COMISIÓN EUROPEA
Bruselas, 25.11.2020
COM(2020) 767 final
2020/0340(COD)
Propuesta de
REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO
relativo a la gobernanza europea de datos
(Ley de Gobernanza de Datos)
(Texto pertinente a efectos del EEE)
{SEC(2020) 405 final} - {SWD(2020) 295 final} - {SWD(2020) 296 final}
EXPOSICIÓN DE MOTIVOS
1.CONTEXTO DE LA PROPUESTA
•Razones y objetivos de la propuesta
La presente exposición de motivos acompaña a la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la gobernanza de datos 1 . Se trata de la primera de las medidas anunciadas en la Estrategia Europea de Datos de 2020 2 . El objetivo de este instrumento es ampliar la disponibilidad de datos con miras a su utilización, mediante el aumento de la confianza en los intermediarios de datos y el refuerzo de los mecanismos para el intercambio de datos en el conjunto de la UE. El instrumento aborda las situaciones que se exponen a continuación:
-La cesión de datos del sector público para su reutilización, en los casos en que esos datos estén sujetos a derechos de terceros 3 .
-El intercambio de datos entre empresas a cambio de algún tipo de remuneración.
-La cesión de datos personales con ayuda de un «intermediario de datos personales», cuya labor consistirá en ayudar a los particulares a ejercer los derechos que les confiere el Reglamento General de Protección de Datos (RGPD).
-La cesión de datos con fines altruistas.
•Coherencia con las disposiciones existentes en la misma política sectorial
Esta iniciativa se refiere a distintos tipos de intermediarios de datos que gestionan datos tanto personales como no personales. Por tanto, la interacción con la legislación sobre datos personales reviste especial importancia. Con el Reglamento General de Protección de Datos (RGPD) 4 y la Directiva sobre la privacidad y las comunicaciones electrónicas 5 , la UE ha implantado un marco jurídico sólido y de confianza para la protección de los datos personales que, además, sirve de referencia a nivel mundial.
La presente propuesta completa la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (Directiva sobre datos abiertos) 6 . En la presente propuesta quedan comprendidos los datos en posesión de organismos del sector público que están sujetos a derechos de terceros y, por tanto, no entran dentro del ámbito de aplicación de esa Directiva. La propuesta tiene vínculos lógicos y coherentes con las demás iniciativas anunciadas en la Estrategia Europea de Datos. Su objetivo consiste en facilitar el intercambio de datos, entre otras cosas reforzando la confianza en los intermediarios de datos que intervendrán en los distintos espacios de datos. No pretende conceder, modificar ni suprimir derechos sustanciales de acceso y utilización de datos. Este tipo de medidas serán reguladas posiblemente en una Ley de Datos (2021) 7 .
El instrumento se inspira en los principios de gestión y reutilización de datos desarrollados respecto a los datos de investigación. Los principios FAIR para los datos 8 establecen que esos datos han de ser, en principio, fáciles de encontrar, accesibles, interoperables y reutilizables.
•Coherencia con otras políticas de la Unión
Se ha adoptado y/o se está preparando legislación sectorial específica sobre el acceso a los datos en determinados ámbitos para hacer frente a las disfunciones de mercado identificadas, tales como el sector de la automoción 9 , los proveedores de servicios de pago 10 , la información en materia de medición inteligente 11 , los datos de la red eléctrica 12 , los sistemas de transporte inteligente 13 , la información medioambiental 14 , la información espacial 15 y el sector sanitario 16 . La presente propuesta respalda la utilización de los datos divulgados con arreglo a las normas vigentes sin alterar esas normas ni crear nuevas obligaciones sectoriales.
La propuesta se entiende sin perjuicio del Derecho de competencia y de las disposiciones de la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior 17 , y está en consonancia con los artículos 101 y 102 del TFUE.
2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD
•Base jurídica
La base jurídica pertinente para el presente Reglamento es el artículo 114 del Tratado de Funcionamiento de la Unión Europea (TFUE). En virtud de dicha disposición, la UE puede adoptar medidas relativas a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros que tengan por objeto el establecimiento y el funcionamiento del mercado interior de la UE. La presente iniciativa forma parte de la Estrategia Europea de Datos de 2020, cuyo objetivo es reforzar el mercado único de datos. Con la creciente digitalización de la economía y la sociedad, existe el riesgo de que los Estados miembros legislen cada vez más aspectos relativos a los datos de manera descoordinada, lo que agravaría la fragmentación del mercado único. La creación de estructuras y mecanismos de gobernanza, que asegurarán un planteamiento coordinado de la utilización transnacional e intersectorial de datos, ayudará a las partes interesadas en la economía de los datos a aprovechar la dimensión del mercado único. Contribuirá al establecimiento del mercado único de datos por cuanto propiciará que surjan servicios innovadores que operen a través de las fronteras sobre la base de un conjunto de disposiciones armonizadas.
Las políticas digitales son una competencia compartida entre la Unión y sus Estados miembros. El artículo 4, apartados 2 y 3, del TFUE establece que la Unión puede ejercer actividades específicas en los ámbitos del mercado único y del desarrollo tecnológico, sin perjuicio de la libertad de los Estados miembros para actuar en los mismos ámbitos.
•Subsidiariedad (en el caso de competencia no exclusiva)
Las empresas a menudo necesitan datos de varios Estados miembros para desarrollar productos y servicios que se extiendan al conjunto de la UE, pues las muestras de datos disponibles en un solo Estado miembro no suelen tener la riqueza y diversidad que permiten el reconocimiento de patrones o el aprendizaje automático a partir de macrodatos. Además, es posible que los productos y servicios basados en datos desarrollados en un Estado miembro deban personalizarse para adaptarse a las preferencias de los consumidores de otro Estado miembro, lo que requiere disponer de datos locales a nivel nacional. Por tanto, los datos deben poder fluir con agilidad por cadenas de valor transfronterizas e intersectoriales, para las cuales un entorno legislativo ampliamente armonizado es esencial. Además, habida cuenta del carácter transfronterizo y de la importancia del intercambio de datos, solo una actuación a escala de la Unión puede garantizar el despegue de un modelo europeo de intercambio de datos, con intermediarios de datos de confianza que gestionen el intercambio de datos entre empresas y los espacios de datos personales.
Un mercado único de datos debe garantizar que los datos del sector público, de las empresas y de los ciudadanos puedan estar disponibles y ser utilizados de la manera más eficaz y responsable posible, mientras las empresas y los ciudadanos mantienen el control sobre los datos que generan y se preservan las inversiones realizadas para su recopilación. Gracias a un mayor acceso a los datos, las empresas y los organismos de investigación impulsarían avances científicos e innovaciones en el mercado representativos para el conjunto de la UE, lo que reviste especial importancia ante situaciones en las que la actuación coordinada de la UE resulta necesaria, como en la crisis de la COVID-19.
•Proporcionalidad
La iniciativa guarda proporción con los objetivos perseguidos. La legislación propuesta crea un marco facilitador que no excede de lo necesario para alcanzar esos objetivos. Armoniza una serie de prácticas de intercambio de datos y, al mismo tiempo, respeta la prerrogativa de los Estados miembros de organizar su administración y de regular el acceso a la información del sector público. El marco de notificación para los intermediarios de datos y los mecanismos para la cesión de datos con fines altruistas sirven para potenciar la confianza en esos servicios, sin restringir innecesariamente esas actividades, y contribuyen a desarrollar un mercado interior en este ámbito. Además, la iniciativa ofrecerá un considerable margen de flexibilidad para la aplicación a nivel sectorial y, en particular, para el futuro desarrollo de espacios europeos de datos.
El Reglamento propuesto generará costes financieros y administrativos que deberán ser sufragados principalmente por las autoridades nacionales, aunque en cierta medida también recaerán en los usuarios de los datos y en los proveedores de servicios de intercambio de datos, con el fin de garantizar el cumplimiento de las obligaciones establecidas en el presente Reglamento. Con todo, la exploración de distintas opciones y de sus costes y beneficios previstos ha permitido conseguir un instrumento equilibrado. La propuesta brindará a las autoridades nacionales la flexibilidad suficiente para decidir acerca del nivel de inversión financiera y para considerar las distintas posibilidades de recuperar esos coses mediante cánones o tasas administrativas, al tiempo que ofrecerá una coordinación general a escala de la UE. De igual modo, los costes para los usuarios de los datos y para los proveedores de servicios de intercambio de datos se compensarán con el valor generado gracias a una mayor disponibilidad y utilización de datos y a la introducción de servicios innovadores en el mercado.
•Elección del instrumento
La elección de un Reglamento como instrumento legislativo se justifica por el predominio de elementos que exigen una aplicación uniforme que no deja margen a los Estados miembros para su aplicación y crea un marco completamente horizontal. Entre estos elementos destacan el marco de notificación para los proveedores de servicios de intercambio de datos, los mecanismos para la cesión altruista de datos, los principios básicos aplicables a la reutilización de datos del sector público que no pueden divulgarse como datos abiertos o no están sujetos a legislación sectorial específica de la UE, y el establecimiento de estructuras de coordinación a nivel europeo. La aplicabilidad directa del Reglamento evitaría a los Estados miembros entablar un proceso de ejecución, con sus plazos correspondientes, y permitiría establecer los espacios comunes europeos de datos en un futuro próximo, de conformidad con el plan de recuperación de la UE 18 .
Al mismo tiempo, las disposiciones del Reglamento no son excesivamente prescriptivas y dejan un cierto margen a los Estados miembros en cuanto al nivel de intervención en elementos que no menoscaban los objetivos de la iniciativa, en particular respecto a la organización de los organismos competentes que apoyan a los organismos del sector público en sus tareas relacionadas con la reutilización de determinadas categorías de datos de este último.
3.RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE IMPACTO
•Consultas con las partes interesadas
El 19 de febrero de 2020, el día en que se adoptó la Estrategia Europea de Datos 19 , se abrió una consulta pública en línea que se cerró el 31 de mayo de 2020. La consulta, en la que se indicaba explícitamente que se organizaba para preparar la presente iniciativa, abordaba los elementos comprendidos en la iniciativa, con sus correspondientes secciones y preguntas. Iba dirigida a todos los tipos de partes interesadas.
La Comisión recibió en total 806 contribuciones, de las cuales 219 procedían de empresas, 119 de asociaciones empresariales, 201 de ciudadanos de la UE, 98 de instituciones académicas / organismos de investigación, y 57 de autoridades públicas. Las opiniones de los consumidores estuvieron representadas por 7 participantes, y participaron 54 organizaciones no gubernamentales (incluidas 2 organizaciones de defensa del medio ambiente). De las 219 empresas / organizaciones empresariales, el 43,4 % eran pymes. En conjunto, el 92,2 % de las respuestas procedían de la EU-27. Muy pocos consultados indicaron si su organización era de ámbito local, regional, nacional o internacional.
Se presentaron 230 documentos de posición, bien adjuntos a las respuestas al cuestionario (210), bien como contribuciones autónomas (20). Los documentos ofrecían diversos puntos de vista sobre los temas abordados en el cuestionario en línea, particularmente sobre la gobernanza de los espacios comunes de datos. Se pronunciaban sobre los principios esenciales de esos espacios y mostraban un amplio apoyo a la priorización de las normas y al concepto de cesión de datos con fines altruistas. Además, señalaban la necesidad de establecer salvaguardias al elaborar las medidas sobre los intermediarios de datos.
•Obtención y uso de asesoramiento especializado
A fin de explorar con los expertos pertinentes las condiciones marco para la creación de espacios comunes europeos de datos en los sectores correspondientes, en 2019 se organizaron diez talleres, que se completaron con otro celebrado en mayo de 2020. Con una participación total de más de 300 partes interesadas, procedentes sobre todo de los sectores público y privado, en estos talleres se analizaron diversos ámbitos (agricultura, salud, finanzas/banca, energía, transporte, sostenibilidad/medio ambiente, servicios públicos, fabricación inteligente) y algunos aspectos transversales (ética en materia de datos, mercados de datos). Los servicios de la Comisión que se ocupan de estas materias participaron en estos eventos. Los talleres sectoriales ayudaron a definir los elementos comunes a todos los sectores, que deben quedar sujetos a un marco de gobernanza horizontal.
•Evaluación de impacto
Se realizó una evaluación de impacto de la presente propuesta. El 9 de septiembre de 2020, el Comité de Control Reglamentario emitió un dictamen negativo. El 5 de octubre de 2020, emitió un dictamen positivo con reservas.
La evaluación de impacto examina las hipótesis de base, las opciones de actuación y sus efectos en cuatro áreas de intervención, a saber: a) mecanismos para ampliar la reutilización de datos del sector público que no pueden divulgarse como datos abiertos, b) un marco de certificación o etiquetado para los intermediarios de datos, c) medidas para facilitar la cesión de datos con fines altruistas, y d) mecanismos para coordinar y dirigir los aspectos horizontales de la gobernanza mediante una estructura a escala de la UE.
La opción de actuación 1, que consiste en una coordinación a escala de la UE con medidas reguladoras no vinculantes, se consideró insuficiente para todas las áreas de intervención por cuanto no cambiaría de manera significativa la situación con respecto a la hipótesis de base. El análisis principal se centró, por tanto, en las opciones de actuación 2 y 3, que consistían en una intervención reguladora de intensidad baja y alta, respectivamente. La opción preferida resultó ser una combinación de intervenciones reguladoras de menor y mayor intensidad, tal como se expone a continuación.
Respecto a los mecanismos para ampliar la utilización de determinados datos del sector público sujetos a derechos de terceros, tanto la opción de baja intensidad como la de alta intensidad introducirían normas a escala de la UE para la reutilización de esos datos (en particular, la no exclusividad). La intervención reguladora de baja intensidad exigiría que cada organismo del sector público que autorizara este tipo de reutilización tuviera equipos técnicos que aseguraran la plena preservación de la protección de datos, la privacidad y la confidencialidad. Asimismo, impondría a los Estados miembros la obligación de prever como mínimo un mecanismo de ventanilla única para tramitar las solicitudes de acceso a esos datos, aunque sin fijar sus modalidades institucionales y administrativas exactas. La opción de alta intensidad habría supuesto el establecimiento de un único organismo responsable de la autorización de datos por Estado miembro. Teniendo en cuenta los costes y las dificultades que implicaba esta última opción desde el punto de vista de la viabilidad, se optó por la intervención reguladora de menor intensidad.
