Nuevas obligaciones para las empresas en materia de protección de datos y protección de consumidores y usuarios tras la aprobación del Reglamento (UE) 2023/988

1. Introducción

El 10 de mayo de 2023 se publicó en el Boletín Oficial del Estado el Reglamento (UE) 2023/988 del Parlamento Europeo y del Consejo, relativo a la seguridad general de los productos. Este reglamento, aunque publicado en mayo de 2023, no fue aplicable hasta el 13 de diciembre de 2024.

El nuevo Reglamento (UE) 2023/988 sustituye a la anterior Directiva 2001/95/CE, que también abordaba aspectos de seguridad de productos, y marca una mayor protección para los consumidores e introduce nuevas obligaciones en el ámbito de la protección de datos.

2. Novedades más relevantes para la protección de consumidores y usuarios

El Reglamento introduce numerosos cambios para la seguridad general de los productos que en definitiva influyen en materia de protección de consumidores y usuarios, siendo los siguientes los más relevantes:

Ampliación del alcance:

• Se busca ampliar la seguridad de los productos y reforzar las exigencias en esta materia dentro del mercado de la UE.
• Se ha creado la Red de Seguridad de los Consumidores, cuyo objetivo es servir de plataforma para la coordinación y cooperación estructuradas entre las autoridades de los Estados Miembros y la Comisión, con el fin de promover la seguridad de los productos de la Unión.
• Se pretende fomentar una cooperación reforzada y estructurada para garantizar una normativa de seguridad de los productos eficiente.
• El ámbito de aplicación se extiende a productos vendidos tanto en tiendas físicas como en plataformas digitales.

Obligaciones para operadores económicos:

• Los operadores económicos (fabricantes, importadores y distribuidores) tienen ahora obligaciones más amplias y responsabilidades más estrictas en términos de trazabilidad y conformidad de productos.
• Se exige como requisito general de seguridad que los operadores económicos solo puedan comercializar productos que sean seguros.
• Se requiere que todos los productos incluyan documentación específica para su identificación, como modelo, nombre comercial, dirección postal, correo electrónico, e instrucciones e información sobre seguridad.
• Los fabricantes deben realizar análisis de riesgos internos, elaborar y mantener actualizada la documentación técnica.
• Una obligación fundamental es que, si tienen motivos fundados para creer que un producto comercializado representa un riesgo, deben actuar en consecuencia: adoptar medidas correctoras, notificar a los consumidores y, si es necesario, al fabricante y/o importador, y a las autoridades de vigilancia del mercado.
• Se crea la figura de un responsable de cumplimiento dentro de la UE para productos de fuera de la Unión. Un producto de fuera de la UE no puede introducirse en el mercado sin este responsable, que debe verificar declaraciones y documentación, presentar solicitudes de documentación a autoridades, cooperar con autoridades de vigilancia, y asegurar medidas coercitivas.
• Este responsable de cumplimiento debe garantizar la seguridad del producto frente a posibles riesgos y comprobar periódicamente que el producto cumple con la documentación técnica y de identificación necesaria.

Requisitos de seguridad digital:

• Todos los productos con componentes digitales deben cumplir estándares de ciberseguridad en su diseño y evaluación para preservar su seguridad.
• Las nuevas tecnologías pueden generar nuevos riesgos, ya que pueden modificar sustancialmente el producto original.
• Por ello, se exige un mayor control sobre las actualizaciones y el mantenimiento del software para evitar que una modificación sustancial afecte la seguridad del producto y de los consumidores.

Refuerzo de la vigilancia en el mercado

• Se otorga a las autoridades nacionales mayor poder para retirar productos peligrosos. Deben evaluar individualmente cada caso, justificar la evaluación de riesgo.
• Se establecen controles más estrictos en frontera y en el mercado interior.
• En caso de posibles riesgos, debe haber controles periódicos del cumplimiento de la documentación técnica, información del producto y fabricante, instrucciones e información de seguridad.
• Es necesario un compromiso de seguridad en los mercados en línea para evitar que se vuelvan a ofrecer productos peligrosos.
• También se implementan controles en las cadenas de suministro para asegurar que solo se comercializan productos seguros.
• Se establecen acciones de control simultáneas y coordinadas de las autoridades de vigilancia del mercado (los denominados "barridos").

Protección de consumidores y transparencia:

• Los Estados miembros o la Comisión deben informar a los ciudadanos de forma clara y accesible sobre la seguridad del producto. Esta información se divulgará públicamente, con las restricciones necesarias para proteger la investigación y la información.
• Se debe garantizar a los consumidores la posibilidad de presentar reclamaciones ante las autoridades competentes sobre la seguridad de productos, vigilancia, control y soluciones para productos insatisfactorios.
• Se necesita implementar una mejora en los procedimientos de retirada de productos y compensación a consumidores afectados.

3. Cambios legales introducidos por la nueva regulación de la Unión Europea en el ámbito de protección de datos

El Reglamento (UE) 2023/988 considera la protección de datos personales como medida necesaria para garantizar la seguridad de los productos. Se deben tener en cuenta los siguientes cambios:

• Mayor transparencia y consentimiento reforzado: Se exige información clara y accesible, y un consentimiento más explícito y específico del usuario para la recopilación y procesamiento de datos.
• Ampliación de los Derechos de los Usuarios: Especialmente el derecho al olvido (solicitar eliminación de datos personales) y la portabilidad de datos (facilitar transferencia de información entre plataformas).
• Regularización de la Inteligencia Artificial y la Ciberseguridad: Se establecen normas específicas para el uso de IA en el tratamiento de datos personales y mayor control sobre el procesamiento automatizado y decisiones basadas en algoritmos.
• Endurecimiento de requisitos de seguridad en almacenamiento y procesamiento de datos: En caso de brecha de seguridad, las empresas deben notificar a las autoridades en un máximo de 48 horas.
• Incremento de sanciones por incumplimiento: Las multas pueden alcanzar hasta un 6% del volumen de negocios anual global de una empresa.