COMISIÓN EUROPEA

Bruselas, 13.9.2017

COM(2017) 495 final

2017/0228(COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a un marco para la libre circulación de datos no personales en la Unión Europea

{SWD(2017) 304 final}
{SWD(2017) 305 final}

EXPOSICIÓN DE MOTIVOS

1.CONTEXTO DE LA PROPUESTA

•Razones y objetivos de la propuesta

Las nuevas tecnologías digitales, tales como la computación en la nube, los macrodatos, la inteligencia artificial y la internet de las cosas (IdC), están concebidas para obtener la máxima eficiencia, permitir economías de escala y desarrollar nuevos servicios. Ofrecen beneficios a los usuarios, tales como la agilidad, la productividad, la velocidad de despliegue y la autonomía, por ejemplo a través del aprendizaje automático 1 .

Tal como se indica en la Comunicación de 2017 «La construcción de una economía de los datos europea» 2 , el valor del mercado de los datos de la UE se estimó en 2016 en casi 60 000 millones EUR, lo que representa un incremento del 9,5 % con respecto a 2015. Según un estudio, el mercado de los datos de la UE podría posiblemente ascender a más de 106 000 millones EUR en 2020 3 .

Para desbloquear este potencial la propuesta pretende abordar las siguientes cuestiones:

·mejorar la movilidad de los datos no personales a través de las fronteras en el mercado único, limitada en la actualidad en muchos Estados miembros por las restricciones de localización o inseguridad jurídica en el mercado;

·garantizar que no se vean afectados los poderes de las autoridades competentes para solicitar y recibir acceso a los datos a efectos de control normativo, como la inspección y auditoría; y

·facilitar que los usuarios profesionales de los servicios de almacenamiento o tratamiento de datos puedan cambiar de proveedores de servicios y trasladar sus datos sin suponer una carga excesiva para los proveedores de servicios ni falsear el mercado.

La revisión intermedia de la aplicación de la Estrategia para el Mercado Único Digital (Estrategia MUD) 4 anunció una propuesta legislativa relativa a un marco de cooperación para la libre circulación de datos en la UE.

Esta iniciativa se marca como objetivo político general lograr un mercado interior de servicios y actividades de almacenamiento y tratamiento de datos más competitivo e integrado abordando los ámbitos antes mencionados. En la presente propuesta, almacenamiento y tratamiento de datos se utilizan en sentido amplio, abarcando el uso de todo tipo de sistemas informáticos, tanto si están situados en los locales del usuario como si están externalizados a un proveedor de servicios de almacenamiento o tratamiento de datos 5 .

•Coherencia con las disposiciones existentes en la misma política sectorial

La propuesta persigue los objetivos establecidos en la Estrategia MUD 6 , su reciente revisión intermedia, así como en las directrices políticas de la actual Comisión Europea «Un nuevo comienzo para Europa: mi Agenda en materia de empleo, crecimiento, equidad y cambio democrático» 7 .

La presente propuesta se centra en la prestación de servicios de alojamiento (almacenamiento) y tratamiento de datos, y es coherente con los instrumentos jurídicos existentes. La iniciativa persigue la creación de un verdadero mercado único de la UE para dichos servicios. Por tanto, es coherente con la Directiva sobre el comercio electrónico 8 , que persigue un mercado único de la UE global y eficaz para las categorías más amplias de servicios de la sociedad de la información, y con la Directiva de servicios 9 , que fomenta la intensificación del mercado único de servicios de la UE en una serie de sectores.

Están expresamente excluidos del ámbito de aplicación de dicha legislación un grupo de sectores pertinentes (por ejemplo, la Directiva sobre el comercio electrónico y la Directiva de servicios), de modo que solo las disposiciones generales del Tratado serían aplicables a la totalidad de los servicios de alojamiento (almacenamiento) y tratamiento de datos. Sin embargo, la supresión eficaz de los obstáculos existentes para estos servicios no puede hacerse únicamente mediante la aplicación directa de los artículos 49 y 56 del Tratado de Funcionamiento de la Unión Europea (TFUE), ya que, por un lado, resolverlos caso por caso mediante procedimientos de infracción contra los correspondientes Estados miembros sería extremadamente complicado para las instituciones nacionales y de la Unión y, por otro, la eliminación de numerosos obstáculos requiere normas específicas que aborden no solo los obstáculos públicos sino también los privados y requiere la instauración de la cooperación administrativa. Además, la consiguiente mejora de la seguridad jurídica parece revestir una importancia particular para los usuarios de nuevas tecnologías 10 .

Dado que la presente propuesta concierne a datos electrónicos distintos de los datos personales, no afecta al marco jurídico de la Unión sobre protección de datos, en particular el Reglamento 2016/679 (Reglamento general de protección de datos) 11 , la Directiva 2016/680 (Directiva de policía) 12 y la Directiva 2002/58/CE (Directiva sobre privacidad y comunicaciones electrónicas) 13 , que garantizan un elevado nivel de protección de los datos personales y su libre circulación dentro de la Unión. Junto con este marco jurídico, la presente propuesta pretende implantar un marco global y coherente a nivel de la UE que permita la libre circulación de datos en el mercado único.

En virtud de la Directiva 2015/1535 sobre transparencia 14 , la propuesta exigirá la notificación de proyectos de medidas sobre localización de datos para poder valorar si tales restricciones de localización están justificadas.

•Coherencia con otras políticas de la Unión

A la luz de la Estrategia para el Mercado Único Digital, la presente iniciativa pretende reducir los obstáculos para una economía de los datos competitiva en Europa. En consonancia con la Comunicación relativa a la revisión intermedia de la aplicación de la Estrategia para el Mercado Único Digital, la Comisión está estudiando de forma separada la cuestión de la accesibilidad y la reutilización de datos públicos y financiados con fondos públicos y la cuestión de los datos privados de interés público así como la responsabilidad en los casos de daños causados por productos que hacen un uso intensivo de datos 15 .

La intervención política también se basa en el conjunto de medidas relativas a la Digitalización de la industria europea, que incluía la Iniciativa Europea de Computación en la Nube 16 en pro del despliegue de una solución en la nube de alta capacidad para almacenar, compartir y reutilizar datos científicos. Además, la iniciativa se basa en la revisión del Marco Europeo de Interoperabilidad 17 , cuyo objetivo es mejorar la colaboración digital entre administraciones públicas en Europa y se beneficiará directamente de la libre circulación de datos. Contribuye al compromiso de la UE en aras de una Internet abierta 18 .

