Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos). (DOUE núm. 152, de 3 de junio de 2022)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
Previa consulta al Comité de las Regiones,
De conformidad con el procedimiento legislativo ordinario (2),
Considerando lo siguiente:
| (1) | El Tratado de Funcionamiento de la Unión Europea (TFUE) prevé la creación de un mercado interior y la instauración de un sistema que garantice que no se falsee la competencia en dicho mercado. La introducción de normas y prácticas comunes en los Estados miembros en relación con la creación de un marco para la gobernanza de datos debe contribuir a la consecución de estos objetivos, respetando plenamente los derechos fundamentales. También debe garantizar el fortalecimiento de la autonomía estratégica abierta de la Unión y promover, al mismo tiempo, la libre circulación internacional de datos. |
| (2) | A lo largo de la última década, las tecnologías digitales han transformado la economía y la sociedad, lo que ha tenido efectos en todos los sectores de actividad y la vida cotidiana. Los datos son elementos centrales de esa transformación: la innovación basada en los datos reportará enormes beneficios tanto a los ciudadanos de la Unión como a la economía, por ejemplo, mejorando y personalizando la medicina, proporcionando una nueva movilidad y contribuyendo a la Comunicación de la Comisión, de 11 de diciembre de 2019, sobre el Pacto Verde Europeo. Con el fin de hacer partícipes a todos los ciudadanos de la Unión en la economía basada en los datos, debe prestarse especial atención a reducir la brecha digital, a impulsar la participación de las mujeres en la economía de los datos y a promover los conocimientos técnicos europeos de vanguardia en el sector tecnológico. La economía de los datos se tiene que desarrollar de manera que permita prosperar a las empresas, especialmente las microempresas y las pequeñas y medianas empresas (pymes), tal como se definen en el anexo de la Recomendación 2003/361/CE de la Comisión (3), y a las empresas emergentes, garantizando la neutralidad en el acceso a los datos y su portabilidad e interoperabilidad, y evitando los efectos de dependencia. En su Comunicación de 19 de febrero de 2020 sobre una Estrategia Europea de Datos (en lo sucesivo, «Estrategia Europea de Datos»), la Comisión describía la visión de un espacio común europeo de datos, como un mercado interior de datos en el que estos pudieran utilizarse independientemente de su ubicación física de almacenamiento en la Unión de conformidad con el Derecho aplicable, lo que, entre otras cosas, podría resultar fundamental para el rápido desarrollo de las tecnologías de inteligencia artificial. Además, la Comisión instaba al flujo libre y seguro de datos con terceros países, con sujeción a las excepciones y restricciones en materia de seguridad pública, orden público y otros objetivos legítimos de política pública de la Unión, en consonancia con sus obligaciones internacionales, también en materia de derechos fundamentales. A fin de hacer realidad esta visión, la Comisión propuso crear espacios comunes europeos de datos en ámbitos específicos para el intercambio de datos y su puesta en común. Tal como se propone en la Estrategia Europea de Datos, esos espacios comunes europeos de datos pueden abarcar ámbitos como la salud, la movilidad, la producción industrial, los servicios financieros, la energía o la agricultura, o una combinación de esos ámbitos, como, por ejemplo, la energía y el clima, así como áreas temáticas como el Pacto Verde Europeo, los espacios europeos de datos para la administración pública o las capacidades. Los espacios comunes europeos de datos deben hacer que los datos sean fáciles de encontrar, accesibles, interoperables y reutilizables («principios FAIR»), y garantizar, al mismo tiempo, un alto nivel de ciberseguridad. Cuando existen unas condiciones de competencia equitativas en la economía de los datos, las empresas compiten en la calidad de los servicios que ofrecen y no en la cantidad de datos que controlan. Para poder concebir, establecer y mantener unas condiciones de competencia equitativas en la economía de los datos es necesario contar con unas buenas bases de gobernanza, en la que las partes interesadas de un espacio común europeo de datos participen y estén representadas. |
| (3) | Resulta necesario mejorar las condiciones para el intercambio de datos en el mercado interior, mediante la creación de un marco armonizado para los intercambios de datos y el establecimiento de ciertos requisitos básicos para la gobernanza de datos, prestando especial atención a facilitar la cooperación entre los Estados miembros. El presente Reglamento debe tener como objetivo desarrollar en mayor medida el mercado interior digital sin fronteras y una sociedad y economía de los datos centradas en el ser humano, fiables y seguras. La normativa sectorial de la Unión puede crear, adaptar y proponer elementos nuevos y complementarios, dependiendo de las particularidades de cada sector, como sucede con la normativa de la Unión prevista en torno a un espacio europeo de datos sobre la salud o el acceso a los datos integrados en los vehículos. Además, algunos sectores de la economía ya están regulados por normativa sectorial de la Unión que incluye normas relativas al intercambio de datos o al acceso a estos con carácter transfronterizo o en toda la Unión, por ejemplo, la Directiva 2011/24/UE del Parlamento Europeo y del Consejo (4) en el contexto del espacio europeo de datos sanitarios, y los actos legislativos pertinentes en materia de transporte, como los Reglamentos (UE) 2019/1239 (5) y (UE) 2020/1056 (6) y la Directiva 2010/40/UE (7) del Parlamento Europeo y del Consejo en el contexto del espacio común europeo de datos sobre movilidad. El presente Reglamento debe entenderse, por lo tanto, sin perjuicio de los Reglamentos (CE) nº223/2009 (8), (UE) 2018/858 (9) y (UE) 2018/1807 (10), así como de las Directivas 2000/31/CE (11), 2001/29/CE (12), 2004/48/CE (13), 2007/2/CE (14), 2010/40/UE, (UE) 2015/849 (15), (UE) 2016/943 (16), (UE) 2017/1132 (17), (UE) 2019/790 (18) y (UE) 2019/1024 (19) del Parlamento Europeo y del Consejo, y de cualquier otra normativa sectorial de la Unión que regule el acceso a los datos y su reutilización. El presente Reglamento debe entenderse sin perjuicio del Derecho de la Unión y nacional sobre el acceso a los datos y su utilización con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, así como de la cooperación internacional en ese contexto. El presente Reglamento debe entenderse sin perjuicio de las competencias de los Estados miembros respecto de las actividades que efectúen en materia de seguridad pública, defensa y seguridad nacional. No debe incluirse en el presente Reglamento la reutilización de datos protegidos por tales motivos y que obren en poder de organismos del sector público, incluidos los datos obtenidos en procedimientos de contratación pública que entren dentro del ámbito de aplicación de la Directiva 2009/81/CE del Parlamento Europeo y del Consejo (20). Debe crearse un régimen horizontal para la reutilización de determinadas categorías de datos protegidos en poder de organismos del sector público, y la prestación de servicios de intermediación de datos y de servicios basados en la cesión altruista de datos en la Unión. Puede que las características específicas de los distintos sectores requieran la concepción de sistemas sectoriales de datos, que se fundamenten al mismo tiempo en los requisitos establecidos en el presente Reglamento. Los proveedores de servicios de intermediación de datos que cumplan los requisitos del presente Reglamento deben poder utilizar la denominación «proveedor de servicios de intermediación de datos reconocido en la Unión». Cualquier persona jurídica que trate de apoyar objetivos de interés general mediante la cesión con fines altruistas de datos pertinentes a gran escala y que cumpla los requisitos exigidos en el presente Reglamento debe poder registrarse como «organización de gestión de datos con fines altruistas reconocida en la Unión» y debe poder emplear dicha denominación. Cuando la normativa sectorial de la Unión o nacional exija a los organismos del sector público, a ese tipo de servicios de intermediación de datos o a esas personas jurídicas (organizaciones reconocidas de gestión de datos con fines altruistas) el cumplimiento de determinados requisitos específicos adicionales de carácter técnico, administrativo u organizativo, entre otros modos, mediante un régimen de autorización o certificación, también deben aplicarse las disposiciones de dicha normativa sectorial de la Unión o nacional. |
| (4) | El presente Reglamento se entiende sin perjuicio de lo dispuesto en los Reglamentos (UE) 2016/679 (21) y (UE) 2018/1725 (22) del Parlamento Europeo y del Consejo, así como en las Directivas 2002/58/CE (23) y (UE) 2016/680 (24) del Parlamento Europeo y del Consejo y las correspondientes disposiciones del Derecho nacional, incluyendo los datos personales y los no personales de un conjunto de datos que estén inextricablemente ligados. En particular, el presente Reglamento no debe interpretarse en el sentido de que establezca una nueva base jurídica para el tratamiento de los datos personales para cualquiera de las actividades reguladas o que modifique los requisitos de información dispuestos en el Reglamento (UE) 2016/679. La aplicación del presente Reglamento no debe impedir las transferencias transfronterizas de datos de conformidad con lo dispuesto en el capítulo V del Reglamento (UE) 2016/679. En caso de conflicto entre lo dispuesto en el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o el Derecho nacional adoptado de conformidad con el Derecho de la Unión en la materia, debe prevalecer el Derecho de la Unión o nacional que sea aplicable en la materia. Debe ser posible considerar a las autoridades responsables de la protección de datos como autoridades competentes con arreglo al presente Reglamento. Cuando otras autoridades actúen como autoridades competentes con arreglo al presente Reglamento, lo deben hacer sin perjuicio de las facultades y competencias de supervisión de las autoridades responsables de la protección de datos con arreglo al Reglamento (UE) 2016/679. |
| (5) | Se requieren medidas de la Unión para incrementar la confianza en el intercambio de datos mediante el establecimiento de mecanismos adecuados que permitan a los interesados y los titulares de datos ejercer control sobre los datos que les conciernen y para abordar otros obstáculos al buen funcionamiento y la competitividad de la economía basada en los datos. Esta acción debe entenderse sin perjuicio de las obligaciones y los compromisos establecidos en los acuerdos comerciales internacionales celebrados por la Unión. Un marco de gobernanza de la Unión debe tener como objetivo generar confianza entre los particulares y las empresas en relación con el acceso a los datos, su control, intercambio, utilización y reutilización, especialmente mediante el establecimiento de mecanismos adecuados que permitan a los interesados conocer y ejercer de forma significativa sus derechos y, en lo relativo a la reutilización de determinados tipos de datos que obren en poder de organismos del sector público, la prestación de servicios a los interesados, a los titulares de datos y a los usuarios de datos, por parte de los proveedores de servicios de intermediación de datos, así como la recogida y el tratamiento de datos cedidos con fines altruistas por personas físicas y jurídicas. En particular, una mayor transparencia en cuanto a la finalidad de la utilización de los datos y las condiciones en que las empresas los almacenan puede contribuir a aumentar la confianza. |
| (6) | La idea de que los datos que hayan sido generados o recogidos por organismos del sector público u otras entidades con cargo a los presupuestos públicos deban beneficiar a la sociedad ha formado parte de las estrategias de la Unión durante mucho tiempo. La Directiva (UE) 2019/1024 y la normativa sectorial de la Unión garantizan que los organismos del sector público hagan que una mayor cantidad de los datos que generan estén fácilmente disponibles para su utilización y reutilización. No obstante, las bases de datos públicas contienen determinadas categorías de datos (como los datos comerciales confidenciales, las informaciones amparadas por el secreto estadístico y los datos protegidos por derechos de propiedad intelectual de terceros, incluidos los secretos comerciales y los datos personales) que a menudo no están disponibles, ni siquiera para actividades de investigación o innovación de interés público, a pesar de que podrían estarlo con arreglo al Derecho de la Unión aplicable, en concreto, con arreglo al Reglamento (UE) 2016/679 y las Directivas 2002/58/CE y (UE) 2016/680. Dado el carácter sensible de esos datos, antes de facilitarlos deben cumplirse algunos requisitos de procedimiento técnicos y jurídicos, en particular, a fin de garantizar el respeto de los derechos de terceros en torno a ellos o de limitar los efectos negativos sobre los derechos fundamentales, el principio de no discriminación y la protección de datos. En general, el cumplimiento de tales requisitos necesita mucho tiempo y conocimientos amplios. Esto ha supuesto una utilización insuficiente de este tipo de datos. Mientras que algunos Estados miembros están creando estructuras, estableciendo procedimientos o legislando para facilitar la mencionada reutilización, esta situación no se da en toda la Unión. Con el fin de facilitar la utilización de los datos para la investigación y la innovación europeas por entidades privadas y públicas, se necesitan condiciones claras para el acceso a tales datos y su utilización en toda la Unión. |
| (7) | Existen técnicas que permiten realizar análisis en las bases de datos que contienen datos personales, como la anonimización, la privacidad diferencial, la generalización, la supresión y la aleatorización, el uso de datos sintéticos o de métodos similares, y otros métodos punteros de protección de la privacidad que pueden contribuir a un tratamiento de datos más respetuoso de la privacidad. Los Estados miembros deben prestar apoyo a los organismos del sector público con el fin de hacer un uso óptimo de dichas técnicas y, de este modo, facilitar el mayor número posible de datos para su intercambio. La aplicación de estas técnicas, junto con evaluaciones de impacto globales de protección de datos y otras salvaguardias, puede contribuir a una mayor seguridad en la utilización y reutilización de los datos personales y debe garantizar la reutilización segura de los datos comerciales confidenciales con fines de investigación, innovación y estadísticos. En muchos casos, la aplicación de dichas técnicas, evaluaciones de impacto y otras salvaguardias implica que los datos pueden usarse y reutilizarse solo en un entorno de tratamiento seguro creado o supervisado por el organismo del sector público. A nivel de la Unión, existe experiencia con estos entornos de tratamiento seguros que se utilizan para la investigación sobre microdatos estadísticos al amparo del Reglamento (UE) nº557/2013 de la Comisión (25). En general, en la medida en que se trate de datos personales, su tratamiento debe basarse en una o varias de las bases jurídicas de tratamiento previstas en los artículos 6 y 9 del Reglamento (UE) 2016/679. |
| (8) | De conformidad con el Reglamento (UE) 2016/679, los principios de protección de datos no deben aplicarse a la información anónima, es decir, a la información que no guarda relación con una persona física identificada o identificable ni a los datos convertidos en anónimos de forma que el interesado no sea identificable o deje de serlo. Debe prohibirse la reidentificación de los interesados a partir de conjuntos de datos anonimizados. Ello no debe afectar a la posibilidad de realizar investigaciones sobre técnicas de anonimización, en particular, para garantizar la seguridad de la información, mejorar las técnicas de anonimización existentes y contribuir a la solidez general de la anonimización, emprendida de conformidad con lo dispuesto en el Reglamento (UE) 2016/679. |
| (9) | Con el fin de facilitar la protección de los datos personales y confidenciales, y de agilizar el proceso de proporcionar tales datos para su reutilización con arreglo al presente Reglamento, los Estados miembros deben animar a los organismos del sector público a crear y poner a disposición datos de conformidad con el principio de «documentos abiertos desde el diseño y por defecto» mencionado en el artículo 5, apartado 2, de la Directiva (UE) 2019/1024 y promover la creación y la adquisición de datos en formatos y con estructuras que faciliten una rápida anonimización en ese sentido. |
| (10) | Las categorías de datos que obren en poder de los organismos del sector público que deben ser reutilizadas con arreglo al presente Reglamento quedan fuera del ámbito de aplicación de la Directiva (UE) 2019/1024, que excluye los datos que no sean accesibles por razones de confidencialidad comercial o estadística, y los datos incluidos en obras o en otros materiales protegidos por derechos de propiedad intelectual de terceros. Los datos comerciales confidenciales incluyen datos protegidos por secretos comerciales, conocimientos técnicos protegidos y cualquier otra información cuya divulgación indebida afectaría a la posición en el mercado o la solvencia financiera de la empresa. El presente Reglamento debe aplicarse a los datos personales que no estén sujetos a la Directiva (UE) 2019/1024 en la medida en que el régimen de acceso excluya o restrinja el acceso a ellos por razones de protección de datos, privacidad e integridad de la persona, en particular de conformidad con las normas de protección de datos. La reutilización de datos que puedan contener secretos comerciales debe llevarse a cabo sin perjuicio de lo dispuesto en la Directiva (UE) 2016/943, que establece el marco para la obtención, la utilización o la revelación lícitas de secretos comerciales. |
| (11) | El presente Reglamento no debe crear la obligación de permitir la reutilización de los datos que obren en poder de organismos del sector público. En concreto, cada Estado miembro debe poder decidir, por lo tanto, si se proporciona acceso a los datos para su reutilización, así como sobre los fines y el alcance de dicho acceso. El presente Reglamento debe completar las obligaciones más específicas de los organismos del sector público de permitir la reutilización de datos establecidas en la normativa sectorial de la Unión o nacional, y debe entenderse sin perjuicio de estas obligaciones. El acceso del público a documentos oficiales puede considerarse de interés público. Teniendo en cuenta la función del acceso público a los documentos oficiales y la transparencia en una sociedad democrática, el presente Reglamento también debe entenderse sin perjuicio del Derecho de la Unión o nacional sobre la concesión de acceso a documentos oficiales y su divulgación. El acceso a documentos oficiales puede concederse, en concreto, de conformidad con el Derecho nacional sin imponer condiciones específicas o imponiendo condiciones específicas no previstas en el presente Reglamento. |
| (12) | El régimen de reutilización que regula el presente Reglamento ha de aplicarse a los datos cuyo suministro forme parte de la misión de servicio público de los organismos del sector público de que se trate con arreglo a la legislación u otras normas vinculantes de los Estados miembros. En defecto de tales normas, la misión de servicio público debe definirse de conformidad con la práctica administrativa común de los Estados miembros, siempre y cuando el ámbito de la misión de servicio público sea transparente y se someta a revisión. La misión de servicio público puede definirse con carácter general o caso por caso para cada organismo del sector público. Puesto que las empresas públicas no se incluyen en la definición de organismo del sector público, el presente Reglamento no debe ser aplicable a los datos que obren en poder de empresas públicas. El presente Reglamento no debe ser aplicable a los datos que obren en poder de centros culturales, como bibliotecas, archivos, museos, orquestas, óperas, ballets y teatros, o por centros de enseñanza, ya que las obras y otros documentos que obren en su poder están protegidos principalmente por derechos de propiedad intelectual de terceros. Las organizaciones que realizan actividades de investigación y las organizaciones que financian la investigación también se pueden constituir como organismos del sector público o como organismos de Derecho público. El presente Reglamento debe ser aplicable a dichas organizaciones híbridas únicamente en su condición de organizaciones que realizan actividades de investigación. Si una organización que realiza actividades de investigación posee datos como parte de una asociación público-privada específica con organizaciones del sector privado u otros organismos del sector público, organismos de Derecho público u organismos híbridos que realizan actividades de investigación (es decir, organizados como organismos del sector público o como empresas públicas) con el objetivo principal de realizar investigaciones, esos datos tampoco deben estar incluidos en el ámbito de aplicación del presente Reglamento. Cuando proceda, los Estados miembros deben poder aplicar el presente Reglamento a las empresas públicas o a las empresas privadas que ejerzan funciones del sector público o presten servicios de interés general. El intercambio de datos entre organismos del sector público en la Unión exclusivamente con el fin de cumplir su misión de servicio público, o entre organismos del sector público en la Unión y organismos del sector público en terceros países u organizaciones internacionales, así como el intercambio de datos entre investigadores con fines de investigación científica no comercial, no debe estar sujeto a las disposiciones del presente Reglamento relativas a la reutilización de determinadas categorías de datos protegidos que obren en poder de organismos del sector público. |
| (13) | Los organismos del sector público deben respetar el Derecho de la competencia cuando determinen los principios para la reutilización de los datos en su poder y han de evitar la celebración de acuerdos que puedan tener por objeto o como efecto la creación de derechos exclusivos para la reutilización de determinados datos. Este tipo de acuerdos debe ser posible solamente cuando esté justificado y sea necesario para prestar servicios de interés general o para suministrar productos de interés general. Este puede ser el caso cuando la utilización exclusiva de los datos sea el único modo de optimizar sus ventajas sociales, por ejemplo, cuando solo haya una entidad (especializada en el tratamiento de un conjunto de datos específico) capaz de prestar el servicio o de suministrar el producto que permita al organismo del sector público prestar un servicio de interés general o suministrar un producto de interés general. No obstante, es preciso que tales acuerdos se celebren de conformidad con el Derecho aplicable de la Unión o nacional y sean objeto de una revisión periódica basada en un análisis del mercado a fin de determinar si dicha exclusividad sigue siendo necesaria. Además, los acuerdos deben respetar las normas pertinentes sobre ayudas estatales, cuando proceda, y deben ser de duración limitada, como máximo de doce meses. A fin de garantizar la transparencia, tales acuerdos exclusivos deben publicarse en línea, en una forma acorde con el Derecho de la Unión aplicable en materia de contratación pública. Cuando un derecho exclusivo de reutilización de datos no cumpla el presente Reglamento, dicho derecho exclusivo debe ser nulo. |
