Agencia Estatal Boletín Oficial del Estado
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Visto el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022, relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (1), y en particular su artículo 40, apartado 13,
Considerando lo siguiente:
|
(1) |
El artículo 40 del Reglamento (UE) 2022/2065 establece normas relativas al acceso a los datos que deben conceder los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño. En particular, permite que los investigadores que hayan completado un proceso para demostrar que cumplen las condiciones establecidas en el apartado 8 de dicho artículo («investigadores autorizados») obtengan dicho acceso. |
|
(2) |
De conformidad con el artículo 40, apartado 4, del Reglamento (UE) 2022/2065, los investigadores autorizados deben tener acceso a los datos para ayudarles a estudiar los riesgos sistémicos en la Unión y a evaluar la eficacia de las medidas para mitigarlos. Sus conclusiones pueden constituir una valiosa contribución a la aplicación del Reglamento (UE) 2022/2065 y fomentar la rendición de cuentas de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño. El objetivo del presente Reglamento es establecer las condiciones técnicas y los procedimientos necesarios para permitir dicho acceso, de manera segura y eficiente, que sea coherente para todos los coordinadores de servicios digitales, y de manera que se garantice la igualdad de trato para los investigadores y los proveedores de datos. |
|
(3) |
Para garantizar que el proceso de acceso a los datos sea coherente para todos los coordinadores de servicios digitales y para que dicho proceso sea claro y transparente para todos, es necesario crear una infraestructura digital específica («portal de acceso a los datos del Reglamento de Servicios Digitales»). El portal de acceso a los datos del Reglamento de Servicios Digitales debe permitir a los investigadores, los proveedores de datos y los coordinadores de servicios digitales participar en el proceso de acceso a los datos, tener acceso a la información pertinente y difundirla, como la relativa a los puntos de contacto específicos, y comunicarse entre sí. El portal de acceso a los datos del Reglamento de Servicios Digitales no debe considerarse una de las modalidades de acceso que deben utilizarse para facilitar el acceso a los datos en virtud de una solicitud motivada. |
|
(4) |
Los proveedores de datos y los investigadores que deseen participar en el proceso de acceso a los datos deben crear una cuenta en el portal de acceso a los datos del Reglamento de Servicios Digitales a tal fin. Para garantizar que los coordinadores de servicios digitales puedan acceder a la información presentada a través del portal de acceso a los datos del Reglamento de Servicios Digitales sin necesidad de crear una cuenta separada en el portal, el portal de acceso a los datos del Reglamento de Servicios Digitales debe ser interoperable con el sistema de intercambio de información AGORA establecido en el Reglamento de Ejecución (UE) 2024/607 de la Comisión (2). |
|
(5) |
Para garantizar la transparencia del proceso de acceso a los datos para todas las partes implicadas y supervisar la eficacia y eficiencia del proceso de acceso a los datos y el cumplimiento del artículo 40, apartado 4, del Reglamento (UE) 2022/2065 y del presente Reglamento, el portal de acceso a los datos del Reglamento de Servicios Digitales debe generar notificaciones automáticas en relación con las diferentes fases y actualizaciones del proceso. |
|
(6) |
Con el fin de proporcionar a los investigadores información coherente sobre el proceso de acceso a los datos, los coordinadores de servicios digitales deben poner a su disposición, de modo fácilmente accesible en sus interfaces en línea, los detalles relativos al proceso de acceso a los datos, que incluya enlaces al portal de acceso a los datos del Reglamento de Servicios Digitales. Para evitar crear una carga administrativa innecesaria, aumentar la eficiencia y facilitar la comunicación entre todas las partes implicadas en el proceso de acceso a los datos, se anima a los coordinadores de servicios digitales a que faciliten la gestión de la información relacionada con el proceso de acceso a los datos, también desde una perspectiva lingüística. |
|
(7) |
A fin de que los investigadores puedan identificar los datos pertinentes con los fines establecidos en el artículo 40, apartado 4, del Reglamento (UE) 2022/2065, los proveedores de datos deben poner a su disposición catálogos de datos del Reglamento de Servicios Digitales para sus servicios. Dichos catálogos deben ser fácilmente localizables y accesibles en las interfaces en línea de los proveedores de datos, así como describir los activos de datos disponibles, su estructura de datos y metadatos, cuyo acceso puede solicitarse de conformidad con el artículo 40, apartado 4, del Reglamento (UE) 2022/2065. Al poner a disposición los catálogos de datos del Reglamento de Servicios Digitales, los proveedores de datos deben tener en cuenta los riesgos para la confidencialidad, la seguridad de los datos o la protección de los datos personales que puedan derivarse de la publicación de dicha información. |
|
(8) |
Para contribuir al desarrollo de los proyectos de investigación pertinentes a los efectos establecidos en el artículo 40, apartado 4, del Reglamento (UE) 2022/2065, los catálogos de datos de la Ley de Servicios Digitales deben incluir, en particular, datos relacionados con los riesgos sistémicos en la Unión que los proveedores de datos hayan determinado en sus evaluaciones anuales de riesgos con arreglo al artículo 34 de dicho Reglamento, así como datos relacionados con cualquier medida de reducción de riesgos a que se refiere el artículo 35 de dicho Reglamento. Para garantizar la pertinencia y la puntualidad de los catálogos de datos del Reglamento de Servicios Digitales, estos catálogos deben actualizarse periódicamente teniendo debidamente en cuenta los riesgos sistémicos recientemente determinados y la evolución de los riesgos sistémicos. Por ejemplo, deben reflejar los riesgos emergentes detectados a raíz de una evaluación de riesgos ad hoc con arreglo al artículo 34 del Reglamento (UE) 2022/2065 o de un informe de auditoría con arreglo al artículo 37 de dicho Reglamento. Para minimizar la carga procedimental que pesa sobre los proveedores de datos, cuando proceda, dichos catálogos podrán basarse en los recursos de documentación de datos existentes utilizados para otros fines y destinados a otros públicos, como la publicidad, la creación de contenidos o el desarrollo de aplicaciones de terceros. No debe exigirse que los catálogos de datos del Reglamento de Servicios Digitales sean exhaustivos y que, por tanto, impongan obligaciones o limitaciones a los investigadores en sus solicitudes de acceso a los datos. |
|
(9) |
Con el fin de facilitar la determinación de las modalidades de acceso por parte del coordinador de servicios digitales de establecimiento y reducir la carga global del proceso de acceso a los datos para todos los agentes implicados, los proveedores de datos deben publicar sus modalidades de acceso propuestas para los datos descritos en los catálogos de datos del Reglamento de Servicios Digitales. Estas modalidades de acceso sugeridas deben ser proporcionales a la sensibilidad de los datos e incluir información sobre las posibles condiciones técnicas, organizativas y jurídicas que los proveedores de datos consideren adecuadas para permitir el suministro de los datos. Las modalidades de acceso sugeridas por los proveedores de datos no deben vincular a los coordinadores de servicios digitales de establecimiento, que deben seguir siendo competentes para determinar las modalidades de acceso adecuadas. |
|
