parte del Titular, una vez se haya presentado la solicitud y no haya finalizado el trámite respectivo;

m. Implementar un manual de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente Ley;

n. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por el IAIP;

o. Informar al IAIP, cuando se le presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares, y

p. Cumplir las instrucciones y requerimientos que imparta el IAIP.

 

Artículo 21.- Deberes de los Encargados del Tratamiento.

Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente Ley y su Reglamento:

a. Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho fundamental de protección de datos personales;

b. Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

c. Realizar oportunamente la actualización, rectificación o eliminación de los datos en los términos de la presente Ley;

d. Actualizar la información reportada por los Responsables del Tratamiento dentro de los cinco (5) días hábiles contados a partir de su recibo;

e. Implementar un manual de políticas y procedimientos para garantizar el adecuado cumplimiento de la presente Ley;

f. Registrar en la base de datos la leyenda “solicitud en trámite” en la forma en que se regula en la presente Ley;

g. Insertar en la base de datos la leyenda “información en revisión judicial” una vez notificado por parte de la autoridad competente sobre procesos judiciales relacionados con la calidad del dato personal;

h. Abstenerse de circular información que esté siendo controvertida por el Titular y cuyo bloqueo haya sido ordenado por el IAIP;

i. Permitir el acceso a la información únicamente a las personas que pueden tener acceso a ella;

j. Informar al IAIP, cuando se le presenten violaciones a los códigos de seguridad y existan riesgos en la administración de la información de los Titulares, y

k. Cumplir las instrucciones y requerimientos que imparta el IAIP.

 

TÍTULO V.- SEGURIDAD DE DATOS

 

CAPÍTULO ÚNICO

 

Artículo 22.- Seguridad de los datos.

El Responsable del Tratamiento deberá adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a esta Ley.

Dichas medidas deberán incluir, al menos, los mecanismos de seguridad física y lógica más adecuados de acuerdo con el desarrollo tecnológico actual, para garantizar la protección de la información almacenada.

No se registrarán datos personales en bases de datos que no reúnan las condiciones que garanticen plenamente su seguridad e integridad, así como la de los centros de tratamiento, equipos, sistemas y programas.

Por vía de reglamento se establecerán los requisitos y las condiciones que deban reunir las bases de datos, y de las personas que intervengan en la recolección, almacenamiento y uso de los datos.

 

Artículo 23.- Deber de confidencialidad.

El Responsable del Tratamiento y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevada del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.

 

Artículo 24.- Manual de políticas y procedimientos.

Las personas naturales y jurídicas, públicas y privadas, que tengan entre sus funciones la recolección, el almacenamiento y tratamiento de datos personales, emitirán un manual de políticas y procedimientos en el cual establecerán los pasos que deberán seguir en la recolección, el almacenamiento y el manejo de los datos personales, de conformidad con las disposiciones previstas en esta Ley, su Reglamento y demás normativa aplicable.

Para que sea válido, el manual de políticas y procedimientos deberá ser inscrito, así como sus posteriores modificaciones, ante el IAIP.

El IAIP podrá verificar, en cualquier momento, que la base de datos esté cumpliendo cabalmente con los términos del manual.

 

TÍTULO VI.- CATEGORIAS ESPECIALES DE DATOS

 

CAPÍTULO ÚNICO

 

Artículo 25.- Datos sensibles.

Toda persona tiene derecho a que se respete su honor, intimidad personal, familiar y a su propia imagen. Ninguna persona puede ser obligada a proporcionar datos personales que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, así como los relativos a la salud, a la vida sexual y los datos biométricos, entre otros.

 

Artículo 26.- Tratamiento de datos sensibles.

Los datos sensibles podrán ser objeto de Tratamiento cuando:

a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización.

b) El Tratamiento sea necesario para salvaguardar el interés vital del Titular y éste se encuentre física o jurídicamente incapacitado. En estos eventos, el representante legal del Titular deberá otorgar su autorización.

c) El Tratamiento sea efectuado en el curso de las actividades legítimas y con las debidas garantías por parte de partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones, organizaciones no gubernamentales y otras  entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refieran exclusivamente a sus miembros o a las personas que mantengan contactos regulares por razón de su finalidad. En estos eventos, los datos no se podrán suministrar a terceros sin la autorización del Titular.

d) El Tratamiento de los datos se realice con finalidades estadísticas o científicas cuando se disocien de su Titular.

e) El Tratamiento sea necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la prestación de servicios de salud, siempre que dicho tratamiento de datos se realice por un profesional de la salud sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

f) El Tratamiento se refiera a datos que sean necesarios para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

 

Artículo 27.- Datos relativos a las telecomunicaciones.-

Los operadores autorizados para prestar a terceros servicios de telecomunicaciones deberán garantizar, en el ejercicio de su actividad, la protección de los datos conforme la presente Ley.

Asimismo, deberán adoptar las medidas técnicas y procesos adecuados para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar sus niveles de protección de los datos personales que sean exigidos por esta Ley. En caso que exista un riesgo particular de violación de la seguridad de la red pública, el operador que explote dicha red o preste servicios de telecomunicaciones informará a los abanados sobre dicho riesgo y las medidas a adoptar.

La regulación contenida en esta Ley se entiende sin perjuicio de lo previsto en la normativa específica sobre telecomunicaciones relacionada con la seguridad pública y la defensa nacional.

 

Artículo 28.- Datos relativos a bases de datos con fines de publicidad.

En la recopilación de información sobre direcciones, reparto de documentos, publicidad, venta y otras actividades similares, se podrán tratar datos que sean aptos para establecer perfiles determinados con fines promocionales, comerciales o publicitarios; o permitir establecer hábitos de consumo, cuando los mismos figuren en fuentes accesibles al público o cuando hayan sido facilitados por el propio Titular u obtenidos con su consentimiento.

Cuando los datos procedan de fuentes accesibles al público, en cada comunicación que se dirija al Titular se informará del origen de los datos y de la identidad del Responsable del Tratamiento, así como de los derechos que le asisten.

En los supuestos contemplados en el presente Artículo, el Titular de los datos podrá ejercer los derechos de acceso, actualización o eliminación sin cargo alguno.

 

Artículo 29.- Datos relativos a la actividad comercial o crediticia.

El Tratamiento de los datos personales referentes al historial o comportamiento crediticio se regirá por las normas del Sistema Financiero Nacional, sin que esto impida el pleno ejercicio de los derechos frente a la recolección, acceso, rectificación, actualización, eliminación y oposición que establece esta Ley y la Constitución de la República.

Quienes se dediquen a la prestación de servicios de información sobre la solvencia financiera o crediticia únicamente podrán tratar datos personales obtenidos de los registros y las fuentes accesibles al público en general o procedentes del consentimiento informado, expreso e inequívoco del Titular. De tal manera que el Responsable del Tratamiento debe atender el derecho frente a la recolección que establece el Artículo 5 de la presente Ley.

Cuando el Titular lo solicite, el Responsable del Tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis (6) meses calendario y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.

 

TÍTULO VII.- TRANSFERENCIA DE DATOS

 

CAPÍTULO ÚNICO

 

Artículo 30.- Transferencia de datos a terceros.

Los datos personales objeto del Tratamiento sólo podrán ser transferidos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del transferente y del receptor, con el previo consentimiento expreso del Titular.

 

Artículo 31.- Nulidad del consentimiento del titular.

Será nulo el consentimiento para la transferencia de datos personales a un tercero, cuando la información que se le facilita al Titular por parte del Responsable del Tratamiento, no le permita conocer la finalidad o finalidades que tendrán sus datos personales al ser transferidos a un tercero o la actividad que realiza éste.

 

Artículo 32.- Excepciones al consentimiento para transferir datos personales.

El consentimiento exigido no será necesario cuando:

a. La transferencia es autorizada por una ley;

b. Se trata de datos recolectados a través de fuentes accesibles al público;

c. El Tratamiento responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho Tratamiento con base de datos de terceros;

d. La transferencia que deba efectuarse tenga por destinatario la Policía Nacional, el Ministerio Público o el Poder Judicial, en el cumplimiento de sus atribuciones según ley;

e. La transferencia se produzca entre organismos del sector público y tenga por objeto el Tratamiento posterior de los datos con fines históricos, estadísticos y científicos, y

f. La transferencia de datos personales relativos a la salud es necesaria para atender una emergencia que requiera acceder a una base de datos o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre salud pública.

 

Artículo 33.- Cumplimiento legal por cuenta de terceros.

El tercero a que se le transfieran los datos personales, se obliga, por el solo hecho de la transferencia, a la observancia de las disposiciones de la presente Ley.

