Dictamen del Comité Económico y Social Europeo sobre la «Comunicación de la Comisión al Parlamento Europeo y al Consejo — Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea»

[COM(2019) 250 final]

(2020/C 14/18)

Ponente: Laure BATUT

Consulta	Comisión Europea, 22.7.2019
Fundamento jurídico	Artículo 304 del Tratado de Funcionamiento de la Unión Europea
Sección competente	Transportes, Energía, Infraestructuras y Sociedad de la Información
Aprobado en sección	11.9.2019
Aprobado en el pleno	25.9.2019
Pleno n.o	546
Resultado de la votación (a favor/en contra/abstenciones)	162/2/6

1.   Recomendaciones

1.1.

El CESE recomienda que la Comisión: — comunique de forma simple y clara los criterios de definición del dato no personal y el ámbito de aplicación del Reglamento relativo a un marco para la libre circulación de datos no personales (RDNP) con el fin de eliminar las incertidumbres y aumentar la confianza; — informe a los agentes pertinentes sobre las áreas de solapamiento entre los textos europeos relativos a los datos; — vele por que, siempre favoreciendo la libre circulación, los datos personales (DP) no sean poco a poco considerados como datos no personales (DNP) y garantice que el Reglamento general de protección de datos (RGPD) mantenga la totalidad de su ámbito de aplicación, incluso a costa de fusionar a medio plazo los dos Reglamentos en el sentido de una mayor protección, y no de una mercantilización cada vez mayor del dato; — fomente el establecimiento y el desarrollo de federaciones de servicios paneuropeos de informática en la nube; — ayude a muy corto plazo a los europeos a utilizar algoritmos capaces de tratar las masas de DNP en el mercado único de datos; anime a los Estados miembros a reforzar la educación en materia de tecnologías de la información (TI) e inteligencia artificial (IA) a todos los niveles (escolar, universitario, profesional) y ello, a lo largo de toda la vida; — inste a los agentes pertinentes a que desarrollen un espíritu de responsabilidad, ética y solidaridad y no permita que la autorregulación y la resolución «amistosa»de los conflictos den lugar a interpretaciones divergentes de los textos; — no olvide recurrir al instrumento de regulación; — fomente las sanciones por incumplimiento de la autorregulación; — establezca una hoja de ruta para verificar si la seguridad jurídica de las empresas es una realidad en el marco de la libre utilización de sus datos, según lo previsto en el RDNP; — haga un balance de la situación actual de los veintisiete Estados miembros y evalúe la actuación de los puntos de contacto nacionales a partir de su duodécimo mes de funcionamiento; — asuma plenamente el papel de información, comunicación y alerta que le corresponde; — invite a los Estados miembros a comunicar a los agentes pertinentes sus criterios de «seguridad pública»; — invite a los Estados miembros a comunicar sus zonas de almacenamiento de datos no transferibles; — reexamine oportunamente la política de competencia para comprobar que se ajusta a la libre circulación de datos en sus términos actuales.

2.   Introducción

2.1.

El CESE toma nota del compromiso de la Comisión de orientar a las empresas implicadas en la transferencia de datos no personales antes de que se negocien códigos de conducta entre las partes interesadas en el transcurso de 2020. Es frecuente el carácter mixto de los datos, que pueden ser tanto personales como no personales, lo que puede crear incertidumbre para las empresas sobre las medidas que deben tomar para protegerlos. Conviene recordar aquí los principios fundamentales de la normativa existente antes de examinar los puntos destacados por el CESE.

2.2.

La Comisión observó que la falta de competitividad entre los servicios de informática en la nube dentro de la Unión y, por consiguiente, la falta de movilidad de los datos en un contexto de oligopolios tenían un impacto negativo en el mercado de los datos. El RDNP exige a los Estados miembros que reduzcan al mínimo sus requisitos para la localización de datos, así como la fragmentación de sus legislaciones en este ámbito, con objeto de impulsar el crecimiento y liberar las capacidades de innovación de las empresas.

2.3.

