Digital Governance Act 2022/0868 ES

1)	« datos», toda representación digital de actos, hechos o información, así como su recopilación, incluso como grabación sonora, visual o audiovisual;

« reutilización», la utilización, por personas físicas o jurídicas, de los datos que obren en poder de organismos del sector público, con fines comerciales o no comerciales distintos del propósito inicial englobado en la misión de servicio público para el que se hayan producido tales datos, excepto en el caso del intercambio de datos entre organismos del sector público con la única finalidad de desempeñar sus actividades de servicio público;

3)	« datos personales», los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

4)	« datos no personales», aquellos que no sean datos personales;

5)	« consentimiento», el consentimiento tal como se define en el artículo 4, punto 11, del Reglamento (UE) 2016/679;

6)	« permiso», la concesión a los usuarios de datos del derecho al tratamiento de datos no personales;

7)	« interesado», el interesado tal como se indica en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

«titular de datos», toda persona jurídica, incluidos los organismos del sector público y organizaciones internacionales, o persona física que no sea el interesado con respecto a los datos específicos en cuestión, que, de conformidad con el Derecho de la Unión o nacional aplicable, tenga derecho a conceder acceso a determinados datos personales o no personales o a compartirlos;

9)	«usuario de datos», toda persona física o jurídica que tenga acceso legítimo a determinados datos personales o no personales y el derecho, incluido el que le otorga el Reglamento (UE) 2016/679 en el caso de los datos personales, a usarlos con fines comerciales o no comerciales;

10)

«intercambio de datos», la facilitación de datos por un interesado o titular de datos a un usuario de datos, directamente o a través de un intermediario y en virtud de un acuerdo voluntario o del Derecho de la Unión o nacional, con el fin de hacer un uso en común o individual de tales datos, por ejemplo, mediante licencias abiertas o mediante licencias comerciales de pago o gratuitas;

11)

«servicio de intermediación de datos», todo servicio cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo, incluidos los servicios destinados al ejercicio de los derechos de los interesados en relación con los datos personales, pero excluidos, al menos, los servicios siguientes:

los servicios que obtengan datos de titulares de datos y que los agreguen, enriquezcan o transformen con el fin de añadirles un valor sustancial y concedan licencias a los usuarios de datos para la utilización de los datos resultantes, sin establecer una relación comercial entre los titulares de datos y los usuarios de datos;

b)	los servicios dedicados a la intermediación de contenido protegido por derechos de autor;

los servicios utilizados exclusivamente por un único titular de datos para permitir la utilización de los datos que obren en poder de dicho titular de datos, o los utilizados por múltiples personas jurídicas en un grupo cerrado, incluyendo también los utilizados en las relaciones con proveedores o con clientes o las colaboraciones establecidas contractualmente, en particular, los que tienen como objetivo principal garantizar las funcionalidades de los objetos y dispositivos conectados al internet de las cosas;

d)	los servicios de intercambio de datos ofrecidos por organismos del sector público sin la intención de establecer relaciones comerciales;

12)	« tratamiento», el tratamiento tal como se define en el artículo 4, punto 2, del Reglamento (UE) 2016/679 en lo que respecta a los datos personales, o en el artículo 3, punto 2, del Reglamento (UE) 2018/1807 en lo que respecta a los datos no personales;

13)	« acceso», toda utilización de datos de conformidad con unos requisitos específicos de carácter técnico, jurídico u organizativo, sin que ello implique necesariamente la transmisión o la descarga de los datos;

14)	« establecimiento_principal» de una persona jurídica, el lugar de su administración central en la Unión;

15)

«servicios de cooperativas de datos», los servicios de intermediación de datos ofrecidos por una estructura organizativa constituida por interesados, empresas unipersonales o pymes pertenecientes a dicha estructura, cuyos objetivos principales sean prestar asistencia a sus miembros en el ejercicio de los derechos de estos con respecto a determinados datos, incluida la asistencia por lo que respecta a la adopción de decisiones informadas antes de consentir el tratamiento de datos, intercambiar opiniones sobre los fines del tratamiento de datos y las condiciones que mejor representen los intereses de sus miembros en relación con los datos de estos, y negociar las condiciones contractuales para el tratamiento de datos en nombre de sus miembros antes de conceder permiso para el tratamiento de datos no personales o antes de dar su consentimiento para el tratamiento de datos personales;

16)

«cesión altruista de datos», todo intercambio voluntario de datos basado en el consentimiento de los interesados para que se traten sus datos personales, o en el permiso de los titulares de datos para que se usen sus datos no personales, sin ánimo de obtener o recibir una gratificación que exceda de una compensación relativa a los costes en que incurran a la hora de facilitar sus datos, con objetivos de interés general tal como se disponga en el Derecho nacional, en su caso, como, por ejemplo, la asistencia sanitaria, la lucha contra el cambio climático, la mejora de la movilidad, la facilitación del desarrollo, elaboración y difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos, la elaboración de políticas públicas o la investigación científica de interés general;

17)	« organismo_del_sector_público», las autoridades estatales, regionales o locales, los organismos de Derecho público o las asociaciones constituidas por una o más de dichas autoridades o por uno o más de dichos organismos de Derecho público;

18)

« organismo_de_Derecho_público», todo organismo que reúna las características siguientes:

a)	haber sido creado específicamente para satisfacer necesidades de interés general y no tener carácter industrial ni mercantil;

b)	estar dotado de personalidad jurídica;

estar financiado, mayoritariamente, por autoridades estatales, regionales o locales, u otros organismos de Derecho público, cuya gestión esté sujeta a la supervisión de dichas autoridades u organismos, o más de la mitad de los miembros de su órgano de administración, de dirección o de supervisión hayan sido nombrados por las autoridades estatales, regionales o locales, o por otros organismos de Derecho público;