No se considerará transferencia de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al Responsable del Tratamiento.

 

Artículo 34.- Tratamiento de datos por terceros.

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el Encargado del Tratamiento únicamente tratará los datos conforme a las instrucciones del Responsable del Tratamiento, que no los aplicará o utilizará con el fin distinto al que figure en dicho contrato, ni los transferirá, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el Titulo V de la presente Ley que el Encargado del Tratamiento está obligado a implementar.

Una vez cumplida la prestación contractual, los datos personales deberán ser destruidos o devueltos al Responsable del Tratamiento, al igual que cualquier soporte o documentos en que conste algún dato personal objeto del tratamiento.

En el caso de que el Encargado del Tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también como responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

Artículo 35.- Transferencia de datos a nivel internacional.

Se prohíbe la transferencia de datos personales de cualquier tipo con países u organismos internacionales que no proporcionen niveles de protección adecuados de acuerdo a los estándares del Derecho Internacional en la materia.

El carácter adecuado del nivel de protección que ofrece el país de destino se evaluará por el IAIP atendiendo a todas las circunstancias que concurran en la transferencia o categoría de transferencia de datos. En particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de derecho, generales o sectoriales, vigentes en el país tercero de que se trate, el contenido de los informes de la Comisión de la Unión Europea, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Sin perjuicio de lo dispuesto en el primer y segundo párrafo del presente Artículo, el IAIP podrá autorizar una transferencia o una serie de transferencias de datos personales a un tercer país que no garantice un nivel adecuado de protección, cuando el Responsable de Tratamiento ofrezca garantías respecto a la protección de la vida, de los derechos y libertades fundamentales de las personas, así como respecto al ejercicio de los respectivos derechos. Dichas garantías podrán derivarse de cláusulas contractuales apropiadas.

 

Artículo 36.- Excepción a la prohibición de transferir datos a nivel internacional.

La prohibición mencionada en el primer párrafo del Artículo anterior, no se será aplicable cuando:

a. El Titular haya dado su autorización explícita a dicho Tratamiento;

b. Se requiere el intercambio de datos de carácter médico para atender el tratamiento médico del Titular;

c. Se realicen transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulta aplicable;

d. La transferencia sea necesaria para la ejecución de un contrato entre el Titular y el Responsable del Tratamiento o para la ejecución de medidas precontractuales tomadas a petición del Titular;

e. La transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del Titular, entre el Responsable del Tratamiento y un tercero;

f. La transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial;

g. La transferencia tenga lugar desde un registro que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para su consulta;

h. Se realiza en el marco de la cooperación judicial internacional, y

i. En el cumplimiento de acuerdos, tratados o convenios en el marco de tratados internacionales en los cuales la República de Honduras sea parte;

 

TÍTULO VIII.- DISPOSICIONES SECTORIALES

 

CAPÍTULO I.- BASES DE DATO DE TITULARIDAD PÚBLICA

 

Artículo 37.- Creación, modificación o eliminación.

La creación, modificación o eliminación de bases de datos pertenecientes a organismos del sector público deberá registrarse en el IAIP.

Asimismo, el organismo público deberá comunicar los cambios que se produzcan en la finalidad de la base de dato, en su Responsable del Tratamiento y en la dirección de su ubicación.

Para la eliminación de las bases de datos, se establecerá el destino de los mismos o, en su caso, las previsiones que se adopten para su destrucción.

 

Artículo 38.- Registro de bases de datos de organismos del sector público.

Por vía Reglamento se procederá a la regulación detallada de los distintos extremos que deba contener el registro, entre los cuales figurarán:

a. El organismo público responsable de la base de datos;

b. La finalidad de la base de datos;

c. Las personas o colectivos sobre los que se pretenda obtener datos personales o que resulten obligados a suministrarlos;

d. Los procedimientos de recolección de los datos personales y tratamiento de estos;

e. La estructura básica de la base de datos y la descripción de los tipos de datos personales incluidos en ella;

f. Las medidas de seguridad y de confidencialidad;

g. El destino de los datos y personas naturales o jurídicas a las que pueden ser transferidos los datos personales;

h. Tiempo de conservación de los datos personales;

i. La instancia interna donde se presentará y dará tramite a las solicitudes de acceso, rectificación, actualización, eliminación y oposición;

j. Forma y condiciones en que el Titular puede acceder a sus datos personales y los procedimientos a realizar la rectificación o actualización de los datos, y

k. En su caso, las transferencias de datos que se prevean a países terceros u organismos internacionales.

 

Artículo 39.- Base de datos de las Fuerzas Armadas y operadores de justica.

Las bases de datos con datos personales creados para fines administrativos por parte de las Fuerzas Armadas, la Policía Nacional, el Ministerio Público y el Poder Judicial, estarán sujetas a las disposiciones de la presente Ley.

La recolección y tratamiento para fines de investigación y represión del delito de datos personales, sin consentimiento del Titular están limitados a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real para la seguridad pública o para la investigación y represión del delito, debiendo ser almacenados en bases de datos específicas establecidas al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad.

Los datos personales registrados con fines de investigación se eleminarán cuando no sean necesarios para las averiguaciones que motivaran su recolección y almacenamiento. A estos efectos, se considerará especialmente la edad del afectado y el carácter de los datos almacenados, la necesidad de mantener los datos hasta la conclusión de una investigación o procedimiento concreto, la resolución judicial firme, en especial la absolutoria, el indulto, la rehabilitación y la prescripción de responsabilidad.

 

Artículo 40.- Excepciones a los derechos de acceso, rectificación y eliminación.

El Responsable del Tratamiento de las bases de datos que contengan los datos a que se refiere el primer párrafo del Artículo anterior, podrá denegar el acceso, la rectificación o eliminación en función de los peligros que pudieran derivarse para la defensa del Estado o la seguridad pública, la protección de los derechos y libertades de terceros o las necesidades de las investigaciones que se estén realizando.

El Responsable del Tratamiento de las bases de datos de la agencia tributaria estatal, podrá, denegar el ejercicio de los derechos de acceso, rectificación y eliminación cuando pueda obstaculizar las actuaciones administrativas tendientes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el Titular esté siendo investigado por la agencia tributaria.

 

Artículo 41.- Acción ante la denegatoria por el sector público.

El Titular al que se deniegue total o parcialmente el ejercicio de los derechos de acceso, rectificación y eliminación por parte de un organismo del sector público podrá ponerlo en conocimiento del IAIP, quien deberá asegurarse de la procedencia o improcedencia de la denegación.

 

Artículo 42.- Excepciones al derecho frente a la recolección.

Lo dispuesto en el Artículo 5 de la presente Ley no será aplicable cuando la información del Titular afecte la defensa nacional, a la seguridad pública o a la persecución de infracciones penales.

 

CAPÍTULO II.- BASES DE DATO DE TITULARIDAD PRIVADA

 

Artículo 43.- Creación de bases de datos privadas.

Podrán crearse base de datos de titularidad privada que contengan datos personales cuando resulte necesario para el logro de la actividad u objeto legítimos de la persona, empresa o entidad titular y se respeten las garantías que esta Ley establece para la protección de datos personales.

 

Artículo 44.- Registro de bases de datos de titularidad privada.

Toda persona natural o jurídica que proceda a la creación de una base de datos personales y que no sean para un uso exclusivamente individual o doméstico, deberán registrar la base de datos previamente ante el IAIP.

Por vía reglamento se procederá a la regulación detallada de los distintos extremos que deba contener la notificación, entre los cuales figurarán:

a. Identificación de la base de datos y el Responsable de la misma;

b. La finalidad de la base de datos;

c. La estructura básica de la base de datos y la descripción de los tipos de datos personales incluidos en ella;

d. Los procedimientos de la recolección de los datos personales y tratamiento de estos;

e. Las medidas de seguridad y confidencialidad;

f. El destino de los datos y personas naturales o jurídicas a las que pueden ser transferidos los datos personales;

g. Tiempo de conservación de los datos personales;

h. Forma y condiciones en que el Titular puede acceder a sus datos personales y los procedimientos a realizar la rectificación o actualización de los datos.

i. En su caso, las transferencias de datos que se prevean a países terceros.

 

TÍTULO IX.- DE LOS MECANISMOS DE VIGILANCIA Y SANCIÓN

 

CAPÍTULO I.- DEL INSTITUTO DE ACCESO A LA INFORMACION PÚBLICA Y PROTECCIÓN DE DATOS PERSONALES

 

Artículo 45.- Autoridad de Protección de Datos.

Para los objetivos y propósitos de la presente Ley, el Instituto de Acceso a la Información Pública y de Protección de Datos Personales (IAIP) es el responsable de promover y garantizar el derecho fundamental de protección de datos personales y ejercer la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y su Reglamento.