(10) |
Para garantizar que las solicitudes de acceso a los datos reciban el mismo trato, independientemente del coordinador de servicios digitales al que se presente la solicitud de acceso a los datos o del que proceda la solicitud motivada, debe especificarse el plazo para la formulación de solicitudes motivadas, a fin de garantizar la coherencia entre todos los coordinadores de servicios digitales. Si la formulación de la solicitud motivada requiere más tiempo, el coordinador de servicios digitales de establecimiento debe notificarlo al investigador principal, indicando los motivos del retraso. Estos motivos pueden incluir la necesidad de realizar verificaciones adicionales por parte del coordinador de servicios digitales del organismo de investigación o de establecimiento, por ejemplo, cuando las solicitudes de acceso a los datos impliquen transferencias internacionales de datos, o cuando el coordinador de servicios digitales de establecimiento haya detectado posibles riesgos para la seguridad de la Unión si los datos se compartieran. Con vistas a armonizar también las etapas del proceso de acceso a los datos que preceden a la formulación de solicitudes motivadas, incluida la evaluación de las solicitudes de acceso a los datos y la concesión de la condición de investigador autorizado, se anima a los coordinadores de servicios digitales a desarrollar una forma de trabajo coherente y coordinada, que incluya criterios operativos comunes, en el marco de la Junta Europea de Servicios Digitales. |
|
(11) |
Con el fin de racionalizar los procedimientos de formulación de solicitudes motivadas, debe exigirse a todos los coordinadores de servicios digitales de establecimiento que verifiquen que las solicitudes de acceso a los datos incluyen debidamente determinados elementos comunes del proceso de acceso a los datos. A tal fin, los coordinadores de servicios digitales de establecimiento deben verificar que todos los investigadores solicitantes mencionados en la solicitud de acceso a los datos han demostrado su afiliación a un organismo de investigación, por ejemplo, mediante pruebas documentales de sus contratos de trabajo o de otras formas de asociación jurídica con el organismo de investigación. Los coordinadores de servicios digitales de establecimiento también deben verificar que los investigadores solicitantes han demostrado su independencia con respecto a intereses comerciales, por ejemplo, mediante una declaración a tal efecto. |
|
(12) |
El coordinador de servicios digitales de establecimiento debe verificar que la financiación del proyecto de investigación para el que se solicitan los datos se divulga en la solicitud de acceso a los datos. La información facilitada por los investigadores solicitantes debe incluir detalles de las contribuciones, como la entidad financiadora, el importe, la naturaleza y la duración de la contribución, en particular si la financiación ya se ha concedido o si una solicitud de financiación está aún en fase de evaluación, así como, en su caso, referencias pertinentes a los proyectos financiados por la Unión. Cuando estén disponibles, la solicitud de acceso a los datos también debe incluir los resultados de las evaluaciones realizadas por la entidad o entidades que proporcionan la financiación. |
|
(13) |
El coordinador de servicios digitales de establecimiento debe verificar que la solicitud de acceso a los datos describe cómo se seleccionan los datos y el formato de los datos, con referencia a los requisitos de necesidad y proporcionalidad con respecto a la finalidad de la investigación prevista. Cuando los datos solicitados también estén disponibles a través de otras fuentes, el coordinador de servicios digitales de establecimiento debe evaluar si la solicitud de acceso a estos datos está debidamente justificada, teniendo en cuenta la información contenida en dicha solicitud de acceso. Entre las posibles justificaciones pueden figurar pruebas de la mala calidad o falta de fiabilidad de dichos datos procedentes de otras fuentes o de la inadecuación del formato en el que dichos datos pueden obtenerse de otras fuentes a efectos del proyecto de investigación, lo que obstaculizaría los resultados del proyecto de investigación. Los datos que pueden solicitarse para estudiar los riesgos sistémicos o su mitigación en la Unión podrían variar en el futuro. Entre los ejemplos actuales de estos datos figuran los relativos a los usuarios de los servicios, como la información del perfil, las redes de contactos, la exposición al contenido a nivel individual y los historiales de implicación; los datos de interacción, como los comentarios u otras formas de participación; los datos relacionados con las recomendaciones de contenido, incluidos los datos utilizados para personalizar las recomendaciones; los datos relacionados con la personalización de la publicidad y la elaboración de perfiles, incluidos los datos asociados a costes por clic y otras medidas de precios publicitarios; los datos relativos a los ensayos de nuevas características antes de su despliegue, incluidos los resultados de las pruebas A/B; los datos relacionados con la moderación y la gobernanza de contenidos, como los datos sobre sistemas y procesos algorítmicos o de otro tipo para la moderación de contenidos, incluidos los registros de cambios, archivos o repositorios que documenten contenidos moderados, incluidas las cuentas, así como los datos relacionados con los precios, las cantidades y las características de los bienes o servicios prestados o intermediados por el proveedor de datos. |
|
(14) |
El coordinador de servicios digitales de establecimiento debe verificar si la solicitud de acceso a los datos proporciona información suficiente que demuestre que el investigador es capaz de cumplir los requisitos específicos de confidencialidad, seguridad y protección de los datos personales con respecto a los datos solicitados; si determina los posibles riesgos derivados del acceso y tratamiento de dichos datos a efectos de la investigación, y si documenta las modalidades de acceso propuestas, incluidas las condiciones jurídicas, organizativas y técnicas que se establecerán para minimizar los riesgos detectados, por ejemplo mediante una carta de compromiso del organismo de investigación que confirme el acceso a medios que puedan constituir garantías pertinentes, u otros documentos justificativos. |
|
(15) |
Cuando se soliciten datos personales, el coordinador de servicios digitales de establecimiento debe verificar que la solicitud de acceso a los datos incluye información sobre la base jurídica para el tratamiento de datos personales, incluidas sus categorías especiales, cuando proceda, y que dicha base jurídica está en consonancia con el artículo 6, apartado 1, letras e) o f), y, en su caso, el artículo 9, apartado 2, letras g) o j), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3). Además, el coordinador de servicios digitales de establecimiento debe verificar que la solicitud de acceso a los datos contiene indicaciones suficientes de que los investigadores han evaluado los riesgos para la protección de datos personales. Por ejemplo, esto podría demostrarse mediante una evaluación de impacto relativa a la protección de datos en el sentido del artículo 35 de dicho Reglamento. Para garantizar el acceso a los datos personales de conformidad con el Reglamento (UE) 2016/679, los coordinadores de servicios digitales deben poder consultar a las autoridades de control pertinentes establecidas de conformidad con el artículo 51 de dicho Reglamento, que siguen siendo competentes para evaluar el cumplimiento del Reglamento (UE) 2016/679. |
|
(16) |