2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD

•Base jurídica

La presente propuesta se enmarca en uno de los ámbitos de competencia compartida según lo previsto en el artículo 4, apartado 2, letra a), del TFUE. Su objetivo es lograr un mercado interior de servicios de almacenamiento y tratamiento de datos más competitivo e integrado garantizando la libre circulación de datos en la Unión. Establece normas relativas a los requisitos de localización de datos, la disponibilidad de los datos para las autoridades competentes y el traslado de datos para los usuarios profesionales. La propuesta se basa en el artículo 114 del TFUE, que constituye la base jurídica general para la adopción de tales normas.

•Subsidiariedad

La propuesta respeta el principio de subsidiariedad enunciado en el artículo 5 del Tratado de la Unión Europea (TUE). Los Estados miembros no pueden alcanzar a escala nacional el objetivo de la presente propuesta para garantizar el funcionamiento correcto del mercado interior de los servicios antes mencionados, que no se limita al territorio de un Estado miembro y a la libre circulación de datos no personales dentro de la Unión, ya que el problema central es la movilidad transfronteriza de datos.

Los Estados miembros son competentes para reducir el número y el alcance de sus propias restricciones en materia de localización de datos, pero es probable que lo hagan en diversos grados, y en condiciones diferentes, o no lo hagan en absoluto.

Sin embargo, los enfoques divergentes ocasionarían una multiplicación de los requisitos reglamentarios en todo el mercado único de la UE y costes adicionales tangibles para las empresas, especialmente las pequeñas y medianas (PYME).

•Proporcionalidad

La propuesta se atiene al principio de proporcionalidad enunciado en el artículo 5 del TUE, dado que contempla un marco eficaz que no excede de lo necesario para resolver los problemas detectados y es proporcionada para lograr sus objetivos.

Con el fin de eliminar los obstáculos a la libre circulación de datos no personales en la Unión, limitada por los requisitos de localización, y suscitar una mayor confianza en los flujos transfronterizos de datos así como en los servicios de almacenamiento y tratamiento de datos, la propuesta se basará, en gran medida, en los instrumentos y marcos de la UE vigentes: la Directiva sobre la transparencia para las notificaciones de los proyectos de medidas relativas a los requisitos de localización de datos y diferentes marcos que garantizan la disponibilidad de los datos para fines de control normativo por los Estados miembros. El mecanismo de cooperación de la propuesta se utilizará para abordar las cuestiones relacionadas con la disponibilidad de los datos por parte de las autoridades nacionales competentes únicamente en ausencia de otros mecanismos de cooperación y cuando se hayan agotado otros medios de acceso.

El planteamiento propuesto para el movimiento de datos a través de las fronteras de los Estados miembros y a través de los proveedores de servicios/sistemas informáticos internos busca un equilibrio entre la legislación de la UE y los intereses de seguridad pública de los Estados miembros así como un equilibrio entre la legislación de la UE y la autorregulación por el mercado.

En concreto, con el fin de mitigar las dificultades de los usuarios profesionales para cambiar de proveedor de servicios y trasladar datos, la iniciativa fomenta la autorregulación mediante códigos de conducta sobre la información que debe facilitarse a los usuarios de servicios de almacenamiento o tratamiento de datos. Asimismo, las modalidades en materia de cambio y traslado deben abordarse a través de la autorregulación para definir las mejores prácticas.

La propuesta recuerda que los requisitos de seguridad impuestos por la legislación nacional y de la Unión también deben ser garantizados cuando las personas físicas o jurídicas externalicen sus servicios de almacenamiento o tratamiento de datos, incluso en otro Estado miembro. Recuerda asimismo las competencias de ejecución atribuidas a la Comisión por la Directiva sobre Seguridad de las Redes y de la Información con el fin de satisfacer las exigencias de seguridad que también contribuyen al funcionamiento del presente Reglamento. Por último, a pesar de que la propuesta requeriría una actuación por parte de las autoridades públicas de los Estados miembros debido a los requisitos de notificación/revisión, los requisitos de transparencia y la cooperación administrativa, la propuesta está concebida para minimizar tal actuación a las necesidades más importantes de cooperación y, por lo tanto, evitar una carga administrativa innecesaria.

Al instaurar un marco claro, acompañado de la cooperación entre y con los Estados miembros así como de la autorregulación, la presente propuesta tiene por objetivo aumentar la seguridad jurídica e incrementar los niveles de confianza, manteniendo al mismo tiempo la pertinencia y la eficacia a largo plazo debido a la flexibilidad del marco de cooperación, basado en los puntos de contacto únicos en los Estados miembros.

La Comisión tiene la intención de crear un grupo de expertos que le asesore sobre las materias cubiertas por el presente Reglamento.

•Elección del instrumento

3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO

•Consultas con las partes interesadas

Durante una primera ronda para recabar información, en 2015 se llevó a cabo una consulta pública sobre el marco regulador para las plataformas, los intermediarios en línea, los datos y la computación en la nube y la economía colaborativa. Dos tercios de los encuestados, con una distribución equilibrada entre todos los grupos de partes interesadas, incluidas las pyme, consideraron que las restricciones sobre la localización de los datos habían afectado a su estrategia empresarial 19 . También se llevaron a cabo otras actividades para recabar información como reuniones y actos, talleres especializados con las principales partes interesadas (por ejemplo, el Cloud Select Industry Group) y talleres específicos en el contexto de los estudios.

Desde finales de 2016 hasta la segunda mitad de 2017, se desarrolló una segunda ronda para recabar información, que incluyó una consulta pública lanzada en el contexto de la Comunicación «La construcción de una economía de los datos europea», de 10 de enero de 2017. De acuerdo con las respuestas de la consulta pública, el 61,9 % de las partes interesadas creían que debían suprimirse las restricciones a la localización de datos. Una mayoría de partes interesadas participantes (55,3 % de los encuestados) cree que la acción legislativa es el instrumento más adecuado para abordar las injustificadas restricciones de localización, abogando algunos de ellos explícitamente por un Reglamento 20 . Los proveedores de servicios informáticos de todos los tamaños, establecidos tanto dentro como fuera de la UE, muestran el mayor apoyo a las medidas de reglamentación. Las partes interesadas también indicaron las repercusiones negativas de las restricciones de localización de datos. Junto con un aumento de los costes para las empresas, estas repercusiones negativas inciden en la prestación de servicio a las entidades públicas o privadas (69,6 % de las partes interesadas encuestadas calificaron esta repercusión como «elevada») o en la capacidad de entrar en un nuevo mercado (73,9 % de las partes interesadas encuestadas calificaron esta repercusión como «elevada»). Las partes interesadas de diferentes procedencias respondieron a estas preguntas en porcentajes similares. De la consulta pública en línea también se desprende que el problema del cambio de proveedor está extendido, ya que el 56,8 % de las pymes encuestadas indicaron que tuvieron dificultades cuando los intentaron.