Le corresponderá al IAIP adoptar las resoluciones, elaborar los reglamentos y las demás disposiciones pertinentes para asegurar la correcta aplicación de la presente Ley y su Reglamento.

Para tal fin, el IAIP, creara la Gerencia de Protección de Datos Personales (PRODATOS).

 

Artículo 46.-Dirección.

PRODATOS estará bajo la dirección, orientación, administración y

supervisión de un(a) Gerente el cual será nombrado por el Pleno de los Comisionados del IAIP.

No podrá ser nombrado Gerente de PRODATOS quien sea propietario, accionista, miembro de la

junta directiva, gerente, asesor, representante legal o empleado de una empresa dedicada a la recolección o el almacenamiento de datos personales. Dicha prohibición persistirá hasta por dos años después de haber cesado sus funciones o vínculo empresarial.

Estará igualmente impedido quien sea cónyuge o pariente hasta el tercer grado de consanguinidad

o afinidad de una persona que esté en alguno de los supuestos mencionados anteriormente.

 

Artículo 47.- Funciones.

El IAIP deberá realizar todas las acciones necesarias para el cumplimiento de los objetivos y demás disposiciones de la presente Ley. A tales efectos tendrá las siguientes funciones:

a. Velar por el cumplimiento de la legislación en materia de protección de datos personales, tanto por parte de personas naturales o jurídicas privadas, como por organismos públicos.

b. Realizar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de protección de datos.

c. Conocer y resolver los procedimientos de protección de derechos y de verificación señalados en esta Ley e imponer las sanciones según corresponda;

d. Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones, entre ello, los manuales utilizados.

e. Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta una decisión definitiva.

f. Realizar y actualizar un censo de las bases de datas a ser reguladas por la presente Ley, administrar el Registro Nacional de Protección de Datos, y emitir las órdenes y los actos necesarios para su administración y funcionamiento.

g. Promover y divulgar los derechos de las personas en relación con el Tratamiento de datos personales e implementar campañas de promoción para capacitar e informar a los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección de datos.

h. Proporcionar apoyo técnico a las los responsables que lo soliciten, para el cumplimiento de las obligaciones establecidas en la presente Ley;

i. Proferir las declaraciones de conformidad sobre las transferencias internacionales de datos.

j. Sugerir o recomendar los ajustes, correctivos o adecuaciones a la normatividad que resulten acordes con la evolución tecnológica, informática o comunicacional.

k. Cooperar con otras autoridades de supervisión y organismos nacionales e internacionales, a efecto de coadyuvar en materia de protección de datos.

 

Artículo 48. El Registro Nacional de Protección de Datos.

El Registro Nacional de Protección de Datos será administrado por el IAIP y serán objeto de inscripción:

a. Las bases de datos gestionadas por organismos del sector público;

b. Las bases de datos de titularidad privada;

c. Las autorizaciones a que se refiere la presente Ley;

d. Los manuales de políticas y procedimientos que elaboren e implementen los Responsables del Tratamiento y Encargados de Tratamiento.

e. Los datos relativos a las bases de datos que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, eliminación y oposición.

Por vía de Reglamento se regulará el procedimiento de inscripción de bases de datos, tanto del sector público como del privado, en el Registro Nacional de Protección de Datos, el contenido de la inscripción, su modificación, cancelación, reclamaciones y recursos contra las resoluciones correspondientes y demás extremos pertinentes.

 

Artículo 49.- Consejo Consultivo de Protección de Datos.-

EL IAIP estará asesorado por un Comité Consultivo que apoyará en materia de desarrollo normativo, regulatorio y tecnológico en torno a la protección de datos personales. El Comité Consultivo estará integrado por representantes de los sectores públicos y privados, en la forma siguiente:

a. Un experto en la materia, nombrado por el Poder Legislativo;

b. Un experto en la materia, nombrado por el Poder Ejecutivo;

c. Un experto en la materia, nombrado por el Poder Judicial;

d. Un experto en la materia, propuesto por el Consejo Superior de Universidades;

e. Un representante de los usuarios y consumidores, seleccionado del modo que se prevea reglamentariamente;

f. Un representante del sector de base de datos de titularidad privada, para cuya propuesta se seguirá el procedimiento que se regule reglamentariamente, y

g. Un representante de una organización de derechos humanos de la sociedad civil, seleccionada del modo que se prevea reglamentariamente.

El funcionamiento del Consejo Consultivo se regirá por las normas reglamentarias que al efecto se establezcan.

 

Artículo 50.- Promoción y difusión del derecho fundamental de protección de datos.

El IAIP elaborará e implementará una estrategia de comunicación dirigida a permitir que los Titulares conozcan los derechos derivados del manejo de sus datos personales, así como los mecanismos que el ordenamiento prevé para la defensa de tales prerrogativas.

Asimismo, promoverá entre las personas y empresas que recolecten, almacenen o manipulen datos personales, la adopción de prácticas y protocolos de actuación acordes con la protección de dicha información.

 

CAPÍTULO II.- DEL PROCEDIMIENTO DE PROTECCIÓN DE DERECHOS

 

Artículo 51.- Protección de datos personales.

El Titular podrá presentar una solicitud de protección de datos por la respuesta recibida o falta de respuesta del Responsable de Tratamiento.

La solicitud de protección de datos también procederá cuando el Responsable del Tratamiento entregue al Titular los datos personales solicitados en un formato incomprensible, se niegue a efectuar modificaciones o correcciones a los datos personales, el Titular no esté conforme con la información entregada por considerar que es incompleta o no corresponda a la información requerida.

 

Artículo 52.- Solicitud de protección de datos personales.

La solicitud de protección de datos podrá interponerse por escrito libre o a través de los formatos, del sistema electrónico que al efecto proporcione el IAIP y deberá contener la siguiente información:

a. El nombre del Titular o, en su caso, el de su representante legal, así como del tercero interesado, si lo hay;

b. El nombre del Responsable del Tratamiento ante el cual se presentó la solicitud de acceso, rectificación, actualización, eliminación u oposición de datos personales;

c. El domicilio para oír y recibir notificaciones;

d. La fecha en que se le notificó la respuesta del Responsable del Tratamiento, salvo que el procedimiento inicie con la falta de respuesta, en ese caso, a partir del vencimiento de los veinte (20) hábiles para atender la solicitud del Titular por parte del Responsable del Tratamiento;

e. Los actos que motivan su solicitud de protección de datos, y

f. Los demás elementos que se considere procedente hacer del conocimiento del Instituto.

La forma y términos en que deba acreditarse la identidad del titular o bien, la representación legal se establecerán en el Reglamento.

Asimismo, a la solicitud de protección de datos deberá acompañarse la solicitud y la respuesta que se recurre o, en su caso, los datos que permitan su identificación. En el caso de falta de respuesta sólo será necesario presentar la solicitud.

 

Artículo 53.- Solicitud incompleta.

En caso de que la solicitud de protección de datos se encuentre incompleta, se requerirá al interesado dentro de los tres (3) días hábiles siguientes a la presentación de la solicitud de protección de datos, por una sola ocasión, para que subsane las omisiones dentro de un plazo de cinco (5) días hábiles.

Transcurridos dos (2) meses calendario desde la fecha del requerimiento, sin que el interesado presente la información requerida, se entenderá que ha desistido dicha solicitud.

 

Artículo 54.- Plazos para solicitar protección de datos personales

El procedimiento se iniciará a instancia del Titular o de su representante legal, expresando con claridad el contenido de su reclamación y de los preceptos de esta Ley que se consideran vulnerados. La solicitud de protección de datos deberá presentarse, dentro de los quince (15) días siguientes a la fecha en que se comunique la respuesta al Titular por parte del Responsable del Tratamiento.

En el caso de que el Titular de los datos no reciba respuesta alguna por parte del responsable, la solicitud de protección de datos podrá ser presentada a partir de que haya vencido el plazo de veinte (20) días hábiles a partir de la solicitud que el Titular presentó ante el Responsable del Tratamiento. En este caso, bastará que el Titular de los datos acompañe a su solicitud de protección de datos el documento que pruebe la fecha en que presentó la solicitud de acceso, rectificación, actualización, eliminación u oposición.

 

Artículo 55.- Traslado al Responsable del Tratamiento.

Recibida la solicitud de protección de datos, el IAIP dará traslado de la misma al Responsable del Tratamiento, para que, en el plazo de diez (10) días hábiles, emita respuesta, ofrezca las pruebas que estime pertinentes y manifieste por escrito lo que a su derecho convenga, a través de un informe. Junto con las argumentaciones y medios probatorios, adjuntará una declaración jurada sobre lo expresado y entregado. La omisión de rendir el informe en el plazo estipulado hará que se tengan por ciertos los hechos acusados.