| (14) | Los acuerdos exclusivos prohibidos y otras prácticas o acuerdos relativos a la reutilización de datos que obren en poder de organismos del sector público que no concedan de forma expresa derechos exclusivos, pero de los que quepa esperar razonablemente que restrinjan la disponibilidad de datos para su reutilización, que se hayan celebrado o ya existieran con anterioridad a la fecha de entrada en vigor del presente Reglamento, no deben renovarse tras la expiración de su período de vigencia. Los acuerdos indefinidos o a más largo plazo deben resolverse en un máximo de treinta meses a partir de la fecha de entrada en vigor del presente Reglamento. |
| (15) | El presente Reglamento debe establecer las condiciones de reutilización de datos protegidos aplicables a los organismos del sector público designados como competentes con arreglo al Derecho nacional para autorizar o denegar el acceso para la reutilización, y que deben entenderse sin perjuicio de los derechos u obligaciones relativos al acceso a tales datos. Estas condiciones no deben ser discriminatorias, deben ser transparentes y proporcionadas y estar justificadas objetivamente, y no deben restringir la competencia, con especial énfasis en promover el acceso de las pymes y las empresas emergentes a dichos datos. Las condiciones para la reutilización deben concebirse de forma que promuevan la investigación científica para que, por ejemplo, no se considere discriminatorio, por regla general, dar prioridad a la investigación científica. Los organismos del sector público que permitan la reutilización han de disponer de los medios técnicos necesarios para garantizar la protección de los derechos y los intereses de terceros y deben estar facultados para solicitar al reutilizador la información necesaria. Las condiciones asociadas a la reutilización de datos deben limitarse a lo necesario para proteger los derechos e intereses de terceros en relación con los datos y la integridad de las tecnologías de la información y los sistemas de comunicación de los organismos del sector público. Es preciso que los organismos del sector público apliquen las condiciones que mejor sirvan a los intereses del reutilizador, sin que ello suponga una carga desproporcionada para los organismos del sector público. Deben determinarse las condiciones ligadas a la reutilización de los datos para garantizar de forma efectiva la protección de los datos personales. Antes de su transmisión, los datos personales deben anonimizarse, con el fin de que la identificación de los interesados sea imposible, y los datos que contengan información comercial confidencial deben modificarse para que esta no se divulgue. Cuando el suministro de datos anonimizados o modificados no responda a las necesidades del reutilizador, siempre que se hayan cumplido los posibles requisitos de realizar una evaluación de impacto relativa a la protección de datos y de consultar a la autoridad de control en virtud de los artículos 35 y 36 del Reglamento (UE) 2016/679, y se haya constatado que los riesgos para los derechos y los intereses de los interesados son mínimos, podría permitirse su reutilización presencial o remota en un entorno de tratamiento seguro. Este podría ser un mecanismo adecuado para la reutilización de datos seudonimizados. Los análisis de datos en estos entornos de tratamiento seguros deben ser supervisados por el organismo del sector público, de forma que los derechos y los intereses de terceros queden protegidos. En concreto, los datos personales solo han de transmitirse a un tercero para su reutilización cuando exista una base jurídica en la normativa en materia de protección de datos que lo permita. Los datos no personales solo deben transmitirse cuando no haya motivos para creer que la combinación de conjuntos de datos no personales conduzca a la identificación de los interesados. Esto debe aplicarse también a los datos seudonimizados que conserven su condición de datos personales. En caso de reidentificación de los interesados, debe exigirse una obligación de notificar dicha violación de la seguridad de los datos al organismo del sector público, además de una obligación de notificarla a una autoridad de control y al interesado de conformidad con lo dispuesto en el Reglamento (UE) 2016/679. En su caso, los organismos del sector público deben facilitar, a través de los medios técnicos adecuados, la reutilización de datos sobre la base del consentimiento de los interesados o del permiso de los titulares de esos datos para que se reutilicen sus datos. A este respecto, el organismo del sector público ha de hacer todo lo posible por prestar asistencia a los potenciales reutilizadores para obtener el consentimiento o permiso estableciendo mecanismos técnicos que permitan transmitir las oportunas solicitudes de los reutilizadores pidiendo consentimiento o permiso, cuando resulte factible en la práctica. No deben facilitarse datos de contacto que permitan a los reutilizadores dirigirse directamente a los interesados o a los titulares de datos. Si el organismo del sector público transmite una solicitud de consentimiento o de permiso, debe garantizar que el interesado o el titular de datos esté claramente informado de la posibilidad de negarse a dar su consentimiento o permiso. |
| (16) | Con miras a facilitar y fomentar la utilización con fines de investigación científica de los datos que obren en poder de los organismos del sector público, se anima a estos a que elaboren un planteamiento y procesos armonizados que permitan que esos datos sean fácilmente accesibles para fines de investigación científica por razones de interés público. Esto podría significar, entre otras cosas, la creación de procedimientos administrativos racionalizados, formatos normalizados de datos, metadatos informativos sobre las opciones metodológicas y de recogida de datos, y campos de datos normalizados que permitan unir de forma fácil conjuntos de datos procedentes de diferentes fuentes de datos del sector público cuando sea pertinente con fines de análisis. El objetivo de dichas prácticas debe consistir en promover los datos financiados y producidos con fondos públicos con fines de investigación científica, de conformidad con el principio de «tan abiertos como sea posible, tan cerrados como sea necesario». |
| (17) | El presente Reglamento no ha de afectar a los derechos de propiedad intelectual de terceros. El presente Reglamento tampoco debe afectar a la existencia de derechos de propiedad intelectual de los organismos del sector público ni a su titularidad, ni debe restringir en modo alguno el ejercicio de esos derechos. Es preciso que las obligaciones impuestas de conformidad con el presente Reglamento solo se apliquen en la medida en que sean compatibles con los acuerdos internacionales sobre la protección de los derechos de propiedad intelectual, en particular el Convenio de Berna para la Protección de las Obras Literarias y Artísticas (Convenio de Berna), el Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio (Acuerdo sobre los ADPIC) y el Tratado relativo a los derechos de autor de la Organización Mundial de la Propiedad Intelectual, así como con el Derecho de la Unión o nacional en materia de propiedad intelectual. No obstante, los organismos del sector público deben ejercer sus derechos de autor de una manera que facilite la reutilización. |
| (18) | Los datos protegidos por derechos de propiedad intelectual o que contengan secretos comerciales solo deben transmitirse a un tercero cuando dicha transmisión sea lícita en virtud del Derecho de la Unión o nacional, o cuando se cuente con el acuerdo del titular de los derechos. Cuando los organismos del sector público sean titulares del derecho que se otorga a los fabricantes de bases de datos establecido en el artículo 7, apartado 1, de la Directiva 96/9/CE del Parlamento Europeo y del Consejo (26), no deben ejercerlo para impedir la reutilización de datos o para restringirla más allá de los límites previstos en el presente Reglamento. |
| (19) | Las empresas y los interesados deben poder confiar en que la reutilización de determinadas categorías de datos protegidos que obren en poder de organismos del sector público tenga lugar respetando sus derechos e intereses. Por lo tanto, se requiere introducir garantías adicionales para las situaciones en las que la reutilización de esos datos del sector público se realice en el marco de un tratamiento de datos fuera del sector público, como, por ejemplo, el requisito de que los organismos del sector público garanticen que los derechos e intereses de las personas físicas y jurídicas se respetan plenamente, especialmente, en lo que respecta a los datos personales, los datos comerciales sensibles y los derechos de propiedad intelectual, en todos los casos, incluidos aquellos en que dichos datos se transfieran a terceros países. Los organismos del sector público no deben permitir que las compañías de seguros o cualquier otro proveedor de servicios reutilicen la información almacenada en aplicaciones de sanidad electrónica con el fin de discriminar en la fijación de precios, puesto que esto iría en contra del derecho fundamental de acceso a la salud. |
| (20) | Además, a fin de preservar la competencia leal y la economía de mercado abierta, resulta de vital importancia salvaguardar los datos protegidos de carácter no personal, en particular, los secretos comerciales, pero también los datos no personales que constituyan contenidos protegidos por derechos de propiedad intelectual, frente a un acceso ilícito que entrañe riesgo de robo de esta última o de espionaje industrial. A fin de garantizar la protección de los derechos o los intereses de los titulares de datos, los datos no personales que deban protegerse del acceso ilícito o no autorizado de conformidad con el Derecho de la Unión o nacional y que obren en poder de organismos del sector público, deben poder transferirse a terceros países únicamente cuando ofrezcan garantías adecuadas para su utilización. Dichas garantías adecuadas deben incluir como requisito que el organismo del sector público transmita los datos protegidos a un reutilizador únicamente cuando este contraiga obligaciones contractuales en interés de la protección de los datos. Todo reutilizador que tenga intención de transferir los datos protegidos a un tercer país debe cumplir las obligaciones establecidas en el presente Reglamento, incluso después de dicha transferencia. A fin de velar por el correcto cumplimiento de estas obligaciones, el reutilizador también ha de aceptar, por lo que respecta a la resolución judicial de litigios, las competencias del Estado miembro al que pertenezca el organismo del sector público que haya permitido la reutilización. |
| (21) | Debe considerarse también que se aplican unas garantías adecuadas cuando en un tercer país al que se estén transfiriendo datos no personales haya medidas equivalentes que ofrezcan un grado de protección de los datos similar al garantizado por el Derecho de la Unión, en particular, por lo que se refiere a la protección de los secretos comerciales y de los derechos de propiedad intelectual. A tal fin, la Comisión debe poder declarar, mediante actos de ejecución, cuando así lo justifique un número sustancial de solicitudes, en toda la Unión, relativas a la reutilización de datos no personales en terceros países concretos, que un tercer país ofrece un grado de protección sustancialmente equivalente al previsto en el Derecho de la Unión. La Comisión debe evaluar la necesidad de dichos actos de ejecución sobre la base de la información facilitada por los Estados miembros a través del Comité Europeo de Innovación en materia de Datos. Tales actos de ejecución garantizarían a los organismos del sector público que la reutilización de datos que obren en poder de organismos del sector público en el tercer país en cuestión no pondría en peligro la naturaleza protegida de dichos datos. La evaluación del grado de protección ofrecido en el tercer país en cuestión debe tomar en consideración, en particular, la normativa pertinente, tanto general como sectorial, también en relación con la seguridad pública, la defensa, la seguridad nacional y el Derecho penal, relativa al acceso a datos no personales y la protección de dichos datos, a cualquier acceso por parte de las autoridades públicas de ese tercer país a los datos transferidos, a la existencia y el funcionamiento eficaz de una o varias autoridades de control independientes en el tercer país, responsables de hacer cumplir el régimen jurídico por el que se garantiza el acceso a dichos datos, o los compromisos internacionales suscritos por el tercer país en relación con la protección de los datos, u otras obligaciones que emanen de convenciones o instrumentos jurídicamente vinculantes o de su participación en sistemas multilaterales o regionales. La existencia de vías de recurso efectivas para los titulares de datos, los organismos del sector público o los proveedores de servicios de intermediación de datos en el tercer país reviste especial importancia en el contexto de la transferencia de datos no personales a este último. Por tanto, estas garantías deben incluir la existencia de derechos exigibles y de vías de recurso efectivas. Dichos actos de ejecución deben entenderse sin perjuicio de cualquier obligación legal o disposición contractual ya asumidas por el reutilizador en interés de la protección de datos no personales, en particular, datos industriales, o del derecho de los organismos del sector público a obligar a los reutilizadores a cumplir las condiciones de reutilización, de conformidad con el presente Reglamento. |
| (22) | Algunos terceros países adoptan leyes, reglamentos y otros actos legislativos destinados a transferir directamente o facilitar el acceso de las administraciones públicas a datos no personales en la Unión bajo el control de personas físicas y jurídicas sobre las que los Estados miembros pueden ejercer sus derechos soberanos. Aquellas resoluciones y sentencias de los órganos jurisdiccionales de terceros países o resoluciones de las autoridades administrativas de terceros países que requieran la transferencia de datos no personales o el acceso a estos deben tener fuerza de ley cuando se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país solicitante y la Unión o un Estado miembro. En algunos casos, pueden darse situaciones en las que la obligación de transferir datos no personales o facilitar el acceso a estos derivada de la legislación de un tercer país entre en conflicto con una obligación concurrente de proteger tales datos con arreglo al Derecho de la Unión o nacional, en particular, en lo que se refiere a la protección de los derechos fundamentales de las personas y de los intereses fundamentales de un Estado miembro en relación con la seguridad nacional o la defensa, así como la protección de datos comerciales sensibles y de derechos de propiedad intelectual, incluidas las obligaciones contractuales en materia de confidencialidad conforme a dicha legislación. Cuando no existan acuerdos internacionales que regulen estas cuestiones, la transferencia de datos no personales o su acceso solo han de permitirse si, en particular, se ha verificado que el sistema jurídico del tercer país exige que se establezcan los motivos y la proporcionalidad de la resolución o sentencia, que la resolución o sentencia revista un carácter específico, y que la oposición motivada del destinatario sea examinada por un órgano jurisdiccional competente del tercer país, facultado para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos. Además, los organismos del sector público, las personas físicas o jurídicas a las que se les concede el derecho de reutilización de los datos, los proveedores de servicios de intermediación de datos y las organizaciones reconocidas de gestión de datos con fines altruistas deben garantizar, al suscribir acuerdos contractuales con otras partes privadas, que solo se acceda a los datos no personales que obran en poder de la Unión o se transmitan estos a terceros países de conformidad con el Derecho de la Unión o con el Derecho nacional del Estado miembro pertinente. |
| (23) | Para impulsar la confianza en la economía de los datos de la Unión es esencial que las garantías relativas a los ciudadanos de la Unión y al sector público y las empresas de la Unión garanticen que se ejerza control sobre sus datos estratégicos y sensibles, y que se respeta el Derecho, los valores y las normas de la Unión en cuanto a la seguridad, la protección de datos y la protección de los consumidores, entre otros aspectos. A fin de impedir el acceso ilícito a los datos no personales, los organismos del sector público, las personas físicas o jurídicas a las que se haya concedido el derecho a reutilizar datos, los proveedores de servicios de intermediación de datos y las organizaciones reconocidas de gestión de datos con fines altruistas deben adoptar todas las medidas razonables para impedir el acceso a los sistemas en los que se almacenen los datos no personales, tales como el cifrado de datos o las políticas corporativas. Para ello, debe garantizarse que los organismos del sector público, las personas físicas o jurídicas a las que se haya concedido el derecho a reutilizar datos, los proveedores de servicios de intermediación de datos y las organizaciones reconocidas de gestión de datos con fines altruistas deben acatar todas las normas técnicas, códigos de conducta y certificaciones pertinentes de la Unión. |
| (24) | Para generar confianza en los mecanismos de reutilización, puede resultar necesario imponer condiciones más estrictas en relación con ciertos tipos de datos no personales que se pueden considerar muy sensibles, en futuros actos legislativos específicos de la Unión, en lo que se refiere a la transferencia a terceros países, cuando esta pueda poner en peligro objetivos de política pública de la Unión, de conformidad con los compromisos internacionales. Por ejemplo, en el ámbito de la salud, algunos conjuntos de datos en poder de los agentes del sistema de salud pública, como los hospitales públicos, pueden considerarse muy sensibles. Otros sectores pertinentes incluyen el transporte, la energía, el medio ambiente y las finanzas. Con el fin de garantizar unas prácticas armonizadas en toda la Unión, el Derecho de la Unión debe definir estos tipos de datos públicos no personales muy sensibles, por ejemplo, en el contexto del espacio europeo de datos sanitarios o de otra normativa sectorial. Es preciso establecer en actos delegados las condiciones asociadas a la transferencia de dichos datos a terceros países. Dichas condiciones deben ser proporcionadas, no discriminatorias y necesarias para proteger objetivos legítimos identificados de política pública de la Unión, como la protección de la salud pública, la seguridad, el medio ambiente, la moralidad pública, la protección de los consumidores, y la protección de la privacidad y de los datos personales. Las condiciones deben corresponder a los riesgos detectados en relación con la sensibilidad de dichos datos, especialmente en términos del riesgo de reidentificación de las personas. Dichas condiciones pueden incluir algunas aplicables a la transferencia de datos o disposiciones técnicas, como el requisito de emplear un entorno de tratamiento seguro, limitaciones relativas a la reutilización de datos en terceros países, o las categorías de personas facultadas para transferir los datos a terceros países o acceder a ellos en estos últimos. En casos excepcionales, dichas condiciones también pueden incluir restricciones a la transferencia de datos a terceros países para proteger el interés público. |
| (25) | Los organismos del sector público deben poder cobrar tasas por la reutilización de datos, pero también deben poder permitir la reutilización con un descuento en las tasas o de forma gratuita, por ejemplo, en el caso de determinadas categorías de reutilización, como la reutilización no comercial con fines de investigación científica o la reutilización por parte de pymes y empresas emergentes, la sociedad civil y centros educativos, a fin de incentivar esta reutilización para fomentar la investigación y la innovación y apoyar a aquellas empresas que sean una importante fuente de innovación y suelan encontrar más dificultades para recopilar los datos pertinentes por sí mismas, de conformidad con las normas sobre ayudas estatales. En ese contexto concreto, debe entenderse por fines de investigación científica aquellos que incluyan cualquier tipo de fin relacionado con la investigación, independientemente de la estructura organizativa o financiera del centro de investigación en cuestión, a excepción de la investigación que lleve a cabo una empresa con el objetivo de desarrollar, mejorar u optimizar productos o servicios. Las tasas deben ser transparentes, no discriminatorias y limitarse a los costes ocasionados y no deben restringir la competencia. Debe publicarse una lista de las categorías de reutilizadores a los que se aplican descuentos en las tasas rebajadas o no se aplica ninguna tasa, junto con los criterios utilizados para la elaboración de dicha lista. |
| (26) | A fin de incentivar la reutilización de categorías específicas de datos que obren en poder de organismos del sector público, los Estados miembros han de establecer un punto de información único que actúe como interfaz para los reutilizadores que deseen reutilizar dichos datos. El punto de información único debe tener un mandato intersectorial y complementar, cuando proceda, las disposiciones sectoriales. El punto de información único debe poder contar con medios automatizados cuando transmita consultas o solicitudes de reutilización. Debe garantizarse una supervisión humana suficiente en el proceso de transmisión. A tales efectos, podrían usarse modalidades prácticas ya existentes, como los portales de datos abiertos. El punto de información único debe contar con una lista de activos que contenga un resumen de todos los recursos de datos disponibles y que incluya, en su caso, aquellos recursos de datos que estén disponibles en los puntos de información sectoriales, regionales o locales, junto con información relevante que describa los datos disponibles. Además, es preciso que los Estados miembros designen, establezcan o faciliten la creación de organismos competentes para respaldar las actividades de los organismos del sector público que se ocupen de autorizar la reutilización de determinadas categorías de datos protegidos. Entre sus tareas puede figurar la concesión de acceso a los datos, cuando así lo exija la normativa sectorial de la Unión o nacional. Estos organismos competentes deben prestar asistencia a los organismos del sector público mediante técnicas punteras, entre otros, sobre la mejor manera de estructurar y almacenar los datos para que sean fácilmente accesibles —en particular, a través de interfaces de programación de aplicaciones—, y sobre cómo hacer que los datos sean interoperables, transferibles y consultables, teniendo en cuenta las normas técnicas y de regulación vigentes y las mejores prácticas sobre tratamiento de datos y sobre entornos seguros de tratamiento de datos que permitan analizar los datos de forma que se preserve la privacidad de la información. Los organismos competentes deben actuar de conformidad con las instrucciones recibidas del organismo del sector público. Dicha estructura de asistencia podría servir de ayuda a los interesados y a los titulares de datos en la gestión del consentimiento o el permiso de reutilización, incluido el consentimiento y el permiso para determinados ámbitos de investigación científica cuando se respeten las normas éticas reconocidas en la materia. Los organismos competentes no deben tener una función de control, ya que está reservada a las autoridades de control previstas en el Reglamento (UE) 2016/679. Sin perjuicio de las competencias de control de las autoridades responsables de la protección de datos, el tratamiento debe efectuarse bajo la responsabilidad del organismo del sector público a cargo del registro que contenga los datos, que sigue siendo el responsable del tratamiento según la definición del Reglamento (UE) 2016/679 en la medida en que afecte a datos personales. Los Estados miembros deben poder contar con uno o varios organismos competentes, que podrían actuar en distintos sectores. Los servicios internos de los organismos del sector público también podrían actuar como organismos competentes. Un organismo competente podría ser un organismo del sector público que preste asistencia a otros organismos del sector público para autorizar la reutilización de datos, según proceda, o un organismo del sector público que autorice por sí mismo la reutilización. Prestar asistencia a otros organismos del sector público debe conllevar informarles, previa solicitud, sobre las mejores prácticas para cumplir los requisitos establecidos en el presente Reglamento, por ejemplo, en lo que respecta a los medios técnicos que permiten facilitar un entorno de tratamiento seguro o garantizar la privacidad y confidencialidad cuando se proporciona acceso a la reutilización de datos que entran en el ámbito de aplicación del presente Reglamento. |