Para facilitar la formulación de la solicitud motivada y preservar la integridad de la información incluida en la solicitud de acceso a los datos, el coordinador de servicios digitales de establecimiento debe verificar si la solicitud de acceso a los datos incluye un resumen. Dicho resumen debe contener una visión general de la información que formará parte de la solicitud motivada, publicada en el portal de acceso a los datos del Reglamento de Servicios Digitales, en los casos en que la evaluación de la solicitud de acceso a los datos dé lugar a la formulación de una solicitud motivada. |
|
(17) |
A fin de garantizar que las modalidades de acceso que el coordinador de servicios digitales de establecimiento determine son adecuadas para abordar la sensibilidad de los datos específicos solicitados en una aplicación de acceso a los datos, el coordinador de servicios digitales de establecimiento debe llevar a cabo una evaluación caso por caso, sobre la base de la información facilitada en la solicitud de acceso a los datos. Las modalidades de acceso establecidas en la solicitud motivada deben ser adecuadas para cumplir los requisitos de seguridad y confidencialidad de los datos y protección de los datos personales y, al mismo tiempo, permitir la consecución de los objetivos del proyecto de investigación. El acceso a los datos puede tener lugar, por ejemplo, mediante la transmisión de datos a los investigadores autorizados a través de una interfaz y un almacenamiento de datos adecuados; también mediante la transmisión y almacenamiento de los datos en un entorno de tratamiento seguro gestionado por el proveedor de datos o por un proveedor tercero al que tengan acceso los investigadores autorizados, pero en el que no tenga lugar ninguna transmisión de datos a los investigadores autorizados, o por medio de otras modalidades de acceso que el proveedor de datos establezca o facilite en un entorno de tratamiento seguro. Al especificar las modalidades de acceso, el coordinador de servicios digitales de establecimiento también debe enumerar todas las condiciones jurídicas, técnicas u organizativas a las que esté sujeto el acceso. En los casos en que el acceso implique una transferencia de datos personales a terceros países u organizaciones internacionales en el sentido del capítulo V del Reglamento (UE) 2016/679, las modalidades de acceso también deben incluir información sobre la necesidad de establecer un mecanismo de transferencia adecuado para garantizar que el proveedor de datos adopte las medidas necesarias para cumplir lo dispuesto en dicho Reglamento. |
|
(18) |
Para garantizar que las modalidades de acceso a los datos sean adecuadas para abordar sensibilidades específicas en términos de protección de datos, seguridad de los datos o confidencialidad, el coordinador de servicios digitales de establecimiento, sobre la base de la información recibida en la solicitud de acceso a los datos, debe poder exigir que el acceso a los datos se facilite a través de entornos de tratamiento seguros. En tales casos, el coordinador de servicios digitales de establecimiento debe garantizar que el entorno elegido funcione en consonancia con la tecnología más adecuada y que permita a los investigadores autorizados alcanzar los objetivos de su investigación. |
|
(19) |
A fin de garantizar la coherencia de la información transmitida por los coordinadores de servicios digitales de establecimiento a los proveedores de datos, es necesario especificar el contenido de las solicitudes motivadas. |
|
(20) |
Con el fin de salvaguardar los intereses de los proveedores de datos y reducir la frecuencia de las solicitudes de modificación a lo largo del tiempo y facilitar la formulación de las solicitudes de acceso a los datos pertinentes por parte de los investigadores, el coordinador de servicios digitales de establecimiento que haya emitido las respectivas solicitudes motivadas debe poner a disposición del público en el portal de acceso a los datos de la Ley de Servicios Digitales un resumen de cada solicitud motivada, que incluya todas sus modificaciones y actualizaciones. |
|
(21) |
A fin de garantizar que el coordinador de servicios digitales de establecimiento disponga de la información pertinente para evaluar una solicitud de modificación y facilitar un enfoque uniforme en la evaluación de las solicitudes de modificación, debe exigirse al proveedor de datos que especifique los motivos de dicha solicitud, tal como se contempla en el artículo 40, apartado 5, del Reglamento (UE) 2022/2065. Más concretamente, al evaluar una solicitud de modificación presentada sobre la base de la falta de acceso a los datos por parte de un proveedor de datos, el coordinador de servicios digitales de establecimiento debe estar en condiciones de examinar si la supuesta imposibilidad está debidamente justificada, por ejemplo, por la inexistencia de los datos solicitados, o por restricciones técnicas como el cifrado, y debe disponer de la información necesaria para considerar si la falta de acceso es permanente o temporal. A este respecto, debe quedar claro que las consideraciones comerciales no deben estimarse un motivo para denegar automáticamente el acceso a los datos solicitados, sino más bien un motivo para modificar los medios de acceso a estos datos, lo que puede dar lugar a la imposición de requisitos adicionales de seguridad y confidencialidad de los datos. |
|
(22) |
A fin de garantizar una resolución eficiente de los litigios y fomentar la determinación de una solución mutuamente aceptable, tras una solicitud de modificación, los proveedores de datos deben poder solicitar a los coordinadores de servicios digitales de establecimiento que participen en la mediación. Dicha participación debe ser voluntaria a lo largo de todo el proceso de mediación y no debe dar lugar a ningún resultado vinculante para el coordinador de servicios digitales de establecimiento, que sigue siendo competente para decidir sobre las solicitudes de modificación. Todas las partes implicadas en el proceso de mediación deben participar de buena fe y esforzarse por alcanzar un acuerdo justo y mutuamente aceptable. |
|
(23) |
Para evitar que la mediación prolongue indefinidamente el proceso de acceso a los datos, la transmisión de la solicitud escrita de mediación, la selección del mediador y el propio proceso de mediación deben tener lugar en plazos determinados. Los coordinadores de servicios digitales de establecimiento deben fijar un plazo para el proceso de mediación en relación con una solicitud motivada dada y el mediador debe tener autoridad para poner fin al proceso de mediación en circunstancias específicas. |
|
(24) |
A fin de mantener la confianza mutua entre las partes implicadas en la mediación, el coordinador de servicios digitales de establecimiento debe garantizar que el mediador propuesto cumpla los requisitos de imparcialidad e independencia y que posea los conocimientos especializados pertinentes sobre el objeto de la mediación. |
|
(25) |
Con el fin de facilitar una toma de decisiones informada y eficaz en relación con el proceso de acceso a los datos, los coordinadores de servicios digitales deben tener la posibilidad de solicitar dictámenes de expertos sobre elementos específicos del proceso de acceso a los datos, como la determinación de las modalidades de acceso, incluidas las interfaces adecuadas, la formulación de la solicitud motivada y cualquier solicitud de modificación por parte del proveedor de datos. Los expertos consultados deben poseer conocimientos especializados demostrados en el asunto sobre el que se solicita su opinión y ser independientes. En particular, no deben tener ningún conflicto de intereses derivado, por ejemplo, de cualquier vínculo con los investigadores solicitantes o con el proveedor de datos. |
|
(26) |