 

Artículo 56.- Inspección in situ.

En cualquier momento, el IAIP podrá efectuar inspecciones in situ a sus archivos o bases de datos del Responsable del Tratamiento.

 

Artículo 57.- Conciliación.

El IAIP podrá en cualquier momento del proceso buscar una conciliación entre el Titular de los datos y el Responsable del Tratamiento.

De llegarse a un acuerdo de conciliación entre ambos, éste se hará constar por escrito y tendrá efectos vinculantes. La solicitud de protección de datos quedará sin materia y el IAIP verificará el cumplimiento del acuerdo respectivo.

Para efectos de la conciliación, se estará al procedimiento que se establezca en el Reglamento de esta Ley.

 

Artículo 58.- Plazo para emitir resolución.

El plazo máximo para dictar resolución en el procedimiento de protección de derechos será de treinta (30) días hábiles, contados a partir de la fecha de presentación de la solicitud de protección de datos. Cuando haya causa justificada, PRODATOS podrá ampliar por una vez y hasta por un período adicional de veinte (20) días hábiles este plazo.

 

Artículo 59.- Resolución favorable al titular.

En caso que la resolución de protección de derechos resulte favorable al Titular de los datos, se requerirá al Responsable del Tratamiento para que, en el plazo de diez (10) días hábiles siguientes a la notificación, haga efectivo el ejercicio de los derechos objeto de protección, debiendo dar cuenta por escrito de dicho cumplimiento ante el IAIP dentro de los siguientes cinco (5) días hábiles de su corrección.

Si el Responsable del Tratamiento no cumple íntegramente lo ordenado, estará sujeta a las sanciones previstas en esta y otras leyes.

 

Artículo 60.- Publicación de Resoluciones:

Todas las resoluciones del IAIP serán susceptibles de difundirse públicamente en versiones públicas, eliminando aquellas referencias al Titular de los datos que lo identifiquen o lo hagan identificable.

 

CAPÍTULO III.- DEL PROCEDIMIENTO DE VERIFICACIÓN

 

Artículo 61.- Verificación.

El IAIP verificará el cumplimiento de la presente Ley y de la normatividad que de ésta derive. La verificación podrá iniciarse de oficio o a petición de parte.

La verificación de oficio procederá cuando se dé el incumplimiento a resoluciones dictadas con motivo de procedimientos de protección de derechos a que se refiere el Capítulo anterior o se presuma fundada y motivadamente la existencia de violaciones a la presente Ley.

 

Artículo 62.-

En el procedimiento de verificación, el IAIP tendrá acceso a la información y documentación que considere necesaria, de acuerdo a la resolución que lo motive.

El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento a que se refiere el presente Artículo.

 

CAPÍTULO III.- DEL PROCEDIMIENTO DE IMPOSICIÓN DE SANCIONES

 

Artículo 63.- Imposición de sanciones.

Si con motivo de la evacuación del procedimiento de protección de derechos o del procedimiento de verificación que realice el IAIP, éste tuviera conocimiento de un presunto incumplimiento de alguno de los principios o disposiciones de esta Ley, iniciará el procedimiento a que se refiere este Capítulo, a efecto de determinar la sanción que corresponda.

 

Artículo 64.- Procedimiento de imposición de sanciones.

El procedimiento de imposición de sanciones dará comienzo con la notificación que efectúe el IAIP al presunto infractor, sobre los hechos que motivaron el inicio del procedimiento y le otorgará un término de diez (10) días hábiles para que rinda pruebas y manifieste por escrito lo que a su derecho convenga. En caso de no rendirlas, el IAIP resolverá conforme a los elementos probatorios que disponga.

El IAIP admitirá las pruebas que estime pertinentes y procederá a su evacuación. Asimismo, podrá solicitar del presunto infractor las demás pruebas que estime necesarias. Concluido la evacuación de las pruebas, el IAIP notificará al presunto infractor el derecho que le asiste para que, de considerarlo necesario, presente sus alegatos dentro de los cinco (5) días hábiles siguientes a su notificación.

El IAIP, una vez analizadas las pruebas y demás elementos que estime pertinentes, resolverá en definitiva dentro de los treinta (30) días hábiles a la fecha en que inició el procedimiento sancionador. Cuando haya causa justificada, el IAIP podrá ampliar por una vez y hasta por un período adicional de veinte (20) días hábiles este plazo.

El Reglamento desarrollará la forma, términos y plazos en que se sustanciará el procedimiento de imposición de sanciones, incluyendo presentación de pruebas y alegatos, la celebración de audiencias y el cierre del proceso.

 

CAPÍTULO III.- DE LAS INFRACCIONES Y SANCIONES

 

Artículo 65.- Faltas leves.

Serán consideradas faltas leves, para los efectos de esta Ley:

a. Recolectar datos personales sin que se le otorgue suficiente y amplia información al Titular, de conformidad con las disposiciones del Artículo 5, y

b. No cumplir con la solicitud del Titular para el acceso, actualización, rectificación, eliminación u oposición al tratamiento de sus datos personales, sin razón fundada, en los términos previstos en esta Ley;

 

Artículo 66.- Faltas graves.

Serán consideradas faltas graves, para los efectos de esta Ley:

a. Recolectar, almacenar, transferir o de cualquier otra forma emplear datos personales sin el consentimiento informado e inequívoco del Titular de los datos, con arreglo a las disposiciones de esta ley;

b. Recolectar, almacenar y transferir datos personales por medio de mecanismos inseguros o que de alguna forma no garanticen la seguridad e inalterabilidad de los datos;

c. Actuar con negligencia o dolo en la tramitación y respuesta de solicitudes de acceso, rectificación, actualización, eliminación u oposición de datos personales;

d. Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en las bases de datos del Responsable del Tratamiento;

e. Mantener datos personales inexactos cuando resulte imputable al Responsable del Tratamiento, o no efectuar las rectificaciones o eliminaciones de los mismos que legalmente procedan cuando resulten afectados el derecho del Titular;

 

Artículo 67.- Faltas muy graves.

Serán consideradas faltas muy graves, para los efectos de esta ley:

a. Obtener, del Titular o de terceros, datos personales de una persona por medio de engaño, violencia o amenaza.

b. Incumplir el deber de confidencialidad establecido en esta Ley;

c. Cambiar sustancialmente la finalidad originaria del Tratamiento de los datos, sin respetar el Principio de Consentimiento definido en el Artículo 4, inciso e;

d. Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable;

e. Llevar a cabo la transferencia o cesión de los datos personales, fuera de los casos en que esté permitida por la Ley;

f. Revelar información registrada en una base de datos personales cuyo secreto esté obligado a guardar conforme la Ley;

g. Obstruir los actos de verificación de la autoridad;

h. Proporcionar a un tercero, información falsa o distinta contenida en un archivo de datos, con conocimiento de ello.

i. Realizar tratamiento de datos personales sin encontrarse debidamente inscrito ante el IAIP;

j. Transferir, a las bases de datos de terceros países, información de carácter personal de los hondureños o de los extranjeros radicados en el país, sin el consentimiento de sus titulares.

k. Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese del mismo por el IAIP o los titulares;

 

Artículo 68.- Sanciones.

Si se ha incurrido en alguna de las faltas tipificadas en esta ley, el IAIP impondrá alguna de las siguientes sanciones:

a. Para faltas menos leves, una multa de diez (10) a veinte (20) salarios mínimos.

b. Para las faltas graves, una multa de veintiún (21) hasta cuarenta (40) salarios mínimos.

c. Para las faltas muy graves, una multa de cuarenta y un (41) a sesenta (60) salarios mínimos, y la suspensión para el funcionamiento del fichero de uno a seis meses en el caso de titularidad privada. Para el caso de base de datos del sector pública, el Reglamento establecerá la sanción.

 

Artículo 69.- Criterios para imponer sanciones.

El IAIP fundará y motivará sus resoluciones, considerando:

a. La naturaleza del dato;

b. La notoria improcedencia de la negativa del Responsable del Tratamiento, para realizar los actos solicitados por el titular, en términos de esta Ley;

c. El carácter intencional o no, de la acción u omisión constitutiva de la infracción;

d. La capacidad económica del Responsable del Tratamiento, y

e. La reincidencia.

 

Artículo 70.-

Las sanciones que se señalan en este Capítulo se impondrán sin perjuicio de la responsabilidad civil o penal que resulte.