Las reuniones en el marco del diálogo estructurado con los Estados miembros facilitaron una comprensión común de los desafíos. En una carta dirigida al presidente Tusk, dieciséis Estados miembros han reclamado expresamente una propuesta legislativa.

La propuesta tiene en cuenta una serie de preocupaciones señaladas por los Estados miembros y la industria, en particular la necesidad de establecer un principio transversal de libre circulación de datos que ofrezca seguridad jurídica; conseguir avances en materia de disponibilidad de los datos para fines regulatorios; facilitar a los usuarios profesionales el cambio de proveedor de servicios de almacenamiento o tratamiento de datos y el traslado de datos fomentando una mayor transparencia en los procedimientos y condiciones aplicables en los contratos pero sin imponer en esta fase normas u obligaciones específicas a los proveedores de servicios.

•Obtención y uso de asesoramiento especializado

Los estudios jurídicos y económicos se han basado en distintos aspectos de la movilidad de los datos, incluidos los requisitos de localización de datos 21 , el cambio de proveedor/traslado de datos 22 y la seguridad de los datos 23 . Se han encargado otros estudios sobre las repercusiones de la computación en la nube 24 y de su incorporación 25 , así como sobre el mercado europeo de datos 26 . También se han realizado estudios para examinar las medidas de corregulación o de autorregulación en el sector de la computación en la nube 27 . La Comisión también se basó en fuentes externas adicionales, incluidas revisiones de mercados y estadísticas (por ejemplo, Eurostat).

•Evaluación de impacto

La evaluación de impacto mostró que la opción preferida, la subopción 2a, garantizaría la eliminación efectiva de las injustificadas restricciones de localización existentes e impediría eficazmente las futuras, como consecuencia de un principio jurídico claro combinado con la revisión, notificación y transparencia, aumentando al mismo tiempo la seguridad jurídica y la confianza en el mercado. La carga para las autoridades públicas de los Estados miembros sería modesta, ascendiendo aproximadamente a 33 000 EUR anuales en términos de costes de recursos humanos para sustentar los puntos de contacto únicos así como un coste anual de entre 385 EUR y 1 925 EUR para la preparación de las notificaciones.

•Adecuación regulatoria y simplificación

•Derechos fundamentales

4.REPERCUSIONES PRESUPUESTARIAS

Se producirá una moderada carga administrativa para las autoridades públicas de los Estados miembros, ocasionada por la asignación de recursos humanos para la cooperación entre los Estados miembros a través de los «puntos de contacto únicos» y para el cumplimiento de las disposiciones en materia de notificación, revisión y transparencia.

5.OTROS ELEMENTOS

•Planes de ejecución y modalidades de seguimiento, evaluación e información

Con el fin de valorar su eficacia y proporcionalidad cinco años después del inicio de la aplicación de la normativa se efectuará una evaluación global. Esta evaluación se llevará a cabo con arreglo a las directrices para la mejora de la legislación.

Será necesario, en particular, examinar si el Reglamento ha contribuido a reducir el número y el alcance de las restricciones de localización de datos y a aumentar la seguridad jurídica y la transparencia de los restantes requisitos (justificados y proporcionados). La evaluación también tendrá que valorar si la iniciativa política ha contribuido a mejorar la confianza en la libre circulación de datos no personales, si los Estados miembros pueden razonablemente tener acceso a los datos almacenados en el extranjero para fines de control normativo y si el Reglamento ha mejorado la transparencia de las condiciones relativas al traslado de datos.

Está previsto que los puntos de contacto únicos de los Estados miembros sirvan como una valiosa fuente de información durante la fase de evaluación a posteriori de la legislación.

Unos indicadores específicos (tal como se propone en la evaluación de impacto) servirían para medir el avance en estos ámbitos. También está prevista la utilización de datos de Eurostat y del Índice de la Economía y la Sociedad Digitales. También puede tenerse en cuenta para este fin una edición especial del Eurobarómetro.

•Explicación detallada de las disposiciones específicas de la propuesta

El artículo 4 establece el principio de libre circulación de datos no personales en la Unión. Este principio prohíbe cualquier requisito de localización de datos, salvo que esté justificado por razones de seguridad pública. Además, prevé la revisión de los requisitos existentes, la notificación de los nuevos o restantes requisitos a la Comisión y medidas de transparencia.

El artículo 5 tiene por objeto garantizar que las autoridades competentes tienen a su disposición los datos para fines de control normativo. A tal efecto, los usuarios no podrán negarse a facilitar el acceso a los datos a las autoridades competentes basándose en que los datos están almacenados o son procesados de otra forma en otro Estado miembro. Cuando una autoridad competente haya agotado todos los medios aplicables para obtener acceso a los datos, dicha autoridad competente podrá solicitar la colaboración de una autoridad de otro Estado miembro, si no existen mecanismos específicos de cooperación.

El artículo 6 estipula que la Comisión animará a los proveedores de servicios y a los usuarios profesionales a elaborar y aplicar códigos de conducta que detallen la información sobre las condiciones del traslado de datos (incluidos los requisitos técnicos y operativos) que los proveedores deberán poner a disposición de sus usuarios profesionales de forma suficientemente detallada, clara y transparente antes de la celebración de un contrato. La Comisión revisará el desarrollo y la aplicación efectiva de estos códigos dos años después de que empiece a aplicarse el presente Reglamento.

Según el artículo 7, cada Estado miembro designará un punto de contacto único que actuará de enlace con los puntos de contacto de los demás Estados miembros y la Comisión en cuanto a la aplicación del presente Reglamento. El artículo 7 también prevé las condiciones de procedimiento aplicables a la asistencia entre las autoridades competentes contempladas en el artículo 5.

Según el artículo 8, la Comisión estará asistida por el Comité de libre circulación de datos en el sentido del Reglamento (UE) n.º 182/2011.

El artículo 9 prevé una revisión en un plazo de cinco años después del inicio de la aplicación del Reglamento.

El artículo 10 estipula que el Reglamento comenzará a aplicarse seis meses después de la fecha de su publicación.

