|
16.4.2018 |
ES |
Diario Oficial de la Unión Europea |
L 96/1 |
REGLAMENTO DELEGADO (UE) 2018/573 DE LA COMISIÓN
de 15 de diciembre de 2017
sobre los elementos clave de los contratos de almacenamiento de datos que deben celebrarse como parte de un sistema de trazabilidad de los productos del tabaco
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 2014/40/UE del Parlamento Europeo y del Consejo, de 3 de abril de 2014, relativa a la aproximación de las disposiciones legales, reglamentarias y administrativas de los Estados miembros en materia de fabricación, presentación y venta de los productos del tabaco y los productos relacionados y por la que se deroga la Directiva 2001/37/CE (1), y en particular su artículo 15, apartado 12,
Considerando lo siguiente:
|
(1) |
El artículo 15, apartado 8, de la Directiva 2014/40/UE obliga a cada fabricante e importador, como parte del sistema de trazabilidad de los productos del tabaco que se detalla en el Reglamento de Ejecución (UE) 2018/574 de la Comisión (2), a celebrar un contrato de almacenamiento de datos con un proveedor tercero independiente a fin de albergar información sobre sus productos del tabaco. El artículo 15, apartado 12, de la Directiva 2014/40/UE faculta a la Comisión para definir los elementos clave de dichos contratos. |
|
(2) |
A fin de garantizar el funcionamiento eficaz del sistema de trazabilidad de los productos del tabaco en general y la interoperabilidad del sistema de repositorios en particular, es oportuno establecer los elementos clave de los contratos de almacenamiento de datos para incluir especificaciones relativas a la operatividad, la disponibilidad y el rendimiento de los servicios que deben prestar los proveedores de almacenamiento de datos. El funcionamiento efectivo y continuo del sistema de trazabilidad, así como del sistema de almacenamiento de datos que incluye, exige que los proveedores introduzcan requisitos claros sobre portabilidad de los datos cuando un fabricante o importador decida cambiar de proveedor. Por esa razón, los contratos deben incluir disposiciones que exijan el uso de una tecnología fácilmente disponible en el mercado y de uso habitual en el sector para garantizar una transferencia de datos efectiva e ininterrumpida entre los proveedores actuales y los nuevos. |
|
(3) |
A fin de garantizar el nivel necesario de flexibilidad, debe ser posible pedir al proveedor de almacenamiento de datos que realice, a cambio de una remuneración, servicios técnicos conexos relacionados con el funcionamiento del repositorio primario, como la ampliación de la funcionalidad operativa de las interfaces de usuario, a condición de que los servicios adicionales contribuyan al buen funcionamiento del sistema de repositorios y no incumplan ninguno de los requisitos establecidos en el Reglamento de Ejecución (UE) 2018/574. Por tanto, el contrato debe prever dicha opción. |
|
(4) |
Para salvaguardar el funcionamiento independiente del sistema de trazabilidad en todo momento, la Comisión debe poder revocar la aprobación de un proveedor que ya haya celebrado un contrato de almacenamiento de datos si una evaluación o reevaluación de la capacidad técnica o la independencia del proveedor da lugar a una constatación desfavorable sobre su idoneidad. |
|
(5) |
A fin de asegurar la organización eficaz del funcionamiento cotidiano del sistema, los proveedores de repositorios primarios deben colaborar entre sí, así como con las autoridades competentes de los Estados miembros y la Comisión. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Artículo 1
Objeto
El presente Reglamento establece los elementos clave que deben incluirse en los contratos de almacenamiento de datos contemplados en el artículo 15, apartado 8, de la Directiva 2014/40/UE.
Artículo 2
Definiciones
A efectos del presente Reglamento, además de las definiciones que figuran en la Directiva 2014/40/UE y en el Reglamento de Ejecución (UE) 2018/574, se aplicarán las siguientes definiciones:
1) «contrato»: acuerdo contractual entre un fabricante o importador de productos del tabaco y un proveedor de sistemas de almacenamiento de datos, conforme al artículo 15, apartado 8, de la Directiva 2014/40/UE y al Reglamento de Ejecución (UE) 2018/574;
2) «proveedor»: toda persona jurídica contratada por un fabricante o importador de productos del tabaco a fin de establecer y gestionar el funcionamiento de su repositorio primario y prestar los servicios conexos;
3) «portabilidad de datos»: la posibilidad de transferir datos entre los distintos repositorios, mediante el uso de una tecnología fácilmente disponible en el mercado y de uso habitual en el sector.