 

TÍTULO X.- DE LA ACCIÓN DE HÁBEAS DATA

 

Artículo 71. Hábeas data.-

Toda persona tendrá derecho a entablar una acción judicial efectiva para tomar conocimiento de los datos referidos a su persona y de su finalidad y uso, que consten en bases de datos públicos o privados; y -en caso de error, falsedad, prohibición de tratamiento, discriminación o desactualización- a exigir su rectificación, inclusión, supresión o lo que entienda corresponder.

Cuando se trate de datos personales cuyo registro esté amparado por una norma legal que consagre el secreto a su respecto, el Juez apreciará el levantamiento del mismo en atención a las circunstancias del caso.

 

Artículo 72.- Procedencia.

El Titular de datos personales podrá entablar la acción de protección de datos personales o habeas data, contra todo responsable de una base de datos pública o privada, en los siguientes supuestos:

a. Cuando quiera conocer sus datos personales que se encuentran registrados en una base de datos o similar y dicha información le haya sido denegada, o no le hubiese sido proporcionada por el Responsable del Tratamiento, en las oportunidades y plazos previstos por la ley.

b. Cuando haya solicitado al Responsable del Tratamiento su rectificación, actualización, eliminación u oposición y éste no hubiese procedido a ello o dado razones suficientes por las que no corresponde lo solicitado, en el plazo previsto al efecto en la Ley.

 

Artículo 73.- Competencia.

Serán competentes para conocer en las acciones de protección de datos personales o habeas data:

a. La Sala de lo Constitucional de la Corte Suprema de Justicia, cuando la acción se dirija contra un ente de la Administración Pública, municipalidades y demás entidades del Sector Público.

b. El Juzgado de Letras de lo Civil con jurisdicción, cuando la acción se dirija contra una persona natural o jurídica con titularidad privada de la base de datos.

 

Artículo 74.- Legitimación.

La acción de habeas data podrá ser ejercida por el propio afectado titular de los datos o sus representantes, y, en caso de personas fallecidas, por sus sucesores universales, en línea directa o colateral hasta el segundo grado, por sí o por medio de apoderado.

 

Artículo 75.- Procedimiento.

Las acciones que se promuevan por violación a los derechos contemplados en la presente Ley se regirán por las normas contenidas en los Artículos que siguen al presente.

 

Artículo 76.- Trámite de primera instancia.

Salvo que la acción fuera manifiestamente improcedente, en cuyo caso el tribunal la rechazará sin sustanciarla y dispondrá el archivo de las actuaciones, se convocará a las partes a una audiencia pública dentro del plazo de tres (3) días hábiles de la fecha de la presentación de la demanda.

En dicha audiencia se oirán las explicaciones del demandado, se recibirán las pruebas y se producirán los alegatos. El tribunal, que podrá rechazar las pruebas manifiestamente impertinentes o innecesarias, presidirá la audiencia so pena de nulidad, e interrogará a los testigos y a las partes, sin perjuicio de que aquéllos sean, a su vez, repreguntados por los abogados. En cualquier momento podrá ordenar diligencias para mejor proveer.

La sentencia se dictará en la audiencia o a más tardar, dentro de las veinticuatro horas de su celebración. Sólo en casos excepcionales podrá prorrogarse la audiencia por hasta tres (3) días hábiles.

Las notificaciones podrán realizarse por intermedio de la autoridad policial. A los efectos del cómputo de los plazos de cumplimiento de lo ordenado por la sentencia, se dejará constancia de la hora en que se efectuó la notificación.

 

Artículo 77.- Medidas provisionales.

Si de la demanda o en cualquier otro momento del proceso resultare, a juicio del tribunal, la necesidad de su inmediata actuación, éste dispondrá, con carácter provisional, las medidas que correspondieren en amparo del derecho o libertad presuntamente violados.

 

Artículo 78.- Contenido de la sentencia.

La sentencia que haga lugar al hábeas data deberá contener:

a. La identificación concreta de la autoridad o el particular a quien se dirija y contra cuya acción, hecho u omisión se conceda el habeas data.

b. La determinación precisa de lo que deba o no deba hacerse y el plazo por el cual dicha resolución regirá, si es que corresponde fijarlo.

c. El plazo para el cumplimiento de lo dispuesto, que será fijado por el tribunal conforme las circunstancias de cada caso, y no será mayor de quince (15) días calendario, computados a partir de la notificación.

 

Artículo 79. Recurso de apelación y segunda instancia.

En el proceso de habeas data sólo serán apelables la sentencia definitiva y la que rechaza la acción por ser manifiestamente improcedente.

 

Artículo 80. Sumariedad. Otros aspectos.-

En los procesos de habeas data no podrán deducirse cuestiones previas, reconvenciones ni incidentes. El tribunal, a petición de parte o de oficio, subsanará los vicios de procedimiento, asegurando, dentro de la naturaleza sumaria del proceso, la vigencia del principio de contradictorio.

 

TÍTULO XI.- CÁNONES

 

Artículo 83.- Canon por regulación y administración de bases de datos.

Los Responsables del Tratamiento que deban inscribirse ante el IAIP, de conformidad con el Artículo 48 de esta Ley, estarán sujetos a un canon de regulación y administración de bases de datos que deberá ser cancelado anualmente, con un monto equivalente en a cien dólares de los Estados Unidos de América (US$100), pagaderos en lempiras a la tasa oficial de venta del Banco Central de Honduras.

El procedimiento para realizar el cobro del presente canon será detallado en el Reglamento que a los efectos deberá emitir el IAIP.

 

Artículo 84.- Canon por comercialización de consulta.

El Responsable del Tratamiento de la base de datos deberá cancelar ante el IAIP un canon por cada venta de los datos personales, de personas individualizables registradas legítimamente y siempre que sea comercializado con fines de lucro, el cual oscilará entre los veinticinco centavos de dólar ($0,25) y un dólar ($1), pagaderos en lempiras a la tasa oficial de venta del Banco Central de Honduras, monto que podrá ser fijado dentro de dicho rango vía reglamento.

En caso de contratos globales de bajo, medio y alto consumo de consultas, o modalidades contractuales de servicio en línea por número de aplicaciones, será el reglamento de la ley el que fije el detalle del cobro del canon que no podrá ser superior al diez por ciento (10%) del precio contractual.

 

TRANSITORIOS

 

PRIMERO.-

La presente Ley entrará en vigencia a partir de su publicación en el Diario Oficial La Gaceta.

 

SEGUNDO.-

A partir de la fecha de entrada en vigencia de esta Ley, se iniciará el proceso de conformación e integración de la Gerencia de Protección de Datos (PRODATOS); para ello, se dispondrá de un plazo máximo de seis (6) meses calendario.

 

TERCERO.-

El Instituto de Acceso a la Información Pública emitirá el Reglamento de esta Ley dentro del año siguiente a su entrada en vigor.

 

CUARTO.-

Las personas físicas o jurídicas, públicas o privadas, que en la actualidad son titulares o administradoras de las bases de datos objeto de esta Ley, deberán adecuar sus procedimientos y reglas de actuación, así como el contenido de sus bases de datos a lo establecido en la presente Ley, en un plazo máximo de un año a partir de la creación de la Gerencia de Protección de Datos (PRODATOS).

29Nov/01

Decreto 1558/2001 Reglamentación de la ley de protección de datos personales

BUENOS AIRES,

VISTO el expediente número 128.949/01 del registro del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, la Ley número 25.326 y,

CONSIDERANDO:

Que el artículo 45 de la mencionada ley establece que el PODER EJECUTIVO NACIONAL deberá reglamentar la misma y establecer el órgano de control a que se refiere su artículo 29 dentro de los CIENTO OCHENTA (180) días de su promulgación.

Que el artículo 46 de la ley citada establece que la reglamentación fijará el plazo dentro del cual los archivos de datos destinados a proporcionar informes existentes al momento de la sanción de dicha ley deberán inscribirse en el registro a que se refiere su artículo 21 y adecuarse a lo que establece el régimen dispuesto por la ley.

Que el artículo 31º, inciso 2, de la Ley número 25.326 dispone que la reglamentación determinará las condiciones y procedimientos para la aplicación de sanciones, en los términos que dicha norma establece. Que la presente medida se dicta en uso de las facultades conferidas por el artículo 99, inciso 2 de la CONSTITUCIÓN NACIONAL.

Por ello, EL PRESIDENTE DE LA NACIÓN ARGENTINA DECRETA

ARTÍCULO 1º.- Apruébase la reglamentación de la Ley número 25.326 de Protección de los Datos Personales, conforme al anexo I que forma parte del presente.

ARTÍCULO 2º.- Establécese en CIENTO OCHENTA (180) días el plazo previsto en el artículo 46 de la Ley número 25.326.

