El DOUE del 22 de diciembre ha publicado el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos, o Data Act).
La finalidad de esta norma es regular:
a) la puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto conectado o servicio relacionado;
b) la puesta a disposición de datos por parte de los titulares de datos en favor de los destinatarios de datos;
c) la puesta a disposición de datos por parte de los titulares de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión, cuando exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público;
d) la facilitación del cambio entre servicios de tratamiento de datos;
e) la introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales, y
f) el desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos.
Entrada en vigor y aplicabilidad
Este Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea y será aplicable a partir del 12 de septiembre de 2025.
No obstante, la obligación derivada del artículo 3 (Obligación de hacer accesibles para el usuario los datos de los productos y los datos de servicios relacionados), apartado 1, será aplicable a los productos conectados y a los servicios relacionados con ellos introducidos en el mercado después del 12 de septiembre de 2026.
Por otra parte, el capítulo III (Obligaciones de los titulares de datos obligados a poner los datos a disposición en virtud del derecho de la Unión), será aplicable en relación con las obligaciones de puesta a disposición de los datos en virtud de disposiciones del Derecho de la Unión o de normativa nacional adoptada de conformidad con el Derecho de la Unión que entren en vigor después del 12 de septiembre de 2025.
El capítulo IV (Cláusulas contractuales abusivas entre empresas en relación con el acceso a los datos y su utilización), será aplicable a los contratos celebrados después del 12 de septiembre de 2025.
Este mismo capítulo IV será aplicable a partir del 12 de septiembre de 2027 a los contratos celebrados el 12 de septiembre de 2025 o con anterioridad, siempre que: a) sean de duración indefinida, o b) expiren al menos diez años a partir del 11 de enero de 2024.
La Ley del Dato cierra el bloque normativo regulatorio de los datos en la Unión Europea que, tras el Reglamento General de Protección de Datos, de 2016 y la presentación de la Estrategia Europea del Dato en 2020, queda constituido por el Reglamento de Datos no personales, la Ley de Gobernanza del Dato y esta nueva Ley del Dato.
Reglas sobre el intercambio de datos generados por el uso de productos conectados
La nueva legislación establece reglas sobre el intercambio de datos generados mediante el uso de productos conectados o servicios relacionados (por ejemplo, Internet de las cosas, maquinaria industrial) y permite a los usuarios acceder a los datos que generan.
Según la Comisión, la nueva norma contribuirá al desarrollo de nuevos servicios, particularmente en inteligencia artificial, donde se requieren grandes cantidades de datos para el entrenamiento de algoritmos.
También pretende abaratar los servicios posventa y las reparaciones de dispositivos conectados.
Además, en circunstancias excepcionales o emergencias, como inundaciones e incendios forestales, los organismos del sector público podrán acceder y utilizar los datos en poder del sector privado, estipula la nueva ley.
La Ley de Datos incorpora los principios esbozados en las recomendaciones de la Conferencia sobre el Futuro de Europa (COFOE), específicamente las propuestas 31(7), 35(7) y 35(10), destinadas a crear una economía digital sólida y equitativa. Se hace eco de la visión de COFOE al abogar por una infraestructura de datos resiliente que defienda los valores y principios europeos. La Ley de Datos también apoya la transformación digital de los servicios públicos y la introducción de una identidad digital común europea, que agilizará las transacciones y servicios digitales transfronterizos, todo ello salvaguardado por un marco integral de normas y directrices europeas.
Protección de secretos comerciales y prevención de transferencias ilícitas de datos
A la vista del volumen de datos generados por humanos y máquinas está creciendo exponencialmente y se está convirtiendo en un factor crítico para la innovación de las empresas y las autoridades públicas (por ejemplo, dando forma a las ciudades inteligentes), la nueva norma permitirá a los usuarios acceder a los datos que generan, ya que el 80% de los datos industriales recopilados nunca se utilizan, según la Comisión Europea.
Los eurodiputados obtuvieron una definición clara de secretos comerciales y poseedores de secretos comerciales para evitar transferencias y fugas de datos ilegales a países con regulaciones de protección de datos más débiles. También quieren evitar que los competidores en un campo particular puedan explotar el acceso a los datos para realizar ingeniería inversa en los servicios o dispositivos de sus rivales.