Con el fin de aumentar la transparencia y permitir a los coordinadores de servicios digitales aprovechar los conocimientos especializados adquiridos a lo largo del tiempo, cada solicitud de consulta de expertos así como el seguimiento que genere deben registrarse en AGORA. |
|
(27) |
Para facilitar la supervisión efectiva del cumplimiento de las condiciones establecidas en la solicitud motivada, el proveedor de datos debe notificar al coordinador de servicios digitales de establecimiento, en un plazo de tres días, la fecha en que se haya facilitado el acceso a los investigadores autorizados y desde la fecha del acceso su terminación. |
|
(28) |
A fin de que los investigadores autorizados puedan utilizar los datos solicitados para los fines de la investigación y proporcionar información contextual pertinente, los proveedores de datos deben facilitar a los investigadores autorizados los metadatos y la documentación pertinentes en los que se describan los datos facilitados, como los libros de códigos, los registros de cambios y la documentación sobre la arquitectura. |
|
(29) |
Con el fin de facilitar una investigación significativa por parte de los investigadores autorizados, y permitir además la combinación de los datos solicitados con los datos disponibles a través de otras fuentes, los proveedores de datos no deben imponer ni restricciones a las herramientas analíticas empleadas por estos investigadores autorizados, incluidas las bibliotecas de software pertinentes, ni requisitos de archivo, almacenamiento, actualización y eliminación, a menos que se mencionen explícitamente en las modalidades de acceso indicadas en la solicitud motivada. |
|
(30) |
Cuando los datos facilitados a los investigadores autorizados incluyan datos personales en el sentido del artículo 4 del Reglamento (UE) 2016/679, el proveedor de datos deberá cumplir las normas establecidas en dicho Reglamento. En particular, el artículo 40, apartado 4, del Reglamento (UE) 2022/2065 crea una obligación jurídica en el sentido del artículo 6, apartado 1, letra c), del Reglamento (UE) 2016/679 con respecto a cualquier tratamiento de datos personales necesario para que el proveedor de datos facilite el acceso a los datos especificados en la solicitud motivada. Cuando deban tratarse categorías especiales de datos personales en el sentido del artículo 9 del Reglamento (UE) 2016/679, el presente Reglamento cumple el requisito del artículo 9, apartado 2, letra g), del Reglamento (UE) 2016/679. |
|
(31) |
El Supervisor Europeo de Protección de Datos, a quien se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (4), emitió su dictamen el 4 de diciembre de 2024. |
|
(32) |
Previa consulta a la Junta Europea de Servicios Digitales de conformidad con el artículo 40, apartado 13, del Reglamento (UE) 2022/2065 y tras su aprobación. |
HA ADOPTADO EL PRESENTE REGLAMENTO:
Objeto
El presente Reglamento establece procedimientos y condiciones técnicas para facilitar a los investigadores autorizados el acceso a los datos que obren en poder de los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño, de conformidad con el artículo 40, apartado 4, del Reglamento (UE) 2022/2065, en particular:
|
a) |
las condiciones técnicas para el desarrollo y el funcionamiento de un portal de acceso a los datos; |
|
b) |
los procedimientos y las condiciones técnicas para la gestión del proceso de acceso a los datos por parte de los coordinadores de servicios digitales y los proveedores de datos; |
|
c) |
los requisitos para la formulación de solicitudes motivadas y la evaluación de las solicitudes de modificación; |
|
d) |
las condiciones técnicas para el suministro de acceso a los datos por parte de los proveedores de datos. |
Definiciones
A los efectos del presente Reglamento, serán de aplicación las definiciones que figuran en el artículo 4 del Reglamento (UE) 2016/679 y en el artículo 3 del Reglamento (UE) 2018/1725. Serán asimismo de aplicación las definiciones siguientes:
|
1) |
«solicitud de acceso a los datos»: la información y la documentación pertinente presentadas por los investigadores solicitantes al coordinador de servicios digitales de establecimiento o al coordinador de servicios digitales del Estado miembro del organismo de investigación al que esté afiliado el investigador principal para obtener la condición de «investigador autorizado» a que se refiere el artículo 40, apartado 8, párrafo primero, del Reglamento (UE) 2022/2065, para un proyecto de investigación específico que implique el acceso a los datos de un proveedor de datos; |
|
2) |
«proceso de acceso a los datos»: las etapas y procedimientos que pueden dar lugar al suministro de acceso a los datos a que se refiere el artículo 40, apartado 4, del Reglamento (UE) 2022/2065; |
|
3) |
«investigador solicitante»: toda persona física que solicite acceso a los datos a que se refiere el artículo 40, apartado 4, del Reglamento (UE) 2022/2065, ya sea individualmente, en grupo o como parte de una entidad; |
|
4) |
«investigador principal»: el investigador solicitante que presenta la solicitud de acceso a los datos a título individual o en nombre de una entidad o un grupo de investigadores solicitantes; |
|
5) |
«proveedor de datos»: un prestador de una plataforma en línea de muy gran tamaño o de un motor de búsqueda en línea de muy gran tamaño designado como tal de conformidad con el artículo 33, apartado 4, del Reglamento (UE) 2022/2065, al que podría dirigirse una solicitud motivada; |
|
6) |
«solicitud motivada»: una solicitud motivada de acceso a los datos con arreglo al artículo 40, apartado 4, del Reglamento (UE) 2022/2065; |
|
7) |
«solicitud de modificación»: una solicitud de modificación con arreglo al artículo 40, apartado 5, del Reglamento (UE) 2022/2065 presentada por el proveedor de datos al coordinador de servicios digitales de establecimiento tras la recepción de una solicitud motivada; |
|
8) |
«entorno de tratamiento seguro»: entorno de tratamiento seguro según la definición del artículo 2, punto 20, del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo (5). |
Portal de acceso a los datos del Reglamento de Servicios Digitales
1. La Comisión creará y albergará un portal de acceso a los datos del Reglamento de Servicios Digitales.
2. El portal de acceso a los datos del Reglamento de Servicios Digitales tendrá las siguientes funciones:
|
a) |
apoyar y racionalizar la gestión del proceso de acceso a los datos para investigadores, proveedores de datos y coordinadores de servicios digitales; |
|
b) |
servir de punto digital central para la información sobre el proceso de acceso a los datos y facilitar los intercambios de información con arreglo al presente Reglamento entre los investigadores solicitantes, los investigadores autorizados, los proveedores de datos y los coordinadores de servicios digitales. |
3. El portal de acceso a los datos del Reglamento de Servicios Digitales será interoperable con el sistema de intercambio de información AGORA establecido por el Reglamento de Ejecución (UE) 2024/607. Los coordinadores de servicios digitales tendrán acceso en AGORA a la información presentada a través del portal de acceso a los datos del Reglamento de Servicios Digitales.
4. Los proveedores de datos tendrán una cuenta en el portal de acceso a los datos del Reglamento de Servicios Digitales.
5. Para participar en el proceso de acceso a los datos, los investigadores solicitantes deberán tener una cuenta en el portal de acceso a los datos del Reglamento de Servicios Digitales.
Funciones y responsabilidades para el tratamiento de datos personales en el portal de acceso a los datos del Reglamento de Servicios Digitales
1. Los coordinadores de servicios digitales serán responsables independientes del tratamiento de los datos personales que lleven a cabo para gestionar el proceso de acceso a los datos y para la publicación de la información pertinente.