2017/0228 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativo a un marco para la libre circulación de datos no personales en la Unión Europea

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo 28 ,

Visto el dictamen del Comité de las Regiones 29 ,

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)La digitalización de la economía se está acelerando. Las tecnologías de la información y la comunicación (TIC) ya no son un sector específico sino el fundamento de todos los sistemas económicos y sociedades innovadores modernos. Los datos electrónicos se encuentran en el centro de estos sistemas y pueden generar un gran valor cuando se analizan o combinan con servicios y productos.

(2)Las cadenas de valor de datos se basan en diferentes actividades de datos: creación y recopilación de datos; agregación y organización de datos; almacenamiento y tratamiento de datos; análisis, comercialización y distribución de datos; utilización y reutilización de datos. El funcionamiento eficaz y eficiente del almacenamiento y tratamiento de datos es un componente fundamental en toda la cadena de valor de los datos. Sin embargo, dicho funcionamiento eficaz y eficiente y el desarrollo de la economía de los datos en la Unión se ven dificultados, en particular, por dos tipos de obstáculos a la movilidad y al mercado interior de datos.

(3)La libertad de establecimiento y la libre prestación de servicios en virtud del Tratado de Funcionamiento de la Unión Europea se aplican a los servicios de almacenamiento o tratamiento de datos. No obstante, la prestación de tales servicios se ve dificultada o en algunas ocasiones impedida por determinados requisitos nacionales que exigen que los datos se localicen en un territorio específico.

(4)Tales obstáculos a la libre circulación de servicios de almacenamiento o tratamiento de datos y a la libertad de establecimiento de los proveedores de almacenamiento o tratamiento de datos tienen su origen en los requisitos incluidos en la legislación nacional de los Estados miembros para que los datos se localicen en una zona o territorio geográfico específico a efectos del almacenamiento o tratamiento. Otras normas o prácticas administrativas tienen un efecto equivalente mediante la imposición de requisitos específicos que hacen más difícil almacenar o tratar de cualquier otra forma los datos fuera de una zona o territorio geográfico específico dentro de la Unión, como los requisitos para utilizar instalaciones tecnológicas certificadas o aprobadas en un determinado Estado miembro. La inseguridad jurídica en cuanto al alcance de los requisitos legítimos e ilegítimos en materia de localización de datos limita aún más las opciones a disposición de los agentes del mercado y del sector público relativas a la localización del almacenamiento o tratamiento de datos.

(5)Al mismo tiempo, la movilidad de los datos en la Unión también está inhibida por restricciones privadas: cuestiones jurídicas, contractuales y técnicas que obstaculizan o impiden a los usuarios de los servicios de almacenamiento o tratamiento de datos trasladar sus datos de un proveedor de servicios a otro o reintegrarlos a sus propios sistemas informáticos, especialmente en el momento de la resolución de su contrato con un proveedor de servicios.

(6)La existencia de un conjunto único de normas para todos los participantes en el mercado constituye un elemento clave del funcionamiento del mercado interior por motivos de seguridad jurídica y por la necesidad de que exista la igualdad de condiciones en la Unión. Con objeto de eliminar los obstáculos al comercio y los falseamientos de la competencia como consecuencia de las divergencias existentes entre las normativas nacionales, e impedir el surgimiento de otros probables obstáculos al comercio e importantes falseamientos de la competencia, es necesario adoptar normas uniformes aplicables en todos los Estados miembros.

(7)A fin de crear un marco para la libre circulación de datos no personales en la Unión y las bases para desarrollar la economía de los datos y mejorar la competitividad de la industria europea, es necesario instaurar un marco jurídico claro, exhaustivo y previsible para el almacenamiento o cualquier otro tratamiento de datos distintos de los datos personales en el mercado interior. Un enfoque basado en principios que rigen la cooperación entre los Estados miembros, así como la autorregulación, debería garantizar la flexibilidad del marco para que pueda tener en cuenta las necesidades cambiantes de los usuarios, proveedores y autoridades nacionales en la Unión. Para evitar el riesgo de solapamientos con los mecanismos existentes y, por tanto, evitar cargas más onerosas tanto para los Estados miembros como para las empresas, no deben establecerse normas técnicas detalladas.

(8)El presente Reglamento debe aplicarse a las personas físicas o jurídicas que presten servicios de almacenamiento o tratamiento de datos a usuarios que residan o tengan un establecimiento en la Unión, incluidas aquellas que presten servicios en la Unión sin tener un establecimiento en la misma.

(9)El marco jurídico relativo a la protección de las personas físicas en lo que atañe al tratamiento de datos personales, en particular el Reglamento (UE) 2016/679 30 , la Directiva (UE) 2016/680 31 y la Directiva 2002/58/CE 32 , no debe verse afectado por el presente Reglamento.

(10)En virtud del Reglamento (UE) 2016/679, los Estados miembros no pueden restringir ni prohibir la libre circulación de datos personales en la Unión por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. El presente Reglamento establece el mismo principio de libre circulación en la Unión de datos no personales salvo cuando una restricción o prohibición se justifique por razones de seguridad.

(11)El presente Reglamento debe aplicarse al almacenamiento o tratamiento de datos en sentido amplio, abarcando el uso de todo tipo de sistemas informáticos, tanto si están situados en los locales del usuario como si están externalizados a un proveedor de servicios de almacenamiento o tratamiento de datos. Debe abarcar el tratamiento de datos en diferentes niveles de intensidad, desde el almacenamiento de datos [infraestructura como servicio (IaaS)] hasta el tratamiento de datos en plataformas [plataformas como servicio (PaaS)] o en aplicaciones [software como servicio (SaaS)]. Estos diferentes servicios deben incluirse en el ámbito de aplicación del presente Reglamento, salvo que el almacenamiento o tratamiento de datos sea meramente accesorio a un servicio de tipo diferente, como el suministro de un mercado en línea como intermediario entre los proveedores de servicios y los consumidores o los usuarios empresariales.

(12)Los requisitos de localización de datos constituyen un claro obstáculo a la libre prestación de servicios de almacenamiento o tratamiento de datos en la Unión y al mercado interior. Como tales, deben ser prohibidos a menos que estén justificados por motivos de seguridad pública, definidos por el Derecho de la Unión, en particular el artículo 52 del Tratado de Funcionamiento de la Unión Europea, y respeten el principio de proporcionalidad consagrado en el artículo 5 del Tratado de la Unión Europea. Para dar efecto al principio de libre circulación de datos no personales a través de las fronteras, garantizar la rápida supresión de los actuales requisitos de localización de datos y permitir, por razones operativas, el almacenamiento o tratamiento de datos en múltiples lugares en la UE, y dado que el presente Reglamento establece medidas para garantizar la disponibilidad de los datos para fines de control normativo, los Estados miembros no deben poder invocar justificaciones distintas a la seguridad pública.