La nueva ley facilita la capacidad de cambiar entre proveedores de servicios en la nube (empresas que ofrecen servicios de red, infraestructura o aplicaciones comerciales en la nube) e introduce salvaguardias contra las transferencias internacionales ilegales de datos por parte de estas empresas. Los eurodiputados aseguraron que la Ley de Datos significa que los clientes de servicios en la nube tendrán el poder de negociar contratos y evitar estar "bloqueados" con un proveedor en particular.
Estructura y principal contenido de la Ley del Dato
El nuevo Reglamento consta de 50 artículos, estructurados en 11 capítulos, precedidos de 119 Considerandos.
Su estructura es la siguiente:
Capítulo I - Disposiciones generales (arts. 1 y 2)
− Objeto:
a) la puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto conectado o servicio relacionado;
b) la puesta a disposición de datos por parte de los titulares de datos en favor de los destinatarios de datos;
c) la puesta a disposición de datos por parte de los titulares de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión, cuando exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público;
d) la facilitación del cambio entre servicios de tratamiento de datos; e) la introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales, y f) el desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos.
− Ámbito de aplicación:
El reglamento se aplica a:
a) los fabricantes de productos conectados introducidos en el mercado de la Unión y los proveedores de servicios relacionados, independientemente del lugar de establecimiento de dichos fabricantes y proveedores;
b) los usuarios de la Unión de los productos conectados o servicios relacionados a que se refiere la letra a);
c) los titulares de datos, con independencia de su lugar de establecimiento, que pongan datos a disposición de los destinatarios de datos de la Unión;
d) los destinatarios de datos de la Unión a cuya disposición se ponen datos;
e) los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión que soliciten a los titulares de datos que pongan datos a su disposición cuando exista una necesidad excepcional de dichos datos para el desempeño de alguna tarea específica realizada en interés público, y a los titulares de datos que proporcionen esos datos en respuesta a dicha solicitud;
f) los proveedores de servicios de tratamiento de datos, con independencia de su lugar de establecimiento, que presten dichos servicios a clientes de la Unión;
g) los participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de un acuerdo.
Las entidades incluidas en el ámbito de aplicación del presente Reglamento estarán sujetas a la competencia del Estado miembro en el que esté establecida la entidad.
Toda entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión y que no esté establecida en la Unión designará un representante legal en uno de los Estados miembros.
− Definiciones:
De entre las 35 definiciones que recoge el art. 2 del reglamento, destacamos las siguientes:
• Datos: cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual.
• Metadatos: una descripción estructurada del contenido o de la utilización de los datos que facilita la búsqueda o la utilización de esos datos.
• Activos digitales: elementos en forma digital, incluidas las aplicaciones, para los que el cliente tiene derecho de uso, independientemente de la relación contractual establecida con el servicio de tratamiento de datos del que el cliente se pretende cambiar.
• Contrato inteligente: programa informático utilizado para la ejecución automatizada de un acuerdo o de parte de este, que utiliza una secuencia de registros electrónicos de datos y garantiza su integridad y la exactitud de su orden cronológico.
Capítulo II - Intercambio de datos de empresa a consumidor y de empresa a empresa (arts. 3 a 7)
Según el art. 1.2 a) del reglamento, el capítulo II se aplica a los datos, excepto el contenido, relativos al rendimiento, uso y entorno de los productos conectados y los servicios relacionados.
Este capítulo regula:
- La obligación de hacer accesibles para el usuario los datos de los productos y los datos de servicios relacionados
Los productos conectados se diseñarán y fabricarán, y los servicios relacionados se diseñarán y prestarán, de manera tal que los datos de los productos y los datos de servicios relacionados, incluidos los metadatos pertinentes necesarios para interpretar y utilizar dichos datos, sean, por defecto, accesibles con facilidad, con seguridad, gratuitamente, en un formato completo, estructurado, de utilización habitual y de lectura mecánica, y, cuando proceda y sea técnicamente viable, accesibles para el usuario directamente.
De esta manera, antes de celebrar un contrato de compraventa, alquiler o arrendamiento de un producto conectado, el vendedor o arrendador, que puede ser el fabricante, proporcionarán al usuario información al respecto, de manera clara y comprensible.
Téngase en cuenta que, según el art. 50, esta obligación derivada del artículo 3, apartado 1 (Obligación de hacer accesibles para el usuario los datos de los productos y los datos de servicios relacionados), será aplicable a los productos conectados y a los servicios relacionados con ellos introducidos en el mercado después de treinta y dos meses a partir de la entrada en vigor del presente Reglamento.