2. La Comisión será la encargada del tratamiento de los datos personales tratados dentro del portal de acceso a los datos del Reglamento de Servicios Digitales.
3. Las responsabilidades de la Comisión como encargada del tratamiento de datos en el portal de acceso a los datos del Reglamento de Servicios Digitales serán las establecidas en el anexo.
Tratamiento de datos personales en el portal de acceso a los datos del Reglamento de Servicios Digitales
1. Cuando los datos personales se registren e intercambien a través del portal de acceso a los datos del Reglamento de Servicios Digitales, el tratamiento solo tendrá lugar en la medida en que sea proporcionado y necesario a efectos de la finalidad del proceso de acceso a los datos y de la publicación de la información pertinente.
2. El tratamiento de datos personales en el portal de acceso a los datos del Reglamento de Servicios Digitales solo podrá efectuarse respecto de las siguientes categorías de interesados:
|
a) |
las personas físicas que tengan una cuenta en el portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
b) |
las personas físicas cuyos datos personales figuren en el portal de acceso a los datos del Reglamento de Servicios Digitales o en cualquier otro intercambio en virtud del presente Reglamento relativo al proceso de acceso a los datos. |
3. El tratamiento de datos personales en el portal de acceso a los datos del Reglamento de Servicios Digitales solo podrá efectuarse respecto de las siguientes categorías de datos personales:
|
a) |
datos de identidad, como el nombre y el identificador de usuario; |
|
b) |
información de contacto, como la dirección, la dirección de correo electrónico y los datos de contacto; |
|
c) |
los datos personales contenidos en la documentación que demuestren la afiliación a un organismo de investigación, así como cualquier otra información personal que se considere necesaria para participar en el proceso de acceso a los datos. |
4. El almacenamiento de los datos a que se refiere el apartado 1 se llevará a cabo utilizando una infraestructura informática situada en el Espacio Económico Europeo.
Puntos de contacto e información pública sobre el proceso de acceso a los datos
1. Cada coordinador de servicios digitales y cada proveedor de datos establecerán un punto de contacto específico, cuya tarea consistirá en proporcionar información y apoyo sobre el proceso de acceso a los datos.
2. Los coordinadores de servicios digitales y los proveedores de datos comunicarán sus puntos de contacto a la Comisión lo antes posible. La Comisión publicará los datos de los puntos de contacto a que se refiere el apartado 1 en la interfaz pública del portal de acceso a los datos del Reglamento de Servicios Digitales.
3. Cada coordinador de servicios digitales publicará en un lugar fácilmente visible de su interfaz en línea los datos del punto de contacto establecido de conformidad con el apartado 1, junto con un enlace al portal de acceso a los datos del Reglamento de Servicios Digitales.
4. Los proveedores de datos publicarán en un lugar fácilmente visible de sus interfaces en línea la siguiente información:
|
a) |
los datos del punto de contacto que hayan establecido de conformidad con el apartado 1; |
|
b) |
un enlace al portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
c) |
un catálogo de datos del Reglamento de Servicios Digitales, que describa los activos de datos, al que se pueda acceder para los fines establecidos en el artículo 40, apartado 4, del Reglamento (UE) 2022/2065, así como su estructura de datos y metadatos; |
|
d) |
modalidades de acceso sugeridas para los datos del catálogo con arreglo a la letra c), adecuadas al nivel de sensibilidad de los diferentes activos de datos. |
5. La información a que se refiere el apartado 4, letras c) y d), se actualizará periódicamente, en particular para reflejar los datos relacionados con las evaluaciones de riesgos realizadas con arreglo al artículo 34 del Reglamento (UE) 2022/2065 y las auditorías realizadas con arreglo al artículo 37 de dicho Reglamento.
Formulación de una solicitud motivada
1. En el plazo de 80 días hábiles a partir de la presentación de una solicitud de acceso a los datos, el coordinador de servicios digitales de establecimiento, teniendo debidamente en cuenta los requisitos previos establecidos en el artículo 8 y, en su caso, cualquier otra evaluación pertinente a estos efectos, decidirá si puede formularse una solicitud motivada y emprenderá una de las siguientes acciones:
|
a) |
formulará una solicitud motivada, la presentará al proveedor de datos y notificará al investigador principal la presentación de la solicitud motivada; |
|
b) |
informará al investigador principal de las razones por las que no se ha podido formular la solicitud motivada. |
2. Cuando, en casos debidamente justificados, el coordinador de servicios digitales de establecimiento necesite más tiempo para formular una solicitud motivada, lo notificará al investigador principal lo antes posible e indicará los motivos del retraso, así como una nueva fecha para emprender las acciones a que se refiere el apartado 1.
Requisitos previos para formular una solicitud motivada
El coordinador de servicios digitales de establecimiento decidirá si puede formularse una solicitud motivada teniendo en cuenta los siguientes elementos:
|
a) |
por cada investigador solicitante:
|
|
b) |
información sobre la financiación de apoyo al proyecto de investigación para el que se solicitan los datos; |
|
c) |
una descripción de los datos solicitados, incluidos el formato, el alcance y, cuando sea posible, los atributos específicos, los metadatos pertinentes y la documentación de datos, teniendo también en cuenta la información facilitada con arreglo al artículo 6, apartado 4, del presente Reglamento; |
|
d) |
información sobre la necesidad y proporcionalidad del acceso a los datos y la información en los plazos de la investigación para los que se solicitan los datos; |
|
e) |
información sobre los riesgos detectados en términos de confidencialidad, seguridad de los datos y protección de los datos personales en relación con los datos a los que se accedería, una descripción de las medidas técnicas, jurídicas y organizativas que se pondrán en marcha, incluidas, cuando sea posible, las modalidades de acceso sugeridas, para mitigar dichos riesgos al tratar los datos solicitados; |
|
f) |
una descripción de las actividades de investigación que se llevarán a cabo con los datos solicitados; |
|
g) |
un resumen de la solicitud de acceso a los datos que contenga los siguientes elementos:
|
Modalidades de acceso
1. El coordinador de servicios digitales de establecimiento determinará las modalidades, incluidas las medidas técnicas, jurídicas y organizativas, que el proveedor de datos utilizará para facilitar el acceso de los investigadores autorizados a los datos.
2. Los coordinadores de servicios digitales deben poder consultar a las autoridades de control pertinentes establecidas de conformidad con el artículo 51 del Reglamento (UE) 2016/679.
3. Al determinar las modalidades de acceso, el coordinador de servicios digitales de establecimiento tendrá en cuenta la información facilitada en la solicitud de acceso a los datos, en particular la información a que se refiere el artículo 8, letra e), teniendo también en cuenta los derechos e intereses de los proveedores de datos y los destinatarios del servicio de que se trate, incluida la protección de la información confidencial, los secretos comerciales y el mantenimiento de la seguridad de su servicio y la información facilitada por los proveedores de datos de conformidad con el artículo 6, apartado 4, letra d).