19)

« empresa_pública», toda empresa en la que los organismos del sector público puedan ejercer, directa o indirectamente, una influencia dominante por el hecho de tener la propiedad o una participación financiera en la empresa, o en virtud de las normas que la rigen; a los fines de la presente definición, se considerará que los organismos del sector público ejercen una influencia dominante en cualquiera de los casos siguientes en que, directa o indirectamente:

a)	posean la mayoría del capital suscrito de la empresa;

b)	controlen la mayoría de los votos correspondientes a las participaciones emitidas por la empresa;

c)	puedan nombrar a más de la mitad de los miembros del órgano de administración, de dirección o de supervisión de la empresa;

20)

«entorno de tratamiento seguro», el entorno físico o virtual y los medios organizativos para garantizar el cumplimiento del Derecho de la Unión, como, por ejemplo, el Reglamento (UE) 2016/679, en particular, por lo que respecta a los derechos de los interesados, los derechos de propiedad intelectual y la confidencialidad comercial y estadística, la integridad y la accesibilidad, así como para garantizar el cumplimiento del Derecho nacional aplicable y permitir que la entidad encargada de proporcionar el entorno de tratamiento seguro determine y supervise todas las acciones de tratamiento, incluida la presentación, el almacenamiento, la descarga y la exportación de datos, así como el cálculo de datos derivados mediante algoritmos computacionales;

21)

« representante_legal», toda persona física o jurídica establecida en la Unión y designada expresamente para actuar en nombre de un proveedor de servicios de intermediación de datos no establecido en la Unión o en nombre de una entidad no establecida en la Unión que recoja, para objetivos de interés general, datos cedidos de forma altruista por personas físicas o jurídicas, y que es la persona a la que podrán dirigirse las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas, además de o en lugar de dicho proveedor o entidad, por lo que respecta a las obligaciones que impone el presente Reglamento, incluido el supuesto en que se inicie un procedimiento de ejecución por algún incumplimiento de un proveedor de servicios de intermediación de datos o entidad que no estén establecidos en la Unión.

CAPÍTULO II

Reutilización de determinadas categorías de datos protegidos que obren en poder de organismos del sector público

Artículo 4

Prohibición de los acuerdos de exclusividad

1. Se prohíben los acuerdos u otras prácticas relativos a la reutilización de aquellos datos que obren en poder de organismos del sector público que contengan categorías de datos de las enumeradas en el artículo 3, apartado 1, por los que se concedan derechos exclusivos o cuyo objetivo o efecto sea conceder derechos exclusivos o restringir la disponibilidad de los datos para su reutilización por entidades distintas de las partes en tales acuerdos o prácticas.

2. Como excepción a lo dispuesto en el apartado 1, podrá concederse un derecho exclusivo para la reutilización de los datos mencionados en dicho apartado en la medida en que así lo exija la prestación de un servicio o el suministro de un producto de interés general que, de otro modo, no sería posible.

3. Se concederá un derecho exclusivo, en aplicación del apartado 2, mediante un acto administrativo o disposición contractual de conformidad con el Derecho aplicable de la Unión o nacional y respetando los principios de transparencia, igualdad de trato y no discriminación.

4. El tiempo máximo de duración de un derecho exclusivo a reutilizar los datos será de doce meses. Cuando se celebre un contrato, la duración de este será la misma que la del derecho exclusivo.

5. La concesión de un derecho exclusivo en aplicación de los apartados 2, 3 y 4, incluidas las razones por las que sea necesaria su concesión, se hará de forma transparente y se dará a conocer públicamente en línea, de una forma compatible con el Derecho de la Unión pertinente en materia de contratación pública.

6. Los acuerdos u otras prácticas a los que se aplique la prohibición del apartado 1 que no reúnan las condiciones de los apartados 2 y 3, y hayan sido celebrados antes del 23 de junio de 2022, finalizarán al término del contrato aplicable y, en cualquier caso, a más tardar el 24 de diciembre de 2024.

Artículo 5

Condiciones de la reutilización

1. Los organismos del sector público que, con arreglo al Derecho nacional, sean competentes para conceder o denegar acceso para la reutilización de una o varias de las categorías de datos enumeradas en el artículo 3, apartado 1, publicarán las condiciones en las que se permite tal reutilización y el procedimiento para solicitarla por medio del punto único de información a que se refiere el artículo 8. Cuando concedan o denieguen acceso para la reutilización, podrán prestarle asistencia los organismos competentes a que se refiere el artículo 7, apartado 1.

Los Estados miembros velarán por que los organismos del sector público dispongan de los recursos necesarios para cumplir lo dispuesto en el presente artículo.

2. Las condiciones de la reutilización no podrán ser discriminatorias, deberán ser transparentes y proporcionadas, y estar justificadas objetivamente respecto de las categorías de datos, los fines de la reutilización y la naturaleza de los datos cuya reutilización se permita. Dichas condiciones no podrán utilizarse para restringir la competencia.

3. Los organismos del sector público velarán, de conformidad con el Derecho de la Unión y nacional, por preservar la naturaleza protegida de los datos. Podrán establecer los requisitos siguientes:

que se conceda acceso para la reutilización de los datos únicamente cuando el organismo_del_sector_público o el organismo competente, tras una solicitud de reutilización, haya garantizado que los datos se han:

i)	anonimizado, en el caso de los datos personales, y

ii)	modificado, agregado o tratado por cualquier otro método de control de la divulgación, en el caso de la información comercial de carácter confidencial, incluidos los secretos comerciales o los contenidos protegidos por derechos de propiedad intelectual;

b)	que el acceso y reutilización a distancia de los datos se lleven a cabo en un entorno de tratamiento seguro facilitado o controlado por el organismo_del_sector_público;

que el acceso y reutilización de los datos se lleven a cabo en los locales físicos en los que se encuentre el entorno de tratamiento seguro de conformidad con unas normas de seguridad estrictas, siempre que no pueda habilitarse el acceso a distancia sin que ello ponga en peligro los derechos e intereses de terceros.