- Derechos y obligaciones de los usuarios y titulares de datos respecto del acceso, utilización y puesta a disposición de los datos de productos y de los datos de servicios relacionados
Cuando el usuario no pueda acceder directamente a los datos desde el producto conectado, o del servicio relacionado, los titulares de datos facilitarán al usuario el acceso sin demora indebida a los datos fácilmente disponibles, y los correspondientes metadatos necesarios para interpretar y utilizar dichos datos, con la misma calidad disponible para el titular de datos, con facilidad, con seguridad, gratuitamente y en un formato completo, estructurado, de utilización habitual y de lectura mecánica y, cuando proceda y sea técnicamente viable, de forma continua y en tiempo real. Esto se hará sobre la base de una simple solicitud por medios electrónicos cuando sea técnicamente viable.
Los titulares de datos no dificultarán indebidamente el ejercicio de las opciones o los derechos de los usuarios a que se refiere este artículo, también ofreciendo opciones a los usuarios de manera no neutra o neutralizando o mermando la autonomía, la toma de decisiones o las opciones del usuario a través de la estructura, el diseño, la función o el modo de funcionamiento de la interfaz digital de usuario o de una parte de ella.
Los secretos comerciales se preservarán y se revelarán solo cuando el titular de datos y el usuario adopten antes de la revelación todas las medidas necesarias para preservar su confidencialidad, en particular, con respecto a terceros.
- Derecho del usuario a compartir datos con terceros
A petición de un usuario o de una parte que actúe en nombre de un usuario, el titular de datos pondrá a disposición de un tercero los datos fácilmente disponibles, y los metadatos correspondientes necesarios para interpretar y utilizar dichos datos sin demora indebida, con la misma calidad que esté a disposición del titular de datos, con facilidad, con seguridad, gratuitamente para el usuario, en un formato completo, estructurado, de utilización habitual y de lectura mecánica, y, cuando proceda y sea técnicamente viable, de forma continua y en tiempo real.
Lo anterior no se aplicará a los datos fácilmente disponibles en el contexto de la experimentación de productos conectados, sustancias o procesos nuevos que aún no se hayan introducido en el mercado, a menos que se permita su uso por un tercero contractualmente.
Ninguna empresa designada como guardián de acceso, de conformidad con el artículo 3 del Reglamento (UE) 2022/1925 (Ley de Mercados Digitales), podrá ser considera un tercero admisible.
Los secretos comerciales se preservarán y se revelarán a terceros solo en la medida en que dicha revelación sea estrictamente necesaria para cumplir el objetivo convenido entre el usuario y el tercero.
- Obligaciones de terceros que reciben datos a petición del usuario
Un tercero tratará los datos que se pongan a su disposición con arreglo al artículo 5 únicamente para la finalidad y en las condiciones acordados con el usuario y respetando el Derecho de la Unión y nacional en materia de protección de datos personales, incluidos los derechos del interesado en lo que respecta a los datos personales. El tercero suprimirá los datos cuando ya no sean necesarios para la finalidad acordada, a menos que acuerde otra cosa con el usuario en relación con los datos no personales.
- Ámbito de aplicación de las obligaciones de intercambio de datos de empresa a consumidor y de empresa a empresa
Las obligaciones establecidas en este capítulo no se aplicarán:
a. A los datos generados mediante el uso de productos conectados fabricados o diseñados o servicios relacionados prestados por una microempresa o pequeña empresa, siempre que dicha empresa no tenga una empresa asociada o una empresa vinculada en el sentido del artículo 3 del anexo de la Recomendación 2003/361/CE, que no pueda considerarse microempresa o pequeña empresa, y cuando no se haya subcontratado a la microempresa o pequeña empresa para fabricar o diseñar un producto conectado o para prestar un servicio relacionado.
b. A los datos generados mediante el uso de productos conectados fabricados o de servicios relacionados prestados por empresas que hayan adquirido la consideración de medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE hace menos de un año, y cuando se trate de productos conectados, durante un año después de que una mediana empresa los haya introducido en el mercado.
Ninguna cláusula contractual que, en detrimento del usuario, excluya la aplicación de los derechos del usuario en virtud del presente capítulo, establezca excepciones o modifique los efectos de esos derechos, será vinculante para el usuario.
Capítulo III - Obligaciones de los titulares de datos obligados a poner los datos a disposición en virtud del derecho de la Unión (arts. 8 a 12)
Según el art. 1.2, letra b), este capítulo III se aplica a cualquier dato del sector privado que sea objeto de obligaciones legales de intercambio de datos.