| (27) | Se espera que los servicios de intermediación de datos desempeñen un papel clave en la economía de los datos, en particular, apoyando y fomentando las prácticas de intercambio voluntario de datos entre empresas o facilitando el intercambio de datos en el contexto de las obligaciones establecidas en el Derecho de la Unión o nacional. Podrían llegar a ser una herramienta para facilitar el intercambio de cantidades sustanciales de datos pertinentes. Los proveedores de servicios de intermediación de datos, entre los que se pueden incluir organismos del sector público, que ofrezcan servicios que conecten a los diferentes agentes tienen el potencial de contribuir a la puesta en común eficiente de datos y a su intercambio bilateral. Los servicios de intermediación de datos especializados que sean independientes de los interesados, de los titulares de datos y de sus usuarios podrían desempeñar un papel facilitador en la aparición de nuevos ecosistemas basados en datos independientes de cualquier operador con un nivel importante de poder de mercado, al mismo tiempo que posibilitan el acceso no discriminatorio a la economía de los datos para todas las empresas, independientemente de su tamaño, en particular, para las pymes y las empresas emergentes con limitados medios financieros, jurídicos o administrativos. Ello será especialmente importante en el contexto del establecimiento de espacios comunes europeos de datos, a saber, marcos interoperables de normas y prácticas comunes, específicos para un fin o un sector o intersectoriales, con el fin de compartir o tratar conjuntamente los datos para, entre otros, el desarrollo de nuevos productos y servicios, la investigación científica o las iniciativas de la sociedad civil. Los servicios de intermediación de datos podrían incluir el intercambio bilateral o multilateral de datos o la creación de plataformas o bases de datos que posibiliten el intercambio o la explotación conjunta de datos, así como el establecimiento de una infraestructura específica para la interconexión de los interesados y los titulares de datos con los usuarios de datos. |
| (28) | El presente Reglamento debe aplicarse a los servicios cuyo objeto sea establecer relaciones comerciales con el fin de intercambiar datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo, también con el fin de ejercer los derechos de los interesados en relación con los datos personales. Cuando las empresas u otras entidades ofrezcan múltiples servicios relacionados con los datos, solo las actividades que se refieren directamente a la prestación de servicios de intermediación de datos deben quedar comprendidas en el ámbito de aplicación del presente Reglamento. Los servicios de almacenamiento en la nube, de análisis, el software de intercambio de datos, los navegadores, los complementos para navegadores o los servicios de correo electrónico no deben considerarse servicios de intermediación de datos en el sentido de lo dispuesto en el presente Reglamento, siempre que dichos servicios solo suministren herramientas técnicas para que los interesados o los titulares de datos intercambien datos con terceros, pero el suministro de dichas herramientas no se use con el objeto de establecer una relación comercial entre titulares de datos y usuarios de datos, ni permita al proveedor de servicios de intermediación de datos obtener información sobre el establecimiento de relaciones comerciales con el fin de intercambiar datos. Algunos ejemplos de servicios de intermediación de datos serían los mercados de datos en los que las empresas podrían poner datos a disposición de terceros, facilitadores de ecosistemas de intercambio de datos abiertos a todas las partes interesadas, por ejemplo, en el contexto de espacios comunes europeos de datos, así como conjuntos de datos creados en común por varias personas físicas o jurídicas con la intención de conceder licencias para la utilización de dichos conjuntos de datos a todas las partes interesadas, de manera que todos los participantes que contribuyan a su puesta en común reciban una gratificación por su contribución. Esto excluiría los servicios que obtienen datos de titulares de datos y que los agregan, enriquecen o transforman con el fin de añadirles un valor sustancial y conceden licencias a los usuarios de datos para la utilización de los datos resultantes, sin establecer una relación comercial entre los titulares de datos y los usuarios de datos. Esto excluiría también los servicios que utilice exclusivamente un único titular de datos para permitir la utilización de los datos que obren en poder de dicho titular de datos, o los que utilicen múltiples personas jurídicas en un grupo cerrado, incluida la utilización en las relaciones con proveedores o con clientes o las colaboraciones establecidas contractualmente, en particular, los que tienen como objetivo principal garantizar las funcionalidades de los objetos y dispositivos conectados al internet de las cosas. |
| (29) | No deben incluirse en el ámbito de aplicación del presente Reglamento los servicios dedicados a la intermediación de contenidos protegidos por derechos de autor, como los prestadores de servicios para compartir contenidos en línea tal como se definen en el artículo 2, punto 6, de la Directiva (UE) 2019/790. Los proveedores de información consolidada tal como se definen en el artículo 2, apartado 1, punto 35, del Reglamento (UE) nº600/2014 del Parlamento Europeo y del Consejo (27), y los proveedores de servicios de información sobre cuentas tal como se definen en el artículo 4, punto 19, de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo (28), no deben considerarse proveedores de servicios de intermediación de datos a efectos del presente Reglamento. El presente Reglamento no debe aplicarse a los servicios ofrecidos por organismos del sector público para facilitar la reutilización de datos protegidos que obren en poder de organismos del sector público de conformidad con el presente Reglamento o la utilización de otros datos, en la medida en que esos servicios no estén destinados a establecer relaciones comerciales. No debe considerarse que las organizaciones reconocidas de gestión de datos con fines altruistas reguladas en el presente Reglamento ofrecen servicios de intermediación de datos, cuando esos servicios no estén destinados a establecer relaciones comerciales entre los posibles usuarios de datos, por una parte, y los interesados y los titulares de datos que ceden los datos con fines altruistas, por otra. No deben considerarse servicios de intermediación de datos en el sentido del presente Reglamento otros servicios que no estén destinados a establecer relaciones comerciales, tales como los repositorios destinados a permitir la reutilización de datos de investigación científica de acuerdo con los principios de acceso abierto. |
| (30) | Una categoría específica de servicios de intermediación de datos engloba a los proveedores de servicios que ofrecen sus servicios a los interesados. Estos proveedores de servicios de intermediación de datos tratan de mejorar la actuación de los interesados y, en particular, el control de las personas sobre los datos que les conciernen. Dichos proveedores les ayudarían a ejercer sus derechos con arreglo al Reglamento (UE) 2016/679, especialmente la concesión y retirada de su consentimiento al tratamiento de datos, el derecho de acceso a sus propios datos, el derecho a la rectificación de los datos personales inexactos, el derecho de supresión o «derecho al olvido», el derecho a limitar el tratamiento y el derecho a la portabilidad de los datos, que permite a los interesados trasladar sus datos personales de un responsable del tratamiento a otro. En ese contexto, es importante que el modelo empresarial de dichos proveedores garantice que no existan incentivos incoherentes que animen a las personas a usar dichos servicios para facilitar más datos que les conciernen para su tratamiento que lo que redundaría en su propio interés. Tal modelo podría incluir el asesoramiento a las personas sobre las posibles utilizaciones de sus datos y la realización de controles de diligencia debida a los usuarios de datos antes de permitirles ponerse en contacto con los interesados, a fin de evitar prácticas fraudulentas. En determinadas situaciones, puede resultar conveniente recopilar datos reales en un espacio de datos personales, de forma que el tratamiento pueda efectuarse dentro de este, sin que se deban transmitir los datos personales a terceros, a fin de maximizar la protección de los datos personales y la privacidad. Estos espacios de datos personales podrían contener datos personales estáticos, como el nombre, la dirección o la fecha de nacimiento, así como datos dinámicos que genera una persona, por ejemplo, a través del uso de un servicio en línea o un objeto conectado al internet de las cosas. También podrían utilizarse para almacenar información de identidad verificada, como, por ejemplo, el número de pasaporte o la información sobre seguridad social, y credenciales (por ejemplo, permiso de conducir, diplomas o información sobre cuentas bancarias). |
| (31) | Las cooperativas de datos tratan de alcanzar varios objetivos, en particular, reforzar la capacidad de las personas para que tomen decisiones con conocimiento de causa antes de dar su consentimiento a la utilización de los datos, influyendo en las condiciones contractuales de las organizaciones usuarias de datos en relación con la utilización de los datos de tal manera que se proporcionen mejores opciones a los distintos miembros del grupo o, en su caso, encontrando soluciones a las posiciones en conflicto de los miembros de un grupo sobre la manera de utilizar los datos cuando estos atañen a varios interesados de ese grupo. En dicho contexto, es importante reconocer que los derechos en virtud del Reglamento (UE) 2016/679 son derechos personales de los interesados y que los interesados no pueden renunciar a ellos. Las cooperativas de datos también pueden facilitar medios útiles a las empresas unipersonales y a las pymes que, por lo que respecta a los conocimientos sobre el intercambio de datos, a menudo son comparables a personas físicas. |
| (32) | A fin de aumentar la confianza en dichos servicios de intermediación de datos, concretamente en relación con la utilización de los datos y el cumplimiento de las condiciones impuestas por los interesados y los titulares de datos, es necesario crear un marco regulador a escala de la Unión que establezca requisitos muy armonizados relativos a la prestación fiable de dichos servicios de intermediación de datos, y que sea aplicado por las autoridades competentes. Dicho marco contribuirá a garantizar que los interesados y los titulares de datos, así como los usuarios de datos, tengan un mayor control sobre el acceso a sus datos y su utilización, conforme al Derecho de la Unión. La Comisión también podría fomentar y facilitar la elaboración de códigos de conducta a escala de la Unión, en los que participen las partes interesadas pertinentes, en concreto sobre la interoperabilidad. Independientemente de que el intercambio de datos tenga lugar entre empresas o entre una empresa y el consumidor, los proveedores de servicios de intermediación de datos deben ofrecer una forma novedosa y «europea» de gobernanza de datos, que establezca una separación, en la economía de los datos, entre el suministro, la intermediación y la utilización. Los proveedores de servicios de intermediación de datos también podrían ofrecer una infraestructura técnica específica para la interconexión de los interesados y los titulares de datos con los usuarios de datos. A este respecto, reviste especial importancia configurar dicha infraestructura de tal manera que las pymes y las empresas emergentes no encuentren obstáculos técnicos o de otro tipo para su participación en la economía de los datos. Debe permitirse a los proveedores de servicios de intermediación de datos ofrecer herramientas y servicios específicos adicionales a los titulares de datos o a los interesados con el fin específico de facilitar el intercambio de datos, como el almacenamiento temporal, la organización, la conversión, la anonimización y la seudonimización. Tales herramientas y servicios solo se deben utilizar previa solicitud o aprobación expresas del titular de datos o el interesado, y las herramientas de terceros ofrecidas en ese contexto no deben utilizar datos para otros fines. Al mismo tiempo, debe permitirse a los proveedores de servicios de intermediación de datos adaptar los datos intercambiados con el fin de facilitar su utilización por el usuario, cuando este así lo desee, o de mejorar la interoperabilidad mediante, por ejemplo, su conversión a formatos específicos. |
| (33) | Resulta importante posibilitar un entorno competitivo para el intercambio de datos. Para mejorar la confianza en los servicios de intermediación de datos y el control de los titulares de datos, los interesados y los usuarios de datos resulta clave la neutralidad de los proveedores de esos servicios respecto a los datos intercambiados entre los titulares de datos o los interesados y los usuarios de datos. Por consiguiente, es necesario que los proveedores de servicios de intermediación de datos actúen únicamente como intermediarios en las transacciones y no usen los datos intercambiados para ningún otro fin. Las condiciones contractuales, incluidos los precios, de la prestación de servicios de intermediación de datos no deben depender de si el potencial titular de datos o usuario de datos emplea otros servicios prestados por el mismo proveedor de servicios de intermediación de datos o por una entidad relacionada con él, tales como el almacenamiento en la nube, el análisis, la inteligencia artificial u otras aplicaciones basadas en datos, ni tampoco puede depender de cómo emplee esos otros servicios el titular de datos o el usuario de datos. Ello también exige una separación estructural entre el servicio de intermediación de datos y cualquier otro servicio prestado, a fin de evitar conflictos de intereses. Esto supone que los servicios de intermediación de datos deben prestarse a través de una entidad jurídica que sea independiente de las demás actividades del proveedor de dichos servicios. No obstante, los proveedores de servicios de intermediación de datos deben poder usar los datos facilitados por el titular de datos para la mejora de sus servicios de intermediación de datos. Los proveedores de servicios de intermediación de datos deben poder poner a disposición de los titulares de datos, los interesados o los usuarios de datos herramientas propias o de terceros a fin de facilitar el intercambio de datos como, por ejemplo, herramientas para la conversión o la organización de datos, únicamente previa solicitud o aprobación expresas del interesado o del titular de datos. Las herramientas de terceros ofrecidas en ese contexto no deben utilizar datos con fines ajenos a los relacionados con los servicios de intermediación de datos. Los proveedores de servicios de intermediación de datos que actúen de intermediarios entre personas físicas en calidad de interesados y personas jurídicas en calidad de usuarios de datos deben estar sujetos, además, a obligaciones fiduciarias para con las personas físicas, a fin de asegurar que actúen en el mejor interés de los interesados. Las cuestiones de responsabilidad por todos los daños y perjuicios materiales e inmateriales derivados de cualquier conducta del proveedor de servicios de intermediación de datos podrían abordarse en el contrato pertinente, con arreglo a los regímenes nacionales de responsabilidad. |
| (34) | Los proveedores de servicios de intermediación de datos deben adoptar medidas razonables para garantizar la interoperabilidad dentro de un sector y entre distintos sectores con el fin de garantizar el correcto funcionamiento del mercado interior. Las medidas razonables podrían incluir el cumplimiento de las normas de uso común existentes en el sector en el que operen los proveedores de servicios de intermediación de datos. El Comité Europeo de Innovación en materia de Datos debe facilitar la creación de normas adicionales para el sector cuando sea necesario. Los proveedores de servicios de intermediación de datos deben aplicar a su debido tiempo las medidas de interoperabilidad entre los servicios de intermediación de datos adoptadas por el Comité Europeo de Innovación en materia de Datos. |
| (35) | El presente Reglamento debe entenderse sin perjuicio de la obligación de los proveedores de servicios de intermediación de datos de cumplir lo dispuesto en el Reglamento (UE) 2016/679 y la responsabilidad de las autoridades de control de asegurar el cumplimiento de este último. Cuando los proveedores de servicios de intermediación de datos traten datos personales, el presente Reglamento no debe afectar a la protección de los datos personales. Cuando los proveedores de servicios de intermediación de datos sean los responsables o encargados del tratamiento de datos tal como se definen en el Reglamento (UE) 2016/679, deben estar sujetos a las normas establecidas en dicho Reglamento. |
| (36) | Se espera que los proveedores de servicios de intermediación de datos dispongan de procedimientos y medidas para imponer sanciones contra las prácticas fraudulentas o abusivas en relación con los terceros que traten de obtener acceso a través de sus servicios de intermediación de datos, entre otras, mediante medidas como la exclusión de los usuarios de datos que infrinjan las condiciones del servicio o el Derecho vigente. |
| (37) | Los proveedores de servicios de intermediación de datos deben adoptar, asimismo, medidas para garantizar el cumplimiento del Derecho de la competencia y disponer de procedimientos a tal efecto. Este es el caso de determinadas situaciones en las que el intercambio de datos permite a las empresas estar al corriente de las estrategias de mercado de sus competidores reales o potenciales. La información sensible desde el punto de vista de la competencia suele incluir detalles sobre datos de clientes, precios futuros, costes de producción, cantidades, facturación, ventas o capacidades. |
| (38) | Debe establecerse un procedimiento de notificación en relación con los servicios de intermediación de datos a fin de garantizar que la gobernanza de los datos dentro de la Unión se base en un intercambio de datos de confianza. Con el fin de obtener más fácilmente las ventajas de un entorno fiable, convendría imponer una serie de requisitos para la prestación de servicios de intermediación de datos, pero sin exigir ninguna decisión o acto administrativo expreso por parte de la autoridad competente en materia de servicios de intermediación de datos de cara a la prestación de los servicios. El procedimiento de notificación no debe imponer obstáculos indebidos a las pymes, empresas emergentes y organizaciones de la sociedad civil, y debe respetar el principio de no discriminación. |
| (39) | A fin de apoyar una prestación transfronteriza de servicios eficaz, procede solicitar al proveedor de servicios de intermediación de datos que envíe una notificación únicamente a la autoridad competente en materia de servicios de intermediación de datos del Estado miembro en el que se encuentre su establecimiento principal o su representante legal. Esta notificación no debe ser más que la mera declaración de la intención de prestar los mencionados servicios, completada únicamente con la información que se exige en el presente Reglamento. Tras la correspondiente notificación, el proveedor de servicios de intermediación de datos debe poder iniciar su actividad en cualquier Estados miembro sin ulteriores obligaciones de notificación. |
| (40) | El procedimiento de notificación establecido en el presente Reglamento ha de entenderse sin perjuicio de las normas adicionales específicas para la prestación de servicios de intermediación de datos que sean aplicables con arreglo a la normativa sectorial. |
| (41) | El establecimiento principal de un proveedor de servicios de intermediación de datos en la Unión debe ser aquel en el que se encuentre su administración central en la Unión. El establecimiento principal de un proveedor de servicios de intermediación de datos en la Unión debe determinarse de conformidad con criterios objetivos e implicar el ejercicio efectivo y real de las actividades de gestión. Las actividades de un proveedor de servicios de intermediación de datos deben cumplir el Derecho nacional del Estado miembro en el que tenga su establecimiento principal. |
| (42) | Para garantizar que los prestadores de servicios de intermediación de datos cumplan el presente Reglamento, deben estar establecidos en la Unión. Cuando un proveedor de servicios de intermediación de datos que no esté establecido en la Unión ofrezca servicios en ella, debe designar a un representante legal. En esos casos, la designación de un representante legal es necesaria, dado que dichos proveedores de servicios de intermediación de datos manejan datos personales y datos comerciales confidenciales, y ello requiere una estrecha supervisión del cumplimiento del presente Reglamento por parte de los proveedores de servicios de intermediación de datos. Para determinar si el proveedor de servicios de intermediación de datos ofrece servicios en la Unión, debe averiguarse si hay constancia de que dicho proveedor tiene la intención de ofrecer servicios de intermediación a personas de uno o varios Estados miembros. La mera accesibilidad en la Unión del sitio web o de una dirección de correo electrónico y otros datos de contacto del proveedor de servicios de intermediación de datos o el uso de una lengua comúnmente utilizada en el tercer país en el que el proveedor de servicios de intermediación de datos esté establecido deben considerarse insuficientes para determinar tal intención. No obstante, factores como el empleo de una lengua o una moneda de uso común en uno o varios Estados miembros, con la posibilidad de encargar servicios en esa lengua, o la mención de usuarios que estén en la Unión, podría revelar que el proveedor de servicios de intermediación de datos tiene la intención de ofrecer servicios en la Unión. Un representante legal designado debe actuar en nombre del proveedor de servicios de intermediación de datos, y las autoridades competentes en materia de servicios de intermediación de datos han de poder ponerse en contacto con él además de o en lugar del proveedor de servicios de intermediación de datos, también en caso de infracción, a fin de iniciar un procedimiento de ejecución contra el proveedor de servicios de intermediación de datos no establecido en la Unión que no cumpla las normas. El representante legal debe haber sido designado mediante un mandato por escrito del proveedor de servicios de intermediación de datos para actuar en nombre de este en lo que respecta a las obligaciones del proveedor con arreglo al presente Reglamento. |