En relación con la certificación o el etiquetado de los intermediarios de datos de confianza, se previó una intervención reguladora de menor intensidad consistente en un mecanismo de etiquetado de carácter voluntario en virtud del cual las autoridades competentes designadas por los Estados miembros (que podrían ser también los mecanismos de ventanilla única establecidos para la ampliación de la reutilización de datos del sector público) llevarían a cabo un control del cumplimiento de los requisitos de obtención y de concesión de la etiqueta. La intervención reguladora de alta intensidad consistía en un régimen de certificación obligatorio gestionado por organismos privados de evaluación de la conformidad. Teniendo en cuenta que un régimen obligatorio generaría costes más elevados, esta opción podría tener un efecto prohibitivo en las pymes y empresas emergentes, a lo que se añade que el mercado no ha alcanzado el grado de madurez necesario para la implantación de un régimen de certificación obligatorio; por tanto, se estimó que la opción preferida era la intervención reguladora de menor intensidad. Ahora bien, la intervención reguladora de mayor intensidad en forma de régimen de certificación obligatorio también se consideró una alternativa viable por cuanto aportaría una confianza mucho mayor en el funcionamiento de los intermediarios de datos y establecería normas claras sobre el modo de operar de esos intermediarios en el mercado europeo de datos. Tras un debate posterior en la Comisión, se optó por una solución intermedia. Esta solución consiste en una obligación de notificación acompañada de un seguimiento ex post, por parte de las autoridades competentes de los Estados miembros, del cumplimiento de los requisitos para el ejercicio de las actividades correspondientes. La solución presenta las ventajas de un régimen obligatorio y, al mismo tiempo, limita la carga reglamentaria que recae en los operadores del mercado.
En el caso de la cesión altruista de datos, la intervención reguladora de baja intensidad consistía en un marco de certificación voluntario para las organizaciones que deseen ofrecer esos servicios, mientras que la de alta intensidad preveía un marco de autorización obligatorio. Esta última opción propiciaría un mayor grado de confianza en la cesión de datos, que podría contribuir a que los interesados y las empresas cedieran más datos, y generaría más actividades de investigación y desarrollo manteniendo los costes en un nivel similar; por tanto, se eligió como opción preferida en la evaluación de impacto para esta área de intervención. Ahora bien, el debate posterior en la Comisión puso de relieve otras inquietudes acerca de la posible carga administrativa para las organizaciones dedicadas a la gestión de datos con fines altruistas, y en torno a la relación de las obligaciones previstas con otras futuras iniciativas sectoriales en el ámbito de la cesión de datos con fines altruistas. En consecuencia, se retuvo una solución alternativa que otorga a las organizaciones de gestión de datos con fines altruistas la posibilidad de registrarse como «organización de gestión de datos con fines altruistas reconocida en la Unión». Este mecanismo voluntario contribuirá a reforzar la confianza y, al mismo tiempo, supondrá una carga administrativa menor que la de ambos marcos de autorización, el obligatorio y el voluntario.
Por último, en lo que respecta al mecanismo europeo de gobernanza horizontal, la intervención reguladora de baja intensidad se refería a la creación de un grupo de expertos, mientras que la de alta intensidad consistía en la creación de una estructura independiente con personalidad jurídica (similar al Comité Europeo de Protección de Datos). Dados los elevados costes y la escasa viabilidad política de la opción de mayor intensidad, se seleccionó la de baja intensidad.
El estudio de apoyo a la evaluación de impacto 20 reveló que, frente a una hipótesis de base en la que la economía de los datos y el valor económico del intercambio de datos crecerán hasta un importe estimado en 533 000 millones EUR (el 3,87 % del PIB), con la opción combinada —la preferida— crecerán hasta situarse entre 540 700 y 544 400 millones EUR (entre el 3,92 % y el 3,95 % del PIB). Estas cifras solo tienen en cuenta en una medida limitada los beneficios posteriores en términos de mejores productos, mayor productividad y nuevas maneras de afrontar los desafíos sociales (p. ej., el cambio climático). De hecho, es muy probable que esos beneficios sean mucho mayores que los beneficios directos.
Al mismo tiempo, esta opción combinada permitiría crear un modelo europeo de intercambio de datos que ofrecería un planteamiento alternativo al modelo de negocio actual de las plataformas tecnológicas integradas, gracias a la presencia de intermediarios de datos neutrales. Esta iniciativa puede marcar la diferencia de cara a la economía de los datos, pues generará confianza en el intercambio de datos e incentivará el desarrollo de espacios comunes europeos de datos, en los que las personas físicas y jurídicas mantendrán el control sobre los datos que generen.
•Derechos fundamentales
Habida cuenta de que los datos personales entran en el ámbito de aplicación de algunos elementos del Reglamento, las medidas están diseñadas de tal manera que se ajustan plenamente a la legislación de protección de datos y, de hecho, en la práctica refuerzan el control que las personas físicas ejercen sobre los datos que generan.
En relación con la ampliación de la reutilización de datos del sector público, se respetarán los derechos fundamentales de protección de datos, privacidad y propiedad (a saber, los derechos de propiedad de determinados datos como, por ejemplo, datos comerciales confidenciales o datos protegidos por derechos de propiedad intelectual). Por su parte, los proveedores de servicios de intercambio de datos que ofrezcan servicios a los interesados deberán cumplir las normas aplicables en materia de protección de datos.
El marco de notificación para los intermediarios de datos afectaría a la libertad de ejercer una actividad comercial por cuanto impondría restricciones en forma de diversas exigencias como requisito previo para el ejercicio de actividades por parte de esas entidades.
4.REPERCUSIONES PRESUPUESTARIAS
La presente iniciativa no conlleva repercusión presupuestaria alguna.
5.OTROS ELEMENTOS
•Planes de ejecución y modalidades de seguimiento, evaluación e información
Dado el carácter dinámico de la economía de los datos, el seguimiento de la evolución de los efectos es un elemento esencial de la intervención en este ámbito. Para garantizar que las medidas de actuación seleccionadas arrojen los resultados previstos y para articular las posibles futuras revisiones, el seguimiento y la evaluación de la aplicación del presente Reglamento resultan necesarios.
El seguimiento de los objetivos específicos y de las obligaciones reglamentarias se llevará a cabo mediante encuestas representativas a las partes interesadas y a través de la labor del centro de apoyo para el intercambio de datos, de los registros del Comité Europeo de Innovación en los Datos sobre las distintas áreas de intervención notificadas por las autoridades nacionales específicas y de un estudio de evaluación en apoyo de la revisión del instrumento.
•Explicación detallada de las disposiciones específicas de la propuesta
El capítulo I define el objeto del Reglamento y establece las definiciones utilizadas a lo largo del acto.
El capítulo II crea un mecanismo para la reutilización de determinadas categorías de datos protegidos del sector público, que queda supeditada al respeto de los derechos de terceros (especialmente por razones de protección de datos personales, pero también de protección de derechos de propiedad intelectual y de confidencialidad comercial). Este mecanismo se entiende sin perjuicio de la legislación sectorial de la UE sobre el acceso a esos datos y su reutilización. La reutilización de esos datos no entra dentro del ámbito de aplicación de la Directiva (UE) 2019/1024 (Directiva sobre datos abiertos). Las disposiciones de este capítulo no generan el derecho a reutilizar esos datos, sino que prevén una serie de condiciones básicas armonizadas en las que puede permitirse su reutilización (p. ej., el requisito de no exclusividad). Los organismos del sector público que autoricen este tipo de reutilización deberán tener equipos técnicos que aseguren la plena preservación de la protección de datos, la privacidad y la confidencialidad. Los Estados miembros deberán establecer un punto de contacto único que apoye a los investigadores y a las empresas innovadoras en la identificación de datos adecuados, así como implantar estructuras que apoyen a los organismos del sector público con medios técnicos y asistencia jurídica.
El capítulo III tiene por objetivo reforzar la confianza en el intercambio de datos personales y no personales y reducir los costes de las transacciones ligadas al intercambio de datos entre empresas y entre consumidores y empresas mediante la creación de un régimen de notificación para los proveedores de servicios de intercambio de datos. Esos proveedores deberán cumplir una serie de requisitos, en particular el de mantener su neutralidad respecto a los datos intercambiados. No podrán utilizar esos datos para otros fines. En el caso de los proveedores de servicios de intercambio de datos que ofrezcan servicios a personas físicas, deberán cumplir el criterio adicional de asumir obligaciones fiduciarias respecto a quienes utilicen esos datos.
Con este planteamiento se pretende asegurar que los servicios de intercambio de datos funcionen de manera abierta y colaborativa y que, al mismo tiempo, se empodere a las personas físicas y jurídicas brindándoles una visión general más completa y un mejor control de sus datos. Una autoridad competente designada por los Estados miembros tendrá la responsabilidad de vigilar el cumplimiento de los requisitos aplicables a la prestación de esos servicios.
El capítulo IV facilita la cesión de datos con fines altruistas (la puesta de datos a disposición del bien común, de forma voluntaria, por parte de particulares o empresas). Establece la posibilidad de que las organizaciones de gestión de datos con fines altruistas se registren como «organizaciones de gestión de datos con fines altruistas reconocidas en la Unión» para reforzar la confianza en sus operaciones. Además, se elaborará un formulario europeo de consentimiento para la cesión altruista de datos con objeto de reducir los costes que implica recabar el consentimiento y de facilitar la portabilidad de los datos (cuando los datos que vayan a ser cedidos no estén en posesión de la persona).
El capítulo V fija los requisitos de funcionamiento de las autoridades competentes designadas para el seguimiento y la aplicación del marco de notificación aplicable a los proveedores de servicios de intercambio de datos y a las entidades que desempeñen actividades de cesión altruista de datos. Además, este capítulo regula el derecho a presentar reclamaciones contra las decisiones de esos organismos y las vías de recurso judicial.
El capítulo VI crea un grupo de expertos formal (el «Comité Europeo de Innovación en los Datos»), que facilitará el desarrollo de las mejores prácticas por parte de las autoridades de los Estados miembros en lo que respecta, entre otras cosas, a la tramitación de solicitudes de reutilización de datos sujetos a derechos de terceros (capítulo II), a la necesidad de garantizar una práctica coherente en relación con el marco de notificación aplicable a los proveedores de servicios de intercambio de datos (capítulo III), y a la cesión altruista de datos (capítulo IV). El grupo de expertos formal tendrá como misión adicional la de apoyar y asesorar a la Comisión en lo relativo a la gobernanza de la normalización intersectorial y a la preparación de solicitudes de normalización intersectorial estratégica. Asimismo, este capítulo regula la composición del Comité y organiza su funcionamiento.
El capítulo VII permite a la Comisión adoptar actos de ejecución relativos al formulario europeo de consentimiento para la cesión altruista de datos.
El capítulo VIII contiene una serie de disposiciones transitorias para el funcionamiento del régimen general de autorización de los proveedores de servicios de intercambio de datos, así como disposiciones finales.
2020/0340 (COD)
Propuesta de
REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO
relativo a la gobernanza europea de datos
(Ley de Gobernanza de Datos)
(Texto pertinente a efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el Dictamen del Comité Económico y Social Europeo 21 ,
Visto el Dictamen del Comité de las Regiones 22 ,
De conformidad con el procedimiento legislativo ordinario,
Considerando lo siguiente:
(1)El Tratado de Funcionamiento de la Unión Europea («TFUE») prevé la creación de un mercado interior y la instauración de un sistema que impida el falseamiento de la competencia en dicho mercado. La introducción de normas y prácticas comunes en los Estados miembros en relación con la creación de un marco para la gobernanza de datos debe contribuir a la consecución de estos objetivos.
(2)A lo largo de los últimos años, las tecnologías digitales han transformado la economía y la sociedad, lo que ha tenido efectos en todos los sectores de actividad y la vida cotidiana. Los datos son elementos centrales de esta transformación: la innovación basada en los datos reportará enormes beneficios a los ciudadanos, por ejemplo, mediante la mejora de la medicina personalizada, la nueva movilidad y su contribución al Pacto Verde Europeo 23 . En su Estrategia Europea de Datos 24 , la Comisión describía la visión de un espacio común europeo de datos, un mercado único de datos en el que estos pudieran utilizarse independientemente de su ubicación física de almacenamiento en la Unión de conformidad con la legislación aplicable. Además, instaba al flujo libre y seguro de datos con terceros países, con sujeción a las excepciones y restricciones en materia de seguridad pública, orden público y otros objetivos legítimos de política pública de la Unión Europea, en consonancia con sus obligaciones internacionales. A fin de hacer realidad esta visión, propone crear espacios comunes europeos de datos en ámbitos específicos, que constituirán el marco concreto para posibilitar el intercambio y la puesta en común de los datos. Tal como se prevé en la Estrategia, estos espacios comunes europeos de datos pueden abarcar ámbitos como la salud, la movilidad, la producción industrial, los servicios financieros, la energía o la agricultura, o áreas temáticas como el Pacto Verde Europeo, los espacios europeos de datos para la Administración Pública o las capacidades.
(3)Resulta necesario mejorar las condiciones para la puesta en común de datos en el mercado interior, mediante la creación de un marco armonizado para su intercambio. La legislación sectorial puede crear, adaptar y proponer elementos nuevos y complementarios, dependiendo de las particularidades de cada sector, como sucede con la legislación prevista en torno a un espacio europeo de datos sobre la salud 25 o el acceso a los datos integrados en los vehículos. Además, algunos sectores de la economía ya están regulados por legislación sectorial de la Unión que incluye normas relativas al intercambio de datos o al acceso a estos con carácter transfronterizo o a escala de la Unión 26 . El presente Reglamento debe, por tanto, entenderse sin perjuicio del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo 27 , y, en particular, su ejecución no impedirá las transferencias transfronterizas de datos previstas en el capítulo V de este último; la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo 28 ; la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo 29 ; el Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo 30 ; el Reglamento (CE) n.º 223/2009 del Parlamento Europeo y del Consejo 31 ; la Directiva 2000/31/CE del Parlamento Europeo y del Consejo 32 ; la Directiva 2001/29/CE del Parlamento Europeo y del Consejo 33 ; la Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo 34 ; la Directiva 2004/48/CE del Parlamento Europeo y del Consejo 35 ; la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo 36 ; el Reglamento 2018/858/UE del Parlamento Europeo y del Consejo 37 ; la Directiva 2010/40/UE del Parlamento Europeo y del Consejo 38 y los Reglamentos Delegados adoptados con arreglo a esta, así como toda otra legislación sectorial específica de la Unión que regule el acceso a los datos y su reutilización. El presente Reglamento debe entenderse sin perjuicio del acceso a los datos y su utilización con fines de cooperación internacional en el ámbito de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o la ejecución de sanciones penales. Debe crearse un régimen horizontal para la reutilización de determinadas categorías de datos protegidos que obren en poder de organismos del sector público, y la prestación de servicios de intercambio de datos y de servicios basados en la cesión altruista de datos en la Unión. Puede que las características específicas de los distintos sectores requieran un diseño de sistemas sectoriales de datos, que se fundamenten al mismo tiempo en los requisitos establecidos en el presente Reglamento. Cuando un acto legislativo de la Unión, específico de un sector, exija a los organismos del sector público, los proveedores de servicios de intercambio de datos o las entidades inscritas como prestadoras de servicios relacionados con la cesión altruista de datos cumplir determinados requisitos técnicos, administrativos u organizativos adicionales de carácter específico, incluido mediante un régimen de autorización o certificación, las disposiciones de dicho acto deben ser igualmente de aplicación.
(4)Se requieren medidas a escala de la Unión a fin de abordar los obstáculos al buen funcionamiento de la economía de los datos y crear un marco de gobernanza de la Unión para el acceso a los datos y su uso, especialmente en lo relativo a la reutilización de determinados tipos de datos en poder del sector público, la prestación de servicios a los usuarios profesionales y los interesados por parte de los proveedores de servicios de intercambio de datos, así como la recogida y el tratamiento de datos cedidos con fines altruistas por personas físicas y jurídicas.