ARTÍCULO 3º– Invítase a las Provincias y a la CIUDAD AUTÓNOMA DE BUENOS AIRES a adherir a las normas de exclusiva aplicación nacional de esta reglamentación.

ARTÍCULO 4º.– Comuníquese, publíquese, dese a la Dirección Nacional del Registro Oficial y archívese.

ANEXO I REGLAMENTACIÓN DE LA Ley número 25.326

CAPÍTULO I.  DISPOSICIONES GENERALES

ARTÍCULO 1º.– A los efectos de esta reglamentación, quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito.

ARTÍCULO 2º.- Sin reglamentar.

CAPÍTULO II.  PRINCIPIOS GENERALES RELATIVOS A LA PROTECCIÓN DE DATOS

ARTÍCULO 3º.- Sin reglamentar.

ARTÍCULO 4º.- El artículo 4º, inciso 1, de la Ley número 25.326, establece la buena fe en la recolección y el destino adecuado a la finalidad del archivo, registro, base o banco de datos. Para determinar la lealtad y buena fe en la obtención de los datos personales, así como el destino que a ellos se asigne, se deberá analizar el procedimiento efectuado para la recolección y, en particular, la información que se haya proporcionado al titular de los datos de acuerdo con el artículo 6º de la Ley número 25.326. Cuando la obtención o recolección de los datos personales fuese lograda por interconexión o tratamiento de archivos, registros, bases o bancos de datos, se deberá analizar la fuente de información y el destino previsto por el responsable o usuario para los datos personales obtenidos. El dato que hubiera perdido vigencia respecto de los fines para los que se hubiese obtenido o recolectado debe ser suprimido por el responsable o usuario sin necesidad de que lo requiera el titular de los datos. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES efectuará controles de oficio sobre el cumplimiento de este principio legal, y aplicará las sanciones pertinentes al responsable o usuario en los casos que correspondiere. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES procederá, ante el pedido de un interesado o de oficio ante la sospecha de una ilegalidad, a verificar el cumplimiento de las disposiciones legales y reglamentarias en orden a cada una de las siguientes etapas del uso y aprovechamiento de datos personales:

a) legalidad de la recolección o toma de información personal;

b) legalidad en el intercambio de datos y en la transmisión a terceros o en la interrelación entre ellos;

c) legalidad en la cesión propiamente dicha;

d) legalidad de los mecanismos de control interno y externo del archivo, registro, bases o bancos de datos.

ARTÍCULO 5º.– El consentimiento informado es el que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artículo 6º de la Ley número 25.326. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES establecerá los requisitos para que el consentimiento pueda ser prestado por un medio distinto a la forma escrita, el cual deberá asegurar la autoría e integridad de la declaración. El consentimiento dado para el tratamiento de datos personales puede ser revocado en cualquier tiempo. La revocación no tiene efectos retroactivos. A los efectos del artículo 5º, inciso 2 e), de la Ley número 25.326 el concepto de entidad financiera comprende a las personas alcanzadas por la Ley número 21.526 y a las empresas emisoras de tarjetas de crédito, los fideicomisos financieros, los deudores de ex-entidades financieras y los sujetos que expresamente incluya la autoridad de aplicación de la mencionada ley. No es necesario el consentimiento para la información que se describe en los incisos a), b), c) y d) del artículo 39 de la Ley número 21.526. En ningún caso se afectará el secreto bancario, quedando prohibida la divulgación de datos relativos a operaciones pasivas que realicen las entidades financieras con sus clientes, de conformidad con lo dispuesto en los artículos 39 y 40 de la Ley número 21.526.

ARTÍCULO 6º.– Sin reglamentar.

ARTÍCULO 7º.– Sin reglamentar.

ARTÍCULO 8º.– Sin reglamentar.

ARTÍCULO 9º.– La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES promoverá la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que susciten la confianza en los sistemas de información, así como en sus modalidades de provisión y utilización.

ARTÍCULO 10.- Sin reglamentar.

ARTÍCULO 11.– Al consentimiento para la cesión de los datos le son aplicables las disposiciones previstas en el artículo 5º de la Ley número 25.326 y el artículo 5º de esta reglamentación. En el caso de archivos o bases de datos públicas dependientes de un organismo oficial que por razón de sus funciones específicas estén destinadas a la difusión al público en general, el requisito relativo al interés legítimo del cesionario se considera implícito en las razones de interés general que motivaron el acceso público irrestricto. La cesión masiva de datos personales de registros públicos a registros privados sólo puede ser autorizada por ley o por decisión del funcionario responsable, si los datos son de acceso público y se ha garantizado el respeto a los principios de protección establecidos en la Ley número 25.326. No es necesario acto administrativo alguno en los casos en que la ley disponga el acceso a la base de datos pública en forma irrestricta. Se entiende por cesión masiva de datos personales la que comprende a un grupo colectivo de personas. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES fijará los estándares de seguridad aplicables a los mecanismos de disociación de datos. El cesionario a que se refiere el artículo 11, inciso 4, de la Ley número 25.326, podrá ser eximido total o parcialmente de responsabilidad si demuestra que no se le puede imputar el hecho que ha producido el daño.

ARTÍCULO 12.- La prohibición de transferir datos personales hacia países u organismos internacionales o supranacionales que no proporcionen niveles de protección adecuados, no rige cuando el titular de los datos hubiera consentido expresamente la cesión. No es necesario el consentimiento en caso de transferencia de datos desde un registro público que esté legalmente constituido para facilitar información al público y que esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones legales y reglamentarias para la consulta. Facúltase a la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a evaluar, de oficio o a pedido de parte interesada, el nivel de protección proporcionado por las normas de un Estado u organismo internacional. Si llegara a la conclusión de que un Estado u organismo no protege adecuadamente a los datos personales, elevará al PODER EJECUTIVO NACIONAL un proyecto de decreto para emitir tal declaración. El proyecto deberá ser refrendado por los Ministros de Justicia y Derechos Humanos y de Relaciones Exteriores, Comercio Internacional y Culto. El carácter adecuado del nivel de protección que ofrece un país u organismo internacional se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el lugar de destino final, las normas de derecho, generales o sectoriales, vigentes en el país de que se trate, así como las normas profesionales, códigos de conducta y las medidas de seguridad en vigor en dichos lugares, o que resulten aplicables a los organismos internacionales o supranacionales. Se entiende que un Estado u organismo internacional proporciona un nivel adecuado de protección cuando dicha tutela se deriva directamente del ordenamiento jurídico vigente, o de sistemas de autorregulación, o del amparo que establezcan las cláusulas contractuales que prevean la protección de datos personales.

CAPÍTULO III.  DERECHOS DE LOS TITULARES DE DATOS

ARTÍCULO 13.– Sin reglamentar.

ARTÍCULO 14.– La solicitud a que se refiere el artículo 14, inciso 1, de la Ley número 25.326, no requiere de fórmulas específicas, siempre que garantice la identificación del titular. Se puede efectuar de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, bases o bancos de datos, o de manera indirecta, a través de la intimación fehaciente por medio escrito que deje constancia de recepción. También pueden ser utilizados otros servicios de acceso directo o semidirecto como los medios electrónicos, las líneas telefónicas, la recepción del reclamo en pantalla u otro medio idóneo a tal fin. En cada supuesto, se podrán ofrecer preferencias de medios para conocer la respuesta requerida. Si se tratara de archivos o bancos de datos públicos dependientes de un organismo oficial destinados a la difusión al público en general, las condiciones para el ejercicio del derecho de acceso podrán ser propuestas por el organismo y aprobadas por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, la cual deberá asegurar que los procedimientos sugeridos no vulneren ni restrinjan en modo alguno las garantías propias de ese derecho. El derecho de acceso permitirá:

a) conocer si el titular de los datos se encuentra o no en el archivo, registro, base o bancos de datos;

b) conocer todos los datos relativos a su persona que constan en el archivo;

c) solicitar información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos;

d) solicitar las finalidades para las que se recabaron;

e) conocer el destino previsto para los datos personales;

f) saber si el archivo está registrado conforme a las exigencias de la Ley número 25.326. Vencido el plazo para contestar fijado en el artículo 14, inciso 2, de la Ley número 25.326, el interesado podrá ejercer la acción de protección de los datos personales y denunciar el hecho ante la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES a los fines del control pertinente de este organismo. En el caso de datos de personas fallecidas, deberá acreditarse el vínculo mediante la declaratoria de herederos correspondiente, o por documento fehaciente que verifique el carácter de sucesor universal del interesado.