Con la adopción del Reglamento relativo a la libre circulación de datos no personales, que complementa al RGPD, se consagra en los textos europeos del siglo XXI una «quinta libertad de circulación»aplicable a todos los datos (sic.: Anna-Maria Corazza Bildt, diputada al Parlamento Europeo, ponente). Esta mercancía inmaterial, si puede denominarse así, debe poder ser transferida y gestionada, allí donde lo deseen sus titulares, por proveedores de servicios y de alojamiento situados en países distintos al de su creación o utilización dentro de la Unión Europea (artículo 1 del RDNP). Los titulares de esta mercancía ganan, así, en facilidad y competitividad.

El RDNP

2.4.

El Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo (1) favorece la libre circulación de datos no personales en la Unión con el fin de impulsar el desarrollo de la inteligencia artificial, la informática en la nube y el análisis de megadatos. Prevé (en su artículo 6) que la Comisión oriente, fomente y facilite la elaboración, por parte de los operadores que trabajan con dichos datos no personales, de códigos de conducta autorreguladores a escala de la Unión.

2.5.

El texto objeto de examen, destinado a los profesionales de las microempresas y pymes, debe favorecer su comprensión de las interacciones entre dicho Reglamento y el RGPD por medio de unas directrices. Con una finalidad pedagógica, la Comisión utiliza numerosos ejemplos de situaciones.

2.6.

Los códigos de conducta en preparación deberían estar terminados entre noviembre de 2019 y mayo de 2020 (considerandos 30 y 31, y artículo 6, apartado 1). Su elaboración tendrá en cuenta la opinión de todas las partes. Se celebrarán dos consultas públicas y dos grupos de trabajo, compuestos por profesionales, realizarán su aportación a la Comisión: uno sobre la certificación de la ciberseguridad de la nube (CSPCERT) y otro sobre la portabilidad de datos y el cambio de proveedores de servicios (SWIPO). Sus contribuciones cubren la infraestructura y el software como servicios. En mayo de 2020, la Comisión propondrá alentar a la industria a desarrollar un modelo de cláusulas contractuales y, en 2022, informará al Parlamento Europeo, al Consejo y al CESE sobre la aplicación del Reglamento, en especial sobre la utilización de datos "compuestos"o mixtos.»

3.   Observaciones generales

3.1.

Observaciones generales Misión de la Comisión: conciliación del RGPD y el RDNP

3.1.1.

Para conciliar ambos Reglamentos, que son complementarios, la Comisión explica que 1) los requisitos para la localización de datos estarán prohibidos de ahora en adelante; 2) los datos seguirán siendo accesibles para las autoridades competentes; 3) los datos se convierten en móviles y, por tanto, pueden ser objeto de «portabilidad». Ambos Reglamentos hablan de «portabilidad», aunque con diferentes matices. Los usuarios pueden transferir sus datos fuera del país de creación y recuperarlos más tarde sin (demasiadas) limitaciones después de haber cambiado de proveedor de servicios, para su almacenamiento, su tratamiento o su análisis. A diferencia de la «portabilidad»en el sentido del RGPD, que es un derecho para las personas afectadas, la «portabilidad»en el sentido del RDNP se organiza según códigos de conducta y, por lo tanto, en el marco de un procedimiento de autorregulación.

3.1.2.

Este punto constituye una diferencia importante entre ambos Reglamentos, puesto que uno se basa en el Derecho imperativo, mientras que el otro se basa en instrumentos no vinculantes (Derecho indicativo), que sabemos que ofrecen muchas menos garantías. Ahora bien, según la propia Comisión, la mayoría de los datos presentan, al mismo tiempo, un carácter personal y uno no personal inextricablemente ligados, que los convierten en datos «mixtos».

3.1.3.

El CESE acoge con satisfacción este procedimiento de ayuda y no cuestiona los ejemplos escogidos. No es su intención indicar otros. Sin embargo, observa que las orientaciones de la Comisión destinadas a los operadores se limitan a ilustrar el contexto mediante ejemplos de situaciones. El CESE desea subrayar, con el fin de alertar a la Comisión, las zonas críticas que le parece que plantean problemas a los usuarios a pesar de las directrices y los códigos aún por publicar.

3.2.   Recordatorio de principios

3.2.1.   El principio: la libre circulación de datos

Más que geográficos, los obstáculos a la libre circulación de DNP son funcionales o vinculados a los medios de los que disponen las empresas para utilizar las tecnologías de la información.