(5)La idea de que los datos que hayan sido generados con cargo a los presupuestos públicos deban beneficiar a la sociedad ha formado parte de las estrategias de la Unión durante mucho tiempo. La Directiva (UE) 2019/1024 y la legislación sectorial específica velan por que el sector público haga que una mayor cantidad de los datos que genera estén fácilmente disponibles para su uso y reutilización. No obstante, las bases de datos públicas contienen determinadas categorías de datos —los datos comerciales confidenciales, las informaciones amparadas por el secreto estadístico o los datos protegidos por derechos de propiedad intelectual de terceros, como los secretos comerciales y los datos personales que no sean accesibles con arreglo a legislación nacional o de la Unión específica, como el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680— que a menudo no están disponibles, ni siquiera para actividades de investigación o innovación. Dado el carácter sensible de estos datos, antes de facilitarlos deben cumplirse algunos requisitos de procedimiento técnicos y jurídicos, a fin de garantizar el respeto de los derechos de terceros en torno a ellos. En general, cumplir tales requisitos requiere mucho tiempo y conocimientos amplios, lo que ha supuesto una infrautilización de este tipo de datos. Mientras que algunos Estados miembros están creando estructuras, estableciendo procedimientos y, en ocasiones, legislando para facilitar la mencionada reutilización, esta situación no se da en toda la Unión.
(6)Existen técnicas que permiten realizar análisis, respetando la privacidad, en las bases de datos que contienen datos personales, como la anonimización, la seudoanonimización, la privacidad diferencial, la generalización, o la supresión y la aleatorización. La aplicación de estas tecnologías de protección de la privacidad, junto con enfoques globales de protección de datos, debería garantizar la reutilización segura de los datos personales y los datos comerciales confidenciales con fines de investigación, innovación y estadísticos. En muchos casos, esto implica que la utilización y la reutilización de los datos en este contexto solo puedan realizarse en un entorno de tratamiento seguro creado y supervisado por el sector público. A nivel de la Unión, existe experiencia con estos entornos de tratamiento seguros que se utilizan para la investigación sobre microdatos estadísticos al amparo del Reglamento (UE) n.º 557/2013 de la Comisión 39 . En general, en la medida en que se trate de datos personales, su tratamiento debe fundamentarse en una o varias de las condiciones de tratamiento previstas en el artículo 6 del Reglamento (UE) 2016/679.
(7)Las categorías de datos que obren en poder de los organismos del sector público y puedan ser reutilizadas en virtud del presente Reglamento quedan fuera del ámbito de aplicación de la Directiva (UE) 2019/1024, que excluye los datos que no sean accesibles en razón del secreto comercial y estadístico y los datos sujetos a derechos de propiedad intelectual de terceros. Los datos personales no están sujetos a la Directiva (UE) 2019/1024 en la medida en que el régimen de acceso excluya o restrinja el acceso a ellos por razones de protección de datos, privacidad e integridad de la persona, en particular de conformidad con las normas de protección de datos. La reutilización de datos que puedan contener secretos comerciales debe llevarse a cabo sin perjuicio de lo dispuesto en la Directiva (UE) 2016/943 40 , que establece el marco para la obtención, la utilización o la revelación lícitas de secretos comerciales. El presente Reglamento se entiende sin perjuicio de las obligaciones más específicas de los organismos del sector público para permitir la reutilización de datos establecidas en la legislación sectorial de la Unión o nacional, y las complementa.
(8)El régimen de reutilización contemplado en el presente Reglamento ha de aplicarse a los datos cuyo suministro forme parte de la misión de servicio público de los organismos del sector público de que se trate, según lo previsto en la legislación u otras normas vinculantes de los Estados miembros. En ausencia de tales normas, la misión de servicio público debe definirse de conformidad con la práctica administrativa común de los Estados miembros, siempre y cuando el ámbito de la misión de servicio público sea transparente y se someta a revisión. La misión de servicio público puede definirse con carácter general o caso por caso según los diferentes organismos del sector público. Puesto que las empresas públicas no forman parte de la definición de organismo del sector público, los datos que estas posean no deben estar sujetos al presente Reglamento. El presente Reglamento no regula los datos conservados por centros culturales y educativos, en cuyo caso los derechos de propiedad intelectual no son accesorios, sino que se derivan predominantemente de obras y otros documentos protegidos por esos derechos.
(9)Los organismos del sector público deben respetar el Derecho de la competencia cuando determinen los principios para la reutilización de los datos que obren en su poder, y han de evitar en la medida de lo posible la celebración de acuerdos que puedan tener por objeto o como efecto la creación de derechos exclusivos para la reutilización de determinados datos. Estos acuerdos solo deben ser posibles cuando esté justificado y sea necesario para suministrar servicios de interés general. Este puede ser el caso cuando el uso exclusivo de los datos sea el único modo de optimizar sus ventajas sociales, por ejemplo, cuando solo haya una entidad (especializada en el tratamiento de un conjunto de datos específico) capaz de prestar el servicio o de ofrecer el producto que permita al organismo del sector público suministrar un servicio digital avanzado en interés de todos. No obstante, es preciso que estos acuerdos se celebren de conformidad con las normas de contratación pública y sean objeto de una revisión periódica basada en un análisis del mercado a fin de determinar si dicha exclusividad sigue siendo necesaria. Además, los acuerdos deben respetar las normas pertinentes sobre ayudas estatales, cuando proceda, y deben celebrarse por un período limitado no superior a tres años. A fin de garantizar la transparencia, estos acuerdos exclusivos han de publicarse en línea, con independencia de la posible publicación de una adjudicación de un contrato público.
(10)Los acuerdos exclusivos prohibidos y otras prácticas o acuerdos entre titulares y reutilizadores de datos que no concedan de forma expresa derechos exclusivos, pero de los que quepa esperar razonablemente que restrinjan la disponibilidad de datos para su reutilización, que se hayan celebrado o ya existieran con anterioridad a la entrada en vigor del presente Reglamento no deben renovarse tras la expiración de su período de vigencia. Los acuerdos indefinidos o a más largo plazo deben rescindirse en un máximo de tres años a partir de la fecha de entrada en vigor del presente Reglamento.
(11)Se hace necesario establecer las condiciones de reutilización de datos protegidos aplicables a los organismos del sector público competentes en virtud del Derecho nacional, que deben entenderse sin perjuicio de los derechos u obligaciones relativos al acceso a tales datos. Estas condiciones no deben resultar discriminatorias, deben ser proporcionadas y estar justificadas objetivamente, y no deben restringir la competencia. En particular, los organismos del sector público que permitan la reutilización han de disponer de los medios técnicos necesarios para garantizar la protección de los derechos y los intereses de terceros. Las condiciones asociadas a la reutilización de datos deben limitarse a lo necesario para proteger los derechos e intereses de terceros en relación con los datos y la integridad de las tecnologías de la información y los sistemas de comunicación de los organismos del sector público. Es preciso que los organismos del sector público apliquen las condiciones que mejor sirvan a los intereses de quien efectúe la reutilización, sin que ello suponga un esfuerzo desproporcionado para el sector público. Dependiendo del caso de que se trate, de manera previa a su transmisión, los datos personales deben anonimizarse completamente, de forma que la identificación de los interesados sea totalmente imposible, y los datos que contengan información comercial confidencial deben modificarse para que esta no se divulgue. Cuando el suministro de datos anonimizados o modificados no responda a las necesidades de reutilización, podría permitirse su reutilización presencial o remota en un entorno de tratamiento seguro. Los análisis de datos en estos entornos de tratamiento seguros deben ser supervisados por el organismo del sector público, de forma que los derechos y los intereses de terceros queden protegidos. En concreto, los datos personales solo han de transmitirse a un tercero para su reutilización cuando exista una base jurídica que lo permita. El organismo del sector público puede someter la utilización de dicho entorno de tratamiento seguro a la firma, por parte del reutilizador, de un acuerdo de confidencialidad que prohíba la divulgación de toda información que ponga en peligro los derechos e intereses de terceros, y que haya podido conseguir a pesar de las salvaguardias introducidas. Cuando proceda, los organismos del sector público deben facilitar, a través de los medios técnicos adecuados, la reutilización de datos sobre la base del consentimiento de los interesados o del permiso de las personas jurídicas para que se reutilicen sus datos. En este sentido, el organismo del sector público ha de ayudar a los potenciales reutilizadores a obtener el consentimiento estableciendo mecanismos técnicos que permitan transmitir las solicitudes de consentimiento oportunas, cuando resulte factible en la práctica. No deben facilitarse datos de contacto que permitan a los reutilizadores dirigirse directamente a los interesados o las empresas.
(12)El presente Reglamento no ha de afectar a los derechos de propiedad intelectual de terceros. El presente Reglamento tampoco debe afectar a la existencia de derechos de propiedad intelectual de los organismos del sector público ni a su titularidad, ni debe restringir en modo alguno el ejercicio de esos derechos fuera de los límites que establezca. Es preciso que las obligaciones impuestas de conformidad con el presente Reglamento solo se apliquen en la medida en que sean compatibles con los acuerdos internacionales sobre la protección de los derechos de propiedad intelectual, en particular el Convenio de Berna para la protección de las obras literarias y artísticas (Convenio de Berna), el Acuerdo sobre los Aspectos de los Derechos de Propiedad Intelectual relacionados con el Comercio (Acuerdo sobre los ADPIC) y el Tratado de la OMPI sobre Derecho de Autor. No obstante, los organismos del sector público deben ejercer sus derechos de autor de una manera que facilite la reutilización.
(13)Los datos amparados por derechos de propiedad intelectual o que contengan secretos comerciales solo deben transmitirse a un tercero cuando dicha transmisión sea lícita en virtud del Derecho nacional o de la Unión, o cuando se cuente con el acuerdo de su titular. Cuando los organismos del sector público sean titulares del derecho previsto en el artículo 7, apartado 1, de la Directiva 96/9/CE del Parlamento Europeo y del Consejo 41 , no deben ejercerlo para impedir o restringir la reutilización de los datos más allá de los límites previstos en el presente Reglamento.
(14)Las empresas y los interesados deben poder confiar en que la reutilización de determinadas categorías de datos protegidos que obren en poder del sector público tendrá lugar respetando sus derechos e intereses. Por lo tanto, se requiere introducir salvaguardias adicionales para las situaciones en las que la reutilización de esos datos del sector público se realice en el marco de un tratamiento de datos fuera del sector público. Una de estas salvaguardias adicionales podría consistir en el requisito de que los organismos del sector público tengan plenamente en cuenta los derechos e intereses de las personas físicas y jurídicas (especialmente, la protección de los datos personales, los datos comerciales sensibles y los derechos de propiedad intelectual) en caso de que dichos datos se transfieran a terceros países.
(15)Además, resulta importante proteger los datos comerciales sensibles de carácter no personal, especialmente los secretos comerciales, pero también los datos no personales que representen contenidos protegidos por derechos de propiedad intelectual, frente a un acceso ilícito por el que pueda usurparse esta última o llevarse a cabo el espionaje industrial. A fin de garantizar la protección de los derechos fundamentales y los intereses de los titulares de datos, los datos no personales que deban protegerse del acceso ilícito o no autorizado en virtud del Derecho de la Unión o nacional, y que obren en poder de organismos del sector público, únicamente han de transferirse a terceros países que ofrezcan garantías adecuadas para su utilización. Debe considerarse que existen unas garantías adecuadas cuando en un tercer país haya medidas equivalentes que ofrezcan un nivel de protección de los datos no personales similar al garantizado por el Derecho de la Unión o nacional, en particular por lo que se refiere a la protección de los secretos comerciales y de los derechos de propiedad intelectual. A tal fin, la Comisión puede adoptar actos de ejecución que declaren que un tercer país ofrece un nivel de protección sustancialmente equivalente al previsto en el Derecho de la Unión o el Derecho nacional. La evaluación del nivel de protección ofrecido en dicho tercer país debe tomar en consideración, en particular, la legislación pertinente, tanto general como sectorial, especialmente con relación a la seguridad pública, la defensa, la seguridad nacional y el Derecho penal relativo al acceso a datos no personales, su protección; todo acceso por parte de las autoridades públicas de ese tercer país a los datos transferidos; la existencia y el funcionamiento eficaz de una o varias autoridades de supervisión independientes en el tercer país, responsables de hacer cumplir el régimen jurídico por el que se garantiza el acceso a dichos datos, o los compromisos internacionales suscritos por el tercer país en relación con la protección de los datos que este haya suscrito, u otras obligaciones que emanen de convenciones o instrumentos jurídicamente vinculantes o de su participación en sistemas multilaterales o regionales. La existencia de vías de recurso efectivas para los titulares de datos, los organismos del sector público o los proveedores de servicios de intercambio de datos en el tercer país reviste especial importancia en el contexto de la transferencia de datos no personales a este último. Por tanto, estas salvaguardias deben incluir la disponibilidad de derechos exigibles y de vías de recurso efectivas.
(16)En los casos en los que no exista un acto de ejecución adoptado por la Comisión en el que se declare que un tercer país ofrece un nivel de protección (especialmente, en lo relativo a la protección de los datos sensibles desde el punto de vista comercial y de los derechos de propiedad intelectual) esencialmente equivalente al previsto por el Derecho nacional o de la Unión, el organismo del sector público únicamente debe transmitir los datos protegidos a un reutilizador cuando este contraiga obligaciones en interés de la protección de los datos. El reutilizador que tenga intención de transferir los datos a dicho tercer país debe comprometerse a cumplir las obligaciones establecidas en el presente Reglamento, incluso después de la transferencia. A fin de velar por el correcto cumplimiento de estas obligaciones, el reutilizador también ha de aceptar, por lo que respecta a la resolución judicial de litigios, las competencias del Estado miembro al que pertenezca el organismo del sector público que haya permitido la reutilización.
(17)Algunos terceros países adoptan leyes, reglamentos y otros actos legislativos destinados a transferir directamente o facilitar el acceso a datos no personales en la Unión bajo el control de personas físicas y jurídicas sujetas a las competencias de los Estados miembros. Las sentencias de órganos jurisdiccionales o las decisiones de autoridades administrativas de terceros países que requieran la transferencia de datos no personales o el acceso a estos deben tener fuerza legal al amparo de un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país solicitante y la Unión o un Estado miembro. En algunos casos, pueden darse situaciones en las que la obligación de transferir datos no personales o facilitar el acceso a estos derivada de la legislación de un tercer país entre en conflicto con una obligación concurrente de proteger tales datos en virtud de la legislación nacional o de la Unión, en particular en lo que se refiere a la protección de datos comerciales sensibles y de derechos de propiedad intelectual, y especialmente sus compromisos contractuales en materia de confidencialidad conforme a dicha legislación. Cuando no existan acuerdos internacionales que regulen estas cuestiones, la transferencia o el acceso solo han de permitirse en determinadas condiciones, en particular, que el sistema del tercer país exija que se establezcan los motivos y la proporcionalidad de la decisión, que la resolución judicial o la decisión revista un carácter específico, y que la oposición motivada del destinatario sea revisada por un órgano jurisdiccional competente del tercer país, facultado para tomar debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos.