4. En el caso en que se permita la reutilización de conformidad con el apartado 3, letras b) y c), los organismos del sector público impondrán condiciones que preserven la integridad del funcionamiento de los sistemas técnicos del entorno de tratamiento seguro utilizado. El organismo_del_sector_público se reservará el derecho a verificar el proceso, los medios y los resultados del tratamiento de datos efectuado por el reutilizador para preservar la integridad de la protección de los datos y se reservará el derecho a prohibir la utilización de aquellos resultados que contengan información que ponga en peligro los derechos e intereses de terceros. La decisión de prohibir la utilización de los resultados deberá ser comprensible y transparente para el reutilizador.

5. A menos que el Derecho nacional establezca garantías específicas respecto de las obligaciones de confidencialidad aplicables en relación con la reutilización de los datos a los que se refiere el artículo 3, apartado 1, el organismo_del_sector_público supeditará la utilización de los datos facilitados de conformidad con el apartado 3 del presente artículo a la observancia por parte del reutilizador de una obligación de confidencialidad que prohíba la divulgación de cualquier información que ponga en peligro los derechos e intereses de terceros, que el reutilizador pueda haber adquirido a pesar de las garantías establecidas. Se prohibirá a los reutilizadores reidentificar a cualquier interesado al que se refieran los datos y estarán obligados a adoptar medidas técnicas y operativas para evitar la reidentificación y para notificar al organismo_del_sector_público cualquier violación de la seguridad de los datos que dé lugar a la reidentificación de los interesados de que se trate. En caso de reutilización no autorizada de datos no personales, el reutilizador informará sin demora y, en su caso, con la ayuda del organismo_del_sector_público, a las personas jurídicas cuyos derechos e intereses puedan verse afectados.

6. Cuando no pueda permitirse la reutilización de los datos de conformidad con las obligaciones establecidas en los apartados 3 y 4 del presente artículo y no exista ninguna otra base jurídica para transmitir los datos con arreglo al Reglamento (UE) 2016/679, el organismo_del_sector_público hará todo lo posible, de conformidad con el Derecho de la Unión y nacional, para prestar asistencia a los reutilizadores potenciales en la obtención del consentimiento de los interesados o del permiso de los titulares de datos cuyos derechos e intereses puedan verse afectados por la reutilización, siempre que ello sea factible sin acarrear cargas desproporcionadas para el organismo_del_sector_público. Cuando preste dicha asistencia, el organismo_del_sector_público podrá ser asistido por los organismos competentes a que se refiere el artículo 7, apartado 1.

7. Solo se permitirá la reutilización de datos con la condición de cumplir los derechos de propiedad intelectual. Los organismos del sector público no ejercerán el derecho que el artículo 7, apartado 1, de la Directiva 96/9/CE otorga a los fabricantes de bases de datos para impedir la reutilización de datos o para restringirla más allá de los límites previstos en el presente Reglamento.

8. Cuando los datos solicitados se consideren confidenciales, de conformidad con el Derecho de la Unión o nacional en materia de confidencialidad comercial o estadística, los organismos del sector público velarán por que los datos confidenciales no se divulguen como consecuencia de permitir la reutilización, a menos que dicha reutilización se permita de conformidad con el apartado 6.

9. Cuando un reutilizador tenga la intención de transferir a un tercer país datos no personales protegidos por los motivos expuestos en el artículo 3, apartado 1, informará al organismo_del_sector_público de su intención de transferirlos y de la finalidad de la transferencia en el momento de solicitar la reutilización de dichos datos. En caso de reutilización de conformidad con el apartado 6 del presente artículo, el reutilizador informará, en su caso, asistido por el organismo_del_sector_público, a la persona jurídica cuyos derechos e intereses puedan verse afectados de tal intención, de la finalidad y de las garantías adecuadas. El organismo_del_sector_público no permitirá la reutilización a menos que la persona jurídica conceda su permiso a dicha transferencia.

10. Los organismos del sector público transmitirán datos no personales confidenciales o protegidos por derechos de propiedad intelectual a un reutilizador que tenga la intención de transferirlos a un tercer país distinto de los países designados de conformidad con el apartado 12 solo si el reutilizador se obliga contractualmente a:

a)	cumplir las obligaciones que se le exijan de conformidad con los apartados 7 y 8, incluso después de transferir los datos al tercer país, y

b)	aceptar la competencia de los órganos jurisdiccionales del Estado miembro del organismo_del_sector_público transmisor respecto de los litigios que puedan surgir en relación con el cumplimiento de los apartados 7 y 8.

11. Los organismos del sector público proporcionarán, cuando proceda y en la medida de sus capacidades, orientaciones y asistencia a los reutilizadores para que cumplan las obligaciones a las que se refiere el apartado 10 del presente artículo.

Con el fin de prestar asistencia a los organismos del sector público y a los reutilizadores, la Comisión podrá adoptar actos de ejecución por los que se establezcan cláusulas contractuales tipo para cumplir las obligaciones a las que se refiere el apartado 10 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 33, apartado 3.

12. Cuando así lo justifique un número considerable de solicitudes en toda la Unión relativas a la reutilización de datos no personales en terceros países concretos, la Comisión podrá adoptar actos de ejecución en los que se declare que las disposiciones jurídicas, de supervisión y de ejecución de un tercer país:

a)	garantizan una protección de la propiedad intelectual y de los secretos comerciales esencialmente equivalente a la garantizada por el Derecho de la Unión;

b)	se aplican y hacen cumplir de manera efectiva, y

c)	ofrecen vías de recurso judicial efectivas.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 33, apartado 3.