Artículo 3
Principales responsabilidades contractuales
1. El contrato precisará los principales servicios que debe prestar el proveedor, que incluirán:
|
1) |
el establecimiento y funcionamiento de un repositorio primario conforme al artículo 26 del Reglamento de Ejecución (UE) 2018/574; |
|
2) |
en caso de que el gestor del repositorio primario sea designado proveedor del repositorio secundario, el establecimiento y funcionamiento del repositorio secundario y el enrutador, conforme a los artículos 27, 28 y 29 del Reglamento de Ejecución (UE) 2018/574; |
|
3) |
la prestación, previa solicitud, de otros servicios técnicos conexos relacionados con el funcionamiento del repositorio primario que contribuyen al correcto funcionamiento del sistema de repositorios. |
2. Al definir los principales servicios mencionados en los puntos 1 y 2 del apartado 1, el contrato contendrá especificaciones sobre la operatividad, la disponibilidad y el rendimiento de los servicios que cumplan los requisitos mínimos especificados en el presente Reglamento y previstos en el capítulo V del Reglamento de Ejecución (UE) 2018/574.
Artículo 4
Conocimientos técnicos
El contrato exigirá que los proveedores faciliten al fabricante o importador una declaración escrita que indique que tienen, o tienen a su disposición, los conocimientos técnicos y operativos necesarios para prestar los servicios a que se refiere el artículo 3 y para cumplir los requisitos fijados en el capítulo V del Reglamento de Ejecución (UE) 2018/574.
Artículo 5
Disponibilidad del repositorio primario
1. El contrato especificará una disponibilidad y un tiempo de funcionamiento del servicio mensuales garantizados del 99,5 % para el repositorio primario.
2. El contrato exigirá que el proveedor establezca mecanismos de respaldo adecuados para evitar la pérdida de datos almacenados, recibidos o transferidos cuando el repositorio primario no esté disponible.
Artículo 6
Derechos de acceso
El contrato especificará los requisitos de concesión de acceso físico y virtual al repositorio primario, a nivel del servidor y de la base de datos, a los administradores nacionales de los Estados miembros, la Comisión y los auditores externos designados, conforme al artículo 25 del Reglamento de Ejecución (UE) 2018/574.
Artículo 7
Subcontratación
1. Cuando el contrato establezca que el proveedor puede subcontratar determinadas obligaciones contractuales, este incluirá una disposición que aclare que el subcontrato no afecta a la responsabilidad primaria del proveedor de ejecutar el contrato.
2. El contrato exigirá, además, que el proveedor:
|
a) |
garantice que el subcontratista propuesto tiene los conocimientos técnicos necesarios y cumple los requisitos de independencia establecidos en el artículo 35 del Reglamento de Ejecución (UE) 2018/574; |
|
b) |
presente a la Comisión una copia de la declaración contemplada en el artículo 8 del presente Reglamento, firmada por cada subcontratista. |
Artículo 8
Independencia jurídica y financiera
El contrato exigirá que los proveedores y, en su caso, sus subcontratistas, faciliten al fabricante o importador, junto con el contrato de almacenamiento de datos, una declaración escrita de que cumplen los requisitos de independencia jurídica y financiera según establece el artículo 35 del Reglamento de Ejecución (UE) 2018/574.
Artículo 9
Protección de datos y confidencialidad
1. El contrato especificará que el proveedor adoptará todas las medidas apropiadas necesarias para garantizar la confidencialidad, integridad y disponibilidad de todos los datos almacenados en el marco de la ejecución del contrato. Dichas medidas incluirán controles administrativos, técnicos, de integridad física y de seguridad.
2. El contrato exigirá que los datos personales tratados en el marco del presente contrato se procesen conforme a la Directiva 95/46/CE del Parlamento Europeo y del Consejo (3).
Artículo 10
Gestión de la seguridad de la información
El contrato exigirá que los proveedores declaren que el repositorio primario y, cuando proceda, el repositorio secundario, se gestionan conforme a normas de gestión de la seguridad de la información internacionalmente reconocidas. Se considerará que los proveedores certificados con arreglo a la norma ISO/CEI 27001:2013 cumplen dichas normas.
Artículo 11
Costes
El contrato exigirá que los costes cobrados por los proveedores a los fabricantes o importadores conforme al artículo 30 del Reglamento de Ejecución (UE) 2018/574 sean justos, razonables y proporcionados:
|
a) |
a los servicios prestados, y |
|
b) |
al número de identificadores únicos solicitados durante un período de tiempo determinado por el fabricante o importador en cuestión. |
Artículo 12
Participación en el sistema de repositorio secundario
1. El contrato exigirá al proveedor que participe en el establecimiento del sistema de repositorio secundario (si el sistema secundario todavía no se ha establecido en la fecha de celebración del contrato), según sea necesario, conforme a las normas fijadas en el capítulo V del Reglamento de Ejecución (UE) 2018/574.
2. El contrato incluirá una disposición que permita a los proveedores repercutir en los fabricantes e importadores de productos del tabaco los costes derivados del establecimiento, funcionamiento y mantenimiento del repositorio secundario y el enrutador a que se refiere el capítulo V del Reglamento de Ejecución (UE) 2018/574.
Artículo 13
Duración
La duración del contrato será de un mínimo de cinco años con posibilidad de renovación previo acuerdo de las Partes a condición de que el proveedor siga cumpliendo los requisitos de la Directiva 2014/40/UE y del Reglamento de Ejecución (UE) 2018/574.