ARTÍCULO 15.– El responsable o usuario del archivo, registro, base o banco de datos deberá contestar la solicitud que se le dirija, con independencia de que figuren o no datos personales del afectado, debiendo para ello valerse de cualquiera de los medios autorizados en el artículo 15, inciso 3, de la Ley número 25.326, a opción del titular de los datos, o las preferencias que el interesado hubiere expresamente manifestado al interponer el derecho de acceso. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES elaborará un formulario modelo que facilite el derecho de acceso de los interesados. Podrán ofrecerse como medios alternativos para responder el requerimiento, los siguientes:

a) visualización en pantalla;

b) informe escrito entregado en el domicilio del requerido;

c) informe escrito remitido al domicilio denunciado por el requirente;

d) transmisión electrónica de la respuesta, siempre que esté garantizada la identidad del interesado y la confidencialidad, integridad y recepción de la información;

e) cualquier otro procedimiento que sea adecuado a la configuración e implantación material del archivo, registro, base o banco de datos, ofrecido por el responsable o usuario del mismo.

ARTÍCULO 16.– En las disposiciones de los artículos 16 a 22 y 38 a 43 de la Ley número 25.326 en que se menciona a algunos de los derechos de rectificación, actualización, supresión y confidencialidad, se entiende que tales normas se refieren a todos ellos. En el caso de los archivos o bases de datos públicas conformadas por cesión de información suministrada por entidades financieras, administradoras de fondos de jubilaciones y pensiones y entidades aseguradoras, de conformidad con el artículo 5º, inciso 2, de la Ley número 25.326, los derechos de rectificación, actualización, supresión y confidencialidad deben ejercerse ante la entidad cedente que sea parte en la relación jurídica a que se refiere el dato impugnado. Si procediera el reclamo, la entidad respectiva debe solicitar al BANCO CENTRAL DE LA REPÚBLICA ARGENTINA, a la SUPERINTENDENCIA DE AFJP o a la SUPERINTENDENCIA DE SEGUROS DE LA NACIÓN, según el caso, que sean practicadas las modificaciones necesarias en sus bases de datos. Toda modificación debe ser comunicada a través de los mismos medios empleados para la divulgación de la información. Los responsables o usuarios de archivos o bases de datos públicos de acceso público irrestricto pueden cumplir la notificación a que se refiere el artículo 16, inciso 4, de la Ley número 25.326 mediante la modificación de los datos realizada a través de los mismos medios empleados para su divulgación.

ARTÍCULO 17.– Sin reglamentar.

ARTÍCULO 18.– Sin reglamentar.

ARTÍCULO 19.– Sin reglamentar.

ARTÍCULO 20.- Sin reglamentar.

CAPÍTULO IV. USUARIOS Y RESPONSABLES DE ARCHIVOS, REGISTROS Y BANCOS DE DATOS

ARTÍCULO 21.– El registro e inscripción de archivos, registros, bases o bancos de datos públicos, y privados destinados a dar información, se habilitará una vez publicada esta reglamentación en el Boletín Oficial. Cuando el archivo, registro, base o banco de datos privado se constituya con el fin de proporcionar información de datos personales dentro de un mismo grupo económico de empresas controladas y controlantes, en los términos de la Ley número 19.550, no será obligatoria la inscripción, sin perjuicio de ser alcanzados por las sanciones previstas en el Capítulo VI de la Ley número 25.326 cuando se verifique la cesión o transferencia de los datos a personas no vinculadas. Esta disposición no alcanzará a las Uniones Transitorias de Empresas. Deben inscribirse los archivos, registros, bases o bancos de datos públicos y los privados a que se refiere el artículo 1º de esta reglamentación. A los fines de la inscripción de los archivos, registros y bases de datos con fines de publicidad, los responsables deben proceder de acuerdo con lo establecido en el artículo 27, cuarto párrafo, de esta reglamentación.

ARTÍCULO 22.– Sin reglamentar.

ARTÍCULO 23.– Sin reglamentar.

ARTÍCULO 24.- Sin reglamentar.

ARTÍCULO 25.– Los contratos de prestación de servicios de tratamiento de datos personales deberán contener los niveles de seguridad previstos en la Ley número 25.326, esta reglamentación y las normas complementarias que dicte la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, como así también las obligaciones que surgen para los locatarios en orden a la confidencialidad y reserva que deben mantener sobre la información obtenida. La realización de tratamientos por encargo deberá estar regulada por un contrato que vincule al encargado del tratamiento con el responsable o usuario del tratamiento y que disponga, en particular:

a) que el encargado del tratamiento sólo actúa siguiendo instrucciones del responsable del tratamiento;

b) que las obligaciones del artículo 9º de la Ley número 25.326 incumben también a éste.

ARTÍCULO 26.- A los efectos del artículo 26, inciso 2, de la Ley número 25.326, se consideran datos relativos al cumplimiento o incumplimiento de obligaciones los referentes a los contratos de mutuo, cuenta corriente, tarjetas de crédito, fideicomiso, leasing, de créditos en general y toda otra obligación de contenido patrimonial, así como aquellos que permitan conocer el nivel de cumplimiento y la calificación a fin de precisar, de manera indubitable, el contenido de la información emitida. En el caso de archivos o bases de datos públicos dependientes de un organismo oficial destinadas a la difusión al público en general, se tendrán por cumplidas las obligaciones que surgen del artículo 26, inciso 3, de la Ley nº 25.326 en tanto el responsable de la base de datos le comunique al titular de los datos las informaciones, evaluaciones y apreciaciones que sobre el mismo hayan sido difundidas durante los últimos SEIS (6) meses. Para apreciar la solvencia económico-financiera de una persona, conforme lo establecido en el artículo 26, inciso 4, de la Ley número 25.326, se tendrá en cuenta toda la información disponible desde el nacimiento de cada obligación hasta su extinción. En el cómputo de CINCO (5) años, éstos se contarán a partir de la fecha de la última información adversa archivada que revele que dicha deuda era exigible. Si el deudor acredita que la última información disponible coincide con la extinción de la deuda, el plazo de reducirá a DOS (2) años. Para los datos de cumplimiento sin mora no operará plazo alguno para la eliminación. A los efectos del cálculo del plazo de DOS (2) años para conservación de los datos cuando el deudor hubiere cancelado o extinguido la obligación, se tendrá en cuenta la fecha precisa en que se extingue la deuda. A los efectos de dar cumplimiento a lo dispuesto por el artículo 26, inciso 5, de la Ley número 25.326, el BANCO CENTRAL DE LA REPÚBLICA ARGENTINA deberá restringir el acceso a sus bases de datos disponibles en Internet, para el caso de información sobre personas físicas, exigiendo el ingreso del número de documento nacional de identidad o código único de identificación tributaria o laboral del titular de los datos, obtenidos por el cesionario a través de una relación contractual o comercial previa.

ARTÍCULO 27.- Podrán recopilarse, tratarse y cederse datos con fines de publicidad sin consentimiento de su titular, cuando estén destinados a la formación de perfiles determinados, que categoricen preferencias y comportamientos similares de las personas, siempre que los titulares de los datos sólo se identifiquen por su pertenencia a tales grupos genéricos, con más los datos individuales estrictamente necesarios para formular la oferta a los destinatarios. Las cámaras, asociaciones y colegios profesionales del sector que dispongan de un Código de Conducta homologado por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros, junto con la autoridad de aplicación, implementarán, dentro de los NOVENTA (90) días siguientes a la publicación de esta reglamentación, un sistema de retiro o bloqueo a favor del titular del dato que quiera ser excluido de las bases de datos con fines de publicidad. El retiro podrá ser total o parcial, bloqueando exclusivamente, a requerimiento del titular, el uso de alguno o algunos de los medios de comunicación en particular, como el correo, el teléfono, el correo electrónico u otros. En toda comunicación con fines de publicidad que se realice por correo, teléfono, correo electrónico, Internet u otro medio a distancia a conocer, se deberá indicar, en forma expresa y destacada, la posibilidad del titular del dato de solicitar el retiro o bloqueo, total o parcial, de su nombre de la base de datos. A pedido del interesado, se deberá informar el nombre del responsable o usuario del banco de datos que proveyó la información. A los fines de garantizar el derecho de información del artículo 13 de la Ley número 25.326, se inscribirán únicamente las cámaras, asociaciones y colegios profesionales del sector que dispongan de un Código de Conducta homologado por la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, al que por estatuto adhieran obligatoriamente todos sus miembros. Al inscribirse, las cámaras, asociaciones y colegios profesionales deberán acompañar una nómina de sus asociados indicando nombre y domicilio. Los responsables o usuarios de archivos, registros, bancos o bases de datos con fines de publicidad que no se encuentren adheridos a ningún Código de Conducta, cumplirán el deber de información inscribiéndose en el Registro a que se refiere el artículo 21 de la Ley número 25.326. Podrán tratarse datos sensibles obtenidos legalmente, a los fines de realizar ofertas de bienes y servicios, cuando ello no cause discriminación y de acuerdo a los parámetros que fije la autoridad de aplicación. Estos datos no pueden ser cedidos a terceros sin el consentimiento previo de su titular.