4. Además de los elementos a que se refiere el apartado 3, el coordinador de servicios digitales de establecimiento tendrá en cuenta, al determinar las modalidades de acceso, los siguientes elementos:
|
a) |
cuando el acceso implique el tratamiento de datos personales:
|
|
b) |
las medidas de seguridad de la red pertinentes, el cifrado, los mecanismos de control de acceso, las políticas de copia de seguridad, los mecanismos de integridad de los datos y los planes de respuesta a incidentes; |
|
c) |
cuando proceda, información sobre el período de almacenamiento previsto y los planes de destrucción de datos pertinentes; |
|
d) |
cualquier medida organizativa, como los procesos de revisión interna, las restricciones de los derechos de acceso y el intercambio de información; |
|
e) |
las cláusulas contractuales propuestas, como los acuerdos de confidencialidad, los acuerdos de datos y cualquier otro tipo de declaración escrita, que establezcan posibles condiciones de acceso y tratamiento entre el investigador principal y el proveedor de datos; |
|
f) |
la existencia de formación sobre seguridad de los datos y protección de datos personales recibida por los investigadores solicitantes; |
|
g) |
si son necesarios entornos de tratamiento seguros para tratar los datos. |
5. Cuando el coordinador de servicios digitales de establecimiento considere que debe utilizarse un entorno de tratamiento seguro para facilitar el acceso a los datos solicitados, el coordinador de servicios digitales de establecimiento exigirá documentación que acredite que el operador de dicho entorno:
|
a) |
especifica las condiciones de acceso al entorno de tratamiento seguro con el fin de minimizar el riesgo de lectura, copia, modificación o retirada no autorizadas de los datos alojados en el entorno de tratamiento seguro; |
|
b) |
garantiza que los investigadores autorizados solo tienen acceso a los datos cubiertos por la solicitud motivada, mediante identidades de usuario individuales y únicas y modos de acceso confidenciales; |
|
c) |
conserva registros identificables de acceso al entorno de tratamiento seguro durante el período de tiempo necesario para verificar y auditar todas las operaciones de tratamiento en dicho entorno; |
|
d) |
garantiza que la capacidad informática a disposición de los investigadores autorizados sea adecuada y suficiente para los fines del proyecto de investigación; |
|
e) |
controla la eficacia de las medidas enumeradas en las letras a) a d). |
Contenido de una solicitud motivada
1. Una solicitud motivada deberá incluir como mínimo los elementos siguientes:
|
a) |
la fecha en la que el proveedor de datos dará acceso a los datos solicitados y la fecha en que se pondrá fin a dicho acceso; |
|
b) |
las modalidades de acceso determinadas con arreglo al artículo 9; |
|
c) |
el resumen de la solicitud de acceso a los datos a que se refiere el artículo 8, letra g). |
2. El coordinador de servicios digitales de establecimiento podrá incluir en la solicitud motivada los nombres y datos de contacto de todos los investigadores autorizados mencionados en la solicitud de acceso a los datos cuando sea necesario para permitir el acceso a los datos solicitados, de conformidad con las modalidades de acceso especificadas en la solicitud motivada.
3. En los casos en que el acceso implique una transferencia de datos personales a un tercer país u organización internacional en el sentido del capítulo V del Reglamento (UE) 2016/679, la solicitud motivada deberá incluir información sobre la necesidad de establecer o referir a un mecanismo de transferencia adecuado para garantizar el cumplimiento de lo dispuesto en dicho Reglamento.
Publicación de un resumen de una solicitud motivada en el portal de acceso a los datos del Reglamento de Servicios Digitales
1. Al formular una solicitud motivada, el coordinador de servicios digitales de establecimiento publicará un resumen de la solicitud motivada en la interfaz pública del portal de acceso a los datos del Reglamento de Servicios Digitales. El resumen contendrá todos los elementos siguientes:
|
a) |
el resumen de la solicitud de acceso a los datos a que se refiere el artículo 8, letra g); |
|
b) |
las modalidades de acceso determinadas con arreglo al artículo 9. |
2. El resumen a que se refiere el apartado 1 se actualizará para reflejar cualquier cambio derivado de una modificación de uno o varios elementos tras la evaluación de una solicitud de modificación o del resultado de una mediación de conformidad con el artículo 13.
Procedimientos de examen de las solicitudes de modificación
1. Tras la recepción de una solicitud de modificación con arreglo al artículo 40, apartado 5, del Reglamento (UE) 2022/2065, el coordinador de servicios digitales de establecimiento informará al investigador principal de que se trate.
2. Al decidir sobre una solicitud de modificación presentada de conformidad con el artículo 40, apartado 5, letra a), del Reglamento (UE) 2022/2065, el coordinador de servicios digitales de establecimiento tendrá en cuenta lo siguiente:
|
a) |
si los motivos de la supuesta falta de acceso a los datos están debidamente justificados; |
|
b) |
si esta falta de acceso a los datos es permanente o temporal. |
3. Al decidir sobre una solicitud de modificación presentada de conformidad con el artículo 40, apartado 5, letra b), del Reglamento (UE) 2022/2065, el coordinador de servicios digitales de establecimiento tendrá en cuenta todo lo siguiente:
|
a) |
si las supuestas vulnerabilidades y su importancia están debidamente justificadas; |
|
b) |
la probabilidad y gravedad de los daños derivados de estas supuestas vulnerabilidades significativas; |
|
c) |
la medida en que las modalidades de acceso establecidas en la solicitud motivada mitigan efectivamente el riesgo de que se produzca dicho perjuicio. |
4. En cualquier momento de la evaluación de una solicitud de modificación, el coordinador de servicios digitales de establecimiento podrá solicitar al proveedor de datos o al investigador principal cualquier información adicional que considere necesaria para completar su evaluación.
5. Dicha solicitud de información adicional se presentará lo antes posible para que el proveedor de datos o el investigador principal disponga de tiempo suficiente para responder y, en cualquier caso, no afectará al plazo establecido en el artículo 40, apartado 6, párrafo segundo, del Reglamento (UE) 2022/2065. Cuando el proveedor de datos o el investigador principal no facilite la información solicitada, o no lo haga en el plazo especificado por el coordinador de servicios digitales de establecimiento o facilite información parcial, el coordinador de servicios digitales de establecimiento adoptará su decisión en el plazo establecido en el artículo 40, apartado 6, del Reglamento (UE) 2022/2065, sobre la base de la información puesta a su disposición en un plazo razonable.
Mediación
1. Si el proveedor de datos no está de acuerdo con la decisión del coordinador de servicios digitales de establecimiento sobre la solicitud de modificación, el proveedor de datos podrá, en un plazo de cinco días hábiles a partir de la comunicación por parte del coordinador de servicios digitales de establecimiento de conformidad con el artículo 40, apartado 6, párrafo segundo, del Reglamento (UE) 2022/2065, solicitar por escrito al coordinador de servicios digitales de establecimiento que participe en una mediación.
