Desde el 24 de septiembre de 2023, la actividad de los proveedores de servicios de intermediación de datos está regulada por la Ley de Gobernanza de Datos ("DGA"), que entró en vigor el 23 de junio de 2022. Francia ya ha adaptado la legislación nacional, con la adopción de la ley destinada a asegurar y regular el espacio digital (conocida como "SREN") el 21 de mayo de 2024, con el fin de garantizar la aplicación efectiva de la DGA.
¿A quién le preocupa?
Están sujetas al reglamento todas las empresas que ofrecen, en el marco de la Unión Europea, un servicio que, en el marco del intercambio de datos personales o no personales, establezca una relación comercial entre titulares de datos o interesados y usuarios de datos (DGA, art. 2, 11). Esto incluye las plataformas de intercambio de datos B2B, como la plataforma de intercambio de datos aeroportuarios francesa Hub One DataTrust, y los sistemas de gestión de datos personales.
Sin embargo, esto no se aplica a los servicios que agregan, enriquecen o transforman datos sin establecer una relación comercial directa, a los servicios de intermediación de contenidos protegidos por derechos de autor, a los servicios de intercambio de datos utilizados dentro de un grupo cerrado y a los servicios de intercambio de datos ofrecidos por organizaciones públicas sin fines de lucro.
¿Cuales son las obligaciones?
Las empresas que prestan un servicio de intermediación de datos en el sentido de la DGA están sujetas previamente a una obligación de notificación de su actividad (DGA, art. 11) destinada a "garantizar que la gobernanza de datos en la Unión se base en un intercambio fiable de datos". Se trata de una condición previa obligatoria para llevar a cabo la actividad de intermediación de datos, cuyo incumplimiento las expone a sanciones "proporcionadas".
El logo que elLas empresas que cumplan todos los requisitos establecidos por la DGA podrán utilizar, en sus comunicaciones escritas y orales, la etiqueta “proveedor de servicios de intermediación de datos reconocido en la Unión”.
Además, el Reglamento prohíbe a los proveedores de servicios de intermediación de datos incurrir en determinadas prácticas, como reutilizar los datos para los que se presta el servicio de intermediación de datos, por cuenta propia o condicionar sus condiciones comerciales, incluido el precio, al uso de sus servicios por parte de otros (DGA, art. 12).
Además, las empresas afectadas están sujetas a obligaciones, en particular en materia de seguridad de los datos, como la adopción de las medidas necesarias para garantizar un nivel adecuado de seguridad en el almacenamiento, el tratamiento y la transmisión de datos no personales; la aplicación de procedimientos para evitar prácticas fraudulentas o abusivas; la información a los titulares de los datos en caso de transferencia, acceso o utilización no autorizados de datos no personales compartidos o la obligación de mantener un registro de la actividad de intermediación de datos, etc.
Las empresas que cumplan todos los requisitos establecidos por la DGA podrán utilizar, en sus comunicaciones escritas y orales, la etiqueta “proveedor de servicios de intermediación de datos reconocido en la Unión”, así como el logotipo común.
¿Qué sanciones?
En Francia, la Autoridad de Regulación de las Comunicaciones Electrónicas, Correos y Distribución de Prensa (Arcep) fue designada por la Ley SREN como autoridad competente en materia de servicios de intermediación de datos (Ley SREN, art. 36). La Arcep puede verse obligada a imponer sanciones en caso de incumplimiento por parte de los proveedores de servicios de intermediación de datos (DGA art. 14; Ley SREN art. 37, II), como la suspensión de la prestación del servicio o incluso su cese en caso de que el proveedor de servicios no haya subsanado las infracciones graves o reiteradas a pesar del envío de un requerimiento.
La Arcep también podrá imponer importantes sanciones económicas de hasta el 3 % de la facturación global o una multa de 150.000 euros. Estas cantidades podrán aumentarse hasta el 5 % de la facturación global o una multa de 375.000 euros en caso de reincidencia en el plazo de cinco años.
Las empresas que ya prestaban un servicio de intermediación de datos en la fecha de entrada en vigor de la DGA deberán cumplirlo a más tardar el 24 de septiembre de 2025.
Otras noticias que te pueden interesar