| (43) | Para ayudar a los interesados y a los titulares de datos a identificar fácilmente a los proveedores de servicios de intermediación de datos reconocidos en la Unión y, así, aumentar su confianza en ellos, debe establecerse un logotipo común que sea reconocible en toda la Unión, además de la denominación «proveedor de servicios de intermediación de datos reconocido en la Unión». |
| (44) | Las autoridades competentes en materia de servicios de intermediación de datos designadas para supervisar que los proveedores de servicios de intermediación de datos cumplen los requisitos establecidos en el presente Reglamento han de ser elegidas en función de su capacidad y experiencia en relación con el intercambio de datos horizontal o sectorial. Deben ser independientes de cualquier proveedor de servicios de intermediación de datos, transparentes e imparciales en el ejercicio de sus funciones. Los Estados miembros deben notificar a la Comisión la identidad de dichas autoridades competentes en materia de servicios de intermediación de datos. Las facultades y competencias de las autoridades competentes en materia de servicios de intermediación de datos designadas deben entenderse sin perjuicio de las facultades de las autoridades responsables de la protección de datos. En particular, cuando una cuestión requiera evaluar el cumplimiento del Reglamento (UE) 2016/679, la autoridad competente en materia de servicios de intermediación de datos debe solicitar un dictamen o una decisión, según proceda, a la autoridad de control competente establecida con arreglo a dicho Reglamento. |
| (45) | Existe un importante potencial de objetivos de interés general en la utilización de datos facilitados voluntariamente por los interesados a través de su consentimiento informado o, en lo que se refiere a los datos no personales, facilitados por titulares de datos. Entre esos objetivos se incluyen la asistencia sanitaria, la lucha contra el cambio climático, la mejora de la movilidad, la facilitación del desarrollo, elaboración y difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos o la elaboración de políticas públicas. El respaldo a la investigación científica debe considerarse también un objetivo de interés general. El presente Reglamento debe tener por objeto contribuir a la creación de conjuntos de datos de tamaño suficiente disponibles de manera altruista para permitir el análisis de datos y el aprendizaje automático, también a través de toda la Unión. Con el fin de lograr ese objetivo, los Estados miembros deben poder poner en práctica disposiciones organizativas, técnicas o ambas que faciliten la cesión altruista de datos. Entre esas disposiciones podrían incluirse la disponibilidad de herramientas de fácil uso para que los interesados o los titulares de datos den su consentimiento o permiso para la utilización altruista de sus datos, la organización de campañas de sensibilización o un intercambio estructurado entre autoridades competentes sobre la forma en que las políticas públicas (por ejemplo, la mejora del tráfico, la salud pública y la lucha contra el cambio climático) se benefician de la cesión altruista de datos. A tales efectos, los Estados miembros deben poder establecer políticas nacionales en materia de cesión altruista de datos. Los interesados deben poder recibir compensación relacionada únicamente con los costes en que incurran cuando faciliten sus datos con objetivos de interés general. |
| (46) | Se espera que la inscripción de las organizaciones reconocidas de gestión de datos con fines altruistas en un registro y la utilización de dicha denominación desemboquen en la creación de repositorios de datos. La inscripción en un Estado miembro tendría validez en toda la Unión y se espera que facilite la utilización transfronteriza de los datos dentro de esta y la aparición de conjuntos de datos que den cobertura a varios Estados miembros. Los titulares de datos podrían autorizar el tratamiento de sus datos no personales para diversos fines no determinados en el momento de dar su permiso. El cumplimiento de un conjunto de requisitos tal como dispone el presente Reglamento, por parte de dichas organizaciones reconocidas de gestión de datos con fines altruistas debería generar confianza en que los datos facilitados con fines altruistas sirvan a un objetivo de interés general. En concreto, esta confianza debe derivarse del hecho de tener un lugar de establecimiento o un representante legal en la Unión, así como a través del requisito de que las organizaciones reconocidas de gestión de datos con fines altruistas tengan carácter no lucrativo, de los requisitos de transparencia y de las garantías concretas establecidas para proteger los derechos e intereses de los interesados y las empresas. Además, las medidas de prevención han de incluir la posibilidad de tratar los datos pertinentes en un entorno de tratamiento seguro gestionado por la entidad registrada, mecanismos de control, tales como consejos o comités éticos, que incluyan a representantes de la sociedad civil, que garanticen que el responsable del tratamiento respete unas elevadas normas de ética científica y protección de los derechos fundamentales, medios técnicos eficaces y comunicados de forma clara para retirar o modificar el consentimiento en cualquier momento, sobre la base de las obligaciones de información de los encargados del tratamiento de datos con arreglo al Reglamento (UE) 2016/679, así como medios para que los interesados estén informados sobre la utilización de los datos que hayan facilitado. La inscripción como organización reconocida de gestión de datos con fines altruistas no debe ser una condición previa para el ejercicio de actividades de gestión de datos con fines altruistas. La Comisión debe preparar, por medio de actos delegados, un código normativo en estrecha cooperación con organizaciones de gestión de datos con fines altruistas y partes interesadas pertinentes. El cumplimiento de ese código normativo debe constituir un requisito para la inscripción en el registro como organización reconocida de gestión de datos con fines altruistas. |
| (47) | Para ayudar a los interesados y a los titulares de datos a identificar fácilmente las organizaciones reconocidas de gestión de datos con fines altruistas, y aumentar así su confianza en ellas, debe establecerse un logotipo común que sea reconocible en toda la Unión. El logotipo común debe ir acompañado de un código QR con un enlace al registro público de la Unión de las organizaciones reconocidas de gestión de datos con fines altruistas. |
| (48) | El presente Reglamento debe entenderse sin perjuicio de la creación, la organización y el funcionamiento de entidades que busquen participar en la cesión altruista de datos conforme a la legislación nacional y sustentarse en los requisitos de la legislación nacional para operar lícitamente en un Estado miembro como organización sin ánimo de lucro. |
| (49) | El presente Reglamento debe entenderse sin perjuicio del establecimiento, la organización y el funcionamiento de otras entidades distintas de los organismos del sector público que se dediquen al intercambio de datos y de contenidos sobre la base de licencias abiertas, contribuyendo así a la creación de recursos comunes a disposición del público. Entre ellas deben incluirse las plataformas de intercambio abierto de conocimientos colaborativos, los repositorios científicos y académicos de acceso abierto, las plataformas de desarrollo de software de código abierto y las plataformas de agregación de contenidos de acceso abierto. |
| (50) | Las organizaciones reconocidas de gestión de datos con fines altruistas han de poder recopilar los datos pertinentes directamente de las personas físicas y jurídicas o tratar los datos recopilados por terceros. El tratamiento de los datos recogidos podría ser realizado directamente por organizaciones de gestión de datos con fines altruistas para fines que ellas establezcan o, según proceda, podrían permitir el tratamiento por parte de terceros para esos fines. Cuando las organizaciones reconocidas de gestión de datos con fines altruistas sean las responsables o encargadas del tratamiento de datos tal como se definen en el Reglamento (UE) 2016/679, deben cumplir dicho Reglamento. Por lo general, la cesión altruista de datos se fundamentaría en el consentimiento de los interesados en el sentido del artículo 6, apartado 1, letra a), y del artículo 9, apartado 2, letra a), del Reglamento (UE) 2016/679, y se deben cumplir los requisitos de consentimiento legal conforme a los artículos 7 y 8 del citado Reglamento. De acuerdo con el Reglamento (UE) 2016/679, los fines de investigación científica pueden respaldarse mediante el consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica o solamente para determinadas áreas de investigación o partes de proyectos de investigación. El artículo 5, apartado 1, letra b), del Reglamento (UE) 2016/679 especifica que el tratamiento ulterior de los datos personales con fines de investigación científica e histórica o fines estadísticos no debe considerarse, conforme al artículo 89, apartado 1, del mismo Reglamento, incompatible con los fines iniciales. Las limitaciones a la utilización de los datos no personales deben figurar en el permiso otorgado por el titular de los datos. |
| (51) | Las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas designadas para supervisar el cumplimiento de los requisitos del presente Reglamento por las organizaciones reconocidas de gestión de datos con fines altruistas han de ser elegidas en función de su capacidad y conocimientos especializados. Deben ser independientes de cualquier organización de gestión de datos con fines altruistas, así como transparentes e imparciales en el ejercicio de sus funciones. Los Estados miembros deben notificar a la Comisión la identidad de esas autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas. Las facultades y competencias de las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas deben entenderse sin perjuicio de las facultades de las autoridades responsables de la protección de datos. En particular, cuando una cuestión requiera evaluar el cumplimiento del Reglamento (UE) 2016/679, la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas debe solicitar un dictamen o una decisión, según proceda, a la autoridad de control competente establecida con arreglo a dicho Reglamento. |
| (52) | A fin de fomentar la confianza y aportar seguridad jurídica adicional y facilidad de uso al proceso de concesión o retirada del consentimiento, en particular, en el contexto de la investigación científica y la utilización estadística de los datos cedidos con fines altruistas, debe elaborarse un formulario europeo de consentimiento para la cesión altruista de datos y emplearse en el marco del intercambio de datos con fines altruistas. Este formulario debe contribuir a aumentar la transparencia para los interesados, en el sentido de que se accederá a sus datos y estos se utilizarán de conformidad con su consentimiento y respetando plenamente las normas de protección de datos. Además, debe facilitar la concesión y la retirada del consentimiento y emplearse para generalizar la cesión altruista de datos efectuada por las empresas y proporcionar un mecanismo que permita a estas retirar su permiso para la utilización de los datos. A fin de tener en cuenta las particularidades de los distintos sectores, especialmente desde la perspectiva de la protección de datos, el formulario europeo de consentimiento para la cesión altruista de datos debe adoptar un diseño modular que permita su adaptación a sectores específicos y distintos fines. |
| (53) | Con el objetivo de aplicar satisfactoriamente el marco de gobernanza de los datos, debe crearse un Comité Europeo de Innovación en materia de Datos, en forma de grupo de expertos. Dicho Comité ha de estar compuesto por representantes de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de todos los Estados miembros, por el Comité Europeo de Protección de Datos, el Supervisor Europeo de Protección de Datos, la Agencia de la Unión Europea para la Ciberseguridad (ENISA), la Comisión, el representante de la UE para las pymes o un representante designado por la red de representantes nacionales para las pymes y otros representantes de los organismos pertinentes de sectores específicos, así como organismos con conocimientos especializados. El Comité Europeo de Innovación en materia de Datos debe constar de una serie de subgrupos, incluido un subgrupo para la participación de las partes interesadas y compuesto por representantes pertinentes del sector correspondiente (como la salud, el medio ambiente, la agricultura, el transporte, la energía, la fabricación industrial, los medios de comunicación, los sectores cultural y creativo y la estadística), así como de los sectores de la investigación, el mundo académico, la sociedad civil, los organismos de normalización, los correspondientes espacios comunes europeos de datos y otras partes interesadas pertinentes y terceros interesados, entre otros, los organismos con conocimientos específicos (como las oficinas nacionales de estadística). |
| (54) | El Comité Europeo de Innovación en materia de Datos debe prestar asistencia a la Comisión para coordinar las prácticas y estrategias nacionales sobre los temas contemplados en el presente Reglamento, y para promover la utilización intersectorial de datos mediante la suscripción de los principios del Marco Europeo de Interoperabilidad y el uso de normas y especificaciones europeas e internacionales, también mediante la Plataforma Europea Multilateral de Normalización de las TIC, los vocabularios básicos y los módulos del Mecanismo «Conectar Europa», y debe tener en cuenta las labores de normalización que se realicen en sectores o ámbitos específicos. Entre las labores de normalización técnica, podrían incluirse la identificación de las prioridades para el desarrollo de normas, así como el establecimiento y mantenimiento de un conjunto de normas técnicas y jurídicas para la transmisión de datos entre dos entornos de tratamiento que permita organizar los espacios de datos, en particular, aclarando y distinguiendo las normas y prácticas intersectoriales de las sectoriales. El Comité Europeo de Innovación en materia de Datos debe cooperar con los organismos, las redes o los grupos de expertos sectoriales, u otras organizaciones intersectoriales que se ocupen de la reutilización de datos. En lo que se refiere a la cesión altruista de datos, es preciso que el Comité Europeo de Innovación en materia de Datos ayude a la Comisión a elaborar el formulario de consentimiento para la cesión altruista de datos, previa consulta al Comité Europeo de Protección de Datos. A la hora de proponer directrices sobre los espacios comunes europeos de datos, el Comité Europeo de Innovación en materia de Datos debe apoyar el desarrollo de una economía europea de los datos que funcione sobre la base de esos espacios de datos, tal como se establece en la Estrategia Europea de Datos. |
| (55) | Los Estados miembros deben establecer los regímenes sancionadores aplicables a las infracciones del presente Reglamento y tomar todas las medidas necesarias para garantizar que se apliquen. Las sanciones previstas deben ser efectivas, proporcionadas y disuasorias. La existencia de grandes discrepancias entre los regímenes sancionadores podría distorsionar la competencia en el mercado único digital. La armonización de tales normas podría ser beneficiosa a este respecto. |
| (56) | A fin de garantizar una aplicación eficaz del presente Reglamento y que los proveedores de servicios de intermediación de datos, así como las entidades que deseen inscribirse como organizaciones reconocidas de gestión de datos con fines altruistas, puedan acceder a los procedimientos de notificación y registro y completarlos íntegramente en línea y de forma transfronteriza, dichos procedimientos deben ofrecerse a través de la pasarela digital única establecida de conformidad con el Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo (29). Dichos procedimientos deben añadirse a la lista de procedimientos incluidos en el anexo II del Reglamento (UE) 2018/1724. |
| (57) | Por lo tanto, debe modificarse el Reglamento (UE) 2018/1724 en consecuencia. |
| (58) | A fin de garantizar la eficacia del presente Reglamento, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE, con la finalidad de completar el presente Reglamento con condiciones especiales aplicables a la transferencia a terceros países de determinadas categorías de datos no personales consideradas muy sensibles, a través de actos legislativos específicos de la Unión y con un código normativo, que las organizaciones reconocidas de gestión de datos con fines altruistas deben cumplir, que contenga los requisitos informativos, técnicos y de seguridad, así como las hojas de ruta sobre comunicación y las normas de interoperabilidad. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional de 13 de abril de 2016 sobre la Mejora de la Legislación (30). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados. |
| (59) | A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para prestar asistencia a los organismos del sector público y a los reutilizadores en su cumplimiento de las condiciones de reutilización establecidas en el presente Reglamento mediante cláusulas contractuales tipo para la transferencia de datos no personales por parte de reutilizadores a terceros países, para declarar que las disposiciones jurídicas, de supervisión y de ejecución de un tercer país son equivalentes a la protección concedida por el Derecho de la Unión, para diseñar el logotipo común para los proveedores de servicios de intermediación de datos y el logotipo común para las organizaciones de gestión de datos con fines altruistas reconocidas, y para establecer y elaborar el formulario europeo de consentimiento para la cesión altruista de datos. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº182/2011 del Parlamento Europeo y del Consejo (31). |
| (60) | El presente Reglamento no debe afectar a la aplicación de la normativa sobre competencia, y en particular a los artículos 101 y 102 del TFUE. Las disposiciones del presente Reglamento no deben utilizarse para restringir la competencia de forma contraria al TFUE. Esto se refiere, en particular, a las normas sobre el intercambio de información sensible desde el punto de vista de la competencia entre competidores reales o potenciales a través de los servicios de intermediación de datos. |
| (61) | El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos, a los que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725, emitieron su dictamen el 10 de marzo de 2021. |
| (62) | El presente Reglamento utiliza como principios rectores el respeto de los derechos fundamentales y los principios reconocidos, en particular, en la Carta de los Derechos Fundamentales de la Unión Europea, incluidos el derecho a la intimidad, la protección de los datos de carácter personal, la libertad de empresa, el derecho a la propiedad y la integración de personas con discapacidad. En el contexto de este último, los organismos del sector público y los servicios en el marco del presente Reglamento deben cumplir, según proceda, lo dispuesto en las Directivas (UE) 2016/2102 (32) y (UE) 2019/882 (33) del Parlamento Europeo y del Consejo. Asimismo, debe tenerse en cuenta el diseño para todos en el contexto de la tecnología de la información y la comunicación, que es el esfuerzo consciente y sistemático por aplicar de forma proactiva principios, métodos y herramientas que fomenten el diseño universal en tecnologías relacionadas con la informática, incluidas las tecnologías basadas en internet, evitando de esa forma la necesidad de realizar adaptaciones posteriormente o un diseño especializado. |
| (63) | Dado que los objetivos del presente Reglamento, a saber, la reutilización, dentro de la Unión, de determinadas categorías de datos que obren en poder de organismos del sector público, así como el establecimiento de un marco de notificación y supervisión para la prestación de los servicios de intermediación de datos, un marco para la inscripción voluntaria en un registro de las entidades que cedan datos con fines altruistas y un marco para la creación de un Comité Europeo de Innovación en materia de Datos, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el mismo artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos. |
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I. Disposiciones generales
Artículo 1. Objeto y ámbito de aplicación
1. El presente Reglamento establece:
a) las condiciones para la reutilización, dentro de la Unión, de determinadas categorías de datos que obren en poder de organismos del sector público;
b) un marco de notificación y supervisión para la prestación de servicios de intermediación de datos;
c) un marco para la inscripción voluntaria en un registro de las entidades que recojan y traten datos cedidos con fines altruistas, y
d) un marco para la creación de un Comité Europeo de Innovación en materia de Datos.
2. El presente Reglamento no obliga a los organismos del sector público a permitir la reutilización de datos ni los exime de sus obligaciones en materia de confidencialidad que les imponga el Derecho de la Unión o el nacional.
El presente Reglamento se entenderá sin perjuicio:
a) de las disposiciones específicas previstas en el Derecho de la Unión o nacional en lo referente al acceso a determinadas categorías de datos o a su reutilización, en particular, con respecto a la concesión de acceso a documentos oficiales y su divulgación, ni
b) de las obligaciones de los organismos del sector público con arreglo al Derecho de la Unión o nacional de permitir la reutilización de datos, ni de los requisitos relacionados con el tratamiento de datos no personales.
Cuando la normativa de la Unión o nacional específica de un sector exija a los organismos del sector público, los proveedores de servicios de intermediación de datos o las organizaciones reconocidas de gestión de datos con fines altruistas cumplir requisitos específicos adicionales de carácter técnico, administrativo u organizativo, también mediante un régimen de autorización o certificación, las disposiciones de dicha normativa de la Unión o nacional serán igualmente de aplicación. Cualquier requisito específico adicional de ese tipo deberá ser no discriminatorio y proporcionado y estar justificado objetivamente.
3. El Derecho de la Unión y nacional en materia de protección de datos personales se aplicará a todos los datos personales tratados en relación con el presente Reglamento. En particular, el presente Reglamento se entenderá sin perjuicio de los Reglamentos (UE) 2016/679 y (UE) 2018/1725, y de las Directivas 2002/58/CE y (UE) 2016/680, incluidas las facultades y competencias de las autoridades de control. En caso de conflicto entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o el Derecho nacional adoptado de conformidad con el Derecho de la Unión en la materia, prevalecerá el Derecho de la Unión o nacional que sea aplicable en materia de protección de datos personales. El presente Reglamento no crea una base jurídica para el tratamiento de datos personales ni afecta a ninguna obligación ni derecho establecidos en los Reglamentos (UE) 2016/679 o (UE) 2018/1725, o en las Directivas 2002/58/CE o (UE) 2016/680.
4. El presente Reglamento se entenderá sin perjuicio de la aplicación del Derecho de la competencia.
5. El presente Reglamento se entenderá sin perjuicio de las competencias de los Estados miembros respecto a las actividades relativas a la seguridad pública, la defensa y la seguridad nacional.