El RDNP prohíbe los requisitos para la localización de los DNP en un territorio determinado (artículo 4). Exige a los Estados miembros que deroguen toda disposición contraria en un plazo de veinticuatro meses a partir de la fecha de aplicación del Reglamento (mayo de 2021).

El Reglamento admite las excepciones vinculadas a la seguridad pública. Los Estados deben publicar en línea información detallada sobre sus requisitos de localización a nivel nacional. La Comisión Europea puede formular observaciones y transmite los sitios publicados en línea por los Estados miembros.

3.2.2.   Excepciones a la libre circulación

—

Las autoridades de los Estados miembros pueden tener acceso a los datos transferidos: el RDNP establece un procedimiento que permite a toda autoridad de control de un Estado X obtener datos tratados en un Estado Y. Se prevé un procedimiento de cooperación entre Estados (artículos 5 y 7). No obstante, sin localización, al CESE le preocupa en gran medida que los datos (contables, financieros, contractuales, etc.) puedan eludir el control de las autoridades de los Estados miembros. Recuerda a la Comisión que no olvide recurrir al instrumento de regulación en caso de que sea necesario.

—

El «punto de contacto»único de cada Estado tratará la solicitud con la autoridad de control nacional, que podrá proporcionar o no los datos si considera admisible la solicitud. Los puntos de contacto, con arreglo al espíritu del RDNP, deberían ayudar a los agentes pertinentes a tomar decisiones bien fundadas sobre sus transferencias y sus proveedores de servicios en toda la Unión, y entre toda la competencia.

El CESE considera que las orientaciones no son capaces de eliminar por sí mismas las numerosas incertidumbres vinculadas a la puesta en práctica de este principio. Es difícil valorar las justificaciones de los Estados, la buena fe de los operadores o el buen funcionamiento de los puntos de contacto. Toda evaluación en la materia será difícil.

—

Prohibición de requerir directa o indirectamente la localización de los datos, excepto en casos justificados de «seguridad pública». El CESE considera que la noción de «seguridad pública»invocada en el Reglamento carece de precisión, y se pregunta hasta dónde se extiende cuando se aplica al flujo de datos y su mercantilización. En el RDNP los requisitos de localización de datos se definen como «cualquier obligación, prohibición, condición, restricción u otro requisito previsto en las disposiciones legales, reglamentarias o administrativas (2) de los Estados miembros»o que se derive de prácticas administrativas que obligarían a los operadores a mantenerlos en el perímetro de un determinado territorio dentro de la Unión. Según la interpretación del Tribunal de Justicia de la Unión Europea (TJUE) (3) (así como el considerando 19 del RDNP), la seguridad pública abarca «la seguridad interna y externa de un Estado miembro»y presupone la existencia «de una amenaza real y suficientemente grave que afecte a uno de los intereses fundamentales de la sociedad». Esta definición incluye los datos genéticos, biométricos y relativos a la salud. La respuesta del Estado miembro debe ser proporcionada.

3.2.3.

El Comité considera que, tanto para la libre circulación como para la localización de los datos: — los criterios considerados pueden interpretarse de muchas maneras; — solo el juez podrá aclararlos caso por caso, lo que podrá ser perjudicial para la confianza necesaria en el comercio, sobre todo para los datos sensibles; los litigios surgidos a partir de códigos de conducta podrían aumentar la fragmentación de las situaciones; — los plazos de la justicia no tienen nada que ver con los del sector digital y el tránsito de datos. El CESE considera que la incertidumbre y la complejidad de la situación son disuasorias para las microempresas y las pymes.

3.2.4.

El CESE lamenta que las directrices no prevean nada ni sobre los litigios ni sobre las formas de comprobar cómo respetan los Estados miembros los criterios de seguridad pública y cómo podrían ser sancionados, si fuera necesario. El CESE teme que el texto explicativo de la Comunicación pueda no ser suficiente para permitir a los operadores de las microempresas y pymes posicionarse entre los escollos jurídicos de los textos y que las incertidumbres no permitan suscitar el sentimiento de confianza y seguridad jurídica necesario para el desarrollo del sector.

3.2.5.