Artículo 14
Comunicación con otras partes
El contrato obligará a los proveedores a cooperar entre sí y con las autoridades competentes de los Estados miembros, en la medida necesaria para garantizar la organización eficaz del funcionamiento cotidiano del sistema de repositorios.
Artículo 15
Auditorías
1. El contrato establecerá disposiciones que permitan a los auditores externos aprobados por la Comisión conforme al artículo 15, apartado 8, de la Directiva 2014/40/UE llevar a cabo con y sin previo aviso auditorías relativas al repositorio primario y, cuando proceda, al repositorio secundario, incluida una evaluación de si el proveedor y, en su caso, sus subcontratistas cumplen los requisitos legislativos pertinentes.
2. El contrato precisará que se concede a los auditores externos acceso físico y virtual sin restricciones al repositorio primario y, cuando proceda, al repositorio secundario, así como a sus servicios conexos, durante el período de la auditoría.
Artículo 16
Responsabilidad
El contrato establecerá disposiciones que detallen la responsabilidad de las partes, incluso en relación con la indemnización por daños y perjuicios directos e indirectos, que puedan plantearse en virtud del contrato, conforme al Derecho aplicable. Sin perjuicio del Derecho aplicable, el contrato especificará además que no existe limitación de responsabilidad en caso de incumplimiento de la confidencialidad o de infracción de las normas de protección de datos.
Artículo 17
Extinción del contrato
1. El contrato establecerá disposiciones sobre la extinción del contrato, conforme al Derecho aplicable. En caso de extinción, el contrato exigirá que la Parte que lo extinga lo notifique a la Comisión, con arreglo a los requisitos de procedimiento establecidos en el anexo I del Reglamento de Ejecución (UE) 2018/574.
2. El contrato exigirá a las partes que concedan un preaviso mínimo de cinco meses para la extinción del contrato.
No obstante lo dispuesto en el párrafo primero, el contrato obligará a los fabricantes e importadores a extinguir el contrato inmediatamente:
|
a) |
en caso de infracción grave, por parte del proveedor, de sus obligaciones contractuales; |
|
b) |
si el proveedor es insolvente, o está en riesgo inminente de serlo, en virtud del Derecho aplicable. |
3. A efectos del apartado 2, letra a), será infracción grave, en particular:
|
a) |
el hecho de que el proveedor no cumpla obligaciones o no preste servicios previstos en el contrato que sean esenciales para el funcionamiento eficaz del sistema de trazabilidad, incluido, en particular, el incumplimiento de los requisitos establecidos en el capítulo V del Reglamento de Ejecución (UE) 2018/574; |
|
b) |
el hecho de que el proveedor deje de cumplir los requisitos de independencia jurídica y financiera establecidos en el artículo 35, apartado 2, del Reglamento de Ejecución (UE) 2018/574 y de que, en el momento de la expiración del plazo previsto en el artículo 35, apartado 6, del Reglamento de Ejecución (UE) 2018/574, no pueda demostrarse el cumplimiento de los requisitos. |
Artículo 18
Suspensión de los servicios
El contrato especificará que estará prohibido suspender los servicios en caso de que un fabricante o importador se retrase en los pagos al proveedor, salvo si el retraso supera el plazo final de pago en treinta días o más.
Artículo 19
Portabilidad de los datos
1. El contrato exigirá que los proveedores garanticen la plena portabilidad de los datos cuando un fabricante o importador contrate a un nuevo proveedor para gestionar su repositorio primario. El proveedor actual entregará al nuevo proveedor, antes de la fecha de finalización del contrato, una copia actualizada de todos los datos almacenados en el repositorio primario. Toda actualización de datos posterior a la entrega se migrará al nuevo proveedor sin demora injustificada.
2. Para garantizar la continuidad de la actividad, el contrato incluirá un plan de retirada aplicable que establezca el procedimiento que debe seguirse en caso de que se extinga el contrato y de que el fabricante o importador contrate a un nuevo proveedor. El plan incluirá la obligación de que el proveedor actual siga prestando sus servicios hasta que el nuevo proveedor sea operativo.
3. El contrato incluirá disposiciones que garanticen que el proveedor actual no tenga derecho de retención respecto a datos, información u otro material necesario en relación con el repositorio primario después de que haya sido entregado al nuevo proveedor.
Artículo 20
Derecho y jurisdicción aplicables
1. El contrato se regirá por el Derecho de uno de los Estados miembros de la Unión Europea, según convengan las partes del contrato.
2. El contrato se someterá a la jurisdicción de uno de los Estados miembros de la Unión Europea, según convengan las partes del contrato.
Artículo 21
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 15 de diciembre de 2017.
Por la Comisión
El Presidente
Jean-Claude JUNCKER
(1) DO L 127 de 29.4.2014, p. 1.
(2) Reglamento de Ejecución (UE) 2018/574 de la Comisión, de 15 de diciembre de 2017, relativo a las normas técnicas para el establecimiento y el funcionamiento de un sistema de trazabilidad para los productos del tabaco, (véase la página 7 del presente Diario Oficial).
(3) Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).