13. Los actos legislativos específicos de la Unión podrán considerar que determinadas categorías de datos no personales que obren en poder de organismos del sector público son muy sensibles a efectos del presente artículo cuando su transferencia a terceros países pueda poner en peligro objetivos de las políticas públicas de la Unión, entre otros, la seguridad y salud públicas, o pueda entrañar el riesgo de la reidentificación de datos no personales anonimizados. Cuando se adopte dicho acto, la Comisión adoptará actos delegados de conformidad con el artículo 32 que completen el presente Reglamento con condiciones especiales aplicables a las transferencias de tales datos a terceros países.

Dichas condiciones especiales se basarán en la naturaleza de las categorías de datos no personales señaladas en el acto legislativo específico de la Unión y en los motivos para considerar dichas categorías como muy sensibles, teniendo en cuenta los riesgos de reidentificación de los datos no personales anonimizados. No podrán ser discriminatorias y se limitarán a lo necesario para alcanzar los objetivos de las políticas públicas de la Unión determinados en dicho acto, de conformidad con las obligaciones internacionales de la Unión.

Si los actos legislativos específicos de la Unión a que se refiere el párrafo primero así lo exigen, dichas condiciones especiales podrán incluir las condiciones contractuales aplicables a la transferencia de datos o disposiciones técnicas a ese respecto, limitaciones relativas a la reutilización de los datos en terceros países o relativas a las categorías de personas facultadas para transferir los datos a terceros países, o, en casos excepcionales, restricciones relativas a la transferencia de los datos a terceros países.

14. La persona física o jurídica a la que se haya concedido el derecho a reutilizar datos no personales solo podrá transferir los datos a terceros países en los que se cumplan los requisitos de los apartados 10, 12 y 13.

Artículo 7

Organismos competentes

1. A efectos de llevar a cabo los cometidos a que se refiere el presente artículo, cada Estado miembro designará uno o varios organismos competentes, que podrán ser competentes para determinados sectores, para prestar asistencia a los organismos del sector público que concedan o denieguen acceso para la reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1. Los Estados miembros podrán crear uno o más organismos competentes nuevos o servirse de organismos del sector público existentes o de servicios internos de organismos del sector público que cumplan las condiciones establecidas en el presente Reglamento.

2. Podrá confiarse a los organismos competentes la facultad de conceder acceso para la reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, con arreglo al Derecho de la Unión o nacional que prevea la concesión de dicho acceso. Cuando dichos organismos competentes concedan o denieguen el acceso para la reutilización, les serán aplicables los artículos 4, 5, 6 y 9.

3. Los organismos competentes dispondrán de los recursos jurídicos, financieros, técnicos y humanos adecuados para desempeñar las funciones que se les asignen, incluidos los conocimientos técnicos necesarios para poder cumplir con el Derecho de la Unión o nacional aplicable en lo referente a los regímenes de acceso relativos a las categorías de datos enumeradas en el artículo 3, apartado 1.

4. La asistencia a que se refiere el apartado 1 comprenderá, cuando sea necesario, lo siguiente:

a)	apoyo técnico mediante la habilitación de un entorno de tratamiento seguro a fin de facilitar el acceso para la reutilización de los datos;

b)	orientación y apoyo técnico sobre la mejor manera de estructurar y almacenar los datos para que sean fácilmente accesibles;

apoyo técnico para la seudonimización y para garantizar que el tratamiento de los datos pueda llevarse a cabo de manera que se preserve de manera efectiva la privacidad, la confidencialidad, la integridad y la accesibilidad de la información contenida en los datos cuya reutilización se permite, incluidas las técnicas de anonimización, generalización, supresión y aleatorización de datos personales u otros métodos de vanguardia para la protección de la privacidad, y la eliminación de información comercial confidencial, incluidos los secretos comerciales o los contenidos protegidos por derechos de propiedad intelectual;

asistencia a los organismos del sector público, cuando corresponda, para prestar asistencia a los reutilizadores a solicitar el consentimiento de los interesados para la reutilización o el permiso de los titulares de datos en consonancia con sus decisiones específicas, lo que incluye asistencia sobre el territorio en el que se prevea efectuar el tratamiento de los datos y asistencia a los organismos del sector público en el establecimiento de mecanismos técnicos que permitan a los reutilizadores transmitir las solicitudes de consentimiento o permiso, cuando resulte factible en la práctica;

e)	asistencia a los organismos del sector público en la evaluación de la idoneidad de las obligaciones contractuales contraídas por un reutilizador, en virtud del artículo 5, apartado 10.

5. Cada Estado miembro notificará a la Comisión la identidad de los organismos competentes designados en virtud del apartado 1 a más tardar el 24 de septiembre de 2023. Asimismo, cada Estado miembro notificará a la Comisión toda modificación posterior de la identidad de dichos organismos competentes.

Artículo 9

Procedimiento de solicitud de reutilización

1. Salvo que se prevean plazos más breves en el Derecho nacional, los organismos del sector público competentes o los organismos competentes a que se refiere el artículo 7, apartado 1, adoptarán las decisiones sobre la solicitud de reutilización de las categorías de datos enumeradas en el artículo 3, apartado 1, en el plazo de dos meses a partir de la fecha de recepción de la solicitud.

En caso de solicitudes de reutilización excepcionalmente extensas y complejas, el plazo de dos meses podrá ampliarse un máximo de treinta días. En tales casos, los organismos del sector público competentes o los organismos competentes a que se refiere el artículo 7, apartado 1, notificarán al solicitante lo antes posible que se necesita más tiempo para tramitar la solicitud y los motivos de la demora.