(13)A fin de garantizar la aplicación efectiva del principio de libre circulación de datos no personales a través de las fronteras e impedir la aparición de nuevos obstáculos al buen funcionamiento del mercado interior, los Estados miembros deben notificar a la Comisión cualquier proyecto de acto que contenga un nuevo requisito de localización de datos o modifique un requisito existente. Estas notificaciones deben presentarse y valorarse de conformidad con el procedimiento establecido en la Directiva (UE) 2015/1535 33 .

(14)Además, a fin de eliminar potenciales obstáculos existentes, durante un período transitorio de doce meses, los Estados miembros deben llevar a cabo una revisión de los vigentes requisitos de localización de datos nacionales y notificar a la Comisión, junto con una justificación, cualquier requisito de localización de datos que consideren que cumple lo dispuesto en el presente Reglamento. Estas comunicaciones deben permitir a la Comisión valorar el cumplimiento de los restantes requisitos de localización de datos.

(15)A fin de garantizar la transparencia de los requisitos de localización de datos en los Estados miembros para las personas físicas y jurídicas, como los proveedores y los usuarios de los servicios de almacenamiento o tratamiento de datos, los Estados miembros deben publicar la información sobre dichas medidas en un punto único de información en línea y actualizarla periódicamente. Con el fin de informar debidamente a las personas físicas y jurídicas de los requisitos de localización de datos en el conjunto de la Unión, los Estados miembros deben notificar a la Comisión las direcciones de dichos puntos en línea. La Comisión debe publicar esta información en su propio sitio web.

(16)Los requisitos de localización de datos están a menudo sustentados por una falta de confianza en el almacenamiento o tratamiento transfronterizo de datos, derivada de la supuesta indisponibilidad de datos para los fines de las autoridades competentes de los Estados miembros, como la inspección y la auditoría en el marco de un control normativo o de vigilancia. Por consiguiente, el presente Reglamento debe establecer meridianamente que no afecta a las competencias de las autoridades competentes de solicitar y recibir acceso a los datos de conformidad con el Derecho nacional o de la Unión, y que el acceso a los datos por parte de las autoridades competentes no puede ser denegado alegando que los datos están almacenados o tratados de otra forma en otro Estado miembro.

(17)Las personas físicas o jurídicas sujetas a la obligación de facilitar datos a las autoridades competentes pueden cumplir tales obligaciones facilitando y garantizando el acceso electrónico efectivo y oportuno a los datos a dichas autoridades, con independencia del Estado miembro en cuyo territorio los datos estén almacenados o tratados de otra forma. Este acceso pueda garantizarse a través de cláusulas y condiciones concretas incluidas en los contratos entre la persona física o jurídica sujeta a la obligación de facilitar el acceso y el proveedor de servicios de almacenamiento o tratamiento de datos.

(18)Cuando una persona física o jurídica sujeta a la obligación de facilitar datos incumpla dicha obligación y a condición de que una autoridad competente haya agotado todos los medios aplicables para obtener el acceso a los datos, la autoridad competente debe poder solicitar la asistencia de las autoridades competentes en otros Estados miembros. En tales casos, las autoridades competentes deben utilizar instrumentos de cooperación específicos incluidos en la legislación de la Unión o en acuerdos internacionales, en función del asunto en un caso concreto, como por ejemplo, en el ámbito de la cooperación policial, justicia penal o civil o en asuntos administrativos, respectivamente, la Decisión Marco 2006/960 34 , la Directiva 2014/41/UE del Parlamento Europeo y del Consejo 35 , el Convenio sobre la Ciberdelincuencia del Consejo de Europa 36 , el Reglamento (CE) n.º 1206/2001 del Consejo 37 , la Directiva 2006/112/CE del Consejo 38 y el Reglamento (UE) n.º 904/2010 del Consejo 39 . En ausencia de tales mecanismos de cooperación específicos, las autoridades competentes deben cooperar entre ellas con el fin de facilitar acceso a los datos solicitados, a través de puntos de contacto únicos designados, a menos que tal intercambio sea contrario al orden público del Estado miembro requerido.

(19)Cuando una solicitud de asistencia implique obtener el acceso a todos los locales de una persona física o jurídica, incluidos cualesquiera equipos y medios de almacenamiento o tratamiento de datos, por la autoridad requerida, dicho acceso debe ajustarse al Derecho de la Unión o al Derecho procesal del Estado miembro, incluido cualquier requisito para obtener autorización judicial previa.

(20)La capacidad para trasladar datos sin trabas es un factor clave que favorece las posibilidades de elección de los usuarios y la competencia efectiva en los mercados de servicios de almacenamiento o tratamiento de datos. Las dificultades reales o percibidas para trasladar datos a través de las fronteras también socava la confianza de los usuarios profesionales en las ofertas transfronterizas y, por tanto, su confianza en el mercado interior. Mientras que las personas físicas y los consumidores se benefician de la legislación vigente de la Unión, los usuarios en el curso de sus actividades empresariales o profesionales no tienen facilidades para cambiar de proveedor de servicios.

(21)Para beneficiarse plenamente del entorno competitivo, los usuarios profesionales deben poder tomar decisiones con conocimiento de causa y comparar fácilmente los componentes individuales de diferentes servicios de almacenamiento o tratamiento de datos ofrecidos en el mercado interior, en particular en lo que atañe a las condiciones contractuales del traslado de datos tras la rescisión de un contrato. A fin de alinearlos con el potencial innovador del mercado y tener en cuenta la experiencia y la competencia de los proveedores y usuarios profesionales de servicios de almacenamiento o tratamiento de datos, la información detallada y los requisitos operativos para el traslado de datos deben ser definidos por los agentes del mercado a través de la autorregulación, fomentada y facilitada por la Comisión, en forma de códigos de conducta de la Unión que puedan dar lugar a cláusulas contractuales modelo. No obstante, si tales códigos de conducta no se ponen en marcha y se aplican efectivamente dentro de un período de tiempo razonable, la Comisión debe revisar la situación.