Téngase en cuenta que, según el art. 50, este capítulo III será aplicable en relación con las obligaciones de puesta a disposición de los datos en virtud de disposiciones del Derecho de la Unión o de normativa nacional adoptada de conformidad con el Derecho de la Unión que entren en vigor a los veinte meses de la fecha de entrada en vigor del presente Reglamento.
- Condiciones en las que los titulares de datos ponen datos a disposición de los destinatarios de datos
Cuando, en relaciones entre empresas, un titular de datos esté obligado a poner datos a disposición de un destinatario de datos en virtud del artículo 5 o de otras disposiciones aplicables de Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión, acordará con el destinatario de datos las modalidades de puesta a disposición de los datos y lo hará en condiciones justas, razonables y no discriminatorias y de manera transparente de conformidad con el presente capítulo y el capítulo IV.
Ninguna cláusula contractual sobre el acceso a los datos y su utilización o sobre la responsabilidad y las vías de recurso por incumplimiento o resolución unilateral de obligaciones relativas a datos será vinculante si constituye una cláusula contractual abusiva en el sentido del artículo 13 o si, en detrimento del usuario, excluye la aplicación, establece excepciones o modifica los derechos del usuario en virtud del capítulo II.
Los titulares de datos no discriminarán en lo que respecta a las modalidades de puesta a disposición de datos, entre categorías comparables de destinatarios de datos, incluidas las empresas asociadas o empresas vinculadas al titular de datos al poner a disposición los datos.
El titular de los datos no pondrá los datos a disposición de un destinatario de datos, incluido con carácter exclusivo, a menos que así lo solicite el usuario con arreglo al capítulo II.
- Compensación por la puesta a disposición de datos
Toda compensación acordada entre un titular de datos y un destinatario de datos por la puesta a disposición de datos en relaciones entre empresas deberá ser no discriminatoria y razonable, y podrá incluir un margen que tenga en cuenta los costes en que se haya incurrido para poner los datos a disposición, las inversiones en la recogida y producción de datos, el volumen, el formato y la naturaleza de los datos.
- Resolución de litigios
Los usuarios, los titulares de datos y los destinatarios de datos tendrán acceso a algún órgano de resolución de litigios, certificado de conformidad con el apartado 5 del artículo 10.
- Ámbito de aplicación de las obligaciones de los titulares de datos obligados por el Derecho de la Unión a poner los datos a disposición
Este capítulo se aplicará cuando, en las relaciones entre empresas, el titular de datos esté obligado, en virtud del artículo 5 o en virtud del Derecho de la Unión aplicable o de normativa nacional adoptada de conformidad con el Derecho de la Unión, a poner los datos a disposición de un destinatario de datos.
Capítulo IV - Cláusulas contractuales abusivas entre empresas en relación con el acceso a los datos y su utilización (art. 13)
Según el art. 1.2, letra c) de este reglamento, el capítulo IV se aplica a cualquier dato del sector privado al que se acceda y que se utilice sobre la base de contratos entre empresas.
Téngase en cuenta, además, que conforme al art. 50, este capítulo IV será aplicable a los cuarenta y cuatro meses siguientes a la fecha de entrada en vigor del presente Reglamento a los contratos celebrados veinte meses después de la fecha de entrada en vigor del presente Reglamento o con anterioridad, siempre que: a) sean de duración indefinida, o b) expiren al menos diez años
- Cláusulas contractuales abusivas impuestas unilateralmente a otra empresa
Las cláusulas contractuales sobre el acceso a los datos y su utilización o sobre la responsabilidad y las vías de recurso por incumplimiento o resolución unilateral de obligaciones relativas a datos que hayan sido impuestas unilateralmente por una empresa a otra empresa no serán vinculantes en caso de ser abusivas.
Una cláusula contractual será abusiva si, por su naturaleza, su aplicación se aparta manifiestamente de las buenas prácticas comerciales en materia de acceso a los datos y su utilización, contrariamente a la buena fe y a la lealtad de las relaciones comerciales.
Se incluyen otros criterios y presunciones de abusividad de estas cláusulas, como el que tengan por objeto o efecto, entre otros factores, excluir o limitar la responsabilidad de la parte que haya impuesto unilateralmente la cláusula en caso de acciones intencionadas o negligencia grave.