Artículo 2. Definiciones
A efectos del presente Reglamento, se entenderá por:
| 1) | «datos», toda representación digital de actos, hechos o información, así como su recopilación, incluso como grabación sonora, visual o audiovisual; |
| 2) | «reutilización», la utilización, por personas físicas o jurídicas, de los datos que obren en poder de organismos del sector público, con fines comerciales o no comerciales distintos del propósito inicial englobado en la misión de servicio público para el que se hayan producido tales datos, excepto en el caso del intercambio de datos entre organismos del sector público con la única finalidad de desempeñar sus actividades de servicio público; |
| 3) | «datos personales», los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679; |
| 4) | «datos no personales», aquellos que no sean datos personales; |
| 5) | «consentimiento», el consentimiento tal como se define en el artículo 4, punto 11, del Reglamento (UE) 2016/679; |
| 6) | «permiso», la concesión a los usuarios de datos del derecho al tratamiento de datos no personales; |
| 7) | «interesado», el interesado tal como se indica en el artículo 4, punto 1, del Reglamento (UE) 2016/679; |
| 8) | «titular de datos», toda persona jurídica, incluidos los organismos del sector público y organizaciones internacionales, o persona física que no sea el interesado con respecto a los datos específicos en cuestión, que, de conformidad con el Derecho de la Unión o nacional aplicable, tenga derecho a conceder acceso a determinados datos personales o no personales o a compartirlos; |
| 9) | «usuario de datos», toda persona física o jurídica que tenga acceso legítimo a determinados datos personales o no personales y el derecho, incluido el que le otorga el Reglamento (UE) 2016/679 en el caso de los datos personales, a usarlos con fines comerciales o no comerciales; |
| 10) | «intercambio de datos», la facilitación de datos por un interesado o titular de datos a un usuario de datos, directamente o a través de un intermediario y en virtud de un acuerdo voluntario o del Derecho de la Unión o nacional, con el fin de hacer un uso en común o individual de tales datos, por ejemplo, mediante licencias abiertas o mediante licencias comerciales de pago o gratuitas; |
| 11) | «servicio de intermediación de datos», todo servicio cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo, incluidos los servicios destinados al ejercicio de los derechos de los interesados en relación con los datos personales, pero excluidos, al menos, los servicios siguientes: a) los servicios que obtengan datos de titulares de datos y que los agreguen, enriquezcan o transformen con el fin de añadirles un valor sustancial y concedan licencias a los usuarios de datos para la utilización de los datos resultantes, sin establecer una relación comercial entre los titulares de datos y los usuarios de datos; b) los servicios dedicados a la intermediación de contenido protegido por derechos de autor; c) los servicios utilizados exclusivamente por un único titular de datos para permitir la utilización de los datos que obren en poder de dicho titular de datos, o los utilizados por múltiples personas jurídicas en un grupo cerrado, incluyendo también los utilizados en las relaciones con proveedores o con clientes o las colaboraciones establecidas contractualmente, en particular, los que tienen como objetivo principal garantizar las funcionalidades de los objetos y dispositivos conectados al internet de las cosas; d) los servicios de intercambio de datos ofrecidos por organismos del sector público sin la intención de establecer relaciones comerciales; |
| 12) | «tratamiento», el tratamiento tal como se define en el artículo 4, punto 2, del Reglamento (UE) 2016/679 en lo que respecta a los datos personales, o en el artículo 3, punto 2, del Reglamento (UE) 2018/1807 en lo que respecta a los datos no personales; |
| 13) | «acceso», toda utilización de datos de conformidad con unos requisitos específicos de carácter técnico, jurídico u organizativo, sin que ello implique necesariamente la transmisión o la descarga de los datos; |
| 14) | «establecimiento principal» de una persona jurídica, el lugar de su administración central en la Unión; |
| 15) | «servicios de cooperativas de datos», los servicios de intermediación de datos ofrecidos por una estructura organizativa constituida por interesados, empresas unipersonales o pymes pertenecientes a dicha estructura, cuyos objetivos principales sean prestar asistencia a sus miembros en el ejercicio de los derechos de estos con respecto a determinados datos, incluida la asistencia por lo que respecta a la adopción de decisiones informadas antes de consentir el tratamiento de datos, intercambiar opiniones sobre los fines del tratamiento de datos y las condiciones que mejor representen los intereses de sus miembros en relación con los datos de estos, y negociar las condiciones contractuales para el tratamiento de datos en nombre de sus miembros antes de conceder permiso para el tratamiento de datos no personales o antes de dar su consentimiento para el tratamiento de datos personales; |
| 16) | «cesión altruista de datos», todo intercambio voluntario de datos basado en el consentimiento de los interesados para que se traten sus datos personales, o en el permiso de los titulares de datos para que se usen sus datos no personales, sin ánimo de obtener o recibir una gratificación que exceda de una compensación relativa a los costes en que incurran a la hora de facilitar sus datos, con objetivos de interés general tal como se disponga en el Derecho nacional, en su caso, como, por ejemplo, la asistencia sanitaria, la lucha contra el cambio climático, la mejora de la movilidad, la facilitación del desarrollo, elaboración y difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos, la elaboración de políticas públicas o la investigación científica de interés general; |
| 17) | «organismo del sector público», las autoridades estatales, regionales o locales, los organismos de Derecho público o las asociaciones constituidas por una o más de dichas autoridades o por uno o más de dichos organismos de Derecho público; |
| 18) | «organismo de Derecho público», todo organismo que reúna las características siguientes: a) haber sido creado específicamente para satisfacer necesidades de interés general y no tener carácter industrial ni mercantil; b) estar dotado de personalidad jurídica; c) estar financiado, mayoritariamente, por autoridades estatales, regionales o locales, u otros organismos de Derecho público, cuya gestión esté sujeta a la supervisión de dichas autoridades u organismos, o más de la mitad de los miembros de su órgano de administración, de dirección o de supervisión hayan sido nombrados por las autoridades estatales, regionales o locales, o por otros organismos de Derecho público; |
| 19) | «empresa pública», toda empresa en la que los organismos del sector público puedan ejercer, directa o indirectamente, una influencia dominante por el hecho de tener la propiedad o una participación financiera en la empresa, o en virtud de las normas que la rigen; a los fines de la presente definición, se considerará que los organismos del sector público ejercen una influencia dominante en cualquiera de los casos siguientes en que, directa o indirectamente: a) posean la mayoría del capital suscrito de la empresa; b) controlen la mayoría de los votos correspondientes a las participaciones emitidas por la empresa; c) puedan nombrar a más de la mitad de los miembros del órgano de administración, de dirección o de supervisión de la empresa; |
| 20) | «entorno de tratamiento seguro», el entorno físico o virtual y los medios organizativos para garantizar el cumplimiento del Derecho de la Unión, como, por ejemplo, el Reglamento (UE) 2016/679, en particular, por lo que respecta a los derechos de los interesados, los derechos de propiedad intelectual y la confidencialidad comercial y estadística, la integridad y la accesibilidad, así como para garantizar el cumplimiento del Derecho nacional aplicable y permitir que la entidad encargada de proporcionar el entorno de tratamiento seguro determine y supervise todas las acciones de tratamiento, incluida la presentación, el almacenamiento, la descarga y la exportación de datos, así como el cálculo de datos derivados mediante algoritmos computacionales; |
| 21) | «representante legal», toda persona física o jurídica establecida en la Unión y designada expresamente para actuar en nombre de un proveedor de servicios de intermediación de datos no establecido en la Unión o en nombre de una entidad no establecida en la Unión que recoja, para objetivos de interés general, datos cedidos de forma altruista por personas físicas o jurídicas, y que es la persona a la que podrán dirigirse las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas, además de o en lugar de dicho proveedor o entidad, por lo que respecta a las obligaciones que impone el presente Reglamento, incluido el supuesto en que se inicie un procedimiento de ejecución por algún incumplimiento de un proveedor de servicios de intermediación de datos o entidad que no estén establecidos en la Unión. |
CAPÍTULO II. Reutilización de determinadas categorías de datos protegidos que obren en poder de organismos del sector público
Artículo 3. Categorías de datos
1. El presente capítulo se aplica a aquellos datos que obren en poder de organismos del sector público que estén protegidos por motivos de:
a) confidencialidad comercial, incluidos los secretos comerciales, profesionales o empresariales;
b) confidencialidad estadística;
c) protección de los derechos de propiedad intelectual de terceros, o
d) protección de los datos personales, en la medida en que tales datos queden excluidos del ámbito de aplicación de la Directiva (UE) 2019/1024.
2. El presente capítulo no se aplica a:
a) los datos que obren en poder de empresas públicas;
b) los datos que obren en poder de organismos públicos de radiodifusión y sus filiales, así como los datos que obren en poder de otros organismos o sus filiales para el cumplimiento de una misión de servicio público de radiodifusión;
c) los datos que obren en poder de centros culturales y de enseñanza;
d) aquellos datos que obren en poder de organismos del sector público que estén protegidos por motivos de seguridad pública, defensa o seguridad nacional, o
e) los datos cuya facilitación constituya una actividad ajena al ámbito de la misión de servicio público de los organismos del sector público de que se trate, según se determine ese ámbito en la legislación o en otras normas de obligado cumplimiento del Estado miembro correspondiente, o, a falta de tales normas, según se determine de acuerdo con la práctica administrativa común de dicho Estado miembro, siempre y cuando el ámbito de la misión de servicio público sea transparente y esté sometido a revisión.
3. El presente capítulo se entenderá sin perjuicio de:
a) el Derecho de la Unión y nacional y los acuerdos internacionales en los que sean parte la Unión o los Estados miembros relativos a la protección de las categorías de datos enumeradas en el apartado 1, y
b) el Derecho de la Unión y nacional relativo al acceso a documentos.
Artículo 4. Prohibición de los acuerdos de exclusividad
1. Se prohíben los acuerdos u otras prácticas relativos a la reutilización de aquellos datos que obren en poder de organismos del sector público que contengan categorías de datos de las enumeradas en el artículo 3, apartado 1, por los que se concedan derechos exclusivos o cuyo objetivo o efecto sea conceder derechos exclusivos o restringir la disponibilidad de los datos para su reutilización por entidades distintas de las partes en tales acuerdos o prácticas.
2. Como excepción a lo dispuesto en el apartado 1, podrá concederse un derecho exclusivo para la reutilización de los datos mencionados en dicho apartado en la medida en que así lo exija la prestación de un servicio o el suministro de un producto de interés general que, de otro modo, no sería posible.
3. Se concederá un derecho exclusivo, en aplicación del apartado 2, mediante un acto administrativo o disposición contractual de conformidad con el Derecho aplicable de la Unión o nacional y respetando los principios de transparencia, igualdad de trato y no discriminación.
4. El tiempo máximo de duración de un derecho exclusivo a reutilizar los datos será de doce meses. Cuando se celebre un contrato, la duración de este será la misma que la del derecho exclusivo.
5. La concesión de un derecho exclusivo en aplicación de los apartados 2, 3 y 4, incluidas las razones por las que sea necesaria su concesión, se hará de forma transparente y se dará a conocer públicamente en línea, de una forma compatible con el Derecho de la Unión pertinente en materia de contratación pública.
6. Los acuerdos u otras prácticas a los que se aplique la prohibición del apartado 1 que no reúnan las condiciones de los apartados 2 y 3, y hayan sido celebrados antes del 23 de junio de 2022, finalizarán al término del contrato aplicable y, en cualquier caso, a más tardar el 24 de diciembre de 2024.
Artículo 5. Condiciones de la reutilización
1. Los organismos del sector público que, con arreglo al Derecho nacional, sean competentes para conceder o denegar acceso para la reutilización de una o varias de las categorías de datos enumeradas en el artículo 3, apartado 1, publicarán las condiciones en las que se permite tal reutilización y el procedimiento para solicitarla por medio del punto único de información a que se refiere el artículo 8. Cuando concedan o denieguen acceso para la reutilización, podrán prestarle asistencia los organismos competentes a que se refiere el artículo 7, apartado 1.
Los Estados miembros velarán por que los organismos del sector público dispongan de los recursos necesarios para cumplir lo dispuesto en el presente artículo.
2. Las condiciones de la reutilización no podrán ser discriminatorias, deberán ser transparentes y proporcionadas, y estar justificadas objetivamente respecto de las categorías de datos, los fines de la reutilización y la naturaleza de los datos cuya reutilización se permita. Dichas condiciones no podrán utilizarse para restringir la competencia.
3. Los organismos del sector público velarán, de conformidad con el Derecho de la Unión y nacional, por preservar la naturaleza protegida de los datos. Podrán establecer los requisitos siguientes:
| a) | que se conceda acceso para la reutilización de los datos únicamente cuando el organismo del sector público o el organismo competente, tras una solicitud de reutilización, haya garantizado que los datos se han: i) anonimizado, en el caso de los datos personales, y ii) modificado, agregado o tratado por cualquier otro método de control de la divulgación, en el caso de la información comercial de carácter confidencial, incluidos los secretos comerciales o los contenidos protegidos por derechos de propiedad intelectual; |
| b) | que el acceso y reutilización a distancia de los datos se lleven a cabo en un entorno de tratamiento seguro facilitado o controlado por el organismo del sector público; |
| c) | que el acceso y reutilización de los datos se lleven a cabo en los locales físicos en los que se encuentre el entorno de tratamiento seguro de conformidad con unas normas de seguridad estrictas, siempre que no pueda habilitarse el acceso a distancia sin que ello ponga en peligro los derechos e intereses de terceros. |
4. En el caso en que se permita la reutilización de conformidad con el apartado 3, letras b) y c), los organismos del sector público impondrán condiciones que preserven la integridad del funcionamiento de los sistemas técnicos del entorno de tratamiento seguro utilizado. El organismo del sector público se reservará el derecho a verificar el proceso, los medios y los resultados del tratamiento de datos efectuado por el reutilizador para preservar la integridad de la protección de los datos y se reservará el derecho a prohibir la utilización de aquellos resultados que contengan información que ponga en peligro los derechos e intereses de terceros. La decisión de prohibir la utilización de los resultados deberá ser comprensible y transparente para el reutilizador.
5. A menos que el Derecho nacional establezca garantías específicas respecto de las obligaciones de confidencialidad aplicables en relación con la reutilización de los datos a los que se refiere el artículo 3, apartado 1, el organismo del sector público supeditará la utilización de los datos facilitados de conformidad con el apartado 3 del presente artículo a la observancia por parte del reutilizador de una obligación de confidencialidad que prohíba la divulgación de cualquier información que ponga en peligro los derechos e intereses de terceros, que el reutilizador pueda haber adquirido a pesar de las garantías establecidas. Se prohibirá a los reutilizadores reidentificar a cualquier interesado al que se refieran los datos y estarán obligados a adoptar medidas técnicas y operativas para evitar la reidentificación y para notificar al organismo del sector público cualquier violación de la seguridad de los datos que dé lugar a la reidentificación de los interesados de que se trate. En caso de reutilización no autorizada de datos no personales, el reutilizador informará sin demora y, en su caso, con la ayuda del organismo del sector público, a las personas jurídicas cuyos derechos e intereses puedan verse afectados.
6. Cuando no pueda permitirse la reutilización de los datos de conformidad con las obligaciones establecidas en los apartados 3 y 4 del presente artículo y no exista ninguna otra base jurídica para transmitir los datos con arreglo al Reglamento (UE) 2016/679, el organismo del sector público hará todo lo posible, de conformidad con el Derecho de la Unión y nacional, para prestar asistencia a los reutilizadores potenciales en la obtención del consentimiento de los interesados o del permiso de los titulares de datos cuyos derechos e intereses puedan verse afectados por la reutilización, siempre que ello sea factible sin acarrear cargas desproporcionadas para el organismo del sector público. Cuando preste dicha asistencia, el organismo del sector público podrá ser asistido por los organismos competentes a que se refiere el artículo 7, apartado 1.
7. Solo se permitirá la reutilización de datos con la condición de cumplir los derechos de propiedad intelectual. Los organismos del sector público no ejercerán el derecho que el artículo 7, apartado 1, de la Directiva 96/9/CE otorga a los fabricantes de bases de datos para impedir la reutilización de datos o para restringirla más allá de los límites previstos en el presente Reglamento.
8. Cuando los datos solicitados se consideren confidenciales, de conformidad con el Derecho de la Unión o nacional en materia de confidencialidad comercial o estadística, los organismos del sector público velarán por que los datos confidenciales no se divulguen como consecuencia de permitir la reutilización, a menos que dicha reutilización se permita de conformidad con el apartado 6.
9. Cuando un reutilizador tenga la intención de transferir a un tercer país datos no personales protegidos por los motivos expuestos en el artículo 3, apartado 1, informará al organismo del sector público de su intención de transferirlos y de la finalidad de la transferencia en el momento de solicitar la reutilización de dichos datos. En caso de reutilización de conformidad con el apartado 6 del presente artículo, el reutilizador informará, en su caso, asistido por el organismo del sector público, a la persona jurídica cuyos derechos e intereses puedan verse afectados de tal intención, de la finalidad y de las garantías adecuadas. El organismo del sector público no permitirá la reutilización a menos que la persona jurídica conceda su permiso a dicha transferencia.
10. Los organismos del sector público transmitirán datos no personales confidenciales o protegidos por derechos de propiedad intelectual a un reutilizador que tenga la intención de transferirlos a un tercer país distinto de los países designados de conformidad con el apartado 12 solo si el reutilizador se obliga contractualmente a:
a) cumplir las obligaciones que se le exijan de conformidad con los apartados 7 y 8, incluso después de transferir los datos al tercer país, y
b) aceptar la competencia de los órganos jurisdiccionales del Estado miembro del organismo del sector público transmisor respecto de los litigios que puedan surgir en relación con el cumplimiento de los apartados 7 y 8.
11. Los organismos del sector público proporcionarán, cuando proceda y en la medida de sus capacidades, orientaciones y asistencia a los reutilizadores para que cumplan las obligaciones a las que se refiere el apartado 10 del presente artículo.
Con el fin de prestar asistencia a los organismos del sector público y a los reutilizadores, la Comisión podrá adoptar actos de ejecución por los que se establezcan cláusulas contractuales tipo para cumplir las obligaciones a las que se refiere el apartado 10 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 33, apartado 3.
12. Cuando así lo justifique un número considerable de solicitudes en toda la Unión relativas a la reutilización de datos no personales en terceros países concretos, la Comisión podrá adoptar actos de ejecución en los que se declare que las disposiciones jurídicas, de supervisión y de ejecución de un tercer país:
a) garantizan una protección de la propiedad intelectual y de los secretos comerciales esencialmente equivalente a la garantizada por el Derecho de la Unión;
b) se aplican y hacen cumplir de manera efectiva, y
c) ofrecen vías de recurso judicial efectivas.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 33, apartado 3.
13. Los actos legislativos específicos de la Unión podrán considerar que determinadas categorías de datos no personales que obren en poder de organismos del sector público son muy sensibles a efectos del presente artículo cuando su transferencia a terceros países pueda poner en peligro objetivos de las políticas públicas de la Unión, entre otros, la seguridad y salud públicas, o pueda entrañar el riesgo de la reidentificación de datos no personales anonimizados. Cuando se adopte dicho acto, la Comisión adoptará actos delegados de conformidad con el artículo 32 que completen el presente Reglamento con condiciones especiales aplicables a las transferencias de tales datos a terceros países.
Dichas condiciones especiales se basarán en la naturaleza de las categorías de datos no personales señaladas en el acto legislativo específico de la Unión y en los motivos para considerar dichas categorías como muy sensibles, teniendo en cuenta los riesgos de reidentificación de los datos no personales anonimizados. No podrán ser discriminatorias y se limitarán a lo necesario para alcanzar los objetivos de las políticas públicas de la Unión determinados en dicho acto, de conformidad con las obligaciones internacionales de la Unión.
Si los actos legislativos específicos de la Unión a que se refiere el párrafo primero así lo exigen, dichas condiciones especiales podrán incluir las condiciones contractuales aplicables a la transferencia de datos o disposiciones técnicas a ese respecto, limitaciones relativas a la reutilización de los datos en terceros países o relativas a las categorías de personas facultadas para transferir los datos a terceros países, o, en casos excepcionales, restricciones relativas a la transferencia de los datos a terceros países.
14. La persona física o jurídica a la que se haya concedido el derecho a reutilizar datos no personales solo podrá transferir los datos a terceros países en los que se cumplan los requisitos de los apartados 10, 12 y 13.
Artículo 6. Tasas
1. Los organismos del sector público que permitan la reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, podrán cobrar tasas por permitir dicha reutilización.
2. Las tasas aplicadas en virtud del apartado 1 deberán ser transparentes, no discriminatorias y proporcionadas, estarán justificadas objetivamente y no podrán restringir la competencia.
3. Los organismos del sector público garantizarán que el pago de las tasas también pueda efectuarse en línea, a través de servicios transfronterizos de pago de uso generalizado, sin discriminación por razón del lugar de establecimiento del proveedor del servicio de pago, el lugar de emisión del instrumento de pago o la ubicación de la cuenta de pago dentro de la Unión.
4. Cuando los organismos del sector público apliquen tasas, adoptarán medidas para incentivar la reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, con fines no comerciales, como la investigación científica, y la reutilización por parte de las pymes y las empresas emergentes, de conformidad con las normas sobre ayudas estatales. A este respecto, los organismos del sector público también podrán ofrecer los datos con un descuento en las tasas o de forma gratuita, en particular, a las pymes y empresas emergentes, la sociedad civil y los centros educativos. A tal fin, los organismos del sector público podrán elaborar una lista de categorías de reutilizadores a los que se faciliten los datos para reutilización con un descuento en las tasas o de forma gratuita. Se publicará dicha lista junto con los criterios seguidos para elaborarla.
5. Las tasas se calcularán en función de los costes relacionados con la tramitación de las solicitudes de reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, y se limitarán a los costes necesarios en relación con:
a) la reproducción, la entrega y la difusión de los datos;
b) la adquisición de derechos;
c) la anonimización u otras formas de preparación de los datos personales y de los datos comerciales confidenciales con arreglo a lo dispuesto en el artículo 5, apartado 3;
d) el mantenimiento del entorno de tratamiento seguro;
e) la adquisición, por parte de terceros ajenos al sector público, del derecho de terceros de permitir la reutilización de conformidad con el presente capítulo, y
f) la asistencia a los reutilizadores en la obtención del consentimiento de los interesados y del permiso de los titulares de datos cuyos derechos e intereses puedan verse afectados por la reutilización.
6. Los Estados miembros establecerán y publicarán los criterios y la metodología para calcular las tasas. Los organismos del sector público publicarán una descripción de las principales categorías de costes y las normas para su asignación.
Artículo 7. Organismos competentes
1. A efectos de llevar a cabo los cometidos a que se refiere el presente artículo, cada Estado miembro designará uno o varios organismos competentes, que podrán ser competentes para determinados sectores, para prestar asistencia a los organismos del sector público que concedan o denieguen acceso para la reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1. Los Estados miembros podrán crear uno o más organismos competentes nuevos o servirse de organismos del sector público existentes o de servicios internos de organismos del sector público que cumplan las condiciones establecidas en el presente Reglamento.
2. Podrá confiarse a los organismos competentes la facultad de conceder acceso para la reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, con arreglo al Derecho de la Unión o nacional que prevea la concesión de dicho acceso. Cuando dichos organismos competentes concedan o denieguen el acceso para la reutilización, les serán aplicables los artículos 4, 5, 6 y 9.
3. Los organismos competentes dispondrán de los recursos jurídicos, financieros, técnicos y humanos adecuados para desempeñar las funciones que se les asignen, incluidos los conocimientos técnicos necesarios para poder cumplir con el Derecho de la Unión o nacional aplicable en lo referente a los regímenes de acceso relativos a las categorías de datos enumeradas en el artículo 3, apartado 1.
4. La asistencia a que se refiere el apartado 1 comprenderá, cuando sea necesario, lo siguiente:
a) apoyo técnico mediante la habilitación de un entorno de tratamiento seguro a fin de facilitar el acceso para la reutilización de los datos;
b) orientación y apoyo técnico sobre la mejor manera de estructurar y almacenar los datos para que sean fácilmente accesibles;
c) apoyo técnico para la seudonimización y para garantizar que el tratamiento de los datos pueda llevarse a cabo de manera que se preserve de manera efectiva la privacidad, la confidencialidad, la integridad y la accesibilidad de la información contenida en los datos cuya reutilización se permite, incluidas las técnicas de anonimización, generalización, supresión y aleatorización de datos personales u otros métodos de vanguardia para la protección de la privacidad, y la eliminación de información comercial confidencial, incluidos los secretos comerciales o los contenidos protegidos por derechos de propiedad intelectual;
d) asistencia a los organismos del sector público, cuando corresponda, para prestar asistencia a los reutilizadores a solicitar el consentimiento de los interesados para la reutilización o el permiso de los titulares de datos en consonancia con sus decisiones específicas, lo que incluye asistencia sobre el territorio en el que se prevea efectuar el tratamiento de los datos y asistencia a los organismos del sector público en el establecimiento de mecanismos técnicos que permitan a los reutilizadores transmitir las solicitudes de consentimiento o permiso, cuando resulte factible en la práctica;
e) asistencia a los organismos del sector público en la evaluación de la idoneidad de las obligaciones contractuales contraídas por un reutilizador, en virtud del artículo 5, apartado 10.