2. El coordinador de servicios digitales de establecimiento no estará obligado a participar en el proceso de mediación.
3. La solicitud escrita a que se refiere el apartado 1 incluirá una descripción concisa de los elementos específicos de la decisión, comunicados por el coordinador de servicios digitales de establecimiento de conformidad con el artículo 40, apartado 6, párrafo segundo, del Reglamento (UE) 2022/2065, a los que se opone el proveedor de datos.
4. El coordinador de servicios digitales de establecimiento y el proveedor de datos acordarán la designación de un mediador e iniciarán la mediación en un plazo de 20 días hábiles a partir de la presentación de la solicitud de mediación con arreglo al apartado 3.
5. Antes de aceptar la designación de un mediador, el coordinador de servicios digitales de establecimiento verificará que es imparcial e independiente y posee los conocimientos especializados pertinentes en relación con el asunto descrito en la solicitud escrita a que se refiere el apartado 1.
6. El proveedor de datos correrá con todos los costes de la mediación.
7. El coordinador de servicios digitales de establecimiento informará al investigador principal de la solicitud de mediación a que se refiere el apartado 1 sin demora indebida y podrá decidir invitar al investigador principal a participar en la mediación como parte. Cuando la solicitud de acceso a los datos se haya presentado al coordinador de servicios digitales del organismo de investigación, el coordinador de servicios digitales de establecimiento podrá invitar al coordinador de servicios digitales del organismo de investigación a participar en el proceso de mediación. Las partes a quienes haya invitado el coordinador de servicios digitales a participar en el proceso de mediación no estarán obligadas a hacerlo.
8. La participación en la mediación no afectará al derecho de las partes a iniciar procedimientos judiciales en cualquier momento antes, durante o después de la mediación.
9. El coordinador de servicios digitales de establecimiento fijará un plazo para la mediación, que no excederá de 40 días hábiles a partir del día de inicio de la mediación con arreglo al apartado 4.
10. El mediador podrá poner fin a la mediación antes de tiempo en uno de los casos siguientes:
|
a) |
una de las partes solicita explícitamente que se ponga fin a la mediación; |
|
b) |
resulta evidente por la conducta de las partes durante la mediación, que incluye la falta de buena fe, que es improbable que se alcance un acuerdo. |
11. Cuando la mediación dé lugar a un acuerdo entre las partes, el coordinador de servicios digitales de establecimiento tendrá en cuenta dicho acuerdo y, en su caso, modificará la solicitud motivada e informará de la modificación al investigador principal.
12. En caso de que las partes no logren alcanzar un acuerdo, el coordinador de servicios digitales de establecimiento notificará al proveedor de datos que la decisión del coordinador de servicios digitales de establecimiento sobre la solicitud de modificación, en su última versión comunicada con arreglo al artículo 40, apartado 6, párrafo segundo, del Reglamento (UE) 2022/2065, se considerará válida y servirá de base pertinente para nuevas etapas del proceso e informará al investigador principal.
13. El coordinador de servicios digitales de establecimiento registrará en AGORA un resumen de la mediación, preparado por el mediador y firmado por todas las partes. En este resumen constará la información siguiente:
|
a) |
la fecha de la solicitud escrita de mediación por parte del proveedor de datos; |
|
b) |
la identidad y los datos de contacto de las partes; |
|
c) |
las fechas de inicio y finalización de la mediación; |
|
d) |
el resultado de la mediación, incluido cualquier acuerdo alcanzado o el motivo de la finalización de la mediación. |
Consulta de expertos independientes
1. Antes de formular una solicitud motivada o de adoptar una decisión sobre una solicitud de modificación, el coordinador de servicios digitales podrá decidir consultar a expertos.
2. Los expertos serán independientes e imparciales y poseerán conocimientos especializados pertinentes y competencias demostradas, así como la capacidad y los recursos necesarios para llevar a cabo la tarea determinada, sin incurrir en demoras indebidas.
3. Para acreditar su imparcialidad, los expertos firmarán una declaración en la que confirmen que:
|
a) |
no tienen vínculos financieros o personales con el proveedor de datos o los investigadores solicitantes; |
|
b) |
no tienen interés en el resultado del proceso de acceso a los datos; |
|
c) |
no tienen conflictos de intereses. |
4. El coordinador de servicios digitales codificará en AGORA cualquier consulta realizada de conformidad con el apartado 1, junto con el dictamen pericial recibido en respuesta a la consulta, sin demora indebida.
Intercambio y documentación de datos
1. Los proveedores de datos notificarán al coordinador de servicios digitales de establecimiento, en un plazo de tres días hábiles:
|
a) |
que se ha facilitado el acceso a los datos solicitados a los investigadores autorizados, de conformidad con la solicitud motivada; |
|
b) |
que se ha puesto fin al acceso de los investigadores autorizados. |
2. Los proveedores de datos facilitarán a los investigadores autorizados toda la información adicional necesaria para acceder a los datos solicitados y comprenderlos, como los libros de códigos, los registros de cambios y la documentación sobre la arquitectura. En los casos en que dicha información pueda dar lugar a una vulnerabilidad significativa de los servicios del proveedor de datos, el proveedor de datos notificará dicho riesgo al coordinador de servicios digitales de establecimiento y, cuando sea posible, propondrá información alternativa.
3. Al facilitar el acceso a los datos, los proveedores de datos no impondrán a los investigadores autorizados requisitos de gestión de datos, como requisitos de archivo, almacenamiento, actualización y eliminación, o limitaciones al uso de herramientas analíticas estándar, que puedan obstaculizar la realización de la investigación pertinente, a menos que dichos requisitos o limitaciones se mencionen explícitamente en la solicitud motivada.
4. Cuando se traten datos personales, los proveedores de datos no impondrán a los investigadores autorizados ninguna condición en relación con el tratamiento de los datos personales compartidos que no se haya especificado en la solicitud motivada.
Entrada en vigor
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.
Hecho en Bruselas, el 1 de julio de 2025.
Por la Comisión
La Presidenta
Ursula VON DER LEYEN
(1) DO L 277 de 27.10.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
(2) Reglamento de Ejecución (UE) 2024/607 de la Comisión, de 15 de febrero de 2024, relativo a las disposiciones prácticas y operativas para el funcionamiento del sistema de intercambio de información de conformidad con el Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo (Reglamento de Servicios Digitales) (DO L, 2024/607, 16.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/607/oj).
(3) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) (DO L 152 de 3.6.2022, p. 1, ELI: https://data.europa.eu/eli/reg/2022/868/oj).
(6) Directiva (UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre los derechos de autor y derechos afines en el mercado único digital y por la que se modifican las Directivas 96/9/CE y 2001/29/CE (DO L 130 de 17.5.2019, p. 92, ELI: http://data.europa.eu/eli/dir/2019/790/oj).
1.
La Comisión creará y garantizará una infraestructura informática segura y fiable, el portal de acceso a los datos del Reglamento de Servicios Digitales, en nombre de los coordinadores de servicios digitales, que apoye y racionalice la gestión del proceso de acceso a los datos para investigadores, organizaciones de investigación, proveedores de datos y coordinadores de servicios digitales.