No se considerará abusiva una cláusula contractual que refleje disposiciones imperativas del Derecho de la Unión o disposiciones del Derecho de la Unión que se aplicarían si las cláusulas contractuales no regularan la materia.
Este artículo no se aplicará a las cláusulas comerciales del objeto principal del contrato ni a la adecuación del precio, con respecto a los datos suministrados a cambio.
Las partes de un contrato que entre en el ámbito de aplicación del apartado 1 no excluirán la aplicación del artículo 13, ni establecerán excepciones a este ni modificarán sus efectos.
Capítulo V - Poner datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión en razón de necesidades excepcionales (arts. 14 a 22)
Según el art. 1.2, letra d) de este reglamento, el capítulo V se aplica a cualquier dato del sector privado, centrándose en los datos no personales.
Téngase en cuenta, además, que conforme al art. 50, este capítulo IV será aplicable a los contratos celebrados a los veinte meses a partir de la fecha de entrada en vigor del presente Reglamento].
- Obligación de poner a disposición datos en razón de una necesidad excepcional
Cuando un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión demuestre una necesidad excepcional, tal como figura en el artículo 15, de utilizar determinados datos, incluidos los metadatos pertinentes necesarios para interpretar y utilizar dichos datos, para desarrollar sus funciones estatutarias en interés público, los titulares de datos que sean personas jurídicas, distintos de organismos del sector público, que posean dichos datos los pondrán a disposición previa solicitud debidamente motivada.
Esta necesidad excepcional de utilizar determinados datos en el sentido del presente capítulo estará limitada en el tiempo y en su ámbito de aplicación y se considerará que existe únicamente en determinadas circunstancias que se enuncian en el art. 15.
- Cumplimiento de las solicitudes de datos
Cuando un titular de datos reciba una solicitud de puesta a disposición de datos con arreglo al presente capítulo, pondrá los datos a disposición del organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión solicitante sin demora indebida, teniendo en cuenta las medidas técnicas, organizativas y jurídicas necesarias.
El titular de los datos podrá denegar o solicitar la modificación de una solicitud de poner a disposición los datos, por cualquiera de los motivos que se recogen en el número 2 del art. 18 del Reglamento.
- Obligaciones de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión
Estos organismos no podrán utilizar los datos de manera incompatible con la finalidad para la que hayan sido solicitados; deberán aplicar medidas técnicas y organizativas que preserven la confidencialidad y la integridad de los datos solicitados y la seguridad de las transferencias de datos, en particular los datos personales, y garanticen los derechos y libertades de los interesados, y suprimirá los datos en cuanto dejen de ser necesarios para la finalidad declarada.
La revelación de secretos comerciales a un organismo del sector público, a la Comisión, al Banco Central Europeo o a un organismo de la Unión se exigirá solo en la medida en que sea estrictamente necesario para cumplir la finalidad de una solicitud en virtud del artículo 15 (Necesidad excepcional de utilizar los datos).
- Compensación en caso de necesidad excepcional
Los titulares de datos distintos de las microempresas y pequeñas empresas pondrán a disposición de forma gratuita los datos necesarios para responder a una emergencia pública con arreglo al artículo 15, apartado 1, letra a).
El titular de datos tendrá derecho a una compensación justa por poner a disposición datos en cumplimiento de una solicitud presentada con arreglo al artículo 15, apartado 1, letra b), salvo cuando la tarea específica desempeñada en interés público sea la elaboración de estadísticas oficiales y el Derecho nacional no permita la compra de datos. Tal compensación cubrirá los costes técnicos y organizativos soportados para dar cumplimiento a la solicitud, incluidos, en su caso, los costes de anonimización, seudonimización, agregación y de adaptación técnica, más un margen razonable.
- Intercambio de datos con organizaciones de investigación u organismos estadísticos, obtenidos en el contexto de alguna necesidad excepcional
Un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión tendrá derecho a compartir datos recibidos en virtud del presente capítulo: a) con personas u organizaciones con miras a la realización de investigaciones científicas o análisis compatibles con el fin para el que se solicitaron los datos, o b) con los institutos nacionales de estadística y Eurostat para la elaboración de estadísticas oficiales.
Capítulo VI - Cambio entre servicios de tratamiento de datos (arts. 23 a 31)
Según el art. 1.2, letra e) del Reglamento, este capítulo VI se aplica a cualquier dato y servicio tratado por los proveedores de servicios de tratamiento de datos.