2. Toda persona física o jurídica directamente afectada por una decisión adoptada de conformidad con el apartado 1 dispondrá de un derecho efectivo de recurso en el Estado miembro en el que se encuentre el organismo en cuestión. Ese derecho de recurso se establecerá en el Derecho nacional e incluirá la posibilidad de revisión por un órgano imparcial con los conocimientos especializados adecuados, como, por ejemplo, la autoridad nacional de defensa de la competencia, la autoridad reguladora del acceso a los documentos correspondiente, la autoridad de control establecida de conformidad con el Reglamento (UE) 2016/679 o un órgano jurisdiccional nacional, cuyas decisiones sean vinculantes para el organismo_del_sector_público o el organismo competente en cuestión.

CAPÍTULO III

Requisitos aplicables a los servicios de intermediación de datos

Artículo 11

Notificación por los proveedores de servicios de intermediación de datos

1. Todo proveedor de servicios de intermediación de datos con la intención de prestar los servicios de intermediación de datos a que se refiere el artículo 10 presentará una notificación a la autoridad competente en materia de servicios de intermediación de datos.

2. A efectos del presente Reglamento, se considerará que un prestador de servicios de intermediación de datos establecido en más de un Estado miembro está sometido al ordenamiento jurídico del Estado miembro de su establecimiento_principal, sin perjuicio del Derecho de la Unión que regula las acciones transfronterizas de indemnización por daños y perjuicios y los procedimientos conexos.

3. Los proveedores de servicios de intermediación de datos que no estén establecidos en la Unión y que ofrezcan en ella los servicios de intermediación de datos a que se refiere el artículo 10 deberán designar un representante_legal en uno de los Estados miembros en los que se ofrezcan dichos servicios.

A efectos de garantizar el cumplimiento del presente Reglamento, el proveedor de servicios de intermediación de datos otorgará un mandato al representante_legal para que las autoridades competentes en materia de servicios de intermediación de datos o los interesados y los titulares de datos se dirijan a él en lugar o además de dirigirse al proveedor, en todos aquellos aspectos relacionados con los servicios de intermediación de datos prestados. El representante_legal cooperará con las autoridades competentes en materia de servicios de intermediación de datos y les demostrará de forma exhaustiva, previa solicitud, las medidas y disposiciones adoptadas por el proveedor de servicios de intermediación de datos para garantizar el cumplimiento del presente Reglamento.

Se considerará que el proveedor de servicios de intermediación de datos queda sometido al ordenamiento jurídico del Estado miembro en el que esté ubicado su representante_legal. La designación de un representante_legal por el proveedor de servicios de intermediación de datos se entenderá sin perjuicio de las acciones judiciales que puedan ejercitarse contra el proveedor de servicios de intermediación de datos.

4. Tras haber remitido una notificación de conformidad con lo dispuesto en el apartado 1, el proveedor de servicios de intermediación de datos podrá iniciar su actividad con arreglo a las condiciones establecidas en el presente capítulo.

5. La notificación a que se refiere el apartado 1 dará al proveedor de servicios de intermediación de datos el derecho a prestar servicios de intermediación de datos en todos los Estados miembros.

6. La notificación a que se refiere el apartado 1 incluirá la información siguiente:

a)	nombre del proveedor de servicios de intermediación de datos;

naturaleza jurídica del proveedor de servicios de intermediación de datos, así como su forma jurídica, estructura de propiedad, filiales pertinentes y, cuando el proveedor de servicios de intermediación de datos esté inscrito en un registro mercantil u otro registro público nacional similar, su número de registro;

c)	dirección del eventual establecimiento_principal del proveedor de servicios de intermediación de datos en la Unión y, en su caso, de cualquier sucursal en otro Estado miembro, o dirección de su representante_legal;

d)	sitio web público en el que se recoja información completa y actualizada sobre el proveedor de servicios de intermediación de datos y sobre sus actividades, incluida, como mínimo, la información a que se refieren las letras a), b), c) y f);

e)	personas de contacto del proveedor de servicios de intermediación de datos y datos de contacto;

f)	descripción del servicio de intermediación de datos que el proveedor de servicios de intermediación de datos tenga intención de prestar e indicación de las categorías enumeradas en el artículo 10 a las que corresponda el servicio de intermediación de datos;

g)	estimación de la fecha de inicio de la actividad, si fuera distinta de la fecha de notificación.

7. La autoridad competente en materia de servicios de intermediación de datos se asegurará de que el procedimiento de notificación no sea discriminatorio y no falsee la competencia.

8. A petición del proveedor de servicios de intermediación de datos, la autoridad competente en materia de servicios de intermediación de datos expedirá, en el plazo de una semana desde que se presente la notificación de forma debida e íntegra, una declaración normalizada en la que se confirme que el proveedor de servicios de intermediación de datos ha presentado la notificación a que se refiere el apartado 1 y que esa notificación contiene la información enumerada en el apartado 6.

9. A petición del proveedor de servicios de intermediación de datos, la autoridad competente en materia de servicios de intermediación de datos confirmará que el proveedor de servicios de intermediación de datos cumple el presente artículo y el artículo 12. Tras la recepción de dicha confirmación, el proveedor de servicios de intermediación de datos podrá usar, en sus comunicaciones orales y escritas, la denominación «proveedor de servicios de intermediación de datos reconocido en la Unión», así como un logotipo común.

Con objeto de garantizar que los proveedores de servicios de intermediación de datos reconocidos en la Unión sean fácilmente identificables en toda la Unión, la Comisión establecerá, mediante actos de ejecución, un diseño para el logotipo común. Los proveedores de servicios de intermediación de datos reconocidos en la Unión mostrarán el logotipo común de forma clara en todas las publicaciones en línea y fuera de ella relativas a sus actividades de intermediación de datos.

