Datos digitales y economía de datos como nuevos bienes jurídicos: Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea

No existe todavía un concepto jurídico unánimemente aceptado a nivel internacional acerca de lo que debe entenderse por conceptos tan claves para la economía actual como datos digitales, economía de datos, datos de uso y, en general, datos no personales susceptibles de ser explotados económicamente. Sin embargo su impacto en el mercado es creciente y hoy constituyen ya nuevos bienes intangibles, activos absolutamente fundamentales en la economía digital con creciente valor económico.

Tanto es así que la propia Unión Europea emitió hace poco más de un año la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre «La construcción de una economía de los datos Europea» en la que pone de relieve como los datos y su análisis está facilitando la optimización de procesos y decisiones, la innovación y la predicción de acontecimientos futuros con impacto y potencial enorme en campos tan diversos como la salud, el medio ambiente, la seguridad alimentaria, el clima y la eficiencia en los recursos hasta la energía, los sistemas de transporte inteligentes y las ciudades inteligentes. Se estima que si se implantan a tiempo las condiciones marco políticas y jurídicas para la economía de los datos, su valor se situará en los 643 000 millones EUR para 2020, lo que representaría el 3,17 % del PIB total de la UE.

De este modo, y con la firme voluntad de avanzar en dicho marco jurídico, la Unión Europea ha procedido a promulgar muy recientemente un transcendental Reglamento – Reglamento de la Unión Europea Reglamento (UE) 2018/1807 relativo a un marco para la libre circulación de datos no personales-. A estos efectos ha optado por una descripción amplia de su objeto, disponiendo que son “datos” todos aquellos que no sean personales -refiriendo para ello al artículo 4, apartado 1, del Reglamento (UE) 2016/679-.

Ahora bien, no todos los datos tienen valor en sí mismos. El valor se genera habitualmente en su procesamiento –por agregación, segregación, combinación- y/o cuando son tratados por medio de algoritmos. En consecuencia, solo los datos que contienen un valor añadido que los hace útiles o susceptibles de algún interés económico son los necesitados de un régimen jurídico que determine titularidades, derechos y facultades sobre los mismos, así como formas de poder hacerlos circular, obtener utilidades o explotarlos económicamente en el tráfico socio económico.

Naturalmente, nos estamos refiriendo a datos que no resultan en modo alguno personales -los que hacen identificable a una persona- porque tales datos personales ya disponen de un marco normativo específico de tutela que debe en todo caso respetarse.

Tampoco quedan incluidos los derechos de propiedad intelectual o industrial, o los secretos industriales que cuentan con marcos reguladores. Si quedarían incluidos, por el contrario, los datos anónimos y los datos encriptados. Pero advierte el Reglamento que si los avances tecnológicos hicieran posible transformar datos anónimos en datos personales, dichos datos se deberán tratar como datos personales y, en consecuencia, se deberá aplicarse el Reglamento (UE) 2016/679.

El marco normativo del citado Reglamento de la Unión Europea Reglamento (UE) 2018/1807 relativo a un marco para la libre circulación de datos no personales  supone un paso avanzado en el establecimiento de un marco legal uniforme para favorecer la digitalización de la economía e impulsar la actividad económica que gira en torno a la economía de datos que genera valor cuando se crean, recopilan, agregan, se organizan, se tratan, se analizan, comercializan, distribuyen, utilizan, reutilizan y se combinan datos con servicios y productos.

El objeto de este Reglamento es garantizar la libre circulación en la Unión de datos que no tengan carácter personal mediante el establecimiento de normas relativas a los requisitos de localización de datos, la disponibilidad de los datos para las autoridades competentes y la portabilidad de datos para los usuarios profesionales.

Este Reglamento establece el principio de libre circulación en la Unión de datos no personales, salvo cuando una restricción o prohibición se justifique por razones de seguridad pública. En consecuencia, los requisitos de localización de datos quedan prohibidos a menos que estén justificados por motivos de seguridad pública  que abarca cuestiones de orden público, si bien de conformidad con el principio de proporcionalidad, los requisitos de localización de datos justificados por motivos de seguridad pública deberán ser adecuados al objetivo perseguido, y no ir más allá de lo que sea necesario para alcanzar dicho objetivo.

Define el ámbito de aplicación subjetivo, señalando que es aplicable tanto a las personas físicas como jurídicas que presten servicios de tratamiento de datos a usuarios que residan o tengan un establecimiento en la Unión, aun cuando no tengan un establecimiento en esta. Es «usuario profesional» toda persona física o jurídica, inclusive autoridades y organismos de Derecho público, que utiliza o solicita un servicio de tratamiento de datos para fines relacionados con su actividad comercial, negocio, oficio, profesión o función.

Por lo que hace al ámbito de aplicación objetivo, se aplica al tratamiento de datos electrónicos que no tengan carácter personal, que: a) se preste como un servicio a usuarios que residan o tengan un establecimiento en la Unión, independientemente de si el proveedor de servicios está establecido o no en la Unión, o b) efectuado por una persona física o jurídica que resida o tenga un establecimiento en la Unión para sus propias necesidades.