- Eliminación de los obstáculos a un cambio efectivo
Los proveedores de servicios de tratamiento de datos adoptarán las medidas previstas en este capítulo (arts. 25, 26, 27, 29 y 30) para permitir a los clientes cambiar a un servicio de tratamiento de datos que cubra el mismo tipo de servicio, que sea prestado por un proveedor diferente de servicios de tratamiento de datos o a una infraestructura de TIC local o, cuando proceda, usar varios proveedores de servicios de tratamiento de datos simultáneamente. En particular, los proveedores de servicios de tratamiento de datos eliminarán y no pondrán obstáculos precomerciales, comerciales, técnicos, contractuales y organizativos que disuada a los clientes.
Igualmente, los proveedores de servicios de tratamiento de datos que afectan a recursos informáticos modulables y elásticos limitados a elementos de infraestructura, como los servidores, las redes y los recursos virtuales necesarios para explotar la infraestructura, pero que no proporcionan acceso a los servicios operativos, aplicaciones y software almacenados, tratados o implantados en esos elementos de infraestructura, adoptarán todas las medidas razonables a su alcance para facilitar que el cliente, tras cambiar a un servicio que cubra el mismo tipo de servicio, logre la equivalencia funcional en el uso del servicio de tratamiento de datos de destino.
- Alcance de las obligaciones técnicas
Las responsabilidades de los proveedores de servicios de tratamiento de datos establecidas en los artículos 23, 25, 29, 30 y 34, se aplicarán solo a los servicios, contratos o prácticas comerciales prestados por el proveedor de servicios de tratamiento de datos de origen.
- Cláusulas contractuales relativas al cambio
Los derechos del cliente y las obligaciones del proveedor de servicios de tratamiento de datos en relación con el cambio de proveedor de esos servicios o, en su caso, el cambio a una infraestructura de TIC local se establecerán con claridad en un contrato escrito. El proveedor de servicios de tratamiento de datos pondrá dicho contrato a disposición del cliente antes de su firma, de un modo que permita al cliente conservar y reproducir el contrato.
- Obligación de información de los proveedores de servicios de tratamiento de datos
El proveedor de servicios de tratamiento de datos proporcionará al cliente información sobre los procedimientos disponibles para el cambio y la transferencia al servicio de tratamiento de datos, incluida la información sobre los métodos y formatos de cambio y de transferencia disponibles, así como las restricciones y limitaciones técnicas conocidas por el proveedor de servicios de tratamiento de datos, y la referencia a un registro en línea actualizado alojado por el proveedor de servicios de tratamiento de datos, con detalles de todas las estructuras y formatos de datos, así como de las normas pertinentes y las especificaciones de interoperabilidad abiertas, en el que estén disponibles los datos exportables a que se refiere el artículo 25, apartado 2, letra e).
- Obligación de buena fe
Todas las partes implicadas, incluidos los proveedores de servicios de tratamiento de datos de destino, cooperarán de buena fe para que el proceso de cambio sea eficaz, posibilitar la transferencia de los datos en tiempo oportuno y mantener la continuidad del servicio de tratamiento de datos.
- Obligaciones de transparencia contractual en materia de acceso y transferencia internacionales
Los proveedores de servicios de tratamiento de datos pondrán a disposición en sus sitios web información actualizada sobre: a) la jurisdicción a la que está sujeta la infraestructura de TIC desplegada para el tratamiento de datos de sus servicios individuales, y b) una descripción general de las medidas técnicas, organizativas y contractuales adoptadas por el proveedor de servicios de tratamiento de datos para impedir el acceso o transferencia internacionales por parte de las administraciones públicas de datos no personales que se encuentren en la Unión, cuando dicho acceso o transferencia pueda entrar en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate.
- Supresión gradual de los costes por cambio
A partir de los tres años a partir de la fecha de entrada en vigor del presente reglamento, los proveedores de servicios de tratamiento de datos no impondrán al cliente ningún coste por cambio por el proceso de cambio.
- Régimen específico para determinados servicios de tratamiento de datos
Las obligaciones establecidas en el artículo 23, letra d) [la obligación de los proveedores de servicios de tratamiento de datos, de facilitar a los clientes que cambien de servicio, la equivalencia funcional en el uso del nuevo servicio de tratamiento de datos], en el artículo 29 [Supresión gradual de los costes por cambio] y en el artículo 30, apartados 1 y 3 [Aspectos técnicos del cambio], no se aplicarán a los servicios de tratamiento de datos una mayor parte de cuyas características principales se hayan desarrollado a medida para satisfacer las necesidades específicas de un cliente concreto o en los que todos los componentes se hayan desarrollado para los fines de un cliente concreto, y cuando esos servicios de tratamiento de datos no se ofrezcan a gran escala comercial a través del catálogo de servicios del proveedor de servicios de tratamiento de datos.