Dichos actos de ejecución se adoptarán de conformidad con el procedimiento consultivo a que se refiere el artículo 33, apartado 2.

10. La autoridad competente en materia de servicios de intermediación de datos informará por vía electrónica y sin demora a la Comisión sobre cada nueva notificación. La Comisión llevará y actualizará periódicamente un registro público de todos los proveedores de servicios de intermediación de datos que presten servicios en la Unión. La información exigida en el apartado 6, letras a), b), c), d), f) y g), será publicada en el registro público.

11. La autoridad competente en materia de servicios de intermediación de datos podrá cobrar tasas por la notificación de conformidad con el Derecho nacional. Las tasas deberán ser proporcionadas y objetivas, y se calcularán en función de los costes administrativos relacionados con la supervisión del cumplimiento y otras actividades de control del mercado que lleven a cabo las autoridades competentes en materia de servicios de intermediación de datos en relación con las notificaciones hechas por los proveedores de servicios de intermediación de datos. En el caso de las pymes y las empresas emergentes, la autoridad competente en materia de servicios de intermediación de datos podrá aplicar descuentos en las tasas o eximirlas de su pago.

12. Los proveedores de servicios de intermediación de datos notificarán a la autoridad competente en materia de servicios de intermediación de datos cualquier modificación de la información presentada en virtud del apartado 6 en un plazo de catorce días a partir del día de la modificación.

13. Cuando un proveedor de servicios de intermediación de datos cese sus actividades, lo notificará a la autoridad competente en materia de servicios de intermediación de datos determinada con arreglo a los apartados 1, 2 y 3 en un plazo de quince días.

14. La autoridad competente en materia de servicios de intermediación de datos informará por vía electrónica y sin demora a la Comisión sobre cada notificación de las previstas en los apartados 12 y 13. La Comisión actualizará en consecuencia el registro público de los proveedores de servicios de intermediación de datos de la Unión.

Artículo 12

Condiciones para la prestación de servicios de intermediación de datos

La prestación de servicios de intermediación de datos a que se refiere el artículo 10 estará sujeta a las condiciones siguientes:

los proveedores de servicios de intermediación de datos no podrán utilizar los datos en relación con los que presten sus servicios para fines diferentes de su puesta a disposición de los usuarios de datos y prestarán los servicios de intermediación de datos a través de una persona jurídica distinta;

las condiciones contractuales comerciales, incluidas las relativas a los precios, para la prestación de servicios de intermediación de datos a un titular de datos o a un usuario de datos no podrán depender de que el titular de datos o el usuario de datos utilice otros servicios prestados por el mismo proveedor de servicios de intermediación de datos o por una entidad relacionada con él, y, de utilizarlos, no podrán depender de en qué grado el titular de datos o el usuario de datos utilice dichos servicios;

los datos recogidos sobre cualquier actividad de una persona física o jurídica a efectos de la prestación de un servicio de intermediación de datos, incluidas la fecha, hora y geolocalización, la duración de la actividad y las conexiones que el usuario del servicio de intermediación de datos establezca con otras personas físicas o jurídicas, solo se utilizarán para el desarrollo de ese servicio de intermediación de datos, lo que puede implicar la utilización de datos para la detección de fraudes o para fines de ciberseguridad, y se pondrán a disposición de los titulares de datos, previa petición;

los proveedores de servicios de intermediación de datos intercambiarán los datos en el mismo formato en el que los reciban de parte del interesado o del titular de datos, únicamente los convertirán en formatos específicos con el fin de mejorar la interoperabilidad intrasectorial e intersectorial o si así lo solicita el usuario de datos o si así lo exige el Derecho de la Unión o si es necesario a efectos de la armonización con las normas internacionales o europeas en materia de datos y ofrecerán a los interesados o a los titulares de datos una posibilidad de exclusión en relación con dichas conversiones, a menos que el Derecho de la Unión obligue a realizar dicha conversión;

los servicios de intermediación de datos podrán incluir la oferta de herramientas y servicios específicos adicionales a los titulares de datos o los interesados con el objetivo específico de facilitar el intercambio de los datos, por ejemplo, el almacenamiento temporal, la organización, la conversión, la anonimización y la seudonimización, siempre que tales herramientas y servicios solo se utilicen previa solicitud o aprobación expresas del titular de datos o del interesado, y que las herramientas de terceros ofrecidas en ese contexto no se utilicen para otros fines;

los proveedores de servicios de intermediación de datos velarán por que el procedimiento de acceso a sus servicios, incluidos los precios y las condiciones de servicio, sea equitativo, transparente y no discriminatorio, tanto para los interesados como para los titulares de datos y los usuarios de datos;

g)	los proveedores de servicios de intermediación de datos dispondrán de procedimientos para impedir prácticas fraudulentas o abusivas de las partes que deseen obtener acceso a través de sus servicios de intermediación de datos;

los proveedores de servicios de intermediación de datos se asegurarán en caso de insolvencia, de la continuidad razonable de la prestación de sus servicios de intermediación de datos y, cuando esos servicios de intermediación de datos incluyan el almacenamiento de datos, dispondrán de los mecanismos de garantía necesarios para que los titulares de datos y los usuarios de datos puedan acceder a sus datos, transferirlos o recuperarlos y, cuando presten esos servicios de intermediación entre interesados y usuarios de datos, para permitir que los interesados ejerzan sus derechos;

los proveedores de servicios de intermediación de datos adoptarán las medidas adecuadas para garantizar la interoperabilidad con otros servicios de intermediación de datos, entre otros, mediante normas abiertas de uso común en el sector en el que operen los proveedores de servicios de intermediación de datos;