5. Cada Estado miembro notificará a la Comisión la identidad de los organismos competentes designados en virtud del apartado 1 a más tardar el 24 de septiembre de 2023. Asimismo, cada Estado miembro notificará a la Comisión toda modificación posterior de la identidad de dichos organismos competentes.
Artículo 8. Puntos únicos de información
1. Los Estados miembros velarán por que toda la información pertinente en relación con la aplicación de los artículos 5 y 6 esté disponible y sea fácilmente accesible a través de un punto único de información. Los Estados miembros crearán un organismo nuevo o designarán un organismo existente como punto único de información. El punto único de información podrá estar vinculado a puntos de información sectorial, regional o local. Las funciones del punto único de información podrán automatizarse, siempre que el organismo del sector público garantice un apoyo adecuado.
2. El punto único de información será competente para recibir las consultas o solicitudes de reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, y las transmitirá, cuando resulte posible y adecuado, a través de medios automatizados, a los organismos del sector público competentes, o, en su caso, a los organismos competentes a los que se refiere el artículo 7, apartado 1, cuando proceda. El punto único de información pondrá a disposición, por medios electrónicos, una lista de activos consultable que contenga un resumen de todos los recursos de datos disponibles, entre ellos, en su caso, los recursos de datos que estén disponibles en puntos sectoriales, regionales o locales, con información pertinente en la que se describan los datos disponibles, que incluya, al menos, el formato y el tamaño de los datos y las condiciones para su reutilización.
3. El punto único de información podrá crear un canal de información específico, simplificado y bien documentado para las pymes y las empresas emergentes, que aborde sus necesidades y capacidades a la hora de solicitar la reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1.
4. La Comisión creará un punto único europeo de acceso que ofrezca un registro electrónico de datos consultable en los puntos únicos de información nacionales e información adicional sobre cómo solicitar datos a través de dichos puntos únicos de información nacionales.
Artículo 9. Procedimiento de solicitud de reutilización
1. Salvo que se prevean plazos más breves en el Derecho nacional, los organismos del sector público competentes o los organismos competentes a que se refiere el artículo 7, apartado 1, adoptarán las decisiones sobre la solicitud de reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, en el plazo de dos meses a partir de la fecha de recepción de la solicitud.
En caso de solicitudes de reutilización excepcionalmente extensas y complejas, el plazo de dos meses podrá ampliarse un máximo de treinta días. En tales casos, los organismos del sector público competentes o los organismos competentes a que se refiere el artículo 7, apartado 1, notificarán al solicitante lo antes posible que se necesita más tiempo para tramitar la solicitud y los motivos de la demora.
2. Toda persona física o jurídica directamente afectada por una decisión adoptada de conformidad con el apartado 1 dispondrá de un derecho efectivo de recurso en el Estado miembro en el que se encuentre el organismo en cuestión. Ese derecho de recurso se establecerá en el Derecho nacional e incluirá la posibilidad de revisión por un órgano imparcial con los conocimientos especializados adecuados, como, por ejemplo, la autoridad nacional de defensa de la competencia, la autoridad reguladora del acceso a los documentos correspondiente, la autoridad de control establecida de conformidad con el Reglamento (UE) 2016/679 o un órgano jurisdiccional nacional, cuyas decisiones sean vinculantes para el organismo del sector público o el organismo competente en cuestión.
CAPÍTULO III. Requisitos aplicables a los servicios de intermediación de datos
Artículo 10. Servicios de intermediación de datos
La prestación de los siguientes servicios de intermediación de datos deberá cumplir lo dispuesto en el artículo 12 y estará sujeta a un procedimiento de notificación:
a) servicios de intermediación entre los titulares de datos y los potenciales usuarios de datos, incluida la facilitación de los medios técnicos o de otro tipo para habilitar dichos servicios; estos servicios podrán comprender el intercambio bilateral o multilateral de datos o la creación de plataformas o bases de datos que posibiliten el intercambio o la utilización en común de datos, así como el establecimiento de otra infraestructura específica para la interconexión de los titulares de datos con los usuarios de datos;
b) servicios de intermediación entre los interesados que deseen facilitar sus datos personales o las personas físicas que deseen facilitar datos no personales y los potenciales usuarios de datos, incluida la facilitación de los medios técnicos o de otro tipo necesarios para habilitar dichos servicios, y, en particular, posibilitar el ejercicio de los derechos de los interesados previstos en el Reglamento (UE) 2016/679;
c) servicios de cooperativas de datos.
Artículo 11. Notificación por los proveedores de servicios de intermediación de datos
1. Todo proveedor de servicios de intermediación de datos con la intención de prestar los servicios de intermediación de datos a que se refiere el artículo 10 presentará una notificación a la autoridad competente en materia de servicios de intermediación de datos.
2. A efectos del presente Reglamento, se considerará que un prestador de servicios de intermediación de datos establecido en más de un Estado miembro está sometido al ordenamiento jurídico del Estado miembro de su establecimiento principal, sin perjuicio del Derecho de la Unión que regula las acciones transfronterizas de indemnización por daños y perjuicios y los procedimientos conexos.
3. Los proveedores de servicios de intermediación de datos que no estén establecidos en la Unión y que ofrezcan en ella los servicios de intermediación de datos a que se refiere el artículo 10 deberán designar un representante legal en uno de los Estados miembros en los que se ofrezcan dichos servicios.
A efectos de garantizar el cumplimiento del presente Reglamento, el proveedor de servicios de intermediación de datos otorgará un mandato al representante legal para que las autoridades competentes en materia de servicios de intermediación de datos o los interesados y los titulares de datos se dirijan a él en lugar o además de dirigirse al proveedor, en todos aquellos aspectos relacionados con los servicios de intermediación de datos prestados. El representante legal cooperará con las autoridades competentes en materia de servicios de intermediación de datos y les demostrará de forma exhaustiva, previa solicitud, las medidas y disposiciones adoptadas por el proveedor de servicios de intermediación de datos para garantizar el cumplimiento del presente Reglamento.
Se considerará que el proveedor de servicios de intermediación de datos queda sometido al ordenamiento jurídico del Estado miembro en el que esté ubicado su representante legal. La designación de un representante legal por el proveedor de servicios de intermediación de datos se entenderá sin perjuicio de las acciones judiciales que puedan ejercitarse contra el proveedor de servicios de intermediación de datos.
4. Tras haber remitido una notificación de conformidad con lo dispuesto en el apartado 1, el proveedor de servicios de intermediación de datos podrá iniciar su actividad con arreglo a las condiciones establecidas en el presente capítulo.
5. La notificación a que se refiere el apartado 1 dará al proveedor de servicios de intermediación de datos el derecho a prestar servicios de intermediación de datos en todos los Estados miembros.
6. La notificación a que se refiere el apartado 1 incluirá la información siguiente:
a) nombre del proveedor de servicios de intermediación de datos;
b) naturaleza jurídica del proveedor de servicios de intermediación de datos, así como su forma jurídica, estructura de propiedad, filiales pertinentes y, cuando el proveedor de servicios de intermediación de datos esté inscrito en un registro mercantil u otro registro público nacional similar, su número de registro;
c) dirección del eventual establecimiento principal del proveedor de servicios de intermediación de datos en la Unión y, en su caso, de cualquier sucursal en otro Estado miembro, o dirección de su representante legal;
d) sitio web público en el que se recoja información completa y actualizada sobre el proveedor de servicios de intermediación de datos y sobre sus actividades, incluida, como mínimo, la información a que se refieren las letras a), b), c) y f);
e) personas de contacto del proveedor de servicios de intermediación de datos y datos de contacto;
f) descripción del servicio de intermediación de datos que el proveedor de servicios de intermediación de datos tenga intención de prestar e indicación de las categorías enumeradas en el artículo 10 a las que corresponda el servicio de intermediación de datos;
g) estimación de la fecha de inicio de la actividad, si fuera distinta de la fecha de notificación.
7. La autoridad competente en materia de servicios de intermediación de datos se asegurará de que el procedimiento de notificación no sea discriminatorio y no falsee la competencia.
8. A petición del proveedor de servicios de intermediación de datos, la autoridad competente en materia de servicios de intermediación de datos expedirá, en el plazo de una semana desde que se presente la notificación de forma debida e íntegra, una declaración normalizada en la que se confirme que el proveedor de servicios de intermediación de datos ha presentado la notificación a que se refiere el apartado 1 y que esa notificación contiene la información enumerada en el apartado 6.
9. A petición del proveedor de servicios de intermediación de datos, la autoridad competente en materia de servicios de intermediación de datos confirmará que el proveedor de servicios de intermediación de datos cumple el presente artículo y el artículo 12. Tras la recepción de dicha confirmación, el proveedor de servicios de intermediación de datos podrá usar, en sus comunicaciones orales y escritas, la denominación «proveedor de servicios de intermediación de datos reconocido en la Unión», así como un logotipo común.
Con objeto de garantizar que los proveedores de servicios de intermediación de datos reconocidos en la Unión sean fácilmente identificables en toda la Unión, la Comisión establecerá, mediante actos de ejecución, un diseño para el logotipo común. Los proveedores de servicios de intermediación de datos reconocidos en la Unión mostrarán el logotipo común de forma clara en todas las publicaciones en línea y fuera de ella relativas a sus actividades de intermediación de datos.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 33, apartado 2.
10. La autoridad competente en materia de servicios de intermediación de datos informará por vía electrónica y sin demora a la Comisión sobre cada nueva notificación. La Comisión llevará y actualizará periódicamente un registro público de todos los proveedores de servicios de intermediación de datos que presten servicios en la Unión. La información exigida en el apartado 6, letras a), b), c), d), f) y g), será publicada en el registro público.
11. La autoridad competente en materia de servicios de intermediación de datos podrá cobrar tasas por la notificación de conformidad con el Derecho nacional. Las tasas deberán ser proporcionadas y objetivas, y se calcularán en función de los costes administrativos relacionados con la supervisión del cumplimiento y otras actividades de control del mercado que lleven a cabo las autoridades competentes en materia de servicios de intermediación de datos en relación con las notificaciones hechas por los proveedores de servicios de intermediación de datos. En el caso de las pymes y las empresas emergentes, la autoridad competente en materia de servicios de intermediación de datos podrá aplicar descuentos en las tasas o eximirlas de su pago.
12. Los proveedores de servicios de intermediación de datos notificarán a la autoridad competente en materia de servicios de intermediación de datos cualquier modificación de la información presentada en virtud del apartado 6 en un plazo de catorce días a partir del día de la modificación.
13. Cuando un proveedor de servicios de intermediación de datos cese sus actividades, lo notificará a la autoridad competente en materia de servicios de intermediación de datos determinada con arreglo a los apartados 1, 2 y 3 en un plazo de quince días.
14. La autoridad competente en materia de servicios de intermediación de datos informará por vía electrónica y sin demora a la Comisión sobre cada notificación de las previstas en los apartados 12 y 13. La Comisión actualizará en consecuencia el registro público de los proveedores de servicios de intermediación de datos de la Unión.
Artículo 12. Condiciones para la prestación de servicios de intermediación de datos
La prestación de servicios de intermediación de datos a que se refiere el artículo 10 estará sujeta a las condiciones siguientes:
| a) | los proveedores de servicios de intermediación de datos no podrán utilizar los datos en relación con los que presten sus servicios para fines diferentes de su puesta a disposición de los usuarios de datos y prestarán los servicios de intermediación de datos a través de una persona jurídica distinta; |
| b) | las condiciones contractuales comerciales, incluidas las relativas a los precios, para la prestación de servicios de intermediación de datos a un titular de datos o a un usuario de datos no podrán depender de que el titular de datos o el usuario de datos utilice otros servicios prestados por el mismo proveedor de servicios de intermediación de datos o por una entidad relacionada con él, y, de utilizarlos, no podrán depender de en qué grado el titular de datos o el usuario de datos utilice dichos servicios; |
| c) | los datos recogidos sobre cualquier actividad de una persona física o jurídica a efectos de la prestación de un servicio de intermediación de datos, incluidas la fecha, hora y geolocalización, la duración de la actividad y las conexiones que el usuario del servicio de intermediación de datos establezca con otras personas físicas o jurídicas, solo se utilizarán para el desarrollo de ese servicio de intermediación de datos, lo que puede implicar la utilización de datos para la detección de fraudes o para fines de ciberseguridad, y se pondrán a disposición de los titulares de datos, previa petición; |
| d) | los proveedores de servicios de intermediación de datos intercambiarán los datos en el mismo formato en el que los reciban de parte del interesado o del titular de datos, únicamente los convertirán en formatos específicos con el fin de mejorar la interoperabilidad intrasectorial e intersectorial o si así lo solicita el usuario de datos o si así lo exige el Derecho de la Unión o si es necesario a efectos de la armonización con las normas internacionales o europeas en materia de datos y ofrecerán a los interesados o a los titulares de datos una posibilidad de exclusión en relación con dichas conversiones, a menos que el Derecho de la Unión obligue a realizar dicha conversión; |
| e) | los servicios de intermediación de datos podrán incluir la oferta de herramientas y servicios específicos adicionales a los titulares de datos o los interesados con el objetivo específico de facilitar el intercambio de los datos, por ejemplo, el almacenamiento temporal, la organización, la conversión, la anonimización y la seudonimización, siempre que tales herramientas y servicios solo se utilicen previa solicitud o aprobación expresas del titular de datos o del interesado, y que las herramientas de terceros ofrecidas en ese contexto no se utilicen para otros fines; |
| f) | los proveedores de servicios de intermediación de datos velarán por que el procedimiento de acceso a sus servicios, incluidos los precios y las condiciones de servicio, sea equitativo, transparente y no discriminatorio, tanto para los interesados como para los titulares de datos y los usuarios de datos; |
| g) | los proveedores de servicios de intermediación de datos dispondrán de procedimientos para impedir prácticas fraudulentas o abusivas de las partes que deseen obtener acceso a través de sus servicios de intermediación de datos; |
| h) | los proveedores de servicios de intermediación de datos se asegurarán en caso de insolvencia, de la continuidad razonable de la prestación de sus servicios de intermediación de datos y, cuando esos servicios de intermediación de datos incluyan el almacenamiento de datos, dispondrán de los mecanismos de garantía necesarios para que los titulares de datos y los usuarios de datos puedan acceder a sus datos, transferirlos o recuperarlos y, cuando presten esos servicios de intermediación entre interesados y usuarios de datos, para permitir que los interesados ejerzan sus derechos; |
| i) | los proveedores de servicios de intermediación de datos adoptarán las medidas adecuadas para garantizar la interoperabilidad con otros servicios de intermediación de datos, entre otros, mediante normas abiertas de uso común en el sector en el que operen los proveedores de servicios de intermediación de datos; |
| j) | los proveedores de servicios de intermediación de datos aplicarán las medidas técnicas, jurídicas y organizativas adecuadas para impedir el acceso a datos no personales o su transferencia cuando dicho acceso o transferencia sean ilícitos con arreglo al Derecho de la Unión o al Derecho nacional del Estado miembro correspondiente; |
| k) | los proveedores de servicios de intermediación de datos informarán sin demora a los titulares de datos en caso de transferencia, acceso o utilización no autorizados de los datos no personales que haya compartido; |
| l) | los proveedores de servicios de intermediación de datos tomarán las medidas necesarias para garantizar un nivel de seguridad adecuado en relación con el almacenamiento, el tratamiento y la transmisión de los datos no personales, y también garantizarán el más elevado nivel de seguridad en relación con el almacenamiento y la transmisión de información sensible desde el punto de vista de la competencia; |
| m) | los proveedores de servicios de intermediación de datos que ofrezcan servicios a los interesados actuarán en el mejor interés de estos cuando faciliten el ejercicio de sus derechos, en particular, informándolos y, cuando corresponda, asesorándolos de manera concisa, transparente, inteligible y fácilmente accesible sobre los usos previstos de los datos por los usuarios de datos y las condiciones generales aplicables a dichos usos antes de que los interesados presten su consentimiento; |
| n) | cuando los proveedores de servicios de intermediación de datos proporcionen herramientas para obtener el consentimiento de los interesados o el permiso para tratar los datos facilitados por los titulares de datos, especificarán, cuando corresponda, el territorio del tercer país en el que se pretenda usar los datos y proporcionarán a los interesados herramientas tanto para otorgar como para retirar su consentimiento, y a los titulares de datos, herramientas tanto para conceder como para retirar los permisos para tratar los datos; |
| o) | los proveedores de servicios de intermediación de datos conservarán un registro de la actividad de intermediación de datos. |
Artículo 13. Autoridades competentes en materia de servicios de intermediación de datos
1. Cada Estado miembro designará a una o varias autoridades competentes para desempeñar las funciones relacionadas con el procedimiento de notificación en materia de servicios de intermediación de datos y notificará a la Comisión la identidad de dichas autoridades competentes a más tardar el 24 de septiembre de 2023. Asimismo, cada Estado miembro notificará a la Comisión toda modificación posterior de la identidad de dichas autoridades competentes.
2. Las autoridades competentes en materia de servicios de intermediación de datos cumplirán los requisitos del artículo 26.
3. Las facultades de las autoridades competentes en materia de servicios de intermediación de datos se entenderán sin perjuicio de las facultades de las autoridades responsables de la protección de datos, las autoridades nacionales de defensa de la competencia, las autoridades encargadas de la ciberseguridad y otras autoridades sectoriales pertinentes. Con arreglo a sus competencias respectivas con arreglo al Derecho de la Unión y nacional, dichas autoridades construirán entre sí una sólida cooperación e intercambiarán la información necesaria para el desempeño de sus funciones en relación con los proveedores de servicios de intermediación de datos, y procurarán mantener una coherencia entre las decisiones adoptadas cuando apliquen el presente Reglamento.
Artículo 14. Supervisión del cumplimiento
1. Las autoridades competentes en materia de servicios de intermediación de datos controlarán y supervisarán el cumplimiento de los requisitos del presente capítulo por los proveedores de servicios de intermediación de datos. Las autoridades competentes en materia de servicios de intermediación de datos también podrán controlar y supervisar, a petición de una persona física o jurídica, dicho cumplimiento por los proveedores de servicios de intermediación de datos.
2. Las autoridades competentes en materia de servicios de intermediación de datos estarán facultadas para solicitar a los proveedores de servicios de intermediación de datos o a sus representantes legales toda la información necesaria a fin de comprobar el cumplimiento de los requisitos del presente capítulo. Las solicitudes de información deberán ser proporcionadas al cumplimiento de sus funciones y estar motivadas.
3. Cuando la autoridad competente en materia de servicios de intermediación de datos considere que un proveedor de servicios de intermediación de datos no cumple uno o varios de los requisitos del presente capítulo, le notificará sus observaciones y le dará la oportunidad de manifestar su opinión al respecto en un plazo de treinta días a partir de la recepción de la notificación.
4. La autoridad competente en materia de servicios de intermediación de datos estará facultada para exigir el cese de la infracción mencionada en el apartado 3 dentro de un plazo razonable o, en caso de infracciones graves, de inmediato, y adoptará medidas adecuadas y proporcionadas para garantizar el cumplimiento. A este respecto, la autoridad competente en materia de servicios de intermediación de datos estará facultada, en su caso:
a) para imponer, mediante procedimientos administrativos, sanciones económicas disuasorias, que podrán incluir multas coercitivas y sanciones con efectos retroactivos, iniciar procedimientos legales para la imposición de multas, o ambas cosas;
b) para exigir un aplazamiento del inicio o una suspensión de la prestación del servicio de intermediación de datos hasta que las condiciones se hayan modificado con arreglo a lo solicitado por la autoridad competente en materia de servicios de intermediación de datos, o
c) para exigir el cese de la prestación del servicio de intermediación de datos en caso de infracciones graves o reiteradas que no hayan sido corregidas a pesar de la notificación previa de conformidad con el apartado 3.
La autoridad competente en materia de servicios de intermediación de datos solicitará a la Comisión que cancele la inscripción relativa al proveedor de servicios de intermediación de datos del registro de proveedores de tales servicios, una vez que haya ordenado el cese de la prestación del servicio de intermediación de datos de conformidad con el párrafo primero, letra c).
Si el proveedor de servicios de intermediación de datos pone remedio a las infracciones, efectuará una nueva notificación a la autoridad competente en materia de servicios de intermediación de datos. La autoridad competente en materia de servicios de intermediación de datos notificará a la Comisión de toda nueva repetición de notificación.
5. Cuando un proveedor de servicios de intermediación de datos que no esté establecido en la Unión no designe un representante legal o el representante legal no facilite, previa solicitud de la autoridad competente en materia de servicios de intermediación de datos, la información necesaria que demuestre de forma exhaustiva el cumplimiento del presente Reglamento, la autoridad competente en materia de servicios de intermediación de datos estará facultada para aplazar el inicio o suspender la prestación del servicio de intermediación de datos hasta que se designe un representante legal o se facilite la información necesaria.
6. Las autoridades competentes en materia de servicios de intermediación de datos notificarán sin demora al proveedor de servicios de intermediación de datos afectado las medidas impuestas en virtud de los apartados 4 y 5, los motivos en los que se base y las medidas necesarias que deban tomarse para remediar las deficiencias de que se trate, y fijará un plazo razonable, no superior a 30 días, para que el proveedor de servicios de intermediación de datos dé cumplimiento a las medidas impuestas.