ARTÍCULO 28.- Los archivos, registros, bases o bancos de datos mencionados en el artículo 28 de la Ley número 25.326 son responsables y pasibles de las multas previstas en el artículo 31 de la ley citada cuando infrinjan sus disposiciones.

CAPÍTULO V.  CONTROL

ARTÍCULO 29.-

1. Créase la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, en el ámbito de la SECRETARIA DE JUSTICIA Y ASUNTOS LEGISLATIVOS del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS, como órgano de control de la Ley número 25.326. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES dictará su propio reglamento dentro de los SESENTA (60) días de entrada en vigencia la presente reglamentación, el cual deberá ser aprobado por el PODER EJECUTIVO NACIONAL y publicado en el Boletín Oficial. El Director tendrá dedicación exclusiva en su función, ejercerá sus funciones con plena independencia, no estará sujeto a instrucciones y sus decisiones no son susceptibles de recurso jerárquico.

2. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES se integrará inicialmente con un Director Nacional, un Subdirector Nacional y con el personal jerárquico y administrativo que se designe. Facúltase al Ministro de Justicia y Derechos Humanos a efectuar las designaciones correspondientes con carácter transitorio, como excepción a lo dispuesto por el ANEXO I del Decreto número 993/91. En el plazo de TREINTA (30) días hábiles posteriores a la asunción de su cargo, el Director Nacional deberá proponer al Ministro de Justicia y Derechos Humanos un proyecto de su estructura organizativa, debiendo privilegiar el aprovechamiento de los recursos humanos ya existentes en la Administración Pública Nacional. El personal de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES está obligado a guardar secreto respecto de los datos de carácter personal de que conozca en el desarrollo de su función.

3. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES se financiará a través de: a) lo que recaude en concepto de tasas por los servicios que preste; b) el producido de las multas previstas en el artículo 31 de la Ley número 25.326; c) las asignaciones presupuestarias que se incluyan en las previsiones anuales del gobierno a partir del año 2002. Transitoriamente, desde la entrada en vigencia de la presente reglamentación y hasta el 31 de diciembre de 2001, el costo de la estructura será afrontado con el crédito presupuestario correspondiente al MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS para el año 2001, sin perjuicio de lo dispuesto en los subincisos a) y b) del párrafo anterior.

4. La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES contará con un Consejo Consultivo, que se desempeñará “ad honorem”, encargado de asesorar al Director Nacional en los asuntos de importancia, integrado por: a) un representante del MINISTERIO DE JUSTICIA Y DERECHOS HUMANOS;

b) un magistrado del MINISTERIO PÚBLICO FISCAL con especialidad en la materia;

c) un representante de los archivos privados destinados a dar información designado por la cámara que agrupe a las entidades nacionales de información crediticia;

d) un representante del BANCO CENTRAL DE LA REPÚBLICA ARGENTINA;

e) un representante de las empresas dedicadas al objeto previsto en el artículo 27 de la Ley número 25.326, designado por las Cámaras respectivas de común acuerdo, unificando en una persona la representación;

f) un representante de los usuarios y consumidores, seleccionado del modo que se establezca reglamentariamente;

g) un representante del CONSEJO FEDERAL DEL CONSUMO;

h) un representante de la Comisión Bicameral de Fiscalización de los Órganos y Actividades de Seguridad Interior e Inteligencia del HONORABLE CONGRESO DE LA NACIÓN.

5. Son funciones de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, además de las que surgen de la Ley número 25.326 y de las que establezca su reglamento:

a) dictar normas administrativas y de procedimiento relativas a los trámites registrales y demás funciones a su cargo, y las normas y procedimientos técnicos relativos al tratamiento y condiciones de seguridad de los archivos, registros y bases o bancos de datos públicos y privados;

b) atender las denuncias y reclamaciones interpuestas en relación al tratamiento de datos personales en los términos de la Ley número 25.326;

c) percibir las tasas que se fijen por los servicios de inscripción y otros que preste;

d) organizar y proveer lo necesario para el adecuado funcionamiento del Registro de archivos, registros y bases o bancos de datos públicos y privados previsto en el artículo 21 de la Ley número 25.326;

e) diseñar los instrumentos adecuados para la mejor protección de los datos personales de los ciudadanos y el mejor cumplimiento de la legislación de aplicación;

f) homologar los códigos de conducta que se presenten de acuerdo a lo establecido por el artículo 30 de la ley 25.326, previo dictamen del Consejo Consultivo, teniendo en cuenta su adecuación a los principios reguladores del tratamiento de datos personales, la representatividad que ejerza la asociación y organismo que elabora el código y su eficacia ejecutiva con relación a los operadores del sector mediante la previsión de sanciones o mecanismos adecuados.

ARTÍCULO 30.– La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES alentará la elaboración de códigos de conducta destinados a contribuir, en función de las particularidades de cada sector, a la correcta aplicación de las disposiciones nacionales adoptadas por la Ley número 25.326 y esta reglamentación. Las asociaciones de profesionales y las demás organizaciones representantes de otras categorías de responsables o usuarios de archivos, registros, bases o bancos de datos públicos o privados, que hayan elaborado proyectos de códigos éticos, o que tengan la intención de modificar o prorrogar códigos nacionales existentes, pueden someterlos a consideración de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES, la cual aprobará el ordenamiento o sugerirá las correcciones que se estimen necesarias para su aprobación.

CAPÍTULO VI.  SANCIONES

ARTÍCULO 31.

1. Las sanciones administrativas establecidas en el artículo 31 de la ley 25.326 serán aplicadas a los responsables o usuarios de archivos, registros, bases o bancos de datos públicos, y privados destinados a dar información, se hubieren inscripto o no en el registro correspondiente. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceros, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuricidad y de culpabilidad presentes en la concreta actuación infractora. Se considerará reincidente a quien habiendo sido sancionado por una infracción a la Ley número 25.326 o sus reglamentaciones incurriera en otra de similar naturaleza dentro del término de TRES (3) años.

2. El producido de las multas a que se refiere el artículo 31 de la Ley número 25.326 se aplicará al financiamiento de la DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES.

3. El procedimiento se ajustará a las siguientes disposiciones:

a) La DIRECCIÓN NACIONAL DE PROTECCIÓN DE DATOS PERSONALES iniciará actuaciones administrativas en caso de presuntas infracciones a las disposiciones de la Ley número 25.326 y sus normas reglamentarias, de oficio o por denuncia de quien invocare un interés particular, del Defensor del Pueblo de la Nación o de asociaciones de consumidores o usuarios.

b) Se procederá a labrar acta en la que se dejará constancia del hecho denunciado o verificado y de la disposición presuntamente infringida. En la misma acta se dispondrá agregar la documentación acompañada y citar al presunto infractor para que, dentro del plazo de CINCO (5) días hábiles, presente por escrito su descargo y ofrezca las pruebas que hacen a su derecho. Si se tratare de un acta de inspección, en que fuere necesaria una comprobación técnica posterior a los efectos de la determinación de la presunta infracción y que resultare positiva, se procederá a notificar al presunto responsable la infracción verificada, intimándolo para que en el plazo de CINCO (5) días hábiles presente por escrito su descargo. En su primera presentación, el presunto infractor deberá constituir domicilio y acreditar personería. La constancia del acta labrada conforme a lo previsto en este artículo, así como las comprobaciones técnicas que se dispusieren, constituirán prueba suficiente de los hechos así comprobados, salvo en los casos en que resultaren desvirtuados por otras pruebas.

c) Las pruebas se admitirán solamente en caso de existir hechos controvertidos y siempre que no resulten manifiestamente inconducentes. Contra la resolución que deniegue medidas de prueba sólo se concederá recurso de reconsideración. La prueba deberá producirse dentro del término de DIEZ (10) días hábiles, prorrogables cuando haya causas justificadas, teniéndose por desistidas aquellas no producidas dentro de dicho plazo por causa imputable al infractor. Concluidas las diligencias sumariales, se dictará la resolución definitiva dentro del término de VEINTE (20) días hábiles.

ARTÍCULO 32.- Sin reglamentar.

CAPÍTULO VII.  ACCIÓN DE PROTECCIÓN DE LOS DATOS PERSONALES

ARTÍCULOS 33 a 46.- Sin reglamentar.