los proveedores de servicios de intermediación de datos aplicarán las medidas técnicas, jurídicas y organizativas adecuadas para impedir el acceso a datos no personales o su transferencia cuando dicho acceso o transferencia sean ilícitos con arreglo al Derecho de la Unión o al Derecho nacional del Estado miembro correspondiente;

k)	los proveedores de servicios de intermediación de datos informarán sin demora a los titulares de datos en caso de transferencia, acceso o utilización no autorizados de los datos no personales que haya compartido;

los proveedores de servicios de intermediación de datos tomarán las medidas necesarias para garantizar un nivel de seguridad adecuado en relación con el almacenamiento, el tratamiento y la transmisión de los datos no personales, y también garantizarán el más elevado nivel de seguridad en relación con el almacenamiento y la transmisión de información sensible desde el punto de vista de la competencia;

los proveedores de servicios de intermediación de datos que ofrezcan servicios a los interesados actuarán en el mejor interés de estos cuando faciliten el ejercicio de sus derechos, en particular, informándolos y, cuando corresponda, asesorándolos de manera concisa, transparente, inteligible y fácilmente accesible sobre los usos previstos de los datos por los usuarios de datos y las condiciones generales aplicables a dichos usos antes de que los interesados presten su consentimiento;

cuando los proveedores de servicios de intermediación de datos proporcionen herramientas para obtener el consentimiento de los interesados o el permiso para tratar los datos facilitados por los titulares de datos, especificarán, cuando corresponda, el territorio del tercer país en el que se pretenda usar los datos y proporcionarán a los interesados herramientas tanto para otorgar como para retirar su consentimiento, y a los titulares de datos, herramientas tanto para conceder como para retirar los permisos para tratar los datos;

o)	los proveedores de servicios de intermediación de datos conservarán un registro de la actividad de intermediación de datos.

Artículo 13

Autoridades competentes en materia de servicios de intermediación de datos

1. Cada Estado miembro designará a una o varias autoridades competentes para desempeñar las funciones relacionadas con el procedimiento de notificación en materia de servicios de intermediación de datos y notificará a la Comisión la identidad de dichas autoridades competentes a más tardar el 24 de septiembre de 2023. Asimismo, cada Estado miembro notificará a la Comisión toda modificación posterior de la identidad de dichas autoridades competentes.

2. Las autoridades competentes en materia de servicios de intermediación de datos cumplirán los requisitos del artículo 26.

3. Las facultades de las autoridades competentes en materia de servicios de intermediación de datos se entenderán sin perjuicio de las facultades de las autoridades responsables de la protección de datos, las autoridades nacionales de defensa de la competencia, las autoridades encargadas de la ciberseguridad y otras autoridades sectoriales pertinentes. Con arreglo a sus competencias respectivas con arreglo al Derecho de la Unión y nacional, dichas autoridades construirán entre sí una sólida cooperación e intercambiarán la información necesaria para el desempeño de sus funciones en relación con los proveedores de servicios de intermediación de datos, y procurarán mantener una coherencia entre las decisiones adoptadas cuando apliquen el presente Reglamento.

Artículo 18

Requisitos generales de inscripción en el registro

Para poder inscribirse en un registro público nacional de organizaciones de gestión de datos con fines altruistas, la entidad deberá:

a)	ejercer actividades de cesión altruista de datos;

b)	ser una entidad jurídica constituida con arreglo al Derecho nacional para cumplir objetivos de interés general, según se disponga en el Derecho nacional, cuando corresponda;

c)	ejercer su actividad sin ánimo de lucro y ser jurídicamente independiente de cualquier entidad que ejerza su actividad con fines lucrativos;

d)	ejercer las actividades de cesión altruista de datos a través de una estructura que esté funcionalmente separada de sus restantes actividades;

e)	cumplir el código normativo al que se refiere el artículo 22, apartado 1, a más tardar dieciocho meses después de la fecha de entrada en vigor de los actos delegados a que se refiere dicho apartado.

Artículo 19

Inscripción en el registro de organizaciones reconocidas de gestión de datos con fines altruistas

1. Toda entidad que cumpla los requisitos del artículo 18 podrá solicitar su inscripción en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas en el Estado miembro en el que esté establecida.

2. Toda entidad que cumpla los requisitos del artículo 18 y tenga establecimientos en más de un Estado miembro podrá solicitar su inscripción en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas del Estado miembro en el que tenga su establecimiento_principal.

3. Toda entidad que cumpla los requisitos del artículo 18 pero que no esté establecida en la Unión deberá designar un representante_legal en uno de los Estados miembros en los que ofrezca sus servicios de gestión de datos con fines altruistas.

A efectos de garantizar el cumplimiento del presente Reglamento, la entidad otorgará un mandato al representante_legal para que las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas o los interesados y los titulares de datos se dirijan a él en lugar o además de dirigirse a la entidad, en todos aquellos aspectos que tengan que ver con la entidad. El representante_legal cooperará con las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas y les demostrará de forma exhaustiva, previa solicitud, las medidas y las disposiciones adoptadas por la entidad para garantizar el cumplimiento del presente Reglamento.

Se considerará que la entidad queda sometida al ordenamiento jurídico del Estado miembro en el que esté ubicado su representante_legal. Dicha entidad podrá solicitar su inscripción en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas en ese Estado miembro. La designación de un representante_legal por la entidad se entenderá sin perjuicio de las acciones judiciales que puedan ejercitarse contra la entidad.