(18)A fin de impedir el acceso ilícito a los datos no personales, los organismos del sector público, las personas físicas o jurídicas a las que se haya concedido el derecho a reutilizar datos, los proveedores de servicios de intercambio de datos y las entidades inscritas en el registro de organizaciones reconocidas de gestión de datos con fines altruistas deben adoptar todas las medidas razonables para impedir el acceso a los sistemas en los que se almacenen los datos no personales, tales como el cifrado de datos o políticas corporativas.
(19)Para generar confianza en los mecanismos de reutilización, puede resultar necesario imponer condiciones más estrictas con relación a ciertos tipos de datos no personales que se hayan considerado muy sensibles, en lo que se refiere a la transferencia a terceros países, cuando esta pueda poner en peligro objetivos de política pública, de conformidad con los compromisos internacionales. Por ejemplo, en el ámbito de la salud, algunos conjuntos de datos en poder de los agentes del sistema de salud pública, como los hospitales públicos, pueden considerarse muy sensibles. Con el fin de garantizar unas prácticas armonizadas en toda la Unión, la legislación debe definir estos tipos de datos públicos no personales muy sensibles, por ejemplo, en el contexto del espacio europeo de datos sanitarios o de otra legislación sectorial. Es preciso establecer en actos delegados las condiciones asociadas a la transferencia de dichos datos a terceros países. Las condiciones deben ser proporcionadas, no discriminatorias y necesarias para proteger los objetivos legítimos de política pública señalados, como la protección de la salud pública, el orden público, la seguridad, el medio ambiente, la moral pública, la protección de los consumidores, y la protección de la privacidad y de los datos personales. Las condiciones deben corresponder a los riesgos detectados con relación a la sensibilidad de dichos datos, especialmente en términos del riesgo de reidentificación de las personas. Estas condiciones pueden incluir algunas aplicables a la transferencia de datos o disposiciones técnicas, como el requisito de emplear un entorno de tratamiento seguro, limitaciones relativas a la reutilización de datos en terceros países, o las categorías de personas facultadas para transferir los datos a terceros países o que puedan acceder a ellos en estos últimos. En casos excepcionales también pueden incluir restricciones a la transferencia de datos a terceros países para proteger el interés público.
(20)Los organismos del sector público deben poder cobrar tasas por la reutilización de datos, pero también deben poder decidir poner a disposición los datos a un coste menor o nulo, por ejemplo, en el caso de determinadas categorías de reutilizaciones, como la reutilización no comercial o la reutilización por parte de pequeñas y medianas empresas, a fin de incentivar estos usos para fomentar la investigación y la innovación y apoyar a las empresas que sean una importante fuente de innovación y suelan encontrar más dificultades para recopilar los datos pertinentes por sí mismas, de manera acorde a las normas sobre ayudas estatales. Las tasas deben ser razonables, transparentes y no discriminatorias y estar publicadas en línea.
(21)A fin de incentivar la reutilización de estas categorías de datos, los Estados miembros han de establecer un punto de información único que actúe como interfaz principal para los reutilizadores que deseen reutilizar los datos de este tipo que obren en poder de los organismos del sector público. El punto de información único debe tener un mandato intersectorial y complementar, cuando proceda, las disposiciones sectoriales. Además, es preciso que los Estados miembros designen, establezcan o faciliten la creación de organismos competentes que respalden las actividades de los organismos del sector público que se ocupen de autorizar la reutilización de determinadas categorías de datos protegidos. Entre sus tareas, puede figurar la concesión de acceso a los datos, cuando así lo exija la legislación sectorial de la Unión o de los Estados miembros. Estos organismos competentes deben facilitar apoyo a los organismos del sector público mediante técnicas punteras, como entornos seguros de tratamiento de datos, que permitan analizar los datos de forma que se preserve la privacidad de la información. Esta estructura de apoyo puede ayudar a los titulares de datos en la gestión del consentimiento, como el consentimiento para determinados ámbitos de investigación científica cuando se respeten las normas éticas reconocidas con relación a esta última. El tratamiento de datos debe efectuarse bajo la responsabilidad del organismo del sector público a cargo del registro que contenga los datos, que sigue siendo el responsable del tratamiento en el sentido del Reglamento (UE) 2016/679, en la medida en que afecte a datos personales. Los Estados miembros pueden contar con uno o varios organismos competentes, que pueden actuar en distintos sectores.
(22)Se espera que los proveedores de servicios de intercambio de datos (los intermediarios de datos) desempeñen un papel fundamental en la economía de los datos, como herramienta para facilitar la agregación y el intercambio de cantidades sustanciales de estos. Los intermediarios de datos que ofrezcan servicios que conecten a los diferentes agentes tienen el potencial de contribuir a la puesta en común eficiente de datos y a su intercambio bilateral. Los intermediarios de datos especializados que sean independientes tanto de los titulares de datos como de sus usuarios pueden desempeñar un papel facilitador en la aparición de nuevos ecosistemas basados en datos independientes de cualquier operador con un nivel importante de poder de mercado. El presente Reglamento solo debe aplicarse a los proveedores de servicios de intercambio de datos que tengan como objetivo principal crear una relación comercial, jurídica y posiblemente también técnica entre los titulares de datos, especialmente los interesados, por un lado, y los usuarios potenciales, por otro, y ayudar a ambas partes en la transacción de activos de datos entre ellas. Únicamente debe englobar los servicios que tengan por objeto la intermediación entre un número indefinido de titulares de datos y usuarios de datos, salvo los servicios de intercambio de datos que estén destinados a ser utilizados por un grupo cerrado de titulares y usuarios de datos. Han de excluirse los proveedores de servicios en la nube, así como los proveedores de servicios que obtengan datos de sus titulares, los agreguen, enriquezcan o transformen, y concedan licencias para el uso de los datos resultantes a los usuarios de datos, sin establecer una relación directa entre los titulares y estos últimos, como en el caso de los intermediarios de datos o publicidad, las consultoras de datos o los proveedores de productos de datos resultantes del valor añadido por el proveedor de servicios. Al mismo tiempo, debe permitirse a los proveedores de servicios de intercambio de datos hacer adaptaciones en los datos intercambiados, como convertirlos en formatos específicos, en la medida en que ello mejore la facilidad de uso por parte del usuario, y cuando este así lo desee. Tampoco deben ser objeto del presente Reglamento los servicios que se centren en la intermediación de contenidos, especialmente el contenido protegido por derechos de autor. No ha de aplicarse el presente Reglamento a las plataformas de intercambio de datos utilizadas exclusivamente por un solo titular de datos para permitir el uso de sus datos, ni a las plataformas desarrolladas en el contexto de los objetos y dispositivos conectados al internet de las cosas que tengan como principal objetivo garantizar funcionalidades de estos objetos y dispositivos y facilitar la prestación de servicios con valor añadido. Los «proveedores de información consolidada», en el sentido del artículo 4, apartado 1, punto 53, de la Directiva 2014/65/UE del Parlamento Europeo y del Consejo 42 , y los «proveedores de servicios de información sobre cuentas», en el sentido del artículo 4, punto 19, de la Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo 43 , no deben considerarse proveedores de servicios de intercambio de datos a efectos del presente Reglamento. No deben englobarse en el capítulo III del presente Reglamento las entidades que limiten sus actividades a facilitar el uso de los datos disponibles sobre la base de una utilización altruista y que ejerzan sin ánimo de lucro, dado que esta actividad sirve a objetivos de interés general al incrementar el volumen de datos disponibles con tal fin.
(23)Una categoría específica de intermediarios de datos engloba a los proveedores de servicios de intercambio de datos que ofrecen sus servicios a los interesados en el sentido del Reglamento (UE) 2016/679. Estos proveedores se centran exclusivamente en los datos personales y tratan de mejorar las acciones individuales y el control de las personas sobre los datos que les conciernen. Ayudan a estas a ejercer sus derechos en virtud del Reglamento (UE) 2016/679, especialmente la gestión de su consentimiento al tratamiento de datos, el derecho de acceso a sus propios datos, el derecho a la rectificación de los datos personales inexactos, el derecho de supresión o «derecho al olvido», el derecho a limitar el tratamiento y el derecho a la portabilidad de los datos, que permite a los interesados trasladar sus datos personales de un responsable a otro. En este contexto, es importante que su modelo empresarial vele por que no existan incentivos incoherentes que animen a las personas a facilitar más datos para su tratamiento que lo que redunde en su propio interés. Entre otras cosas, pueden asesorar a las personas sobre los usos de sus datos que pueden permitir y realizar controles de diligencia debida a los usuarios de los datos antes de permitirles ponerse en contacto con los interesados, a fin de evitar prácticas fraudulentas. En determinadas situaciones, puede resultar conveniente recopilar datos reales en un espacio de almacenamiento de datos personales, o «espacio de datos personales», de forma que el tratamiento pueda efectuarse dentro de este, sin que se deban transmitir los datos personales a terceros, a fin de maximizar la protección de los datos personales y la privacidad.
(24)Las cooperativas de datos tratan de reforzar la capacidad de las personas para que tomen decisiones con conocimiento de causa antes de dar su consentimiento al uso de los datos, influyendo en las condiciones de las organizaciones usuarias de datos en relación con el uso de los datos o, en su caso, resolviendo litigios entre miembros de un grupo sobre la manera de utilizar los datos cuando estos pertenecen a varios interesados de ese grupo. En este contexto, resulta importante tener en cuenta que los derechos contemplados en el Reglamento (UE) 2016/679 solo pueden ser ejercidos por cada persona y no pueden conferirse ni delegarse a una cooperativa de datos. Las cooperativas de datos también pueden facilitar medios útiles a las empresas unipersonales, las microempresas y las pequeñas y medianas empresas que, en términos de conocimientos sobre el intercambio de datos, a menudo pueden compararse con un particular.
(25)A fin de aumentar la confianza en dichos servicios de intercambio de datos, concretamente en relación con el uso de los datos y el cumplimiento de las condiciones impuestas por sus titulares, es necesario crear un marco regulador a escala de la Unión que establezca requisitos muy armonizados sobre una prestación de servicios de intercambio de datos fiable. Esto contribuirá a garantizar que los titulares y los usuarios de datos tengan un mayor control sobre el acceso a sus datos y su utilización, conforme al Derecho de la Unión. Independientemente de que la puesta en común de datos tenga lugar entre empresas o entre una empresa y el consumidor, los proveedores de servicios de intercambio de datos deben ofrecer una forma novedosa y «europea» de gobernanza de datos, previendo una separación, en la economía de los datos, entre el suministro, la intermediación y el uso. Los proveedores de servicios de intercambio de datos también pueden ofrecer una infraestructura técnica específica para la interconexión de los titulares y los usuarios de datos.
(26)Para aportar confianza en los servicios de intercambio de datos y garantizar, en estos servicios, un mayor control a los titulares y usuarios de datos resulta fundamental la neutralidad de los proveedores de estos servicios con relación a los datos intercambiados entre titulares y usuarios. Por consiguiente, es necesario que los proveedores de servicios de intercambio de datos actúen únicamente como intermediarios en las transacciones y no usen los datos intercambiados para ningún otro fin. Ello también requerirá una separación estructural entre el servicio de intercambio de datos y cualquier otro servicio prestado, a fin de evitar problemas de conflicto de intereses. Esto supone que los servicios de intercambio de datos deban prestarse a través de una entidad jurídica que sea independiente de las demás actividades del proveedor de dichos servicios. Los proveedores de servicios de intercambio de datos que actúen de intermediarios entre personas físicas en calidad de titulares de datos y personas jurídicas deben, además, estar sujetos a obligaciones fiduciarias para con las personas físicas, a fin de asegurar que actúen en el mejor interés de los titulares de los datos.
(27)Para velar por el cumplimiento de las condiciones establecidas en el presente Reglamento por parte de los proveedores de servicios de intercambio de datos, estos deben estar establecidos en la Unión. En su defecto, cuando un proveedor de servicios de intercambio de datos que no esté establecido en la Unión ofrezca servicios en ella, debe designar a un representante. La designación de un representante es necesaria, dado que dichos proveedores de servicios de intercambio de datos manejan datos personales y datos comerciales confidenciales, y ello requiere un estrecho seguimiento del cumplimiento de las condiciones establecidas en el presente Reglamento por parte de los proveedores. Para determinar si el proveedor de servicios de intercambio de datos ofrece servicios en la Unión, debe averiguarse si hay constancia de que este proveedor tiene la intención de ofrecer servicios a personas de uno o varios Estados miembros. La mera accesibilidad en la Unión del sitio web o de una dirección de correo electrónico y otros datos de contacto del proveedor de servicios de intercambio de datos o el uso de una lengua comúnmente utilizada en el tercer país en el que el proveedor de servicios de intercambio de datos esté establecido deben considerarse insuficientes para determinar tal intención. No obstante, factores como el empleo de una lengua o una moneda, de uso común en uno o varios Estados miembros, con la posibilidad de encargar servicios en esa otra lengua, o la mención de usuarios que estén en la Unión, puede revelar que el proveedor de servicios de intercambio de datos tiene la intención de ofrecer servicios en la Unión. El representante debe actuar en nombre del proveedor de servicios de intercambio de datos, y las autoridades competentes han de poder ponerse en contacto con él. El representante debe haber sido designado mediante un mandato por escrito del proveedor de servicios de intercambio de datos que le autorice para actuar en nombre de este en lo que respecta a las obligaciones del proveedor en virtud del presente Reglamento.
(28)El presente Reglamento debe entenderse sin perjuicio de la obligación de los proveedores de servicios de intercambio de datos de cumplir lo dispuesto en el Reglamento (UE) 2016/679 y la responsabilidad de las autoridades de control de asegurar el cumplimiento de este último. Cuando los proveedores de servicios de intercambio de datos sean los responsables o encargados del tratamiento de datos en el sentido del Reglamento (UE) 2016/679, estarán sujetos a sus normas. El presente Reglamento también debe entenderse sin perjuicio de la aplicación del Derecho de la competencia.
(29)Los proveedores de servicios de intercambio de datos deben adoptar medidas para garantizar el cumplimiento de la legislación sobre competencia. El intercambio de datos puede generar diversos tipos de eficiencias, pero también puede dar lugar a restricciones de la competencia, especialmente cuando se refiera a la puesta en común de información sensible desde el punto de vista de la competencia. Este es el caso de determinadas situaciones en las que la puesta en común de datos permite a las empresas estar al corriente de las estrategias de mercado de sus competidores reales o potenciales. La información sensible desde el punto de vista de la competencia suele incluir detalles sobre precios futuros, costes de producción, cantidades, facturación, ventas o capacidades.
(30)Debe establecerse un procedimiento de notificación con relación a los servicios de intercambio de datos a fin de garantizar una gobernanza de los datos dentro de la Unión que se base en un intercambio de datos de confianza. Para obtener más fácilmente las ventajas de un entorno fiable, convendría imponer una serie de requisitos para la prestación de servicios de intercambio de datos, pero sin exigir ninguna decisión o acto administrativo explícito por parte de la autoridad competente de cara a la prestación de los servicios.