(22)En aras de una cooperación fluida entre los Estados miembros, cada uno de ellos debe designar un punto de contacto único que sirva de enlace con los puntos de contacto de los demás Estados miembros y la Comisión en relación con la aplicación del presente Reglamento. Cuando una autoridad competente de un Estado miembro solicite la asistencia de otro Estado miembro para acceder a los datos de conformidad con el presente Reglamento, debe presentar una solicitud debidamente motivada al punto de contacto único designado de este último, incluida una explicación por escrito de su justificación y las bases jurídicas para solicitar el acceso a los datos. El punto de contacto único designado por el Estado miembro cuya asistencia se solicita debe facilitar la asistencia entre autoridades mediante la identificación y la transmisión de la solicitud a la autoridad competente pertinente en el Estado miembro requerido. Para garantizar una cooperación eficaz, la autoridad a la que se transmite una solicitud debe prestar asistencia, sin demora indebida, en respuesta a una solicitud determinada o facilitar información sobre las dificultades para satisfacer una solicitud de asistencia o sobre sus motivos para denegar dicha solicitud.

(23)A fin de garantizar la aplicación efectiva del procedimiento de asistencia entre las autoridades competentes de los Estados miembros, la Comisión puede adoptar actos de ejecución que establezcan los formularios normalizados, las lenguas de las solicitudes, los plazos u otros detalles de los procedimientos de solicitud de asistencia. Esas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo 40 .

(24)Aumentar la confianza en la seguridad del almacenamiento o tratamiento de datos transfronterizo debe reducir la propensión de los agentes del mercado y del sector público a utilizar la localización de datos como una variable para la seguridad de los mismos. También debe mejorar la seguridad jurídica de las empresas sobre los requisitos de seguridad aplicables cuando externalizan sus actividades de almacenamiento o tratamiento de datos, incluidos los proveedores de servicios de otros Estados miembros.

(25)Cualesquiera requisitos de seguridad relacionados con el almacenamiento o tratamiento de datos que se apliquen de forma justificada y proporcionada sobre la base del Derecho de la Unión o nacional de conformidad con el Derecho de la Unión en el Estado miembro de residencia o establecimiento de las personas físicas o jurídicas cuyos datos se vean afectados deben seguir aplicándose al almacenamiento o tratamiento de dichos datos en otro Estado miembro. Estas personas físicas o jurídicas deben poder cumplir tales requisitos por sí mismos o a través de cláusulas contractuales en los contratos con los proveedores.

(26) Los requisitos de seguridad establecidos a nivel nacional deben ser necesarios y proporcionales a los riesgos que se planteen para la seguridad del almacenamiento o tratamiento de datos en el ámbito de aplicación del Derecho nacional en el que se establezcan tales requisitos.

(27)La Directiva 2016/1148 41 prevé medidas jurídicas para incrementar el nivel general de ciberseguridad en la Unión. Los servicios de almacenamiento o tratamiento de datos constituyen uno de los servicios digitales cubiertos por dicha Directiva. Según su artículo 16, los Estados miembros deben velar por que los proveedores de servicios digitales determinen y adopten medidas técnicas y organizativas adecuadas y proporcionadas para gestionar los riesgos existentes para la seguridad de las redes y los sistemas de información que utilizan. Tales medidas deben garantizar un nivel de seguridad adecuado en relación con el riesgo planteado, y deben tener en cuenta la seguridad de los sistemas e instalaciones, la gestión de incidentes, la gestión de la continuidad de las actividades, la supervisión, auditorías y pruebas, y el cumplimiento de las normas internacionales. Estos elementos deben ser especificados en detalle por la Comisión en actos de ejecución en virtud de dicha Directiva.

(28)La Comisión debe revisar periódicamente el presente Reglamento, en particular con vistas a determinar si es preciso modificarlo a la luz de los avances tecnológicos o de la evolución del mercado.

(29)El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos, en particular, por la Carta de los Derechos Fundamentales de la Unión Europea, y debe interpretarse y aplicarse de conformidad con dichos derechos y principios, en particular el derecho a la protección de datos de carácter personal (artículo 8), la libertad de empresa (artículo 16) y la libertad de expresión y de información (artículo 11).

(30)Dado que el objetivo del presente Reglamento, a saber, garantizar la libre circulación de datos no personales en la Unión, no puede ser alcanzado de manera suficiente por los Estados miembros, sino que, debido a sus dimensiones y efectos, puede lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dicho objetivo.

HAN ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1
Objeto

El presente Reglamento tiene por objeto garantizar la libre circulación de datos distintos de los datos personales en la Unión mediante el establecimiento de normas relativas a los requisitos de localización de datos, la disponibilidad de los datos para las autoridades competentes y el traslado de datos para los usuarios profesionales.

Artículo 2
Ámbito de aplicación

1.El presente Reglamento se aplicará al almacenamiento o tratamiento de datos electrónicos distintos de los datos personales en la Unión, que sea

a)prestado como un servicio a usuarios que residan o tengan un establecimiento en la Unión, independientemente de si el proveedor está establecido o no en la Unión, o

b)efectuado por una persona física o jurídica que resida o tenga un establecimiento en la Unión para sus propias necesidades.

2.El presente Reglamento no se aplicará a las actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión.

Artículo 3
Definiciones

A los efectos del presente Reglamento, se entenderá por:

1.«datos»: los datos distintos de los datos personales a los que se refiere el artículo 4, apartado 1, del Reglamento (UE) 2016/679;

2.«almacenamiento de datos»: el almacenamiento de datos en formato electrónico;

3.«proyecto de acto»: un texto elaborado con el objetivo de que se convierta en una disposición legal, reglamentaria o administrativa de carácter general, texto que debe encontrarse en una fase de elaboración que permita aún al Estado miembro notificante la posibilidad de efectuar modificaciones de fondo;

4.«proveedor»: toda persona física o jurídica que preste servicios de almacenamiento o tratamiento de datos ;

5.«requisito de localización de datos»: cualquier obligación, prohibición, condición, restricción u otro requisito previsto en las disposiciones legales, reglamentarias o administrativas de los Estados miembros, que imponga la ubicación del almacenamiento o tratamiento de datos en el territorio de un determinado Estado miembro o dificulte el almacenamiento o tratamiento de datos en cualquier otro Estado miembro;

6.«autoridad competente»: la autoridad de un Estado miembro que tiene la facultad de poder acceder para el desempeño de sus funciones oficiales, conforme a lo previsto en el Derecho nacional o de la Unión, a datos almacenados o tratados por una persona física o jurídica;

7.«usuario»: una persona física o jurídica que utiliza o solicita un servicio de almacenamiento o tratamiento de datos;

8.«usuario profesional»: una persona física o jurídica, incluida una entidad del sector público, que utiliza o solicita un servicio de almacenamiento o tratamiento de datos para fines relacionados con su actividad comercial, negocio, oficio, profesión o función.