7. Si el establecimiento principal o el representante legal de un proveedor de servicios de intermediación de datos se encuentra en un Estado miembro, pero el proveedor presta sus servicios en otros Estados miembros, la autoridad competente en materia de servicios de intermediación de datos del Estado miembro de su establecimiento principal o en el que se ubica su representante legal y las autoridades competentes para los servicios de intermediación de datos de los otros Estados miembros cooperarán entre sí y se prestarán asistencia mutua. Dicha asistencia y cooperación podrán abarcar el intercambio de información entre las autoridades competentes en materia de servicios de intermediación de datos de que se trate para fines relacionados con sus funciones con arreglo al presente Reglamento y las peticiones motivadas de que se adopten las medidas a que se refiere el presente artículo.
Cuando una autoridad competente en materia de servicios de intermediación de datos de un Estado miembro solicite asistencia a una autoridad competente en materia de servicios de intermediación de datos de otro Estado miembro, presentará una solicitud motivada. La autoridad competente en materia de servicios de intermediación de datos que reciba dicha solicitud responderá sin demora y en un plazo proporcionado a la urgencia de la solicitud.
Toda la información intercambiada en el contexto de la solicitud y de la prestación de asistencia con arreglo al presente apartado se utilizará únicamente en relación con el asunto para el que se solicitó.
Artículo 15. Excepciones
El presente capítulo no será aplicable a las organizaciones reconocidas de gestión de datos con fines altruistas ni a otras entidades sin ánimo de lucro, en la medida en que sus actividades consistan en la recopilación de datos cedidos con fines altruistas por personas físicas o jurídicas para el cumplimiento de objetivos de interés general, salvo que dichas organizaciones y entidades tengan por objeto establecer relaciones comerciales entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra.
CAPÍTULO IV. Cesión altruista de datos
Artículo 16. Disposiciones nacionales para la cesión altruista de datos
Los Estados miembros podrán establecer disposiciones organizativas, técnicas o ambos tipos para facilitar la cesión altruista de datos. A tales efectos, los Estados miembros podrán elaborar políticas nacionales en materia de cesión altruista de datos. Estas políticas nacionales podrán, en particular, ayudar a los interesados a la hora de ceder voluntariamente, con fines altruistas, datos personales que les conciernan y que obren en poder de organismos del sector público, y establecer la información necesaria que deba facilitarse a los interesados en relación con la reutilización de sus datos con fines de interés general.
Si un Estado miembro elabora tales políticas nacionales, lo notificará a la Comisión.
Artículo 17. Registros públicos de organizaciones reconocidas de gestión de datos con fines altruistas
1. Cada autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas llevará y actualizará periódicamente un registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas.
2. La Comisión llevará un registro público de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas a efectos informativos. Siempre que las entidades estén inscritas en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas de conformidad con el artículo 18 podrán utilizar, en sus comunicaciones orales y escritas, la denominación «organización de gestión de datos con fines altruistas reconocida en la Unión», así como un logotipo común.
Con objeto de garantizar que las organizaciones reconocidas de gestión de datos con fines altruistas sean fácilmente identificables en toda la Unión, la Comisión establecerá, mediante actos de ejecución, un diseño para el logotipo común. Las organizaciones reconocidas de gestión de datos con fines altruistas mostrarán el logotipo común de forma clara en todas las publicaciones en línea y fuera de ella relativas a sus actividades de cesión altruista de datos. El logotipo común irá acompañado de un código QR con un enlace al registro público de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 33, apartado 2.
Artículo 18. Requisitos generales de inscripción en el registro
Para poder inscribirse en un registro público nacional de organizaciones de gestión de datos con fines altruistas, la entidad deberá:
a) ejercer actividades de cesión altruista de datos;
b) ser una entidad jurídica constituida con arreglo al Derecho nacional para cumplir objetivos de interés general, según se disponga en el Derecho nacional, cuando corresponda;
c) ejercer su actividad sin ánimo de lucro y ser jurídicamente independiente de cualquier entidad que ejerza su actividad con fines lucrativos;
d) ejercer las actividades de cesión altruista de datos a través de una estructura que esté funcionalmente separada de sus restantes actividades;
e) cumplir el código normativo al que se refiere el artículo 22, apartado 1, a más tardar dieciocho meses después de la fecha de entrada en vigor de los actos delegados a que se refiere dicho apartado.
Artículo 19. Inscripción en el registro de organizaciones reconocidas de gestión de datos con fines altruistas
1. Toda entidad que cumpla los requisitos del artículo 18 podrá solicitar su inscripción en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas en el Estado miembro en el que esté establecida.
2. Toda entidad que cumpla los requisitos del artículo 18 y tenga establecimientos en más de un Estado miembro podrá solicitar su inscripción en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas del Estado miembro en el que tenga su establecimiento principal.
3. Toda entidad que cumpla los requisitos del artículo 18 pero que no esté establecida en la Unión deberá designar un representante legal en uno de los Estados miembros en los que ofrezca sus servicios de gestión de datos con fines altruistas.
A efectos de garantizar el cumplimiento del presente Reglamento, la entidad otorgará un mandato al representante legal para que las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas o los interesados y los titulares de datos se dirijan a él en lugar o además de dirigirse a la entidad, en todos aquellos aspectos que tengan que ver con la entidad. El representante legal cooperará con las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas y les demostrará de forma exhaustiva, previa solicitud, las medidas y las disposiciones adoptadas por la entidad para garantizar el cumplimiento del presente Reglamento.
Se considerará que la entidad queda sometida al ordenamiento jurídico del Estado miembro en el que esté ubicado su representante legal. Dicha entidad podrá solicitar su inscripción en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas en ese Estado miembro. La designación de un representante legal por la entidad se entenderá sin perjuicio de las acciones judiciales que puedan ejercitarse contra la entidad.
4. Las solicitudes de inscripción a que se refieren los apartados 1, 2 y 3 deberán incluir los datos siguientes:
| a) | nombre de la entidad; |
| b) | naturaleza jurídica de la entidad, así como su forma jurídica y, cuando esté inscrita en un registro público nacional, su número de registro; |
| c) | estatutos de la entidad, en su caso; |
| d) | fuentes de ingresos de la entidad; |
| e) | dirección del eventual establecimiento principal de la entidad en la Unión y, en su caso, de cualquier sucursal en otro Estado miembro, o dirección de su representante legal; |
| f) | sitio web público en el que se recoja información completa y actualizada sobre la entidad y sus actividades, incluida, como mínimo, la información a que se refieren las letras a), b), d), e) y h); |
| g) | personas de contacto de la entidad y datos de contacto; |
| h) | objetivos de interés general que la entidad se proponga promover con la recopilación de los datos; |
| i) | naturaleza de los datos que la entidad pretende controlar o tratar y, en el caso de los datos personales, indicación de las categorías de datos personales; |
| j) | cualquier otro documento que acredite el cumplimiento de los requisitos del artículo 18. |
5. Cuando la entidad haya presentado toda la información necesaria con arreglo al apartado 4 y una vez que la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas haya evaluado la solicitud de inscripción y constatado que la entidad cumple los requisitos del artículo 18, dicha autoridad procederá a inscribir a la entidad en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas en un plazo de doce semanas después de la recepción de la solicitud de inscripción. La inscripción será válida en todos los Estados miembros.
La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas notificará toda inscripción a la Comisión. Esta la incluirá en el registro público de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas.
6. La información a que se refiere el apartado 4, letras a), b), f), g) y h), se publicará en el correspondiente registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas.
7. Toda organización reconocida de gestión de datos con fines altruistas notificará a la correspondiente autoridad competente para la inscripción en el registro de organizaciones de gestión de datos con fines altruistas cualquier modificación de la información presentada en virtud del apartado 4 en un plazo de catorce días a partir del día de la modificación.
La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas informará por vía electrónica y sin demora a la Comisión sobre cada notificación de ese tipo. Habida cuenta de dicha notificación, la Comisión actualizará sin demora el registro público de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas.
Artículo 20. Requisitos de transparencia
1. Toda organización reconocida de gestión de datos con fines altruistas llevará un registro completo y exacto de:
a) todas las personas físicas o jurídicas a las que se haya permitido tratar datos que obren en poder de dicha organización reconocida de gestión de datos con fines altruistas, y sus datos de contacto;
b) la fecha o la duración del tratamiento de los datos personales o la utilización de los datos no personales;
c) la finalidad del tratamiento de datos declarada por las personas físicas o jurídicas a las que se haya permitido dicho tratamiento;
d) las eventuales tasas abonadas por las personas físicas o jurídicas que efectúen el tratamiento de datos.
2. Toda organización reconocida de gestión de datos con fines altruistas elaborará y transmitirá a la correspondiente autoridad competente para la inscripción en el registro de organizaciones de gestión de datos con fines altruistas un informe anual de actividades que contendrá, como mínimo, lo siguiente:
a) información sobre las actividades de la organización reconocida de gestión de datos con fines altruistas;
b) descripción de la manera en que se hayan promovido los objetivos de interés general para los que se hayan recogido los datos durante el ejercicio financiero en cuestión;
c) lista de todas las personas físicas y jurídicas a las que se haya permitido tratar datos que obren en poder de la entidad, que incluya una breve descripción de los objetivos de interés general perseguidos con el tratamiento de los datos y la descripción de los medios técnicos empleados al efecto, con una descripción de las técnicas aplicadas para preservar la privacidad y la protección de los datos;
d) resumen de los resultados del tratamiento de los datos permitido por la organización reconocida de gestión de datos con fines altruistas, en su caso;
e) información sobre las fuentes de ingresos de la organización reconocida de gestión de datos con fines altruistas, en particular, todos los ingresos derivados de permitir el acceso a los datos, y sobre sus gastos.
Artículo 21. Requisitos específicos para proteger los derechos e intereses de los interesados y de los titulares de datos en lo que respecta a sus datos
1. Toda organización reconocida de gestión de datos con fines altruistas informará a los interesados o a los titulares de datos, de una manera clara y sencilla de entender, antes de cualquier tratamiento de sus datos:
a) sobre los objetivos de interés general y, en su caso, los fines específicos, explícitos y legítimos con que se tratarán los datos personales, y para los que permite que sus datos sean tratados por un usuario de datos;
b) sobre la ubicación de cualquier actividad de tratamiento que se efectúe en un tercer país y sobre los objetivos de interés general para los que lo permita, cuando sea la propia organización reconocida de gestión de datos con fines altruistas la que efectúe el tratamiento.
2. La organización reconocida de gestión de datos con fines altruistas no utilizará los datos para objetivos distintos de los de interés general para los que el interesado o el titular de datos permita el tratamiento. La organización reconocida de gestión de datos con fines altruistas no utilizará prácticas de mercadotecnia engañosas para solicitar la entrega de datos.
3. La organización reconocida de gestión de datos con fines altruistas proporcionará herramientas para obtener el consentimiento de los interesados o el permiso para tratar datos facilitados por los titulares de datos. Asimismo, la organización reconocida de gestión de datos con fines altruistas proporcionará herramientas para retirar fácilmente dicho consentimiento o permiso.
4. La organización reconocida de gestión de datos con fines altruistas tomará medidas para garantizar un nivel de seguridad adecuado en relación con el almacenamiento y el tratamiento de datos no personales que haya recogido con fines de cesión altruista de datos.
5. La organización reconocida de gestión de datos con fines altruistas informará sin demora a los titulares de datos en caso de transferencia, acceso o utilización no autorizados de los datos no personales que haya compartido.
6. Cuando la organización reconocida de gestión de datos con fines altruistas facilite el tratamiento de datos por terceros, en particular, proporcionando herramientas para obtener el consentimiento de los interesados o el permiso para tratar los datos facilitados por los titulares de datos, especificará, cuando corresponda, el territorio del tercer país en el que se pretenda utilizar los datos.
Artículo 22. Código normativo
1. La Comisión adoptará actos delegados de conformidad con el artículo 32 con el fin de completar el presente Reglamento con un código normativo en el que se establezcan:
a) requisitos de información adecuados para garantizar que se proporciona a los interesados y a los titulares de datos, antes de conceder su consentimiento o permiso para la cesión altruista de datos, información suficientemente detallada, clara y transparente sobre la utilización de los datos, las herramientas para la concesión y revocación del consentimiento o del permiso, y las medidas adoptadas para evitar el uso indebido de los datos compartidos con la organización de gestión de datos con fines altruistas;
b) requisitos técnicos y de seguridad adecuados para garantizar un nivel de seguridad adecuado del almacenamiento y el tratamiento de datos, así como de las herramientas para conceder y retirar el consentimiento o el permiso;
c) hojas de ruta sobre comunicación que adopten un enfoque multidisciplinar para sensibilizar a las partes interesadas pertinentes, en especial, a los titulares de datos y los interesados que podrían compartir sus datos, sobre la cesión altruista de datos, la designación como «organización de gestión de datos con fines altruistas reconocida en la Unión» y el código normativo;
d) recomendaciones sobre las normas de interoperabilidad pertinentes.
2. El código normativo a que se refiere el apartado 1 se preparará en estrecha cooperación con las organizaciones de gestión de datos con fines altruistas y las partes interesadas pertinentes.
Artículo 23. Autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas
1. Cada Estado miembro designará una o varias autoridades competentes a efectos de la inscripción en el registro público nacional de las organizaciones reconocidas de gestión de datos con fines altruistas.
Las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas deberán cumplir los requisitos del artículo 26.
2. Cada Estado miembro notificará a la Comisión la identidad de sus autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas a más tardar el 24 de septiembre de 2023. Asimismo, cada Estado miembro notificará a la Comisión toda modificación posterior de la identidad de dichas autoridades competentes.
3. La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de un Estado miembro desempeñará sus funciones en cooperación con la correspondiente autoridad de protección de datos, cuando dichas funciones estén relacionadas con el tratamiento de datos personales, y con las autoridades sectoriales pertinentes de ese Estado miembro.
Artículo 24. Supervisión del cumplimiento
1. Las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas controlarán y supervisarán el cumplimiento de los requisitos del presente capítulo por las organizaciones reconocidas de gestión de datos con fines altruistas. Las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas también podrán controlar y supervisar, a petición de una persona física o jurídica, dicho cumplimiento por las organizaciones de gestión de datos con fines altruistas.
2. Las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas estarán facultadas para solicitar a las organizaciones reconocidas de gestión de datos con fines altruistas toda la información necesaria a fin de comprobar el cumplimiento de los requisitos del presente capítulo. Las solicitudes de información deberán ser proporcionadas al cumplimiento de sus funciones y estar motivadas.
3. Cuando la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas considere que una organización reconocida de gestión de datos con fines altruistas no cumple uno o varios de los requisitos del presente capítulo, le notificará sus observaciones y le dará la oportunidad de manifestar su opinión al respecto en un plazo de treinta días a partir de la recepción de la notificación.
4. La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas estará facultada para exigir el cese de la infracción mencionada en el apartado 3, bien inmediatamente, bien dentro de un plazo razonable, y adoptará medidas adecuadas y proporcionadas para garantizar el cumplimiento.
5. Toda organización reconocida de gestión de datos con fines altruistas que no cumpla uno o varios de los requisitos del presente capítulo, incluso después de haber recibido de conformidad con el apartado 3 la notificación de la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas:
a) perderá el derecho a utilizar la denominación «organización de gestión de datos con fines altruistas reconocida en la Unión», en sus comunicaciones orales y escritas;
b) se cancelará su inscripción en el correspondiente registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas y en el registro público de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas.
La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas hará pública toda decisión de revocación del derecho a utilizar la denominación «organización de gestión de datos con fines altruistas reconocida en la Unión» con arreglo al párrafo primero, letra a).
6. Si una organización reconocida de gestión de datos con fines altruistas tiene su establecimiento principal o su representante legal en un Estado miembro, pero ejerce su actividad en otros Estados miembros, la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas del Estado miembro de su establecimiento principal o de su representante legal y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de esos otros Estados miembros cooperarán entre sí y se prestarán asistencia mutua. Dicha asistencia y cooperación podrán abarcar el intercambio de información entre las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de que se trate para fines relacionados con sus funciones con arreglo al presente Reglamento y las peticiones motivadas de adopción de las medidas a que se refiere el presente artículo.
Cuando una autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de un Estado miembro solicite asistencia a una autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de otro Estado miembro, presentará una solicitud motivada. La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas que reciba dicha solicitud responderá sin demora y en un plazo proporcionado a la urgencia de la solicitud.
Toda la información intercambiada en el contexto de la solicitud y de la prestación de asistencia con arreglo al presente apartado se utilizará únicamente en relación con el asunto para el que se solicitó.
Artículo 25. Formulario europeo de consentimiento para la cesión altruista de datos
1. Con el fin de facilitar la recogida de datos cedidos con fines altruistas, la Comisión adoptará actos de ejecución en los que se establezca y elabore un formulario europeo de consentimiento para tal cesión, previa consulta al Comité Europeo de Protección de Datos, teniendo en cuenta el asesoramiento del Comité Europeo de Innovación en materia de Datos y contando debidamente con la participación de las partes interesadas pertinentes. El formulario permitirá recabar el consentimiento o el permiso en todos los Estados miembros en un formato uniforme. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 33, apartado 2.
2. El formulario europeo de consentimiento para la cesión altruista de datos tendrá un diseño modular que permita su adaptación a sectores específicos y distintos fines.
3. Cuando se faciliten datos personales, el formulario europeo de consentimiento para la cesión altruista de datos permitirá a los interesados otorgar o retirar su consentimiento respecto de una operación específica de tratamiento de datos de conformidad con los requisitos del Reglamento (UE) 2016/679.
4. El formulario estará disponible de tal manera que permita su impresión en papel y que sea de fácil comprensión, así como en un formato electrónico y legible por máquina.
CAPÍTULO V. Autoridades competentes y disposiciones procedimentales
Artículo 26. Requisitos relativos a las autoridades competentes
1. Las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas deberán ser jurídicamente distintas y funcionalmente independientes de cualquier proveedor de servicios de intermediación de datos u organización reconocida de gestión de datos con fines altruistas. Las funciones de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas podrán ser desempeñadas por la misma autoridad. Los Estados miembros podrán crear una o varias autoridades nuevas a tales efectos o servirse de las existentes.
2. Las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas ejercerán sus funciones de manera imparcial, transparente, coherente, fiable y oportuna. En el ejercicio de sus funciones, protegerán la competencia leal y garantizarán la no discriminación.
3. Los máximos directivos y el personal responsables de desempeñar las funciones correspondientes de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas no podrán ser el diseñador, el fabricante, el proveedor, el instalador, el comprador, el propietario, el usuario ni el encargado del mantenimiento de los servicios que evalúen, ni tampoco podrán ser el representante autorizado de ninguna de esas partes. Ello no será óbice para el uso de los servicios evaluados que sean necesarios para la actividad de la autoridad competente en materia de servicios de intermediación de datos y la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas o para el uso de dichos servicios con fines personales.
4. Los máximos directivos y el personal de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas se abstendrán de ejercer actividad alguna que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación que se les haya asignado.
5. Las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas dispondrán de los recursos financieros y humanos adecuados para desempeñar las funciones que se les haya asignado, incluidos los conocimientos y recursos técnicos necesarios.
6. Las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de un Estado miembro facilitarán a la Comisión y a las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de otros Estados miembros, previa solicitud motivada y sin demora, la información necesaria para el ejercicio de sus funciones con arreglo al presente Reglamento. Cuando una autoridad competente en materia de servicios de intermediación de datos o una autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas considere que la información solicitada es confidencial de conformidad con el Derecho de la Unión y nacional en materia de secretos comerciales y confidencialidad profesional, la Comisión y las correspondientes autoridades competentes en materia de servicios de intermediación de datos y autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas garantizarán la confidencialidad.
Artículo 27. Derecho a presentar una reclamación
1. Toda persona física y jurídica tendrá derecho a presentar una reclamación en relación con cualquier cuestión comprendida en el ámbito de aplicación del presente Reglamento, a título individual o colectivo, según corresponda, ante la autoridad competente en materia de servicios de intermediación de datos pertinente contra un proveedor de servicios de intermediación de datos o ante la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas contra una organización reconocida de gestión de datos con fines altruistas.
2. La autoridad competente en materia de servicios de intermediación de datos o la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas ante la que se haya presentado la reclamación informará a la parte reclamante sobre:
a) el curso del procedimiento y la decisión tomada, y
b) las vías de recurso judicial previstas en el artículo 28.
Artículo 28. Derecho a una tutela judicial efectiva
1. No obstante cualquier recurso administrativo o extrajudicial, toda persona física o jurídica afectada tendrá derecho a una tutela judicial efectiva en lo que respecta a las decisiones jurídicamente vinculantes a que se refiere el artículo 14 adoptadas por las autoridades competentes en materia de servicios de intermediación de datos, en el marco de la gestión, el control y la ejecución del régimen de notificación para los proveedores de servicios de intermediación de datos, y las decisiones jurídicamente vinculantes a que se refieren los artículos 19 y 24 adoptadas por las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas, en el marco del control de las organizaciones reconocidas de gestión de datos con fines altruistas.