(31)A fin de apoyar una prestación transfronteriza eficaz de servicios, procede solicitar al proveedor de servicios de intercambio de datos que envíe una notificación únicamente a la autoridad competente designada del Estado miembro en el que se encuentre su establecimiento principal o su representante legal. Esta notificación no debe ser más que la mera declaración de la intención de prestar los mencionados servicios, completada únicamente con la información contemplada en el presente Reglamento.
(32)El establecimiento principal de un proveedor de servicios de intercambio de datos en la Unión debe ser el Estado miembro en el que se encuentre su administración central en la Unión. El establecimiento principal de un proveedor de servicios de intercambio de datos en la Unión debe determinarse con arreglo a criterios objetivos e implicar el ejercicio efectivo y real de las actividades de gestión.
(33)Las autoridades competentes designadas para supervisar la conformidad de los servicios de intercambio de datos con los requisitos del presente Reglamento han de ser elegidas en función de su capacidad y experiencia con relación al intercambio horizontal o sectorial de datos, además de ser independientes, transparentes e imparciales en el ejercicio de sus funciones. Los Estados miembros deben notificar a la Comisión la identidad de las autoridades competentes designadas.
(34)El marco de notificación establecido en el presente Reglamento ha de entenderse sin perjuicio de las normas adicionales específicas para la prestación de servicios de intercambio de datos que resulten de aplicación en virtud de la legislación sectorial específica.
(35)Existe un importante potencial en el uso de datos facilitados voluntariamente por los interesados a través de su consentimiento o, en lo que se refiere a los datos no personales, facilitados por personas jurídicas para fines de interés general. Entre estos fines se incluyen la asistencia sanitaria, la lucha contra el cambio climático, la mejora de la movilidad, la facilitación de la elaboración de estadísticas oficiales o la mejora de la prestación de servicios públicos. El respaldo a la investigación científica mediante, por ejemplo, el desarrollo y la demostración tecnológicas, la investigación fundamental, la investigación aplicada y la investigación financiada con fondos privados debe considerarse también un objetivo de interés general. El presente Reglamento tiene por objeto contribuir a la creación de conjuntos de datos de cesión altruista que tengan un tamaño suficiente para permitir el análisis de datos y el aprendizaje automático, incluido con carácter transfronterizo en la Unión.
(36)Las entidades jurídicas que traten de apoyar fines de interés general facilitando datos pertinentes sobre la base de su cesión altruista a gran escala y cumplan determinados requisitos deben poder registrarse en calidad de «Organización de gestión de datos con fines altruistas reconocida en la Unión». Esto puede traducirse en la creación de repositorios de datos, en la medida en que el registro en un Estado miembro tiene validez en toda la Unión, y ello debe facilitar el uso transfronterizo de los datos dentro de esta y la aparición de conjuntos de datos que den cobertura a varios Estados miembros. En este sentido, los interesados deberían dar su consentimiento a determinados fines del tratamiento de datos, pero también podrían dar su consentimiento al tratamiento de datos en determinados ámbitos de investigación o partes de proyectos de investigación, puesto que, con frecuencia, no es posible determinar plenamente la finalidad del tratamiento de los datos personales con fines de investigación científica en el momento de recabarlos. Las personas jurídicas podrían autorizar el tratamiento de sus datos no personales para diversos fines no definidos en el momento de dar su permiso. Se espera que el cumplimiento voluntario de un conjunto de requisitos por parte de dichas entidades registradas genere confianza en que los datos facilitados con fines altruistas sirvan a un objetivo de interés general. En concreto, esta confianza debe obtenerse fijando un lugar de establecimiento en la Unión, así como a través del requisito de que las entidades registradas tengan carácter no lucrativo, de los requisitos de transparencia y de las salvaguardias establecidas para proteger los derechos e intereses de los interesados y las empresas. Además, las medidas de prevención han de incluir la posibilidad de tratar los datos pertinentes en un entorno de tratamiento seguro gestionado por la entidad registrada, mecanismos de control tales como consejos o comités éticos que velen por que el responsable del tratamiento respete unas elevadas normas de ética científica, medios técnicos eficaces para retirar o modificar el consentimiento en cualquier momento, sobre la base de las obligaciones de información de los encargados del tratamiento de datos en virtud del Reglamento (UE) 2016/679, así como medios para que los interesados estén informados sobre el uso de los datos que hayan facilitado.
(37)El presente Reglamento se entiende sin perjuicio de la creación, la organización y el funcionamiento de entidades que busquen participar en la cesión altruista de datos conforme a la legislación nacional. Se sustenta en los requisitos de la legislación nacional para operar lícitamente en un Estado miembro como organización sin ánimo de lucro. Las entidades que cumplan los requisitos del presente Reglamento deben poder utilizar el nombre de «Organización de gestión de datos con fines altruistas reconocida en la Unión».
(38)Las organizaciones de gestión de datos con fines altruistas reconocidas en la Unión han de poder recopilar los datos pertinentes directamente de las personas físicas y jurídicas o tratar los datos recopilados por terceros. Por lo general, la cesión altruista de datos se fundamentaría en el consentimiento de los interesados en el sentido del artículo 6, apartado 1, letra a), y del artículo 9, apartado 2, letra a), y el cumplimiento de los requisitos de consentimiento legal conforme al artículo 7 del Reglamento (UE) 2016/679. De acuerdo con el Reglamento (UE) 2016/679, los fines de investigación científica pueden respaldarse mediante el consentimiento para determinados ámbitos de investigación científica que respeten las normas éticas reconocidas para la investigación científica, o solamente para determinadas áreas de investigación o partes de proyectos de investigación. El artículo 5, apartado 1, letra b), del Reglamento (UE) 2016/679 especifica que el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no debe considerarse, conforme al artículo 89, apartado 1, del mismo Reglamento, incompatible con los fines iniciales.
(39)A fin de aportar seguridad jurídica adicional a la concesión o retirada del consentimiento, en particular en el contexto de la investigación científica y el uso estadístico de los datos facilitados con fines altruistas, debe elaborarse un formulario europeo de consentimiento para la cesión altruista de datos y emplearse en el marco del intercambio de datos con fines altruistas. Este formulario debe contribuir a aumentar la transparencia para los interesados de que se accederá a sus datos y se utilizarán de conformidad con su consentimiento y respetando plenamente las normas de protección de datos. Además, puede emplearse para generalizar la cesión altruista de datos efectuada por las empresas y proporcionar un mecanismo que permita a estas retirar su permiso para la utilización de los datos. A fin de tener en cuenta las particularidades de los distintos sectores, especialmente desde la perspectiva de la protección de datos, debe existir la posibilidad de realizar ajustes sectoriales del formulario europeo de consentimiento para la cesión altruista de datos.
(40)Con el objetivo de ejecutar satisfactoriamente el marco de gobernanza de los datos, debe crearse un Comité Europeo de Innovación en materia de Datos, en forma de grupo de expertos. El Comité ha de estar compuesto por representantes de los Estados miembros, la Comisión y los espacios de datos y sectores específicos pertinentes (como la salud, la agricultura, el transporte y la estadística). Procede invitar al Comité Europeo de Protección de Datos a que designe a un representante en el Comité Europeo de Innovación en materia de Datos.
(41)El Comité debe ayudar a la Comisión a coordinar las prácticas y estrategias nacionales sobre los temas contemplados en el presente Reglamento, y a promover el uso intersectorial de datos mediante la suscripción de los principios del Marco Europeo de Interoperabilidad y el uso de normas y especificaciones (como los Core Vocabularies 44 o los módulos del Mecanismo «Conectar Europa» 45 ), sin perjuicio de las labores de normalización que se realicen en sectores o ámbitos específicos. Entre las labores de normalización técnica, pueden determinarse las prioridades para el desarrollo de normas, y establecerse y mantenerse un conjunto de normas técnicas y jurídicas para la transmisión de datos entre dos entornos de tratamiento que permita organizar los espacios de datos sin recurrir a un intermediario. El Comité debe cooperar con los organismos, las redes o los grupos de expertos sectoriales, así como otras organizaciones intersectoriales que se ocupen de la reutilización de datos. En lo que se refiere a la cesión altruista de datos, es preciso que el Comité ayude a la Comisión a elaborar el formulario de consentimiento para la cesión altruista de datos, en colaboración con el Comité Europeo de Protección de Datos.
(42)A fin de garantizar unas condiciones uniformes para la ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución para elaborar el formulario europeo de consentimiento para la cesión altruista de datos. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo 46 .
(43)Con objeto de tener en cuenta el carácter específico de determinadas categorías de datos, se requiere delegar en la Comisión la facultad de adoptar actos con arreglo a lo dispuesto en el artículo 290 del TFUE, para establecer condiciones especiales aplicables a la transferencia a terceros países de determinadas categorías de datos no personales consideradas muy sensibles, a través de actos específicos de la Unión adoptados mediante un procedimiento legislativo. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.
(44)El presente Reglamento no debe afectar a la aplicación del Derecho de la competencia, en particular los artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea. Las medidas previstas en el presente Reglamento no han de utilizarse para restringir la competencia de forma contraria al Tratado de Funcionamiento de la Unión Europea. Esto se refiere, en particular, a las normas sobre el intercambio de información sensible desde el punto de vista de la competencia entre competidores reales o potenciales a través de los servicios de intercambio de datos.
(45)El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos han sido consultados de conformidad con el artículo 42 del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo 47 , y han emitido su dictamen el [...].
(46)El presente Reglamento respeta los derechos fundamentales y observa los principios reconocidos, en particular, por la Carta, incluidos el derecho a la privacidad, la protección de los datos de carácter personal, la libertad de empresa, el derecho a la propiedad y la integración de personas con discapacidad.
HAN ADOPTADO EL PRESENTE REGLAMENTO:
Capítulo I
Disposiciones generales
Artículo 1
Objeto y ámbito de aplicación
1)El presente Reglamento establece:
a) las condiciones para la reutilización, dentro de la Unión, de determinadas categorías de datos conservados por organismos del sector público;
b) un marco de notificación y supervisión para la prestación de servicios de intercambio de datos;
c) un marco para la inscripción voluntaria en un registro de las entidades que recojan y traten datos facilitados con fines altruistas.
2)El presente Reglamento se entenderá sin perjuicio de las disposiciones específicas contenidas en otros actos legislativos de la Unión en lo referente al acceso a determinadas categorías de datos o a su reutilización, o a los requisitos aplicables al tratamiento de datos personales y no personales. Cuando un acto legislativo de la Unión, específico de un sector, exija a los organismos del sector público, los proveedores de servicios de intercambio de datos o las entidades inscritas como prestadoras de servicios de cesión altruista de datos cumplir determinados requisitos técnicos, administrativos u organizativos adicionales de carácter específico, incluido mediante un régimen de autorización o certificación, las disposiciones de dicho acto serán igualmente de aplicación.
Artículo 2
Definiciones
A los efectos del presente Reglamento, se entenderá por:
1)«datos», toda representación digital de actos, hechos o información, así como su recopilación, incluso como grabación sonora, visual o audiovisual;
2)«reutilización», el uso, por parte de personas físicas o jurídicas, de los datos conservados por organismos del sector público con fines comerciales o no comerciales distintos del propósito inicial de la misión de servicio público para la que se hayan producido tales datos, excepto en el caso del intercambio de datos entre organismos del sector público con la única finalidad de cumplir su misión de servicio público;
3)«datos no personales», los datos que no sean datos personales, tal y como se definen estos en el artículo 4, punto 1, del Reglamento (UE) 2016/679;
4)«metadatos», los datos recogidos sobre cualquier actividad de una persona física o jurídica a efectos de la prestación de un servicio de intercambio de datos, como los relativos a la fecha, la hora y la geolocalización, la duración de la actividad o las conexiones que el usuario del servicio establezca con otras personas físicas o jurídicas;
5)«titular de datos», una persona jurídica o un interesado que, de conformidad con la legislación nacional o de la Unión, tiene derecho a conceder acceso a determinados datos personales o no personales que estén bajo su control, o a compartir tales datos;
6)«usuario de datos», una persona física o jurídica que tiene acceso legítimo a determinados datos personales o no personales y está autorizada a usarlos con fines comerciales o no comerciales;
7)«intercambio de datos», la facilitación de datos, por parte de un titular de datos a un usuario de datos, directamente o a través de un intermediario y en virtud de un acuerdo voluntario, con el fin de hacer un uso conjunto o individual de los datos facilitados;
8)«acceso», el tratamiento, por parte de un usuario de datos, de los datos facilitados por un titular de datos, de conformidad con unos requisitos técnicos, jurídicos u organizativos específicos, sin que ello implique necesariamente la transmisión o la descarga de los datos;
9)«establecimiento principal» de una entidad jurídica, el lugar de la Unión en el que se encuentra su administración central;
10)«cesión altruista de datos», el consentimiento que otorga un interesado para que se traten sus datos personales, o el permiso que otorga otro titular de datos para que se usen sus datos no personales, sin ánimo de obtener una gratificación, con fines de interés general como la investigación científica o la mejora de los servicios públicos;
11)«organismo del sector público», las autoridades estatales, regionales o locales, los organismos de Derecho público o las asociaciones constituidas por una o más de dichas autoridades o por uno o más de dichos organismos de Derecho público;
12)«organismo de Derecho público», un organismo que reúne las características siguientes:
a)ha sido creado específicamente para satisfacer necesidades de interés general y no tiene carácter industrial ni mercantil;
b)está dotado de personalidad jurídica;
c)está financiado, mayoritariamente, por autoridades estatales, regionales o locales, u otros organismos de Derecho público; o bien su gestión está sujeta a la supervisión de dichas autoridades u organismos; o bien más de la mitad de los miembros de su órgano de administración, de dirección o de supervisión han sido nombrados por las autoridades estatales, regionales o locales, o por otros organismos de Derecho público;
13)«empresa pública», toda empresa en la que los organismos del sector público pueden ejercer, directa o indirectamente, una influencia dominante por el hecho de tener la propiedad o una participación financiera en la empresa, o en virtud de las normas que la rigen; a los fines de la presente definición, se considerará que los organismos del sector público ejercen una influencia dominante en cualquiera de los casos siguientes en que, directa o indirectamente:
a)posean la mayoría del capital suscrito de la empresa;
b)controlen la mayoría de los votos correspondientes a las participaciones emitidas por la empresa;
c)puedan nombrar a más de la mitad de los miembros del órgano de administración, de dirección o de supervisión de la empresa;
14)«entorno de tratamiento seguro», el entorno físico o virtual y los medios organizativos para habilitar el tratamiento de datos de tal manera que el operador del entorno pueda determinar y supervisar todas las acciones de tratamiento, en particular la presentación, el almacenamiento, la descarga y la exportación de los datos, así como el cálculo de datos derivados mediante algoritmos computacionales;
15)«representante», la persona física o jurídica establecida en la Unión y designada expresamente para actuar en nombre de un proveedor de servicios de intercambio de datos no establecido en la Unión, o de una entidad no establecida en la Unión que recoja datos cedidos de forma altruista por personas físicas o jurídicas para cumplir objetivos de interés general, a la que podrá dirigirse una autoridad nacional competente, en lugar de dicho proveedor o dicha entidad, por lo que respecta a las obligaciones que a estos incumben en virtud del presente Reglamento.