Capítulo VII – Acceso y transferencia internacionales ilícitas de datos no personales por parte de administraciones públicas (art. 32)
Según la letra f) del art. 1.2 de este Reglamento, el capítulo VII se aplica a cualquier dato no personal que se encuentre en la Unión por los proveedores de servicios de tratamiento de datos.
- Acceso y transferencia internacionales por parte de administraciones públicas
Los proveedores de servicios de tratamiento de datos personales adoptarán todas las medidas técnicas, organizativas y jurídicas adecuadas, para impedir el acceso y la transferencia internacionales y por parte de las administraciones públicas de terceros países de datos no personales que se encuentren en la Unión, cuando dicha transferencia o acceso entren en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate. Esta previsión incluye la celebración de contratos.
Las resoluciones o sentencias de órganos jurisdiccionales de un tercer país y las decisiones de autoridades administrativas de un tercer país en las que se exija a un proveedor de servicios de tratamiento de datos transferir o dar acceso a datos no personales incluidos en el ámbito de aplicación del presente Reglamento que se encuentren en la Unión solo se reconocerá o ejecutará de cualquier forma si se basan en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o entre el tercer país solicitante y un Estado miembro.
Capítulo VIII – Interoperabilidad (arts. 33 a 36)
El art. 33 establece los requisitos esenciales en materia de interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos, y de los espacios comunes europeos de datos.
Estas especificaciones de interoperabilidad abiertas y las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos deberán: a) lograr, cuando sea técnicamente viable, la interoperabilidad entre distintos servicios de tratamiento de datos que cubran el mismo tipo de servicio; b) mejorar la portabilidad de los activos digitales entre distintos servicios de tratamiento de datos que cubran el mismo tipo de servicio; c) facilitar, cuando sea técnicamente viable, la equivalencia funcional entre los servicios de tratamiento de datos a que se refiere el artículo 30, apartado 1, que cubran el mismo tipo de servicios.
- Requisitos esenciales relativos a los contratos inteligentes para la ejecución de acuerdos de intercambio de datos
El art. 36 establece unas disposiciones al respecto, previendo que el proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o parte de un acuerdo, garantizará que los contratos inteligentes cumplen los siguientes requisitos esenciales:
a) solidez y control de acceso, para garantizar que el contrato inteligente se haya diseñado de manera que ofrezca unos mecanismos de control de acceso y un grado de solidez muy elevado con el fin de evitar errores funcionales y contrarrestar los intentos de manipulación por terceros;
b) resolución unilateral e interrupción seguras, para garantizar que exista un mecanismo que permita poner fin a la ejecución de transacciones y que el contrato inteligente incluye funciones internas que permitan reinicializar el contrato o darle instrucciones para poner fin a la operación o interrumpirla, en particular, para evitar futuras ejecuciones accidentales;
c) archivo y continuidad de los datos, para garantizar, en circunstancias en las que el contrato inteligente deba finalizar o desactivarse, la posibilidad de archivar los datos de las transacciones, así como la lógica y el código del contrato inteligente, con el fin de llevar un registro de las operaciones con datos efectuadas previamente (auditabilidad);
d) control de acceso, para garantizar que el contrato inteligente esté protegido con mecanismos rigurosos de control de acceso en el nivel de la gobernanza y en el del contrato inteligente, y
e) coherencia, para garantizar la coherencia con las condiciones del acuerdo de intercambio de datos que ejecuta el contrato inteligente.
Capítulo IX Aplicación y ejecución (arts. 37 a 42)
- Autoridades competentes y coordinadores de datos
Cada Estado miembro designará una o varias autoridades nacionales competentes para garantizar la aplicación y ejecución del presente Reglamento (en lo sucesivo, «autoridades competentes»). Los Estados miembros podrán establecer una o varias autoridades nuevas o recurrir a las autoridades existentes.