2. Los recursos presentados en virtud del presente artículo se dirimirán ante los órganos jurisdiccionales del Estado miembro de la autoridad competente en materia de servicios de intermediación de datos o la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas contra la cual se interponga el recurso a título individual o colectivo, según corresponda, por los representantes de una o varias personas físicas o jurídicas.
3. Cuando una autoridad competente en materia de servicios de intermediación de datos o una autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas no dé curso a una reclamación, cualquier persona física o jurídica afectada tendrá derecho, de conformidad con el Derecho nacional, a una tutela judicial efectiva o acceso a revisión por un órgano imparcial que disponga de los conocimientos especializados adecuados.
CAPÍTULO VI. Comité Europeo de Innovación en materia de Datos
Artículo 29. Comité Europeo de Innovación en materia de Datos
1. La Comisión creará un Comité Europeo de Innovación en materia de Datos, que adoptará la forma de un grupo de expertos integrado por representantes de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de todos los Estados miembros, el Comité Europeo de Protección de Datos, el Supervisor Europeo de Protección de Datos, ENISA, la Comisión, el representante de la UE para las pymes o un representante designado por la red de representantes nacionales para las pymes y otros representantes de los organismos pertinentes de sectores específicos, así como organismos con conocimientos especializados. A la hora de nombrar expertos individuales, la Comisión procurará lograr un equilibrio geográfico y de género en la composición del grupo de expertos.
2. El Comité Europeo de Innovación en materia de Datos constará al menos de los tres subgrupos siguientes:
a) un subgrupo compuesto por las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas, con el fin de llevar a cabo los cometidos que se recogen en el artículo 30, letras a), c), j) y k);
b) un subgrupo de debates técnicos sobre normalización, portabilidad e interoperabilidad con arreglo al artículo 30, letras f) y g);
c) un subgrupo para la participación de las partes interesadas, compuesto por representantes pertinentes de los sectores de la industria, la investigación, el mundo académico, la sociedad civil, los organismos de normalización, los correspondientes espacios comunes europeos de datos y otras partes interesadas y terceras partes pertinentes que asesoren al Comité Europeo de Innovación en materia de Datos sobre los cometidos que se recogen en el artículo 30, letras d), e), f), g) y h).
3. La Comisión presidirá las reuniones del Comité Europeo de Innovación en materia de Datos.
4. El Comité Europeo de Innovación en materia de Datos estará asistido por una secretaría proporcionada por la Comisión.
Artículo 30. Funciones del Comité Europeo de Innovación en materia de Datos
El Comité Europeo de Innovación en materia de Datos ejercerá las funciones siguientes:
| a) | asesorar y asistir a la Comisión en el desarrollo de una práctica coherente de los organismos del sector público y los organismos competentes mencionados en el artículo 7, apartado 1, a la hora de tramitar las solicitudes de reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1; |
| b) | asesorar y asistir a la Comisión en el desarrollo de una práctica coherente para la cesión altruista de datos en toda la Unión; |
| c) | asesorar y asistir a la Comisión en el desarrollo de una práctica coherente de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas en cuanto a la aplicación de los requisitos aplicables a los proveedores de servicios de intermediación de datos y a las organizaciones reconocidas de gestión de datos con fines altruistas; |
| d) | asesorar y asistir a la Comisión en la elaboración de directrices coherentes sobre la mejor manera de proteger, en el contexto del presente Reglamento, los datos no personales comerciales sensibles, especialmente los secretos comerciales, pero también los datos no personales que constituyan contenidos protegidos por derechos de propiedad intelectual, frente a un acceso ilícito que entrañe riesgo de robo de la propiedad intelectual o de espionaje industrial; |
| e) | asesorar y asistir a la Comisión en la elaboración de directrices coherentes para los requisitos de ciberseguridad aplicables al intercambio y almacenamiento de datos; |
| f) | asesorar a la Comisión, en particular, teniendo en cuenta las aportaciones de las organizaciones de normalización, sobre la priorización de las normas intersectoriales que deban utilizarse y desarrollarse para la utilización de datos y el intercambio de datos entre diferentes sectores y entre espacios comunes europeos de datos emergentes, la comparación y el intercambio intersectoriales de las mejores prácticas con respecto a los requisitos sectoriales de seguridad y los procedimientos de acceso, teniendo en cuenta las actividades de normalización específicas de cada sector, en particular, la tarea de aclarar y distinguir qué normas y prácticas son intersectoriales y cuáles son sectoriales; |
| g) | ayudar a la Comisión, en particular, teniendo en cuenta las aportaciones de las organizaciones de normalización, a abordar la fragmentación del mercado interior y la economía de los datos en dicho mercado mediante la mejora de la interoperabilidad trasfronteriza e intersectorial de los datos y los servicios de intercambio de datos entre diferentes sectores y ámbitos, tomando como referencia las normas europeas, internacionales o nacionales vigentes, entre otros, con el objetivo de promover la creación de espacios comunes europeos de datos; |
| h) | proponer directrices para los espacios comunes europeos de datos, a saber, marcos interoperables de normas y prácticas comunes, específicos para un fin o un sector o intersectoriales, con el fin de compartir o tratar en común los datos para, entre otros, el desarrollo de nuevos productos y servicios, la investigación científica o las iniciativas de la sociedad civil; dichas normas y prácticas comunes tendrán en cuenta las normas existentes, deberán cumplir las normas en materia de competencia y garantizar un acceso no discriminatorio para todos los participantes, con el fin de facilitar el intercambio de datos en la Unión y aprovechar el potencial de los espacios de datos existentes y futuros, atendiendo, entre otras, a las siguientes cuestiones: i) las normas intersectoriales que deban utilizarse y desarrollarse para la utilización de datos y el intercambio de datos entre diferentes sectores, la comparación y el intercambio intersectoriales de las mejores prácticas con respecto a los requisitos sectoriales de seguridad y los procedimientos de acceso, teniendo en cuenta las actividades de normalización específicas de cada sector, en particular, aclarar y distinguir qué normas y prácticas son intersectoriales y cuáles son sectoriales, ii) los requisitos para contrarrestar las barreras de entrada al mercado y evitar los efectos de dependencia, con el fin de garantizar la competencia leal y la interoperabilidad, iii) una protección adecuada de las transferencias lícitas de datos a terceros países, incluidas garantías contra las transferencias prohibidas por el Derecho de la Unión, iv) una representación adecuada y no discriminatoria de las partes interesadas en la gobernanza de los espacios comunes europeos de datos, v) el cumplimiento de los requisitos de ciberseguridad de conformidad con el Derecho de la Unión; |
| i) | facilitar la cooperación entre los Estados miembros con respecto al establecimiento de unas condiciones armonizadas que permitan la reutilización, en todo el mercado interior, de las categorías de datos enumeradas en el artículo 3, apartado 1, que obren en poder de organismos del sector público; |
| j) | facilitar la cooperación entre las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas, mediante el desarrollo de capacidades y el intercambio de información, en particular, con el establecimiento de métodos para el intercambio eficiente de información relativa al procedimiento de notificación para los proveedores de servicios de intermediación de datos y a la inscripción y el seguimiento de las organizaciones reconocidas de gestión de datos con fines altruistas, incluida la coordinación por lo que respecta al establecimiento de tasas o sanciones, y facilitar también la cooperación entre las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas con respecto al acceso y la transferencia de datos internacionales; |
| k) | asesorar y asistir a la Comisión en la evaluación de la conveniencia de adoptar los actos de ejecución a los que se refiere el artículo 5, apartados 11 y 12; |
| l) | asesorar y asistir a la Comisión en la elaboración del formulario de consentimiento europeo para la cesión altruista de datos de conformidad con el artículo 25, apartado 1; |
| m) | asesorar a la Comisión sobre la mejora del marco regulador internacional para datos no personales, incluida la normalización. |
CAPÍTULO VII. Acceso y transferencia internacionales
Artículo 31. Acceso y transferencia internacionales
1. El organismo del sector público, la persona física o jurídica a la que se haya concedido el derecho a reutilizar datos con arreglo al capítulo II, el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas tomará todas las medidas técnicas, jurídicas y organizativas razonables, incluidas disposiciones contractuales, para impedir la transferencia internacional de datos no personales que se hallen en la Unión, o el acceso a tales datos por parte de las administraciones públicas, cuando la transferencia o el acceso entren en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, sin perjuicio de lo dispuesto en los apartados 2 o 3.
2. Aquellas resoluciones y sentencias de los órganos jurisdiccionales de terceros países y las resoluciones de las autoridades administrativas de terceros países que exijan a un organismo del sector público, a una persona física o jurídica a la que se haya concedido el derecho a reutilizar datos con arreglo al capítulo II, a un proveedor de servicios de intermediación de datos o a una organización reconocida de gestión de datos con fines altruistas, transferir datos no personales que se hallen en la Unión y que se incluyan en el ámbito de aplicación del presente Reglamento o dar acceso a dichos datos deberán ser reconocidas o ejecutadas de alguna manera, pero únicamente si se basan en un acuerdo internacional, como pueda ser un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión, o cualquier acuerdo de esa índole entre el tercer país solicitante y un Estado miembro.
3. A falta del acuerdo internacional al que se refiere el apartado 2 del presente artículo, cuando un organismo del sector público, una persona física o jurídica a la que se haya concedido el derecho a reutilizar datos con arreglo al capítulo II, un proveedor de servicios de intermediación de datos o una organización reconocida de gestión de datos con fines altruistas sea el destinatario de una resolución o sentencia de un órgano jurisdiccional de un tercer país o una resolución de una autoridad administrativa de un tercer país por la que se exija transferir datos no personales que se hallen en la Unión y se incluyan en el ámbito de aplicación del presente Reglamento o dar acceso a dichos datos, y el cumplimiento de dicha resolución o sentencia pueda poner al destinatario en una situación de conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro pertinente, la transferencia o el acceso únicamente tendrá lugar si:
a) el sistema del tercer país exige que se expongan los motivos y la proporcionalidad de dicha resolución o sentencia y que la resolución o sentencia sea de carácter específico, por ejemplo, estableciendo un vínculo suficiente con determinadas personas sospechosas o infracciones;
b) la oposición motivada del destinatario se somete a la apreciación de un órgano jurisdiccional competente del tercer país, y
c) el órgano jurisdiccional competente del tercer país que dicte la resolución o sentencia o revise la resolución de una autoridad administrativa está facultado, con arreglo al Derecho del tercer país, para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o por el Derecho nacional del Estado miembro pertinente.
4. Si se cumplen las condiciones previstas en los apartados 2 o 3, el organismo del sector público, la persona física o jurídica a la que se haya concedido el derecho a reutilizar datos con arreglo al capítulo II, el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas facilitará la cantidad mínima de datos permitida en respuesta a una solicitud, con arreglo a una interpretación razonable de la solicitud.
5. El organismo del sector público, la persona física o jurídica a la que se haya concedido el derecho a reutilizar datos con arreglo al capítulo II, el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas informará al titular de datos afectado de que una autoridad administrativa de un tercer país ha solicitado acceso a sus datos, antes de dar curso a dicha solicitud, excepto en los casos en que la solicitud sirva a fines de ejecución de las leyes y mientras sea necesario para preservar la eficacia de las actividades policiales correspondientes.
CAPÍTULO VIII. Delegación y procedimiento de comité
Artículo 32. Ejercicio de la delegación
1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.
2. Los poderes para adoptar actos delegados mencionados en el artículo 5, apartado 13, y el artículo 22, apartado 1, se otorgan a la Comisión por un período de tiempo indefinido a partir del 23 de junio de 2022.
3. La delegación de poderes mencionada en el artículo 5, apartado 13, y el artículo 22, apartado 1, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.
4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.
5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.
6. Los actos delegados adoptados en virtud del artículo 5, apartado 13, y el artículo 22, apartado 1, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.
Artículo 33. Procedimiento de comité
1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) nº182/2011.
2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 4 del Reglamento (UE) nº182/2011.
3. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) nº182/2011.
CAPÍTULO IX. Disposiciones finales y transitorias
Artículo 34. Sanciones
1. Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción de las obligaciones relativas a las transferencias de datos no personales a terceros países en virtud del artículo 5, apartado 14, y al artículo 31, la obligación de notificación que incumbe a los proveedores de servicios de intermediación de datos en virtud del artículo 11, las condiciones para prestar servicios de intermediación de datos con arreglo al artículo 12 y las condiciones para la inscripción en el registro como organización reconocida de gestión de datos con fines altruistas en virtud de los artículos 18, 20, 21 y 22, y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias. En sus regímenes de sanciones, los Estados miembros tendrán en cuenta las recomendaciones del Consejo Europeo de Innovación en materia de Datos. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas, a más tardar el 24 de septiembre de 2023, y le notificarán sin demora toda modificación posterior.
2. Los Estados miembros tendrán en cuenta los siguientes criterios no exhaustivos e indicativos para la imposición de sanciones a los proveedores de servicios de intermediación de datos y a las organizaciones reconocidas de gestión de datos con fines altruistas por las infracciones del presente Reglamento, cuando proceda:
a) la naturaleza, gravedad, magnitud y duración de la infracción;
b) cualquier medida adoptada por el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas para mitigar o reparar el daño causado por la infracción;
c) cualquier infracción anterior del proveedor de servicios de intermediación de datos o de la organización reconocida de gestión de datos con fines altruistas;
d) los beneficios financieros obtenidos o las pérdidas evitadas por el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas debido a la infracción, en la medida en que dichos beneficios o pérdidas puedan determinarse de forma fiable;
e) cualquier otra circunstancia agravante o atenuante aplicable al caso.
Artículo 35. Evaluación y revisión
A más tardar el 24 de septiembre de 2025, la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo. El informe irá acompañado de propuestas legislativas, en caso necesario.
En el informe se analizarán, en particular:
a) la aplicación y el funcionamiento del régimen de sanciones establecido por los Estados miembros en virtud del artículo 34;
b) el grado de cumplimiento del presente Reglamento por los representantes legales de los proveedores de servicios de intermediación de datos y las organizaciones reconocidas de gestión de datos con fines altruistas que no estén establecidos en la Unión, así como el grado de aplicabilidad de las sanciones impuestas a dichos proveedores y organizaciones;
c) el tipo de organizaciones de gestión de datos con fines altruistas inscritas en el registro con arreglo al capítulo IV y una síntesis de los fines de interés general para los que se intercambien datos, con miras a determinar criterios inequívocos a ese respecto.
Los Estados miembros facilitarán a la Comisión la información necesaria para la elaboración del informe.
Artículo 36. Modificación del Reglamento (UE) 2018/1724
En el cuadro del anexo II del Reglamento (UE) 2018/1724, la entrada «Puesta en marcha, gestión y cierre de una empresa» se sustituye por el texto siguiente:
| Sucesos vitales | Procedimientos | Resultado esperado sujeto a un examen de la solicitud por la autoridad competente de conformidad con su Derecho nacional, cuando corresponda |
| Puesta en marcha, gestión y cierre de una empresa | Notificación de actividades empresariales, permisos para ejercer una actividad empresarial, cambios de actividad empresarial y cese de una actividad empresarial sin procedimientos de insolvencia o liquidación, excluidos el registro inicial de una actividad empresarial en el registro mercantil y los procedimientos relativos a la constitución o cualquier presentación posterior de sociedades en el sentido del artículo 54, párrafo segundo, del TFUE | Acuse de recibo de la notificación o el cambio, o bien de la solicitud de permiso de actividad empresarial |
| Alta de un empleador (persona física) en sistemas obligatorios de pensiones y seguros | Confirmación del alta o número de registro de la seguridad social | |
| Alta de empleados en sistemas obligatorios de pensiones y seguros | Confirmación del alta o número de registro de la seguridad social | |
| Presentación de una declaración de impuesto sobre sociedades | Acuse de recibo de la declaración | |
| Notificación a los regímenes de la seguridad social de la finalización del contrato de un empleado, con exclusión de los procedimientos de despido colectivo | Acuse de recibo de la notificación | |
| Pago de las cotizaciones sociales de los empleados | Recibo u otra forma de confirmación del pago de las cotizaciones sociales de los empleados | |
| Notificación de un proveedor de servicios de intermediación de datos | Acuse de recibo de la notificación | |
| Inscripción como organización de gestión de datos con fines altruistas reconocida en la Unión | Confirmación de la inscripción |
Artículo 37. Disposiciones transitorias
Las entidades que ya presten los servicios de intermediación de datos a los que se refiere el artículo 10 el 23 de junio de 2022 deberán cumplir las obligaciones establecidas en el capítulo III a más tardar el 24 de septiembre de 2025.
Artículo 38. Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 24 de septiembre de 2023.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 30 de mayo de 2022.
Por el Parlamento Europeo, La Presidenta, R. METSOLA
Por el Consejo, El Presidente, B. LE MAIRE
————————————————–
(1) DO C 286 de 16.7.2021, p. 38.
(2) Posición del Parlamento Europeo de 6 de abril de 2022 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 16 de mayo de 2022.
(3) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).
(4) Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).
(5) Reglamento (UE) 2019/1239 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por el que se crea un entorno europeo de ventanilla única marítima y se deroga la Directiva 2010/65/UE (DO L 198 de 25.7.2019, p. 64).
(6) Reglamento (UE) 2020/1056 del Parlamento Europeo y del Consejo, de 15 de julio de 2020, sobre información electrónica relativa al transporte de mercancías (DO L 249 de 31.7.2020, p. 33).
(7) Directiva 2010/40/UE del Parlamento Europeo y del Consejo, de 7 de julio de 2010, por la que se establece el marco para la implantación de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte (DO L 207 de 6.8.2010, p. 1).
(8) Reglamento (CE) nº223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativo a la estadística europea y por el que se deroga el Reglamento (CE, Euratom) nº1101/2008 relativo a la transmisión a la Oficina Estadística de las Comunidades Europeas de las informaciones amparadas por el secreto estadístico, el Reglamento (CE) nº322/97 del Consejo sobre la estadística comunitaria y la Decisión 89/382/CEE, Euratom del Consejo por la que se crea un Comité del programa estadístico de las Comunidades Europeas (DO L 87 de 31.3.2009, p. 164).
(9) Reglamento (UE) 2018/858 del Parlamento Europeo y del Consejo, de 30 de mayo de 2018, sobre la homologación y la vigilancia del mercado de los vehículos de motor y sus remolques y de los sistemas, los componentes y las unidades técnicas independientes destinados a dichos vehículos, por el que se modifican los Reglamentos (CE) nº715/2007 y (CE) nº595/2009 y por el que se deroga la Directiva 2007/46/CE (DO L 151 de 14.6.2018, p. 1).
(10) Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea (DO L 303 de 28.11.2018, p. 59).
(11) Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).
(12) Directiva 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información (DO L 167 de 22.6.2001, p. 10).
(13) Directiva 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual (DO L 157 de 30.4.2004, p. 45).
(14) Directiva 2007/2/CE del Parlamento Europeo y del Consejo, de 14 de marzo de 2007, por la que se establece una infraestructura de información espacial en la Comunidad Europea (Inspire) (DO L 108 de 25.4.2007, p. 1).
(15) Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) nº648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73).
(16) Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016, relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas (DO L 157 de 15.6.2016, p. 1).
(17) Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre determinados aspectos del Derecho de sociedades (DO L 169 de 30.6.2017, p. 46).
(18) Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE (DO L 130 de 17.5.2019, p. 92).
(19) Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO L 172 de 26.6.2019, p. 56).
(20) Directiva 2009/81/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, sobre coordinación de los procedimientos de adjudicación de determinados contratos de obras, de suministro y de servicios por las entidades o poderes adjudicadores en los ámbitos de la defensa y la seguridad, y por la que se modifican las Directivas 2004/17/CE y 2004/18/CE (DO L 216 de 20.8.2009, p. 76).
(22) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) nº45/2001 y la Decisión nº1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(23) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
(25) Reglamento (UE) nº557/2013 de la Comisión, de 17 de junio de 2013, por el que se aplica el Reglamento (CE) nº223/2009 del Parlamento Europeo y del Consejo, relativo a la estadística europea, en lo que respecta al acceso a datos confidenciales con fines científicos, y por el que se deroga el Reglamento (CE) nº831/2002 de la Comisión (DO L 164 de 18.6.2013, p. 16).
(26) Directiva 96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la protección jurídica de las bases de datos (DO L 77 de 27.3.1996, p. 20).
(27) Reglamento (UE) nº600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) nº648/2012 (DO L 173 de 12.6.2014, p. 84).
(28) Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) nº1093/2010 y se deroga la Directiva 2007/64/CE (DO L 337 de 23.12.2015, p. 35).
(29) Reglamento (UE) 2018/1724 del Parlamento Europeo y del Consejo, de 2 de octubre de 2018, relativo a la creación de una pasarela digital única de acceso a información, procedimientos y servicios de asistencia y resolución de problemas y por el que se modifica el Reglamento (UE) nº1024/2012 (DO L 295 de 21.11.2018, p. 1).
(30) DO L 123 de 12.5.2016, p. 1.
(31) Reglamento (UE) nº182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(32) Directiva (UE) 2016/2102 del Parlamento Europeo y del Consejo, de 26 de octubre de 2016, sobre la accesibilidad de los sitios web y aplicaciones para dispositivos móviles de los organismos del sector público (DO L 327 de 2.12.2016, p. 1).
(33) Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los requisitos de accesibilidad de los productos y servicios (DO L 151 de 7.6.2019, p. 70).