El CESE reconoce a la Comunicación de la Comisión el gran mérito de difundir ampliamente, de un modo descendente, información sobre la situación originada por ambos Reglamentos. Es más que necesaria para el mundo de las microempresas y las pymes. El CESE desea que la actuación de los puntos de contacto nacionales y la consulta del sitio web de la Comisión por parte de los agentes interesados se evalúen a partir de su sexto mes de funcionamiento con el fin de aplicar rápidamente las medidas correctoras necesarias si se apreciase una carencia de información y de comunicación.

4.   Observaciones específicas

4.1.   Sobre los datos

4.1.1.

Los datos no personales engloban por defecto el conjunto de datos digitales que no se incluyen en el ámbito de los datos personales tal y como los define el RGPD. Puede tratarse de datos comerciales, datos sobre la agricultura de precisión, las necesidades de mantenimiento de máquinas, datos meteorológicos, etcétera.

4.1.2.

Puede que la línea que divide los datos recogidos por servicios públicos, como los hospitales o aquellos relativos a la asistencia social o la autoridad tributaria, y los datos personales de pacientes o contribuyentes sea muy delgada. Las empresas que los utilicen deben velar por que los datos no permitan la identificación de las personas ni que se recorra el camino inverso una vez se ha procedido a la anonimización. Para una microempresa o una pyme, esto puede implicar procedimientos que requieren mucho tiempo y dinero. Debido a que los dos Reglamentos (el RGPD y el RDNP) garantizan juntos la libre circulación de todos los datos en la UE, cuando dichos datos están «inextricablemente ligados», la protección legal contemplada en el RGPD se aplica por tanto al conjunto de datos mixtos [considerando 8 y artículo 2, apartado 2, del Reglamento (UE) 2018/1807]. A la primera restricción a la libre circulación de los datos no personales vinculada a la seguridad pública se añade, por tanto, una restricción vinculada al propio carácter de los datos. Se trata de la cuestión central de la Comunicación de la Comisión, que menciona varias veces la proximidad entre DP y DNP: «la mayoría de los datos son datos mixtos»(punto 2.2); pueden estar «inextricablemente ligados»(ídem); «ninguno de los dos Reglamentos obliga a las empresas a separar los conjuntos de datos»(ídem).

4.1.3.

Es responsabilidad de la empresa plantearse si los datos no personales que trata están «inextricablemente ligados»a datos personales, y, en ese caso, protegerlos. Para la empresa, no es fácil preparar un out management (gestión externa). Parece imposible alcanzar una definición general de datos mixtos, y el solapamiento entre ambos Reglamentos conlleva probablemente otros solapamientos con otros textos relativos al Derecho en materia de datos, como los relativos a la propiedad intelectual: el DNP puede circular, pero si se reutiliza en una obra, dejará de estar sujeto a las mismas normas. El CESE considera que la cohesión entre los diferentes textos será muy delicada. La jurisprudencia ya ha exigido que el carácter inextricable se examine bajo la perspectiva de un criterio «razonable». El CESE observa que la Comunicación objeto de examen se encuentra claramente ante la imposibilidad de revisar todos los casos concretos para ayudar a los agentes pertinentes, y que la situación originada favorece más bien a las grandes empresas. El CESE recomienda a la Comisión que vele por que, en la práctica, los DP no sean poco a poco considerados como DNP y garantice que el RGPD conserve la totalidad de su ámbito de aplicación, incluso a costa de fusionar a medio plazo los dos Reglamentos en el sentido de una mayor protección de los datos, y no de una mercantilización cada vez mayor de los mismos.

4.2.   Sobre la portabilidad, la transferencia, el tratamiento y el almacenamiento de datos

El RGPD prevé que la portabilidad debe regularse mediante reglamentación (artículo 20), y el RDNP mediante autorregulación. El CESE lamenta que se pueda generar una inseguridad jurídica considerable, que podría penalizar a las microempresas y a las pymes debido a las numerosas posibilidades para litigar. El CESE considera que si los DNP son mercancías, aunque inmateriales, pero en libre circulación, estos pueden importarse y exportarse. En el contexto actual sería interesante un debate sobre su propiedad. Ahora bien, más que el propio dato, el verdadero yacimiento de valor es la masa de datos. Esto lleva al Comité a considerar que la política en materia de competencia posiblemente no esté adaptada a este tipo de mercado. El CESE se pregunta de qué manera la situación originada va a reforzar la productividad de las microempresas y las pymes. La Comunicación de la Comisión no ofrece claves sobre esta cuestión.