Los Estados miembros velarán por que las funciones y competencias de las autoridades competentes estén claramente definidas e incluyan, entre otros aspectos, la competencia para llevar a cabo investigaciones sobre asuntos que afecten a la aplicación del presente Reglamento, también sobre la base de información recibida de otra autoridad competente o autoridad pública; así como la de imponer sanciones económicas efectivas, proporcionadas y disuasorias, que pueden incluir multas coercitivas y multas con efecto retroactivo, o iniciar procedimientos judiciales para la imposición de multas. También hacer un seguimiento de los avances tecnológicos y comerciales pertinentes para la puesta a disposición y utilización de datos.
Las autoridades competentes estarán facultadas para solicitar a los usuarios, titulares de datos o destinatarios de datos, o a sus representantes legales, que sean competencia de su Estado miembro, toda la información necesaria para verificar el cumplimiento del presente Reglamento. Las solicitudes de información serán proporcionadas al cumplimiento de la tarea subyacente y estarán motivadas.
Las autoridades de control responsables de supervisar la aplicación del Reglamento (UE) 2016/679 (RGPD), tendrán la responsabilidad de supervisar la aplicación del presente Reglamento en lo que respecta a la protección de los datos personales. A estos efectos, se aplicarán mutatis mutandis los capítulos VI y VII del RGPD.
- Derecho a presentar una reclamación
Sin perjuicio de cualquier otro recurso administrativo o acción judicial, toda persona física y jurídica tendrá derecho a presentar una reclamación individual o, cuando proceda, colectiva ante la autoridad competente pertinente del Estado miembro en el que tenga su residencia habitual, su lugar de trabajo o su lugar de establecimiento cuando considere que los derechos que le confiere el presente Reglamento han sido vulnerados. La autoridad competente ante la que se haya presentado la reclamación informará al reclamante, con arreglo al Derecho nacional, sobre el curso del procedimiento y la decisión tomada.
- Derecho a una tutela judicial efectiva
No obstante cualquier recurso administrativo o extrajudicial, toda persona física o jurídica afectada tendrá derecho a una tutela judicial efectiva en lo que respecta a las decisiones jurídicamente vinculantes adoptadas por las autoridades competentes. 2. En caso de que una autoridad competente no dé curso a una reclamación, cualquier persona física o jurídica afectada tendrá derecho, de conformidad con el Derecho nacional, a la tutela judicial efectiva o acceso a revisión por un órgano imparcial que disponga de los conocimientos especializados adecuados.
- Sanciones
Los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción del presente reglamento y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias.
Por lo que respecta a la imposición de sanciones por infracciones del presente Reglamento, los Estados miembros tendrán en cuenta las recomendaciones del CEID y los siguientes criterios no exhaustivos: a) la naturaleza, gravedad, magnitud y duración de la infracción; b) cualquier medida adoptada por la parte infractora para mitigar o reparar el perjuicio causado por la infracción; c) las infracciones anteriores cometidas por la parte infractora; d) los beneficios financieros obtenidos o las pérdidas evitadas por la parte infractora debido a la infracción, en la medida en que dichos beneficios o pérdidas puedan establecerse de forma fiable; e) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso; f) el volumen de negocio anual del infractor durante el ejercicio financiero anterior en la Unión.
Para la fijación de las sanciones, en caso de infracción de las obligaciones establecidas en los capítulos II, III y V del presente Reglamento, las autoridades de control responsables de supervisar la aplicación del RGPD podrán, dentro de su ámbito de competencia, imponer multas administrativas de conformidad con el artículo 83 del mismo, y hasta el importe mencionado en el artículo 83, apartado 5, de dicho reglamento.
- Cláusulas contractuales tipo y cláusulas contractuales estándar
Antes de los veinte meses de la fecha de entrada en vigor del presente Reglamento, la Comisión elaborará y recomendará cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización, incluidas cláusulas relativas a la compensación razonable y la protección de los secretos comerciales, así como cláusulas contractuales estándar no vinculantes para contratos de computación en la nube para ayudar a las partes en la elaboración y negociación de contratos con derechos y obligaciones contractuales justos, razonables y no discriminatorios.
Capítulo X - Derecho sui generis con arreglo a la Directiva 96/9/CE (art. 43)
El derecho sui generis establecido en el artículo 7 de la Directiva 96/9/CE no se aplicará si los datos son obtenidos o generados por un producto conectado o servicio relacionado que entre en el ámbito de aplicación del presente reglamento, en particular en relación con los artículos 4 y 5.
Capítulo XI - Disposiciones finales (arts. 44 a 50)