Artículo 4
Libre movimiento de datos en la Unión

1.La ubicación de datos para su almacenamiento o tratamiento en la Unión no se restringirá al territorio de un Estado miembro específico, y el almacenamiento o tratamiento en cualquier otro Estado miembro no estará prohibido ni restringido, salvo que esté justificado por razones de seguridad pública.

2.Los Estados miembros notificarán a la Comisión cualquier proyecto de acto que introduzca un nuevo requisito de localización de datos o modifique uno existente, de conformidad con los procedimientos establecidos en la legislación nacional de aplicación de la Directiva (UE) 2015/1535.

3.En el plazo de doce meses desde el inicio de la aplicación del presente Reglamento, los Estados miembros velarán por que se derogue cualquier requisito de localización de datos que no se ajuste a lo dispuesto en el apartado 1. Si un Estado miembro considera que un requisito de localización de datos cumple lo dispuesto en el apartado 1 y, por lo tanto, puede seguir en vigor, notificará dicha medida a la Comisión, junto con una justificación para mantenerlo en vigor.

4.Los Estados miembros pondrán a disposición del público para su consulta en línea, a través de un punto de información único que mantendrán actualizado, los detalles de los requisitos de localización de datos aplicables en su territorio.

5.Los Estados miembros notificarán a la Comisión la dirección de sus puntos únicos de información a que se refiere el apartado 4. La Comisión publicará los enlaces a dichos puntos en su sitio web.

Artículo 5
Disponibilidad de datos para las autoridades competentes

1.El presente Reglamento no afectará a las competencias de las autoridades competentes de solicitar y recibir acceso a los datos para el desempeño de sus funciones de conformidad con el Derecho nacional o de la Unión. No podrá denegarse a las autoridades competentes el acceso a los datos alegando que están almacenados o tratados de otra forma en otro Estado miembro.

2.Cuando una autoridad competente haya agotado todos los medios aplicables para obtener el acceso a los datos, podrá solicitar la asistencia de una autoridad competente de otro Estado miembro, de conformidad con el procedimiento previsto en el artículo 7, y la autoridad competente requerida ofrecerá asistencia de conformidad con el procedimiento establecido en el artículo 7, salvo cuando sea contrario al orden público del Estado miembro requerido.

3.Cuando una solicitud de asistencia implique obtener el acceso a todos los locales de una persona física o jurídica, incluidos cualesquiera equipos y medios de almacenamiento o tratamiento de datos, por la autoridad requerida, dicho acceso debe ajustarse al Derecho de la Unión o al Derecho procesal del Estado miembro.

4.El apartado 2 solo se aplicará si no existen mecanismos específicos de cooperación en virtud del Derecho de la Unión o de acuerdos internacionales para el intercambio de datos entre las autoridades competentes de los diferentes Estados miembros.

Artículo 6
Traslado de datos

1.La Comisión fomentará y facilitará la elaboración de códigos de conducta autorreguladores a escala de la Unión, con el fin de definir directrices sobre las mejores prácticas para facilitar el cambio de proveedor y garantizar que los proveedores proporcionen información suficientemente detallada, clara y transparente a los usuarios profesionales antes de firmar un contrato de almacenamiento y tratamiento de datos, en lo que atañe a los siguientes aspectos:

a)los tratamientos, los requisitos técnicos, los plazos y los costes aplicables en caso de que un usuario profesional desee cambiar de proveedor o reintegrar sus datos a sus propios sistemas informáticos, incluidos los tratamientos y la ubicación de copias de seguridad de los datos, los datos de que se dispone, los soportes y formatos de datos disponible, la configuración informática necesaria y el ancho de banda mínimo; el tiempo necesario antes de iniciar el proceso de traslado y el tiempo durante el cual los datos seguirán estando disponibles para su traslado; las garantías de acceso a los datos en caso de quiebra del proveedor; y

b)los requisitos operativos para el cambio de proveedor o el traslado de datos en un formato estructurado, de uso común y lectura mecánica que concedan al usuario tiempo suficiente para efectuar tales operaciones.

2.La Comisión alentará a los proveedores a aplicar efectivamente los códigos de conducta contemplados en el apartado 1 antes de que se cumpla un año de vigencia del Reglamento.

3.La Comisión revisará la elaboración y la aplicación efectiva de estos códigos de conducta y el suministro real de información por los proveedores a más tardar dos años después de que empiece a aplicarse el presente Reglamento.

Artículo 7
Puntos únicos de contacto

1.Cada Estado miembro designará un punto de contacto único que actuará de enlace con los puntos de contacto únicos de los demás Estados miembros y la Comisión en cuanto a la aplicación del presente Reglamento. Los Estados miembros notificarán a la Comisión los puntos de contacto únicos designados y cualquier modificación posterior de los mismos.

2.Los Estados miembros velarán por que los puntos de contacto únicos dispongan de los recursos necesarios para la aplicación del presente Reglamento.

3.Cuando una autoridad competente de un Estado miembro solicite la asistencia de otro Estado miembro para acceder a los datos según el artículo 5, apartado 2, deberá presentar una solicitud debidamente motivada al punto de contacto único designado de este último, incluida una explicación por escrito de su justificación y las bases jurídicas para solicitar el acceso a los datos.

4.El punto de contacto único identificará a la autoridad competente pertinente de su Estado miembro y remitirá la solicitud recibida con arreglo al apartado 3 a dicha autoridad competente. La autoridad requerida deberá, sin demora injustificada:

a)responder a la autoridad competente solicitante y notificar el punto de contacto único de su respuesta e

b)informar al punto de contacto único y a la autoridad competente requirente de las dificultades o, en caso de que la solicitud sea denegada o respondida parcialmente, de los motivos de dicha denegación o respuesta parcial.

5.Toda la información intercambiada en el contexto de la asistencia solicitada y facilitada en virtud del artículo 5, apartado 2, se utilizará únicamente en relación con el asunto para el que se solicitó.

6.La Comisión podrá adoptar actos de ejecución por los que se establezcan formularios normalizados, lenguas de las solicitudes, plazos u otros detalles de los procedimientos para las solicitudes de asistencia. Dichos actos de ejecución se adoptarán con arreglo al procedimiento a que se refiere el artículo 8.

Artículo 8
Comité

1.La Comisión estará asistida por el Comité de libre circulación de datos. Dicho comité será un comité en el sentido del Reglamento (UE) n.º 182/2011.

2.En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.º 182/2011.

Artículo 9
Revisión

1.A más tardar el [cinco años después de la fecha mencionada en el artículo 10, apartado 2], la Comisión llevará a cabo una revisión del presente Reglamento y presentará un informe sobre sus conclusiones principales al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo.