Capítulo II
Reutilización de determinadas categorías de datos protegidos conservados por organismos del sector público
Artículo 3
Categorías de datos
1)El presente capítulo se aplica a los datos conservados por organismos del sector público que estén protegidos por motivos relacionados con:
a)la confidencialidad comercial;
b)la confidencialidad estadística;
c)la protección de los derechos de propiedad intelectual de terceros;
d)la protección de datos personales.
2)El presente capítulo no se aplica a:
a)los datos conservados por empresas públicas;
b)los datos conservados por organismos públicos de radiodifusión y sus filiales, así como los datos conservados por otros organismos o sus filiales para el cumplimiento de una misión de servicio público de radiodifusión;
c)los datos conservados por centros culturales y de enseñanza;
d)los datos protegidos por motivos de seguridad nacional, defensa o seguridad pública;
e)los datos cuya facilitación sea una actividad ajena al ámbito de la misión de servicio público de los organismos del sector público de que se trate, según se defina la misión en la legislación o en otras normas de obligado cumplimiento del Estado miembro correspondiente, o, en ausencia de tales normas, según se defina de acuerdo con la práctica administrativa común de dicho Estado miembro, siempre y cuando el ámbito de la misión de servicio público sea transparente y esté sometido a revisión.
3)Las disposiciones del presente capítulo no obligan a los organismos del sector público a permitir la reutilización de datos ni los eximen de sus obligaciones en materia de confidencialidad. El presente capítulo se entenderá sin perjuicio del Derecho de la Unión y nacional o de los acuerdos internacionales relativos a la protección de las categorías de datos enumeradas en el apartado 1 en los que sean parte la Unión o los Estados miembros. El presente capítulo se entenderá sin perjuicio del Derecho de la Unión y nacional en materia de acceso a documentos, así como de las obligaciones de autorización de la reutilización de datos que incumban a los organismos del sector público en virtud del Derecho de la Unión y nacional.
Artículo 4
Prohibición de los acuerdos de exclusividad
1)Se prohíben los acuerdos u otras prácticas relativos a la reutilización de datos conservados por organismos del sector público que contengan categorías de datos contempladas en el artículo 3, apartado 1, por los que se concedan derechos exclusivos o cuyo objeto o efecto sea conceder derechos exclusivos o restringir la disponibilidad de los datos para su reutilización por entidades distintas de las partes en tales acuerdos o prácticas.
2)No obstante lo dispuesto en el apartado 1, podrá concederse un derecho exclusivo para la reutilización de los datos mencionados en dicho apartado en la medida en que así lo exija la prestación de un servicio o el suministro de un producto en interés general.
3)El derecho exclusivo se concederá en el marco de un contrato de servicios o de concesión pertinente, de plena conformidad con las normas nacionales y de la Unión aplicables en materia de contratación pública y adjudicación de concesiones, o, en el caso de un contrato por un valor al que no se apliquen dichas normas, respetando los principios de transparencia, igualdad de trato y no discriminación por razón de nacionalidad.
4)En todos los casos no contemplados en el apartado 3 en los que el objetivo de interés general no pueda cumplirse sin conceder un derecho exclusivo, deberán respetarse los principios de transparencia, igualdad de trato y no discriminación por razón de la nacionalidad.
5)El período de exclusividad del derecho a reutilizar los datos no excederá de tres años. Cuando se celebre un contrato, la duración del contrato adjudicado se ajustará al período de exclusividad.
6)La concesión de un derecho exclusivo con arreglo a los apartados 2 a 5, incluidas las razones que justifiquen su concesión, se hará de forma transparente y se dará a conocer públicamente en línea, con independencia de la posible publicación de la adjudicación de un contrato público o una concesión.
7)Los acuerdos u otras prácticas a los que se aplique la prohibición del apartado 1, que no reúnan las condiciones del apartado 2 y hayan sido celebrados antes de la fecha de entrada en vigor del presente Reglamento, se rescindirán al término del contrato y, en cualquier caso, a más tardar tres años después de dicha fecha.
Artículo 5
Condiciones de la reutilización
1)Los organismos del sector público que, en virtud del Derecho nacional, sean competentes para conceder o denegar el acceso a efectos de la reutilización de una o varias de las categorías de datos a que se refiere el artículo 3, apartado 1, publicarán las condiciones en las que se permite la reutilización. Al efecto, podrán asistirles los organismos competentes a que se refiere el artículo 7, apartado 1.
2)Las condiciones de la reutilización no establecerán ningún tipo de discriminación, serán proporcionadas y estarán justificadas objetivamente habida cuenta de las categorías de datos, los fines de la reutilización y la naturaleza de los datos cuya reutilización se permita. Estas condiciones no se utilizarán para restringir la competencia.
3)Los organismos del sector público podrán imponer la obligación de que en la reutilización se usen únicamente datos pretratados, cuando el objeto del pretratamiento sea anonimizar o seudonimizar datos personales o suprimir información comercial de carácter confidencial, en particular secretos comerciales.
4)Los organismos del sector público podrán imponer las obligaciones de que:
a)el acceso a los datos y su reutilización se lleven a cabo en un entorno de tratamiento seguro facilitado y controlado por el sector público;
b)el acceso a los datos y su reutilización se lleven a cabo en los locales físicos en los que se encuentre el entorno de tratamiento seguro si no puede habilitarse el acceso a distancia sin que ello ponga en peligro los derechos e intereses de terceros.
5)Los organismos del sector público impondrán condiciones que preserven la integridad del funcionamiento de los sistemas técnicos del entorno de tratamiento seguro usado. El organismo del sector público estará facultado para verificar los resultados del tratamiento de datos efectuado por el reutilizador y se reservará el derecho de prohibir el uso de aquellos resultados que contengan información que ponga en peligro los derechos e intereses de terceros.
6)Cuando no pueda llevarse a cabo la reutilización de los datos de conformidad con las obligaciones establecidas en los apartados 3 a 5 y no exista ninguna otra base jurídica para transmitir los datos en virtud del Reglamento (UE) 2016/679, el organismo del sector público ayudará a los reutilizadores a obtener el consentimiento de los interesados o el permiso de las entidades jurídicas cuyos derechos e intereses puedan verse afectados por la reutilización, siempre que ello sea factible sin acarrear unos costes desproporcionados para el sector público. Al efecto, podrán asistirle los organismos competentes a que se refiere el artículo 7, apartado 1.
7)Solo se permitirá la reutilización de datos en cumplimiento de los derechos de propiedad intelectual. Los organismos del sector público no ejercerán el derecho que el artículo 7, apartado 1, de la Directiva 96/9/CE otorga a los fabricantes de bases de datos para impedir la reutilización de datos o aplicar restricciones a la reutilización que excedan de las establecidas en el presente Reglamento.
8)Cuando los datos solicitados se consideren confidenciales, de conformidad con el Derecho de la Unión o nacional en materia de confidencialidad comercial, los organismos del sector público velarán por que la información confidencial no se divulgue como resultado de la reutilización.
9)La Comisión podrá adoptar actos de ejecución en los que se declare que las disposiciones jurídicas, de supervisión y de ejecución de un tercer país:
a)garantizan una protección de la propiedad intelectual y de los secretos comerciales esencialmente equivalente a la garantizada por el Derecho de la Unión;
b)se aplican y hacen cumplir de manera efectiva; y
c)ofrecen vías de recurso judicial efectivas.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 29, apartado 2.
10)Los organismos del sector público solo transmitirán datos confidenciales o protegidos por derechos de propiedad intelectual a un reutilizador que tenga la intención de transferirlos a un tercer país distinto de los designados de conformidad con el apartado 9 si el reutilizador se compromete a:
a)cumplir las obligaciones que imponen los apartados 7 a 8, incluso después de transferir los datos al tercer país; y
b)someterse a la competencia de los órganos jurisdiccionales del Estado miembro del organismo del sector público respecto de los litigios que puedan surgir en relación con el cumplimiento de la obligación contemplada en la letra a).
11)Cuando en actos específicos de la Unión, adoptados con arreglo a un procedimiento legislativo, se disponga que determinadas categorías de datos no personales conservados por organismos del sector público se han de considerar muy sensibles a efectos del presente artículo, la Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 28 que completen el presente Reglamento estableciendo condiciones especiales aplicables a la transferencia de datos a terceros países. Las condiciones para la transferencia de datos a terceros países se basarán en la naturaleza de las categorías de datos señaladas en el acto legislativo de la Unión y en los motivos para considerar que se trata de datos muy sensibles, no serán discriminatorias, se limitarán a lo necesario para alcanzar los objetivos de política pública determinados en dicho acto, como la seguridad y la salud pública, tendrán en cuenta los riesgos de reidentificación de datos anonimizados con respecto a los interesados y serán conformes con las obligaciones internacionales de la Unión. Podrán incluirse condiciones aplicables a la transferencia de datos o disposiciones técnicas a este respecto, limitaciones relativas a la reutilización de datos en terceros países o a las categorías de personas facultadas para transferir los datos a terceros países, o, en casos excepcionales, restricciones de la transferencia de datos a terceros países.
12)La persona física o jurídica a la que se haya concedido el derecho a reutilizar datos no personales solo podrá transferir los datos a terceros países en los que se cumplan los requisitos de los apartados 9 a 11.
13)Cuando el reutilizador tenga la intención de transferir datos no personales a un tercer país, el organismo del sector público informará al titular de los datos de la transferencia prevista.
Artículo 6
Tasas
1)Los organismos del sector público podrán cobrar tasas por permitir la reutilización de las categorías de datos a que se refiere el artículo 3, apartado 1.
2)Las tasas no establecerán ningún tipo de discriminación, serán proporcionadas, estarán objetivamente justificadas y no restringirán la competencia.
3)Los organismos del sector público garantizarán que el pago de las tasas pueda hacerse en línea, a través de servicios transfronterizos de pago de uso generalizado, sin discriminación por razón del lugar de establecimiento del proveedor del servicio de pago, el lugar de emisión del instrumento de pago o la ubicación de la cuenta de pago dentro de la Unión.
4)Cuando apliquen tasas, los organismos del sector público adoptarán medidas para incentivar la reutilización de las categorías de datos a que se refiere el artículo 3, apartado 1, con fines no comerciales y por parte de las pequeñas y medianas empresas, de conformidad con las normas sobre ayudas estatales.
5)Las tasas se calcularán en función de los costes relacionados con el tratamiento de las solicitudes de reutilización de las categorías de datos a que se refiere el artículo 3, apartado 1. La metodología de cálculo de las tasas se publicará con antelación.
6)Los organismos del sector público publicarán una descripción de las principales categorías de costes y las normas para su asignación.
Artículo 7
Organismos competentes
1)Los Estados miembros designarán uno o varios organismos competentes, que podrán ser sectoriales, para asistir a los organismos del sector público que concedan acceso para la reutilización de las categorías de datos a que se refiere el artículo 3, apartado 1, en el ejercicio de esa actividad.
2)La asistencia a que se refiere el apartado 1 comprenderá, según corresponda, lo siguiente:
a)apoyo técnico mediante la habilitación de un entorno de tratamiento seguro a fin de facilitar el acceso para la reutilización de los datos;
b)apoyo técnico con vistas a la aplicación de técnicas probadas, como las técnicas de seudonimización, anonimización, generalización, supresión y aleatorización de datos personales, que garanticen que el tratamiento de los datos pueda llevarse a cabo de manera que se preserve la privacidad de la información contenida en los datos cuya reutilización se autoriza;
c)asistencia a los organismos del sector público, cuando proceda, por lo que respecta a la obtención, por parte de los reutilizadores, del consentimiento o el permiso para la reutilización de datos con fines altruistas y de otra índole, en consonancia con las decisiones específicas de los titulares de los datos, en particular sobre el territorio o los territorios en los que se prevea tratar los datos;
d)asistencia a los organismos del sector público en lo referente a la idoneidad de los compromisos contraídos por un reutilizador, de conformidad con el artículo 5, apartado 10.
3)Podrá asimismo confiarse a los organismos competentes la concesión de acceso para la reutilización de las categorías de datos a que se refiere el artículo 3, apartado 1, con arreglo al Derecho de la Unión o nacional que prevea la concesión de dicho acceso. Cuando dichos organismos competentes ejerzan la función de conceder o denegar el acceso para la reutilización, serán de aplicación los artículos 4, 5 y 6, y el artículo 8, apartado 3.
4)El organismo o los organismos competentes tendrán la capacidad jurídica y técnica y los conocimientos técnicos adecuados para dar cumplimiento al Derecho de la Unión o nacional aplicable en lo referente a los regímenes de acceso relativos a las categorías de datos a que se refiere el artículo 3, apartado 1.
5)Los Estados miembros comunicarán a la Comisión la identidad de los organismos competentes designados con arreglo al apartado 1 a más tardar el [fecha de aplicación del presente Reglamento]. Asimismo, comunicarán a la Comisión toda modificación posterior de la identidad de dichos organismos.
Artículo 8
Punto único de información
1)Los Estados miembros velarán por que toda la información pertinente en relación con la aplicación de los artículos 5 y 6 esté disponible a través de un punto único de información.
2)El punto único de información recibirá las solicitudes de reutilización de las categorías de datos a que se refiere el artículo 3, apartado 1, y las transmitirá a los organismos del sector público competentes, o, en su caso, a los organismos competentes designados de conformidad con el artículo 7, apartado 1. El punto único de información habilitará, por medios electrónicos, un registro de los recursos de datos disponibles, que contendrá la información pertinente en la que se describa la naturaleza de tales datos.
3)Los organismos del sector público competentes o los organismos competentes designados con arreglo al artículo 7, apartado 1, aceptarán o denegarán las solicitudes de reutilización de las categorías de datos a que se refiere el artículo 3, apartado 1, en un plazo razonable y, en cualquier caso, a más tardar en el plazo de dos meses desde la fecha de la solicitud.
4)Toda persona física o jurídica afectada por una decisión de un organismo del sector público o de un organismo competente, según el caso, tendrá derecho a la tutela judicial efectiva contra dicha decisión ante los órganos jurisdiccionales del Estado miembro del organismo en cuestión.
Capítulo III
Requisitos aplicables a los servicios de intercambio de datos
Artículo 9
Proveedores de servicios de intercambio de datos
1)La prestación de los servicios de intercambio de datos que se indican a continuación estará sujeta a un procedimiento de notificación:
a)Servicios de intermediación entre los titulares de datos que sean personas jurídicas y los usuarios potenciales de los datos, incluida la facilitación de los medios técnicos o de otro tipo para habilitar dichos servicios. Los servicios podrán comprender el intercambio bilateral o multilateral de datos o la creación de plataformas o bases de datos que posibiliten el intercambio o la explotación conjunta de datos, así como el establecimiento de una infraestructura específica para la interconexión de los titulares de datos y los usuarios de datos.
b)Servicios de intermediación entre los interesados que, en el ejercicio de los derechos previstos en el Reglamento (UE) 2016/679, deseen facilitar sus datos personales y los usuarios potenciales de los datos, incluida la facilitación de los medios técnicos o de otro tipo necesarios para habilitar tales servicios.
c)Servicios de cooperativas de datos, esto es, servicios que, por una parte, ayudan a tomar decisiones con conocimiento de causa, antes de dar el consentimiento para el tratamiento de datos, a los interesados y las empresas unipersonales, microempresas y pequeñas y medianas empresas que sean miembros de la cooperativa o que confieran a esta el poder para negociar con carácter previo al consentimiento las condiciones y modalidades del tratamiento de datos y, por otra, prevén mecanismos para el intercambio de puntos de vista sobre los fines y las condiciones del tratamiento de datos que mejor representen los intereses de los interesados o de las personas jurídicas.