2.
Para cumplir sus obligaciones como encargada del tratamiento de datos en nombre de los coordinadores de servicios digitales, la Comisión podrá contratar a terceros como subencargados del tratamiento. En tal caso, los responsables del tratamiento autorizarán a la Comisión a contratar subencargados o sustituirlos cuando sea necesario. La Comisión informará a los responsables del tratamiento de cualquier cambio previsto en relación con la citada contratación de subencargados o su sustitución por otros, dándoles así la oportunidad de oponerse de forma conjunta a tales cambios. Asimismo, deberá velar por que se apliquen a estos subencargados del tratamiento las mismas obligaciones de protección de datos que contiene el presente Reglamento.
3.
La Comisión solo tratará los datos personales en la medida en que sea necesario para:|
a) |
la autenticación y el control de acceso con respecto a todos los usuarios del portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
b) |
la autorización de la aplicación de las solicitudes de los usuarios del portal de acceso a los datos del Reglamento de Servicios Digitales para crear, actualizar y suprimir cualquier información contenida en la solicitud dentro del portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
c) |
la recepción de los datos personales a que se refiere el artículo 5, apartado 3, del presente Reglamento cargados por los usuarios del portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
d) |
el almacenamiento de los datos personales en el portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
e) |
la supresión de los datos personales en su fecha de expiración o por orden del responsable del tratamiento; |
|
f) |
al finalizar la prestación de los servicios suministrados por el portal de acceso a los datos del Reglamento de Servicios Digitales, la eliminación de los datos personales restantes, salvo que el Derecho de la Unión o del Estado miembro exija el almacenamiento de dichos datos personales. |
4.
La Comisión adoptará todas las medidas de seguridad organizativas, físicas y lógicas más avanzadas para garantizar el funcionamiento del portal de acceso a los datos del Reglamento de Servicios Digitales. A tal fin, la Comisión deberá:|
a) |
designar una entidad responsable de la gestión de la seguridad en el portal de acceso a los datos del Reglamento de Servicios Digitales, comunicar a los responsables del tratamiento sus datos de contacto y garantizar su disponibilidad para reaccionar ante las amenazas para la seguridad; |
|
b) |
asumir la responsabilidad respecto a la seguridad del portal de acceso a los datos del Reglamento de Servicios Digitales, incluyendo la realización periódica de pruebas, evaluaciones y valoraciones de las medidas de seguridad. |
5.
La Comisión adoptará todas las medidas de seguridad necesarias para evitar poner en peligro el correcto funcionamiento del portal de acceso a los datos del Reglamento de Servicios Digitales. Estas deberán incluir:|
a) |
procedimientos de evaluación de riesgos a fin de detectar y estimar las amenazas potenciales para el portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
b) |
un procedimiento de auditoría y verificación a fin de:
|
|
c) |
la modificación del procedimiento de control para documentar y medir el impacto de un cambio antes de aplicarlo y la información continua a los responsables del tratamiento sobre los cambios que puedan afectar a la comunicación con el portal de acceso a los datos del Reglamento de Servicios Digitales o a la seguridad de este; |
|
d) |
el establecimiento de un procedimiento de mantenimiento y reparación para especificar las normas y condiciones que han de respetarse cuando deba procederse al mantenimiento o la reparación del portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
e) |
el establecimiento de un procedimiento en caso de incidentes de seguridad para definir el régimen de notificación y remisión a instancia superior, informar sin demora a los responsables correspondientes del tratamiento para que notifiquen a las autoridades nacionales de supervisión de la protección de datos cualquier violación de la seguridad de los datos personales y definir un procedimiento disciplinario para las violaciones de la seguridad en el portal de acceso a los datos del Reglamento de Servicios Digitales. |
6.
La Comisión adoptará las medidas de seguridad física o lógica más avanzadas para las instalaciones que alojen el portal de acceso a los datos del Reglamento de Servicios Digitales y para los controles de los datos y el acceso de seguridad a las mismas. A tal fin, la Comisión deberá:|
a) |
poner en ejecución medidas de seguridad física a fin de establecer perímetros de seguridad nítidos que permitan detectar las violaciones en el portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
b) |
controlar el acceso al portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
c) |
velar por que no puedan añadirse, sustituirse ni retirarse equipos sin la autorización previa de los organismos responsables designados; |
|
d) |
controlar el acceso desde y al portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
e) |
garantizar la autenticación de los usuarios que accedan al portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
f) |
revisar los derechos de autorización relacionados con el acceso al portal de acceso a los datos del Reglamento de Servicios Digitales en caso de que se produzca una violación de la seguridad que afecte al mismo; |
|
g) |
mantener la integridad de la información transmitida a través del portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
h) |
aplicar medidas de seguridad técnica y organizativa para evitar el acceso no autorizado a datos personales en el portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
i) |
aplicar, siempre que sea necesario, medidas para bloquear el acceso no autorizado al portal de acceso a los datos del Reglamento de Servicios Digitales (es decir, bloquear una ubicación o una dirección IP). |
7.
La Comisión:|
a) |
tomará medidas para proteger su dominio, incluida la desconexión, en caso de que se produzca una desviación sustancial con respecto a los principios y conceptos de calidad y seguridad; |
|
b) |
mantendrá un plan de gestión de riesgos relacionado con su ámbito de responsabilidad; |
|
c) |
monitorizará, en tiempo real, el funcionamiento de todos los componentes de servicio del portal de acceso a los datos del Reglamento de Servicios Digitales, elaborará estadísticas regulares y llevará registros; |
|
d) |
prestará apoyo a los usuarios del portal de acceso a los datos del Reglamento de Servicios Digitales en inglés; |
|
e) |
ayudará a los responsables del tratamiento mediante medidas técnicas y organizativas adecuadas para el cumplimiento de la obligación del responsable del tratamiento de responder a las solicitudes de ejercicio de los derechos del interesado establecidos en el capítulo III del Reglamento (UE) 2016/679; |
|
f) |
ayudará a los responsables del tratamiento proporcionándoles información sobre el portal de acceso a los datos del Reglamento de Servicios Digitales, a fin de dar cumplimiento a las obligaciones derivadas de los artículos 32, 33, 34, 35 y 36 del Reglamento (UE) 2016/679; |
|
g) |
garantizará que los datos tratados en el portal de acceso a los datos del Reglamento de Servicios Digitales sean ininteligibles para cualquier persona que no esté autorizada a acceder a él; |
|
h) |
adoptará todas las medidas pertinentes para impedir el acceso no autorizado a los datos personales transmitidos a través del portal de acceso a los datos del Reglamento de Servicios Digitales; |
|
i) |
adoptará medidas para facilitar la comunicación entre los responsables del tratamiento; |
|
j) |
llevará un registro de las actividades de tratamiento realizadas en nombre de los responsables del tratamiento de conformidad con el artículo 31, apartado 2, del Reglamento (UE) 2018/1725. |
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