2.Los Estados miembros facilitarán a la Comisión toda la información necesaria para la preparación del informe a que se refiere el apartado 1.

Artículo 10
Disposiciones finales

1.El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

2.El presente Reglamento se aplicará seis meses después de su publicación.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el

(1) El aprendizaje automático es una aplicación de inteligencia artificial (IA) que ofrece a los sistemas la capacidad de aprender y mejorar automáticamente a través de la experiencia sin ser explícitamente programados.

(2) COM(2017) 9, «La construcción de una economía de los datos europea», de 10 de enero de 2017; véase también el documento de trabajo de los servicios de la Comisión que acompaña a la Comunicación, SWD(2017) 2, de 10 de enero de 2017.

(3)

   IDC y Open Evidence, Mercado de los datos europeos, Informe final, 1 de febrero de 2017 (SMART 2013/0063).

(4) Comunicación de la Comisión adoptada el 10 de mayo de 2017 [COM(2017) 228 final].

(5) Los otros servicios de tratamiento de datos incluyen a los proveedores de servicios basados en datos, como la analítica de datos, los sistemas de gestión de datos, etc.

(6) COM/2015/0192 final.

(7) Alocución inaugural en la sesión plenaria del Parlamento Europeo, Estrasburgo, 22 de octubre de 2014.

(8) Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico) (DO L 178 de 17.7.2000, p. 1).

(9) Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior (DO L 376 de 27.12.2006, p. 36).

(10) LE Europe Study (SMART 2015/0016) e IDC Study (SMART 2013/0063).

(11) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(12) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(13) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(14) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(15) COM(2017) 228 final.

(16) COM(2016) 178 final, «Iniciativa Europea de Computación en la Nube: construir en Europa una economía competitiva de los datos y del conocimiento», de 19 de abril de 2016.

(17) COM(2017) 134 final, «Marco Europeo de Interoperabilidad – Estrategia de aplicación», de 23 de marzo de 2017.

(18) COM(2014) 72 final, «La política y la gobernanza de Internet - El papel de Europa en la configuración de la gobernanza de Internet»,  http://eur lex.europa.eu/legalcontent/EN/ALL/?uri=COM:2014:0072:FIN  

(19)

   Se recabó información económica adicional a través de un estudio sobre el impacto económico de la computación en la nube en Europa (SMART 2014/0031, Deloitte, «Medición del impacto económico de la computación en la nube en Europa», 2016).

(20) A esta pregunta de respuesta múltiple de la consulta pública respondieron 289 partes interesadas. Los encuestados no fueron preguntados sobre el tipo de medida legislativa, pero doce partes interesadas, por iniciativa propia, tuvieron la posibilidad de solicitar explícitamente un Reglamento en un comentario escrito. La naturaleza de este grupo de partes interesadas era diversa: dos Estados miembros, tres asociaciones empresariales, seis proveedores de servicios informáticos y un bufete de abogados.

(21) SMART 2015/0054, TimeLex, Spark y Tech4i, «Flujo transfronterizo de datos en el mercado único digital: Estudio sobre las restricciones de localización de datos», D5. Informe final (en curso) [TimeLex Study (SMART 2015/0054)]; SMART 2015/0016, London Economics Europe, Carsa y CharlesRussellSpeechlys, «Facilitar el flujo transfronterizo de datos en el mercado único digital», 2016 (en curso) [LE Europa Study (SMART 2015/0016)].

(22) SMART 2016/0032, IDC y Arthur's Legal, «Cambio entre proveedores de servicios en la nube», 2017 (en curso) [IDC y Arthur's Legal Study (SMART 2016/0032)].

(23) SMART 2016/0029 (en curso), Tecnalia, «Regímenes de certificación para la computación en la nube,» D6.1 Informe inicial.

(24) SMART 2014/0031, Deloitte, «Medición del impacto económico de la computación en la nube en Europa», 2016 [Deloitte Study (SMART 2014/0031)].

(25) SMART 2013/43, IDC, «Incorporación de la computación en la nube en Europa. Seguimiento del estudio de IDC sobre estimaciones cuantitativas de la demanda de computación en la nube en Europa y de los posibles obstáculos para su aceptación», 2014, disponible en: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=9742 ; SMART 2011/0045, IDC, «Estimaciones cuantitativas de la demanda de computación en la nube en Europa y de los posibles obstáculos para su aceptación» (julio de 2012).

(26) SMART 2013/0063, IDC y Open Evidence, «Mercado europeo de datos. Propiedad de los datos y acceso a los mismos - Cuestiones emergentes clave», 1 de febrero de 2017 [IDC Study (SMART 2013/0063)].

(27) SMART 2015/0018, TimeLex, Spark, «Aclaración del marco jurídico aplicable a las acciones de plena regulación, corregulación o autorregulación en el sector de la computación en la nube» (en curso).

(28) DO C […] de […], p. […].

(29) DO C […] de […], p. […].

(30) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).

(31) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

(32) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

(33) Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información (DO L 241 de 17.9.2015, p. 1).

(34) Decisión marco 2006/960/JAI del Consejo, de 18 de diciembre de 2006, sobre la simplificación del intercambio de información e inteligencia entre los servicios de seguridad de los Estados miembros de la Unión Europea (DO L 386 de 29.12.2006, p. 89).

(35) Directiva 2014/41/UE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la orden europea de investigación en materia penal (DO L 130 de 1.5.2014, p. 1).

(36) Convenio sobre la Ciberdelincuencia del Consejo de Europa, STCE n.º 185.

(37) Reglamento (CE) n.º 1206/2001 del Consejo, de 28 de mayo de 2001, relativo a la cooperación entre los órganos jurisdiccionales de los Estados miembros en el ámbito de la obtención de pruebas en materia civil o mercantil (DO L 174 de 27.6.2001, p. 1).

(38) Directiva 2006/112/CE del Consejo, de 28 de noviembre de 2006, relativa al sistema común del impuesto sobre el valor añadido (DO L 347 de 11.12.2006, p. 1).

(39) Reglamento (UE) n.º 904/2010 del Consejo, de 7 de octubre de 2010, relativo a la cooperación administrativa y la lucha contra el fraude en el ámbito del impuesto sobre el valor añadido ( DO L 268 de 12.10.2010 , p. 1).

(40) Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(41) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a medidas para garantizar un elevado nivel común de seguridad de las redes y de la información en la Unión (DO L 194 de 19.7.2016, p. 1).