2)El presente capítulo se entenderá sin perjuicio de la aplicación de otros actos legislativos de la Unión y nacionales a los proveedores de servicios de intercambio de datos, incluida la facultad de las autoridades de supervisión para garantizar el cumplimiento del Derecho aplicable, en particular por lo que se refiere a la protección de los datos personales y la legislación sobre competencia.
Artículo 10
Notificación de los proveedores de servicios de intercambio de datos
1)Todo proveedor de servicios de intercambio de datos que se proponga prestar los servicios a que se refiere el artículo 9, apartado 1, presentará una notificación a la autoridad competente a que se refiere el artículo 12.
2)A efectos del presente Reglamento, se considerará que un prestador de servicios de intercambio de datos establecido en más de un Estado miembro está sometido al ordenamiento jurídico del Estado miembro de su establecimiento principal.
3)Los proveedores de servicios de intercambio de datos que no estén establecidos en la Unión, pero ofrezcan en ella los servicios a que se refiere el artículo 9, apartado 1, nombrarán un representante legal en uno de los Estados miembros en los que se ofrezcan dichos servicios. El proveedor se considerará sometido al ordenamiento jurídico del Estado miembro en el que esté establecido su representante legal.
4)Previa notificación, el proveedor de servicios de intercambio de datos podrá iniciar su actividad con arreglo a las condiciones establecidas en el presente capítulo.
5)La notificación dará al proveedor el derecho a prestar servicios de intercambio de datos en todos los Estados miembros.
6)La notificación incluirá la información siguiente:
a)nombre del proveedor de servicios de intercambio de datos;
b)estatuto jurídico, forma jurídica y número de registro del proveedor, cuando esté inscrito en un registro mercantil u otro registro público similar;
c)dirección del eventual establecimiento principal del proveedor en la Unión y, en su caso, de cualquier sucursal en otro Estado miembro, o dirección de su representante legal designado con arreglo al apartado 3;
d)sitio web en el que se recoja información sobre el proveedor y sus actividades, en su caso;
e)personas de contacto del proveedor y sus datos de contacto;
f)descripción del servicio que el proveedor tenga intención de prestar;
g)estimación de la fecha de inicio de la actividad;
h)Estados miembros en los que el proveedor tenga intención de prestar sus servicios.
7)A petición del proveedor, la autoridad competente expedirá, en el plazo de una semana, una declaración normalizada en la que se confirme que el proveedor ha presentado la notificación a que se refiere el apartado 4.
8)La autoridad competente transmitirá las notificaciones a las autoridades nacionales competentes de los Estados miembros, por vía electrónica y sin demora.
9)La autoridad competente informará a la Comisión de toda nueva notificación. La Comisión llevará un registro de los proveedores de servicios de intercambio de datos.
10)La autoridad competente podrá cobrar tasas. Las tasas serán proporcionadas y objetivas y se basarán en los costes administrativos relativos al seguimiento del cumplimiento y otras actividades de control del mercado que lleven a cabo las autoridades competentes en relación con las notificaciones de servicios de intercambio de datos.
11)Cuando un proveedor de servicios de intercambio de datos cese sus actividades, lo notificará a la autoridad competente pertinente determinada con arreglo a los apartados 1, 2 y 3 en un plazo de 15 días. La autoridad competente transmitirá la notificación, sin demora y por vía electrónica, a las autoridades nacionales competentes de los Estados miembros y a la Comisión.
Artículo 11
Condiciones para la prestación de servicios de intercambio de datos
La prestación de servicios de intercambio de datos a que se refiere el artículo 9, apartado 1, estará sujeta a las condiciones siguientes:
1)los proveedores no podrán utilizar los datos en relación con los que presten sus servicios para fines distintos de su puesta a disposición de los usuarios de datos; además, los servicios de intercambio de datos se asignarán a una entidad jurídica independiente;
2)los metadatos recogidos en el marco de la prestación de un servicio de intercambio de datos solo podrán utilizarse para el desarrollo de ese servicio;
3)los proveedores velarán por que el procedimiento de acceso a sus servicios, incluidos los precios, sea equitativo y transparente y no establezca ningún tipo de discriminación de los titulares de datos ni de los usuarios de datos;
4)los proveedores intercambiarán los datos en el mismo formato en el que los reciban de parte del titular y únicamente los convertirán en formatos específicos con el fin de mejorar la interoperabilidad intrasectorial e intersectorial, o si así lo solicita el usuario de los datos, si así lo exige el Derecho de la Unión o si es necesario a efectos de la armonización con las normas internacionales o europeas en materia de datos;
5)los proveedores dispondrán de procedimientos para impedir las prácticas fraudulentas o abusivas en relación con el acceso a los datos por las partes que deseen usar sus servicios para tal acceso;
6)los proveedores velarán por la continuidad razonable de la prestación de sus servicios y, en el caso del almacenamiento de datos, adoptarán los mecanismos de garantía necesarios para que los titulares y los usuarios de datos puedan acceder a sus datos en caso de insolvencia;
7)los proveedores aplicarán las medidas técnicas, jurídicas y organizativas adecuadas para impedir el acceso a datos no personales o su transferencia cuando dicho acceso o transferencia sean ilícitos con arreglo al Derecho de la Unión;
8)los proveedores tomarán medidas para garantizar un elevado nivel de seguridad en relación con el almacenamiento y la transmisión de los datos no personales;
9)los proveedores aplicarán procedimientos para garantizar el cumplimiento de las normas de competencia nacionales y de la Unión;
10)los proveedores que ofrezcan servicios a interesados actuarán en el mejor interés de estos al facilitarles el ejercicio de sus derechos, en particular asesorándolos sobre los posibles usos de los datos y las condiciones generales asociadas a dichos usos;
11)cuando los proveedores proporcionen herramientas para obtener el consentimiento de los interesados o el permiso para tratar los datos facilitados por personas jurídicas, especificarán el territorio o los territorios en los que se pretenda usar los datos.
Artículo 12
Autoridades competentes
1)Cada Estado miembro designará en su territorio una o varias autoridades competentes para desempeñar las funciones relacionadas con el marco de notificación y comunicará a la Comisión la identidad de dichas autoridades designadas a más tardar el [fecha de aplicación del presente Reglamento]. Asimismo, comunicará a la Comisión toda modificación posterior al respecto.
2)Las autoridades competentes designadas cumplirán lo dispuesto en el artículo 23.
3)Las autoridades competentes designadas, las autoridades responsables de la protección de datos, las autoridades nacionales de defensa de la competencia, las autoridades encargadas de la ciberseguridad y otras autoridades sectoriales pertinentes intercambiarán la información necesaria para el desempeño de sus funciones en relación con los proveedores de servicios de intercambio de datos.
Artículo 13
Seguimiento del cumplimiento
1)La autoridad competente supervisará y hará un seguimiento del cumplimiento del presente capítulo.
2)La autoridad competente estará facultada para solicitar a los proveedores de servicios de intercambio de datos toda la información necesaria a fin de verificar el cumplimiento de los requisitos establecidos en los artículos 10 y 11. Las solicitudes de información serán proporcionadas con respecto al cumplimiento de la tarea y estarán motivadas.
3)Cuando una autoridad competente considere que un proveedor de servicios de intercambio de datos no cumple uno o varios de los requisitos establecidos en los artículos 10 u 11, notificará sus observaciones al proveedor y le dará la oportunidad de manifestar su opinión al respecto en un plazo razonable.
4)La autoridad competente estará facultada para exigir el cese de la infracción a que se refiere el apartado 3, bien inmediatamente, bien dentro de un plazo razonable, y adoptará medidas adecuadas y proporcionadas para garantizar el cumplimiento. A este respecto, la autoridad competente podrá, en su caso:
a)imponer sanciones económicas disuasorias, incluidas multas coercitivas con efectos retroactivos;
b)exigir el cese o el aplazamiento de la prestación del servicio de intercambio de datos.
5)La autoridad competente comunicará sin demora a la entidad afectada las medidas impuestas en virtud del apartado 4, así como su justificación, y fijará un plazo razonable para que la entidad dé cumplimiento a las medidas.
6)Si el establecimiento principal o el representante legal de un proveedor de servicios de intercambio de datos se encuentran en un Estado miembro, pero el proveedor presta sus servicios en otros Estados miembros, la autoridad competente del Estado miembro de su establecimiento principal o su representante legal y las autoridades competentes de los otros Estados miembros cooperarán entre sí y se asistirán mutuamente. La asistencia y la cooperación podrán abarcar el intercambio de información entre las autoridades competentes de que se trate y las peticiones de que se adopten las medidas contempladas en el presente artículo.
Artículo 14
Excepciones
El presente capítulo no se aplicará a las entidades sin ánimo de lucro cuya actividad consista únicamente en la recopilación de datos cedidos con fines altruistas por personas físicas o jurídicas para el cumplimiento de objetivos de interés general.
Capítulo IV
Cesión altruista de datos
Artículo 15
Registro de organizaciones reconocidas de gestión de datos con fines altruistas
1)Cada autoridad competente designada con arreglo al artículo 20 llevará un registro de organizaciones reconocidas de gestión de datos con fines altruistas.
2)La Comisión llevará un registro de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas.
3)Las entidades inscritas en el registro de conformidad con el artículo 16 podrán referirse a sí mismas, en sus comunicaciones orales y escritas, como «organización de gestión de datos con fines altruistas reconocida en la Unión».
Artículo 16
Requisitos generales de inscripción en el registro
Para que una organización de gestión de datos con fines altruistas pueda inscribirse en el registro, esta deberá:
a)ser una entidad jurídica constituida para cumplir objetivos de interés general;
b)ejercer su actividad sin ánimo de lucro y ser independiente de cualquier entidad que ejerza su actividad con fines lucrativos;
c)desempeñar las actividades relacionadas con la cesión altruista de datos a través de una estructura jurídicamente independiente, separada de otras actividades que lleve a cabo.
Artículo 17
Inscripción en el registro
1)Toda entidad que cumpla los requisitos del artículo 16 podrá solicitar su inscripción en el registro de organizaciones reconocidas de gestión de datos con fines altruistas a que se refiere el artículo 15, apartado 1.
2)A efectos del presente Reglamento, las entidades que desempeñen actividades relacionadas con la cesión altruista de datos y estén establecidas en más de un Estado miembro deberán inscribirse en el Estado miembro de su establecimiento principal.
3)Las entidades que no estén establecidas en la Unión, pero cumplan los requisitos del artículo 16, nombrarán un representante legal en uno de los Estados miembros en los que se propongan recopilar datos de cesión altruista. A efectos del cumplimiento del presente Reglamento, se considerará que dichas entidades están sometidas al ordenamiento jurídico del Estado miembro de su representante legal.
4)La solicitud de registro deberá incluir los datos siguientes:
a)nombre de la entidad;
b)estatuto jurídico, forma jurídica y número de registro de la entidad, cuando esté inscrita en un registro público;
c)estatutos de la entidad, cuando proceda;
d)principales fuentes de ingresos de la entidad;
e)dirección del eventual establecimiento principal de la entidad en la Unión y, en su caso, de cualquier sucursal en otro Estado miembro, o dirección de su representante legal designado con arreglo al apartado 3;
f)sitio web en el que se recoja información sobre la entidad y sus actividades;
g)personas de contacto de la entidad y sus datos de contacto;
h)fines de interés general que la entidad se proponga promover con la recopilación de los datos;
i)cualquier otro documento que acredite el cumplimiento de los requisitos del artículo 16.
5)Cuando la entidad haya presentado toda la información necesaria con arreglo al apartado 4 y la autoridad competente considere que cumple los requisitos del artículo 16, esta procederá a inscribir a la entidad en el registro de organizaciones reconocidas de gestión de datos con fines altruistas en un plazo de doce semanas a partir de la fecha de la solicitud. La inscripción será válida en todos los Estados miembros. Toda inscripción deberá comunicarse a la Comisión para su inclusión en el registro de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas.
6)La información a que se refiere el apartado 4, letras a), b), f), g) y h), se publicará en el registro nacional de organizaciones reconocidas de gestión de datos con fines altruistas.
7)Toda entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas deberá comunicar a la autoridad competente cualquier cambio que se produzca en la información facilitada con arreglo al apartado 4 en un plazo de catorce días naturales a partir de la fecha del cambio.
Artículo 18
Requisitos de transparencia
1)Toda entidad inscrita en el registro nacional de organizaciones reconocidas de gestión de datos con fines altruistas llevará un registro completo y exacto de:
a)todas las personas físicas o jurídicas a las que se haya permitido tratar datos conservados por la entidad;
b)la fecha o la duración del tratamiento de datos;
c)la finalidad del tratamiento de datos declarada por las personas físicas o jurídicas a las que se haya permitido dicho tratamiento;
d)las eventuales tasas abonadas por las personas físicas o jurídicas que efectúen el tratamiento de datos.
2)Toda entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas elaborará y transmitirá a la autoridad nacional competente un informe anual de actividades que contendrá, como mínimo, lo siguiente:
a)información sobre las actividades de la entidad;
b)descripción de la manera en que se han promovido los fines de interés general para los que se hayan recogido los datos durante el ejercicio financiero en cuestión;
c)lista de todas las personas físicas y jurídicas a las que se haya permitido utilizar datos conservados por la entidad, incluyendo una breve descripción de los fines de interés general perseguidos con el uso de los datos, la descripción de los medios técnicos empleados al efecto y la descripción de las técnicas aplicadas para preservar la privacidad y la protección de datos;
d)resumen de los resultados de los usos de los datos permitidos por la entidad, cuando proceda;
e)información sobre las fuentes de ingresos de la entidad, en particular todos los ingresos derivados de permitir el acceso a los datos, y sobre sus gastos.
Artículo 19
Requisitos específicos para la salvaguarda de los derechos e intereses de los interesados y las entidades jurídicas en lo que respecta a sus datos
1)Toda entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas transmitirá a los titulares de datos:
a)información fácilmente comprensible sobre los fines de interés general para los que permite que los datos del titular sean tratados por un usuario de datos;
b)información sobre toda actividad de tratamiento que tenga lugar fuera de la Unión.
2)La entidad garantizará asimismo que los datos no se utilicen con fines distintos de los fines de interés general para los que permita el tratamiento.
3)Cuando una entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas proporcione herramientas para obtener el consentimiento de los interesados o el permiso para tratar los datos facilitados por personas jurídicas, especificará el territorio o los territorios en los que se pretenda utilizar los datos.
Artículo 20
Autoridades competentes para la inscripción en el registro
1)Cada Estado miembro designará una o varias autoridades competentes a efectos de la inscripción en el registro de las organizaciones reconocidas de gestión de datos con fines altruistas y del seguimiento del cumplimiento de los requisitos del presente capítulo. Las autoridades competentes designadas cumplirán los requisitos del artículo 23.