4.3.   Sobre los proveedores de servicios

4.3.1.

La UE no posee grandes operadores ni una nube «europea», situación que el CESE lamenta desde hace mucho tiempo. El efecto de escala siempre buscado es propiedad exclusiva de las grandes empresas informáticas estadounidenses y de algunas empresas chinas. De este modo, incluso las grandes administraciones de los Estados miembros se ven tentadas a confiarles y transferirles la gestión de sus datos (como en el caso de Francia).

4.3.2.

El CESE considera que los europeos deberían crear ecosistemas asociados y prever la portabilidad de los datos entre plataformas. Más allá de esta Comunicación, la Comisión podría ayudar a las microempresas y las pymes a desarrollar recursos en este sentido, como lo hizo para los servicios de interés general en su proyecto de 2018 de una «Federación de servicios paneuropeos de informática en la nube»para la prestación de servicios de interés general económicos y no económicos (servicio por demanda, FaaS) y como lo prevé con la red de Centros de Innovación Digital («A network of Digital Innovation Hubs», web/Commission/DIHs/enero de 2019).

4.4.   Sobre la seguridad de los datos (4)

4.4.1.

A nivel interno, los operadores nacionales (5) verifican la naturaleza de los datos que transfieren y los protegen. La obligación de localización correspondía a normas de seguridad controlables en el Derecho nacional. A pesar del RGPD y el RDNP, las normas de seguridad informática no están unificadas entre los diferentes países de la UE. El Comité considera que los puntos de contacto nacionales deberían facilitar información sólida sobre este punto, y en diferentes lenguas, a las microempresas y a las pymes, así como a los servicios públicos y privados. A nivel externo, el CESE considera que no es segura la capacidad de las empresas de fuera de la UE de respetar los códigos de conducta y restituir los datos tras nuevas transferencias deseadas por sus titulares. El CESE teme que, con el paso del tiempo, resulte difícil depurar responsabilidades. El Comité recomienda a la Comisión que ayude a los agentes europeos a conseguir a muy corto plazo utilizar algoritmos capaces de tratar las masas de DNP en el mercado único de datos.

4.4.2.

La localización física de los servidores, así como su seguridad, seguirán formando parte de las negociaciones comerciales y diplomáticas entre Estados. Este asunto es fundamental. Por lo que respecta a las grandes empresas informáticas y sus respectivos Estados de referencia, y aunque la gestión de datos sea una competencia compartida entre los Estados miembros y la UE, los Estados miembros correrán riesgos al negociar por separado.

4.4.3.

El CESE propone a la Comisión que añada a su Comunicación precisiones sobre las obligaciones que deben cumplir los proveedores de servicios respecto del almacenamiento de los DNP, los métodos utilizados, las ubicaciones físicas, la duración de conservación prevista o autorizada y el uso después del tratamiento, ya que estos elementos condicionan su seguridad y pueden ser importantes para las empresas en el contexto de la competencia mundial.

4.5.   Sobre los códigos de conducta

4.5.1.

A partir de mayo de 2019, se insta a los agentes afectados por el RDNP (principalmente usuarios y proveedores de servicios en nube) a elaborar su código de conducta en un plazo de doce meses. Según la Comisión, conviene tener en cuenta las buenas prácticas, los enfoques en materia de dispositivos de certificación y las hojas de ruta de comunicación. Los grupos de trabajo SWIPO y CSPCERT aportan su experiencia.

4.5.2.

La Comisión se refiere a lo que se ha hecho en el caso del RGPD (Comunicación, página 23). En efecto, dado que se encuadra dentro del dictamen del CEPD (6), puede servir de apoyo para el RDNP. Las asociaciones de representantes de un sector de actividad pueden elaborar su código de conducta. Los autores deben demostrar a las autoridades competentes (CompSA) que su proyecto de código, ya sea nacional o transnacional, satisface una necesidad específica del sector, facilita la aplicación del Reglamento y establece mecanismos eficaces para controlar el cumplimiento del código.

4.5.3.

Incluso antes de la entrada en vigor del RGPD, los principales proveedores de infraestructura como servicio (IaaS) y software como servicio (SaaS) ya habían elaborado su propio código de conducta para definir las modalidades de aplicación y eliminar así los ámbitos de incertidumbre señalados por los profesionales (7); asociaban a las pymes, considerando que para muchas de estas la autocertificación era preferible al elevado coste de una certificación.