4. Las solicitudes de inscripción a que se refieren los apartados 1, 2 y 3 deberán incluir los datos siguientes:

a)	nombre de la entidad;

b)	naturaleza jurídica de la entidad, así como su forma jurídica y, cuando esté inscrita en un registro público nacional, su número de registro;

c)	estatutos de la entidad, en su caso;

d)	fuentes de ingresos de la entidad;

e)	dirección del eventual establecimiento_principal de la entidad en la Unión y, en su caso, de cualquier sucursal en otro Estado miembro, o dirección de su representante_legal;

f)	sitio web público en el que se recoja información completa y actualizada sobre la entidad y sus actividades, incluida, como mínimo, la información a que se refieren las letras a), b), d), e) y h);

g)	personas de contacto de la entidad y datos de contacto;

h)	objetivos de interés general que la entidad se proponga promover con la recopilación de los datos;

i)	naturaleza de los datos que la entidad pretende controlar o tratar y, en el caso de los datos personales, indicación de las categorías de datos personales;

j)	cualquier otro documento que acredite el cumplimiento de los requisitos del artículo 18.

5. Cuando la entidad haya presentado toda la información necesaria con arreglo al apartado 4 y una vez que la autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas haya evaluado la solicitud de inscripción y constatado que la entidad cumple los requisitos del artículo 18, dicha autoridad procederá a inscribir a la entidad en el registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas en un plazo de doce semanas después de la recepción de la solicitud de inscripción. La inscripción será válida en todos los Estados miembros.

La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas notificará toda inscripción a la Comisión. Esta la incluirá en el registro público de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas.

6. La información a que se refiere el apartado 4, letras a), b), f), g) y h), se publicará en el correspondiente registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas.

7. Toda organización reconocida de gestión de datos con fines altruistas notificará a la correspondiente autoridad competente para la inscripción en el registro de organizaciones de gestión de datos con fines altruistas cualquier modificación de la información presentada en virtud del apartado 4 en un plazo de catorce días a partir del día de la modificación.

La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas informará por vía electrónica y sin demora a la Comisión sobre cada notificación de ese tipo. Habida cuenta de dicha notificación, la Comisión actualizará sin demora el registro público de la Unión de organizaciones reconocidas de gestión de datos con fines altruistas.

Artículo 23

Autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas

1. Cada Estado miembro designará una o varias autoridades competentes a efectos de la inscripción en el registro público nacional de las organizaciones reconocidas de gestión de datos con fines altruistas.

Las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas deberán cumplir los requisitos del artículo 26.

2. Cada Estado miembro notificará a la Comisión la identidad de sus autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas a más tardar el 24 de septiembre de 2023. Asimismo, cada Estado miembro notificará a la Comisión toda modificación posterior de la identidad de dichas autoridades competentes.

3. La autoridad competente para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de un Estado miembro desempeñará sus funciones en cooperación con la correspondiente autoridad de protección de datos, cuando dichas funciones estén relacionadas con el tratamiento de datos personales, y con las autoridades sectoriales pertinentes de ese Estado miembro.

Artículo 34

Sanciones

1. Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción de las obligaciones relativas a las transferencias de datos no personales a terceros países en virtud del artículo 5, apartado 14, y al artículo 31, la obligación de notificación que incumbe a los proveedores de servicios de intermediación de datos en virtud del artículo 11, las condiciones para prestar servicios de intermediación de datos con arreglo al artículo 12 y las condiciones para la inscripción en el registro como organización reconocida de gestión de datos con fines altruistas en virtud de los artículos 18, 20, 21 y 22, y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias. En sus regímenes de sanciones, los Estados miembros tendrán en cuenta las recomendaciones del Consejo Europeo de Innovación en materia de Datos. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas, a más tardar el 24 de septiembre de 2023, y le notificarán sin demora toda modificación posterior.

2. Los Estados miembros tendrán en cuenta los siguientes criterios no exhaustivos e indicativos para la imposición de sanciones a los proveedores de servicios de intermediación de datos y a las organizaciones reconocidas de gestión de datos con fines altruistas por las infracciones del presente Reglamento, cuando proceda:

a)	la naturaleza, gravedad, magnitud y duración de la infracción;

b)	cualquier medida adoptada por el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas para mitigar o reparar el daño causado por la infracción;

c)	cualquier infracción anterior del proveedor de servicios de intermediación de datos o de la organización reconocida de gestión de datos con fines altruistas;

d)	los beneficios financieros obtenidos o las pérdidas evitadas por el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas debido a la infracción, en la medida en que dichos beneficios o pérdidas puedan determinarse de forma fiable;

e)	cualquier otra circunstancia agravante o atenuante aplicable al caso.

Artículo 35

Evaluación y revisión

A más tardar el 24 de septiembre de 2025, la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo. El informe irá acompañado de propuestas legislativas, en caso necesario.

En el informe se analizarán, en particular:

a)	la aplicación y el funcionamiento del régimen de sanciones establecido por los Estados miembros en virtud del artículo 34;

el grado de cumplimiento del presente Reglamento por los representantes legales de los proveedores de servicios de intermediación de datos y las organizaciones reconocidas de gestión de datos con fines altruistas que no estén establecidos en la Unión, así como el grado de aplicabilidad de las sanciones impuestas a dichos proveedores y organizaciones;

c)	el tipo de organizaciones de gestión de datos con fines altruistas inscritas en el registro con arreglo al capítulo IV y una síntesis de los fines de interés general para los que se intercambien datos, con miras a determinar criterios inequívocos a ese respecto.

Los Estados miembros facilitarán a la Comisión la información necesaria para la elaboración del informe.

Artículo 37

Disposiciones transitorias

Las entidades que ya presten los servicios de intermediación de datos a los que se refiere el artículo 10 el 23 de junio de 2022 deberán cumplir las obligaciones establecidas en el capítulo III a más tardar el 24 de septiembre de 2025.

whereas

keyboard_tab Digital Governance Act 2022/0868 ES

Digital Governance Act 2022/0868 ES