2)Cada Estado miembro informará a la Comisión de la identidad de las autoridades designadas.
3)La autoridad competente desempeñará sus funciones en cooperación con la autoridad de protección de datos, cuando dichas funciones estén relacionadas con el tratamiento de datos personales, y con los organismos sectoriales pertinentes del mismo Estado miembro. Cuando una cuestión requiera evaluar la conformidad con el Reglamento (UE) 2016/679, la autoridad competente solicitará un dictamen o una decisión a la autoridad de control establecida con arreglo a dicho Reglamento y se atendrá a lo dispuesto en el dictamen o la decisión.
Artículo 21
Seguimiento del cumplimiento
1)La autoridad competente supervisará y hará un seguimiento del cumplimiento de las condiciones establecidas en el presente capítulo por las entidades inscritas en el registro de organizaciones reconocidas de gestión de datos con fines altruistas.
2)La autoridad competente estará facultada para solicitar a las entidades inscritas en el registro de organizaciones reconocidas de gestión de datos con fines altruistas la información necesaria para verificar el cumplimiento de las disposiciones del presente capítulo. Las solicitudes de información serán proporcionadas con respecto al cumplimiento de la tarea y estarán motivadas.
3)Cuando la autoridad competente considere que una entidad no cumple uno o varios de los requisitos del presente capítulo, notificará sus observaciones a la entidad y le dará la oportunidad de manifestar su opinión al respecto en un plazo razonable.
4)La autoridad competente estará facultada para exigir el cese de la infracción a que se refiere el apartado 3, bien inmediatamente, bien dentro de un plazo razonable, y adoptará medidas adecuadas y proporcionadas para garantizar el cumplimiento.
5)Si una entidad no cumple uno o varios de los requisitos del presente capítulo, incluso después de haber recibido la notificación de la autoridad competente de conformidad con el apartado 3, la entidad:
a)perderá el derecho a referirse a sí misma, en sus comunicaciones orales y escritas, como «organización de gestión de datos con fines altruistas reconocida en la Unión»;
b)será retirada del registro de organizaciones reconocidas de gestión de datos con fines altruistas.
6)Si una entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas tiene su establecimiento principal o su representante legal en un Estado miembro, pero ejerce su actividad en otros Estados miembros, la autoridad competente del Estado miembro de su establecimiento principal o de su representante legal y las autoridades competentes de los otros Estados miembros cooperarán entre sí y se asistirán mutuamente según sea necesario. La asistencia y la cooperación podrán abarcar el intercambio de información entre las autoridades competentes de que se trate y las peticiones de que se adopten las medidas de supervisión contempladas en el presente artículo.
Artículo 22
Formulario europeo de consentimiento para la cesión altruista de datos
1)Con el fin de facilitar la recogida de datos de cesión altruista, la Comisión podrá adoptar actos de ejecución en los que se establezca un formulario europeo de consentimiento para tal cesión. El formulario permitirá recabar el consentimiento en todos los Estados miembros en un formato uniforme. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 29, apartado 2.
2)El formulario europeo de consentimiento para la cesión altruista de datos adoptará un diseño modular que permita su adaptación a sectores específicos y distintos fines.
3)Cuando se faciliten datos personales, el formulario europeo de consentimiento para la cesión altruista de datos garantizará que los interesados puedan dar o retirar su consentimiento respecto de una operación específica de tratamiento de datos de conformidad con los requisitos del Reglamento (UE) 2016/679.
4)El formulario estará disponible en un formato que permita su impresión en papel y su lectura por personas, así como en un formato electrónico y legible por máquina.
Capítulo V
Autoridades competentes y disposiciones procedimentales
Artículo 23
Requisitos relativos a las autoridades competentes
1)Las autoridades competentes designadas con arreglo al artículo 12 y al artículo 20 serán jurídicamente distintas y funcionalmente independientes de cualquier proveedor de servicios de intercambio de datos o entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas.
2)Las autoridades competentes ejercerán sus funciones de manera imparcial, transparente, coherente, fiable y oportuna.
3)La alta dirección y el personal responsables de desempeñar las funciones de la autoridad competente previstas en el presente Reglamento no podrán ser el diseñador, el fabricante, el proveedor, el instalador, el comprador, el propietario, el usuario ni el encargado del mantenimiento de los servicios que se evalúen, ni tampoco podrán ser el representante autorizado de ninguna de estas partes ni representarlas de ninguna manera. Ello no será óbice para el uso de los servicios evaluados que sean necesarios para las operaciones de la autoridad competente o para el uso de dichos servicios con fines personales.
4)La alta dirección y el personal no ejercerán ninguna actividad que pueda entrar en conflicto con su independencia de criterio o su integridad en relación con las actividades de evaluación que se les confíen.
5)Las autoridades competentes dispondrán de los recursos financieros y humanos adecuados, así como de los conocimientos y recursos técnicos necesarios, para desempeñar las funciones que se les asignen.
6)Las autoridades competentes de un Estado miembro facilitarán a la Comisión y a las autoridades competentes de otros Estados miembros, previa solicitud motivada, la información necesaria para el desempeño de sus funciones en virtud del presente Reglamento. Cuando una autoridad nacional competente considere que la información solicitada es confidencial de conformidad con las normas nacionales y de la Unión en materia de confidencialidad comercial y profesional, la Comisión y las autoridades competentes interesadas garantizarán dicha confidencialidad.
Artículo 24
Derecho de reclamación
1)Toda persona física y jurídica tendrá derecho a presentar una reclamación ante la autoridad nacional competente pertinente contra un proveedor de servicios de intercambio de datos o una entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas.
2)La autoridad ante la que se haya presentado la reclamación informará al reclamante sobre el curso del procedimiento y la decisión tomada, así como sobre su derecho a la tutela judicial efectiva previsto en el artículo 25.
Artículo 25
Derecho a la tutela judicial efectiva
1)Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, toda persona física o jurídica afectada tendrá derecho a la tutela judicial efectiva en lo que respecta a:
a)la falta de respuesta a una reclamación presentada ante la autoridad competente a que se refieren los artículos 12 y 20;
b)las decisiones de las autoridades competentes a que se refieren los artículos 13, 17 y 21 adoptadas en el marco de la gestión, el control y la ejecución del régimen de notificación para los proveedores de servicios de intercambio de datos, así como en el marco del seguimiento de las entidades inscritas en el registro de organizaciones reconocidas de gestión de datos con fines altruistas.
2)Los recursos presentados en aplicación del presente artículo se dirimirán en los órganos jurisdiccionales del Estado miembro de la autoridad contra la cual se interponga el recurso.
Capítulo VI
Comité Europeo de Innovación en materia de Datos
Artículo 26
Comité Europeo de Innovación en materia de Datos
1)La Comisión creará un Comité Europeo de Innovación en materia de Datos («el Comité»), que adoptará la forma de un grupo de expertos integrado por los representantes de las autoridades competentes de todos los Estados miembros, el Comité Europeo de Protección de Datos, la Comisión, los espacios de datos pertinentes y otros representantes de las autoridades competentes de sectores específicos.
2)Las partes interesadas y terceras partes pertinentes podrán ser invitadas a asistir a las reuniones del Comité y a participar en su labor.
3)La Comisión presidirá las reuniones del Comité.
4)El Comité estará asistido por una secretaría proporcionada por la Comisión.
Artículo 27
Funciones del Comité
El Comité desempeñará las funciones siguientes:
a)asesorar y asistir a la Comisión en el desarrollo de una práctica coherente de los organismos del sector público y los organismos competentes mencionados en el artículo 7, apartado 1, que traten las solicitudes de reutilización de las categorías de datos mencionadas en el artículo 3, apartado 1;
b)asesorar y asistir a la Comisión en el desarrollo de una práctica coherente de las autoridades competentes en cuanto a la aplicación de los requisitos relativos a los proveedores de servicios de intercambio de datos;
c)asesorar a la Comisión sobre la priorización de las normas intersectoriales que deban utilizarse y desarrollarse para el uso de datos y el intercambio de datos entre diferentes sectores, la comparación y el intercambio intersectoriales de las mejores prácticas con respecto a los requisitos sectoriales de seguridad y los procedimientos de acceso, teniendo en cuenta al mismo tiempo las actividades de normalización específicas de cada sector;
d)ayudar a la Comisión a mejorar la interoperabilidad de los datos y los servicios de intercambio de datos entre diferentes sectores y ámbitos, tomando como referencia las normas europeas, internacionales o nacionales vigentes;
e)facilitar la cooperación entre las autoridades nacionales competentes en virtud del presente Reglamento mediante el desarrollo de capacidades y el intercambio de información, en particular estableciendo métodos para el intercambio eficiente de información relativa al procedimiento de notificación para los proveedores de servicios de intercambio de datos y a la inscripción y el seguimiento de las organizaciones reconocidas de gestión de datos con fines altruistas.
Capítulo VII
Comité y delegación
Artículo 28
Ejercicio de la delegación
1)Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.
2)Los poderes para adoptar actos delegados a que se refiere el artículo 5, apartado 11, se otorgan a la Comisión por un período de tiempo indefinido a partir del [...].
3)La delegación de poderes mencionada en el artículo 5, apartado 11, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La Decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La Decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en la propia Decisión. No afectará a la validez de los actos delegados que ya estén en vigor.
4)Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.
5)Tan pronto como la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.
6)Los actos delegados adoptados en virtud del artículo 5, apartado 11, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.
Artículo 29
Procedimiento de comité
1)La Comisión estará asistida por un comité, a tenor de lo dispuesto en el Reglamento (UE) n.º 182/2011.
2)En los casos en que se haga referencia al presente apartado, será de aplicación el artículo 4 del Reglamento (UE) n.º 182/2011.
3)Cuando el dictamen del comité deba obtenerse mediante procedimiento escrito, se pondrá fin a dicho procedimiento sin resultado si, en el plazo para la emisión del dictamen, el presidente del comité así lo decide o si un miembro del comité así lo solicita. En tal caso, el presidente convocará una reunión del comité en un plazo razonable.
Capítulo VIII
Disposiciones finales
Artículo 30
Acceso internacional
1)El organismo del sector público, la persona física o jurídica a la que se haya concedido el derecho a reutilizar datos en virtud del capítulo II, el proveedor de servicios de intercambio de datos o la entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas, según el caso, adoptarán todas las medidas técnicas, jurídicas y organizativas razonables para impedir la transferencia de datos no personales conservados en la Unión, o el acceso a tales datos, cuando la transferencia o el acceso entren en conflicto con el Derecho de la Unión o con el Derecho del Estado miembro de que se trate, a menos que estas actividades estén en consonancia con los apartados 2 o 3.
2)Las resoluciones de los órganos jurisdiccionales y las decisiones de las autoridades administrativas de terceros países por las que se exija, a un organismo del sector público, a una persona física o jurídica a la que se haya concedido el derecho a reutilizar datos en virtud del capítulo II, a un proveedor de servicios de intercambio de datos o a una entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas, transferir o dar acceso a datos no personales conservados en la Unión que estén sujetos al presente Reglamento solo podrán reconocerse o ejecutarse de cualquier forma si se basan en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o un Estado miembro y celebrado antes de [la fecha de entrada en vigor del presente Reglamento].
3)Cuando un organismo del sector público, una persona física o jurídica a la que se haya concedido el derecho a reutilizar datos en virtud del capítulo II, un proveedor de servicios de intercambio de datos o una entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas sea el destinatario de una resolución de un órgano jurisdiccional o una autoridad administrativa de un tercer país por la que se exija transferir o dar acceso a datos no personales conservados en la Unión, y el cumplimiento de dicha resolución pueda poner al destinatario en una situación de conflicto con el Derecho de la Unión o con el Derecho del Estado miembro pertinente, la transferencia o el acceso únicamente tendrán lugar si:
a)el sistema del tercer país exige que se expongan los motivos y la proporcionalidad de la decisión y que la resolución judicial o la decisión, según el caso, sean de carácter específico, por ejemplo, estableciendo un vínculo suficiente con determinadas personas sospechosas o infracciones;
b)la oposición motivada del destinatario es revisada por un órgano jurisdiccional competente del tercer país; y
c)en ese contexto, el órgano jurisdiccional competente que dicte la resolución o revise la decisión de una autoridad administrativa está facultado, con arreglo al Derecho del tercer país, para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o por el Derecho del Estado miembro que sea de aplicación.
El destinatario de la decisión solicitará el dictamen de los organismos o autoridades competentes pertinentes, con arreglo al presente Reglamento, para determinar si se cumplen las condiciones expuestas.
4)Si se cumplen las condiciones de los apartados 2 o 3, el organismo del sector público, la persona física o jurídica a la que se haya concedido el derecho a reutilizar datos en virtud del capítulo II, el proveedor de servicios de intercambio de datos o la entidad inscrita en el registro de organizaciones reconocidas de gestión de datos con fines altruistas, según el caso, facilitará la cantidad mínima de datos permitida en respuesta a una solicitud, con arreglo a una interpretación razonable de la solicitud.
5)El organismo del sector público, la persona física o jurídica a la que se haya concedido el derecho a reutilizar datos en virtud del capítulo II, el proveedor de servicios de intercambio de datos o la entidad de gestión de datos con fines altruistas informará al titular de datos afectado de que una autoridad administrativa de un tercer país ha presentado una solicitud de acceso a sus datos, excepto en los casos en que la solicitud sirva a fines de aplicación de la ley y mientras sea necesario para preservar la eficacia de las actividades correspondientes de aplicación de la ley.
Artículo 31
Sanciones
Los Estados miembros establecerán el régimen de sanciones aplicables a las infracciones del presente Reglamento y adoptarán todas las medidas necesarias para garantizar su ejecución. Las sanciones serán efectivas, proporcionadas y disuasorias. Los Estados miembros notificarán el régimen de sanciones y las medidas a la Comisión a más tardar el [fecha de aplicación del Reglamento], y le comunicarán de inmediato cualquier modificación posterior.
Artículo 32
Evaluación y revisión
A más tardar [cuatro años desde la fecha de aplicación del presente Reglamento], la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo. Los Estados miembros facilitarán a la Comisión la información necesaria para la elaboración del informe.
Artículo 33
Modificación del Reglamento (UE) n.º 2018/1724
En el anexo II del Reglamento (UE) n.º 2018/1724, se añade la línea siguiente en la entrada «Puesta en marcha, gestión y cierre de una empresa»:
|
Puesta en marcha, gestión y cierre de una empresa |
Notificación en calidad de proveedor de servicios de intercambio de datos |
Acuse de recibo de la notificación |
|
Inscripción como organización europea de gestión de datos con fines altruistas |
Confirmación de la inscripción |
Artículo 34
Disposiciones transitorias
Las entidades que ya presten los servicios de intercambio de datos previstos en el artículo 9, apartado 1, en la fecha de entrada en vigor del presente Reglamento darán cumplimiento a las obligaciones establecidas en el capítulo III a más tardar el [fecha: dos años después de la fecha inicial de aplicación del Reglamento].
Artículo 35
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir de [doce meses después de su entrada en vigor].
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el
Por el Parlamento Europeo Por el Consejo
El Presidente El Presidente