4.5.4.

El CESE apoya un enfoque específico por sector para el RDNP si no se considera adecuada una fórmula única válida para todos los sectores. En el marco del RGPD, se estableció una lista no exhaustiva de puntos que han de abarcar los códigos de conducta (artículo 40, apartado 2), principalmente en lo que respecta al carácter leal y transparente de los procedimientos, la seguridad en materia de transferencia de datos y la resolución de conflictos. En su propio interés y para reforzar la confianza de los consumidores en el enfoque europeo, se debe instar a los agentes pertinentes a inspirarse en ello y a desarrollar un espíritu de responsabilidad, ética y solidaridad, en particular por medio de directrices que tengan en cuenta la inteligencia artificial. Se trata de uno de los puntos que el Comité desea destacar: recomienda a la Comisión que no permita que la autorregulación y la resolución «amistosa»de los conflictos den lugar a interpretaciones divergentes de los textos. Al contrario, sería necesario hacer todo lo posible para unificarlos con el fin de elaborar ulteriormente reglas que se apliquen a todos y anunciarlo en sus hojas de ruta sobre la información y la comunicación.

5.   Sobre la evaluación

La Comisión realizará una evaluación periódica del impacto de la libre circulación, la aplicación del Reglamento, la derogación de las medidas restrictivas por parte de los Estados miembros y la eficacia de los códigos de conducta. El CESE considera que se debería invitar a representantes de la sociedad civil a expresarse en este contexto (8). Con el fin de que el conjunto de la sociedad se sienta segura y, por consiguiente, tenga confianza en las nuevas prácticas digitales, tanto la Unión como los Estados miembros deben eliminar las incertidumbres en lo que respecta al Derecho aplicable, la confidencialidad, la conservación y la recuperación sin pérdida de los datos, las garantías de viabilidad y buena fe de los agentes y las garantías financieras. El carácter inextricable de los datos que son, al mismo tiempo, DP y DNP genera inquietud y la proporción de estos datos respecto al conjunto de datos lleva al CESE a cuestionar si la autorregulación era realmente la única vía posible. Recomienda que, a medio plazo, las normas del RGPD se apliquen a todos los datos y a todos los movimientos de datos, con excepciones relativas a los datos «verdaderamente»no personales.

---

(1)  DO L 303 de 28.11.2018, p. 59.

(2)  Reglamento (UE) 1807/2018, artículo 3, apartado 5.

(3)  Véase la Comunicación COM(2019) 250, notas a pie de página de la p. 13, y la sentencia C-331/16 y C-366/16, K. contra Staatssecretaris van Veiligheid en Justitie y H. F. contra Belgische Staat: «42. En materia de seguridad pública, el Tribunal de Justicia ha declarado que esta comprende tanto la seguridad interior de un Estado miembro como su seguridad exterior (sentencia del 23 de noviembre de 2010, Tsakouridis, C-145/09, EU:C:2010:708, apartado 43). La seguridad interior puede verse afectada, particularmente, por una amenaza directa para la tranquilidad y la seguridad física de la población del Estado miembro afectado (véase, en este sentido, la sentencia del 22 de mayo de 2012, I, C-348/09, EU:C:2012:300, apartado 28). En cuanto a la seguridad exterior, esta puede verse afectada, particularmente, por el riesgo de una perturbación grave de las relaciones exteriores de este Estado miembro o de la coexistencia pacífica de los pueblos (véase, en este sentido, la sentencia del 23 de noviembre de 2010, Tsakouridis, C-145/09, EU:C:2010:708, apartado 44)».

(4)  DO C 227 de 28.6.2018, p. 86.

(5)  DO C 218 de 23.7.2011, p. 130.

(6)  CEPD, Comité Europeo de Protección de Datos; Directrices 1/2019 sobre códigos de conducta, 12.2.2019, https://edpb.europa.eu/our-work-tools/our-documents/guidelines-12019-codes-conduct-and-monitoring-bodies-under_en

(7)  CISPE (Cloud Infrastructure Services Providers in Europe).

(8)  DO C 487 de 28.12.2016, p. 92; DO C 62 de 15.2.2019, p. 292.