Cuando los datos personales y los no personales de un conjunto de datos estén inextricablemente ligados, el presente Reglamento se aplica sin perjuicio del Reglamento (UE) 2016/679.

Resulta aplicable al “tratamiento de datos” en sentido amplio: uso de todo tipo de sistemas informáticos, datos de distintos grados de intensidad,  desde el almacenamiento de datos [infraestructura como servicio (IaaS)] hasta el tratamiento de datos en plataforma [plataforma como servicio (PaaS)] o en aplicaciones [software como servicio (SaaS)].

Y se entiende por «datos» los datos que no sean datos personales del Reglamento (UE) 2016/679 y por «tratamiento»: toda operación o conjunto de operaciones que se efectúe sobre datos o conjuntos de datos en formato electrónico, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción[.

En la medida que las partes en un contrato no hayan fijado la ley aplicable de conformidad con el Reglamento Roma I, un contrato de prestación de servicios de tratamiento de datos se regirá por la ley del país de residencia habitual del prestador del servicio.

A mayor abundamiento el Reglamento establece el principio de disponibilidad de datos para las autoridades competentes, de modo que no podrá denegarse a las Autoridades competentes el acceso a los datos alegando que son objeto de tratamiento en otro Estado miembro. A estos efectos, cada Estado designará un Punto de contacto único que actuará de enlace que asistirá en las solicitudes de asistencia para obtener acceso a datos, se proporcionará respuesta en la que comunique los datos solicitados o informe a la autoridad solicitante de que no considera que se reúnan las condiciones para solicitar asistencia.

Un aspecto reseñable es el régimen de portabilidad de datos o capacidad para trasladar datos sin trabas, que es un factor clave que favorece la competencia. Considera que la información y los requisitos operativos para la portabilidad de datos deben ser definidos por los agentes del mercado -profesionales de servicios de tratamiento de datos- a través de la autorregulación, fomentada, facilitada y supervisada por la Comisión, en forma de códigos de conducta de la Unión que pueden incluir y cláusulas y condiciones contractuales tipo. El régimen de portabilidad de datos se confía en consecuencia a las mejores prácticas para facilitar el cambio de proveedores de servicios y la portabilidad en un formato estructurado, de uso común y de lectura automática, incluidos formatos basados en estándares abiertos cuando lo exija o solicite el proveedor de servicios que reciba los datos.

Y el instrumento clave serán los Códigos de autoregulacion  que los distintos sectores emitan. Tales códigos de conducta autorreguladores contribuirán así a una economía de datos competitiva y deberán especificar entre otros aspectos, necesariamente:

i) los procedimientos para efectuar copias de seguridad de los datos o la ubicación de dichas copias,

ii) los formatos y soportes de datos disponibles,

iii) la configuración informática necesaria y el ancho de banda mínimo,

iv) el tiempo necesario antes de iniciar el proceso de traslado,

v) el tiempo durante el cual los datos van a seguir estando disponibles para su traslado;

vi) las garantías de acceso a los datos en caso de quiebra del proveedor del servicio.

vii) las tecnologías que aumenten la confianza;

viii) la actualización periódica para seguir la evolución tecnológica.

En los procesos de elaboración y actualización de estos instrumentos de autoregulación deberán ser consultados todos los interesados en el proceso de elaboración del Código de conducta  -asociaciones de «pymes», empresas emergentes, usuarios, proveedores de servicios en nube-.

Estos códigos se basarán en los principios de transparencia e interoperabilidad, que tenga debidamente en cuenta estándares abiertos y que incluya, entre otros, los siguientes aspectos:

  • Los requisitos de información mínimos para garantizar que los usuarios profesionales, antes de celebrar un contrato de tratamiento de datos, reciban información suficientemente detallada, clara y transparente relativa a los procedimientos, los requisitos técnicos, los plazos y los costes aplicables en caso de que un usuario profesional desee cambiar de proveedor de servicios o transferir sus datos a sus propios sistemas informáticos;
  • Los regímenes de certificación que faciliten la comparación de los productos y servicios de tratamiento de datos para usuarios profesionales que faciliten la comparabilidad de estos productos y servicios. Podrán incluir la gestión de la calidad, de la seguridad de la información, de la continuidad de negocio y medioambiental.
  • Los Planes de comunicación con enfoque multidisciplinar para concienciar a los interesados sobre el código de conducta.
  • Y las medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos de  seguridad de las redes y de los sistemas de información que utilizan, instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales.

No contempla  sin embargo dicho Reglamento el régimen de tenencia, transmisión, uso, disfrute procesamiento y explotación, cesión temporal, etc.

Tampoco considera las situaciones de posesión o “control” de los datos, la liquidación del estado posesorio, el derecho de acceso, derecho a exigir su borrado, a recibir copias, etc. Como tampoco trata las distintas titularidades susceptibles de ser constituidas sobre los mismos, de considerarse que estos bienes son registrables y susceptibles de ser objeto de derechos reales.


Ver texto íntegro del Reglamento en: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32018R1807&from=EN

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s