¿Por qué la Ley de Datos?
La Ley de Datos es una ley diseñada para mejorar la economía de los datos de la UE y fomentar un mercado de datos competitivo haciendo que los datos (en particular los datos industriales) sean más accesibles y utilizables, fomentando la innovación basada en los datos y aumentando la disponibilidad de los datos. Para lograrlo, la Ley de Datos garantiza la equidad en la asignación del valor de los datos entre los agentes de la economía de los datos. Aclara quién puede usar qué datos y bajo qué condiciones. Para obtener información más detallada, examine las preguntas frecuentes sobre la Ley de Datos».
En los últimos años se ha producido un rápido crecimiento de la disponibilidad de productos conectados a internet («productos conectados») en el mercado europeo. Estos productos, que juntos componen una red conocida como Internet de las cosas (IoT), aumentan significativamente el volumen de datos disponibles para su reutilización en la UE. Esto representa un enorme potencial de innovación y competitividad en la UE.
La Ley de Datos otorga a los usuarios de productos conectados (empresas o individuos que poseen, arriendan o alquilan dicho producto) un mayor control sobre los datos que generan, al tiempo que mantiene incentivos para aquellos que invierten en tecnologías de datos. Además, establece condiciones generales para situaciones en las que una empresa tiene la obligación legal de compartir datos con otra empresa.
La Ley de Datos también incluye medidas para aumentar la equidad y la competencia en el mercado europeo de la nube, así como para proteger a las empresas de las cláusulas contractuales abusivas relacionadas con el intercambio de datos impuestas por agentes más fuertes. También establece un mecanismo a través del cual los organismos del sector público pueden solicitar datos a una empresa cuando exista una necesidad excepcional, por ejemplo en situaciones de emergencia pública, y establece normas claras sobre cómo deben presentarse dichas solicitudes. Además, introduce salvaguardias para evitar que los organismos gubernamentales de terceros países puedan acceder a datos no personales cuando ello vaya en contra de la legislación nacional o de la UE. Por último, la Ley de Datos define los requisitos esenciales en materia de interoperabilidad para garantizar que los datos puedan fluir sin fisuras entre sectores y Estados miembros, facilitados por los espacios comunes europeos de datos, así como entre proveedores de servicios de tratamiento de datos.
La Ley de Datos se publicó en el Diario Oficial de la UE el 22 de diciembre de 2023 y será aplicable el 12 de septiembre de 2025.
La Ley de Datos complementa la Ley de Gobernanza de Datos, el primer resultado de la Estrategia Europea de Datos. La Ley de Gobernanza de Datos entró en vigor en septiembre de 2023. Si bien la Ley de Gobernanza de Datos aumenta la confianza en los mecanismos voluntarios de intercambio de datos, la Ley de Datos proporciona claridad jurídica sobre el acceso a los datos y su uso.
Junto con otras medidas políticas y oportunidades de financiación, estos dos Reglamentos contribuirán al establecimiento de un mercado único de datos de la UE, convirtiendo a Europa en líder en la economía de los datos al aprovechar el potencial de las cantidades cada vez mayores de datos, en particular los datos industriales, en beneficio de la economía y la sociedad europeas
Cuestiones abordadas
Siguiendo las disposiciones generales (capítulo I) que establecen el ámbito de aplicación del Reglamento y definen términos clave, la Ley de Datos se estructura en seis capítulos principales:
Capítulo II sobre el intercambio de datos entre empresas y entre empresas y consumidores en el contexto de IoT: Los usuarios de objetos IoT pueden acceder, usar y portar datos que cogeneran a través del uso de un producto conectado.
Capítulo III sobre el intercambio de datos entre empresas: esto aclara las condiciones de intercambio de datos siempre que una empresa esté obligada por ley, también a través de la Ley de Datos, a compartir datos con otra empresa.
Capítulo IV sobre cláusulas contractuales abusivas: estas disposiciones protegen a todas las empresas, en particular a las pymes, contra las cláusulas contractuales abusivas que se les impongan.
Capítulo V sobre el intercambio de datos entre empresas y administraciones públicas: los organismos del sector público podrán tomar decisiones más basadas en pruebas en determinadas situaciones de necesidad excepcional a través de medidas para acceder a determinados datos en poder del sector privado.
Capítulo VI sobre el cambio entre servicios de tratamiento de datos: los proveedores de servicios de computación en la nube y en el borde deben cumplir requisitos mínimos para facilitar la interoperabilidad y permitir el cambio.
Capítulo VII sobre el acceso ilegal de las administraciones públicas de terceros países a los datos: los datos no personales almacenados en la UE están protegidos contra solicitudes ilegales de acceso de gobiernos extranjeros.
Capítulo VIII sobre interoperabilidad: los participantes en espacios de datos deben cumplir los criterios para permitir que los datos fluyan dentro de los espacios de datos y entre ellos. Un repositorio de la UE establecerá las normas y especificaciones pertinentes para la interoperabilidad de la nube.
Capítulo IX, relativo a la ejecución: Los Estados miembros deben designar una o varias autoridades competentes para supervisar y hacer cumplir la Ley de Datos. Cuando se designe a más de una autoridad, deberá designarse a un «coordinador de datos» para que actúe como punto de contacto único a nivel nacional.
¿Por qué?
Un objetivo clave de la Ley de Datos es crear equidad en la economía de los datos y capacitar a los usuarios para obtener valor de los datos que generan utilizando los productos conectados que poseen, alquilan o arriendan.
La Ley de Datos permite a los usuarios de productos conectados (por ejemplo, automóviles conectados, dispositivos médicos y de fitness, maquinaria industrial o agrícola) y servicios relacionados (es decir, cualquier cosa que haga que un producto conectado se comporte de una manera específica, como una aplicación para ajustar el brillo de las luces o para regular la temperatura de un refrigerador) acceder a los datos que cocrean utilizando los productos conectados / servicios relacionados.
La disponibilidad de estos datos tendrá un impacto significativo en la economía. Por ejemplo, los datos generados por productos conectados y servicios relacionados pueden utilizarse para impulsar los servicios posventa y auxiliares, así como para crear servicios completamente nuevos, beneficiando tanto a las empresas como a los consumidores.
Ejemplos de productos conectados: productos de consumo (por ejemplo, automóviles conectados, dispositivos de vigilancia de la salud, dispositivos domésticos inteligentes), otros productos (por ejemplo, aviones, robots, máquinas industriales).
Ejemplo de un servicio relacionado: un usuario compra una lavadora e instala una aplicación que le permite medir el impacto ambiental del ciclo de lavado en función de los datos de los diferentes sensores dentro de la máquina y ajusta el ciclo en consecuencia. Esta aplicación se consideraría un servicio relacionado.
Ejemplos de servicios posventa y servicios auxiliares: servicios de reparación y mantenimiento, seguros basados en datos.
Tipos de datos en el ámbito de aplicación
El capítulo II de la Ley de Datos sobre el intercambio de datos entre empresas y entre empresas y consumidores se aplica a todos los datos brutos y pretratados generados por el uso de un producto conectado o un servicio relacionado que estén fácilmente disponibles para el titular de datos (por ejemplo, el fabricante de un producto conectado o el proveedor de un servicio relacionado), es decir, datos a los que se pueda acceder fácilmente sin un esfuerzo desproporcionado, más allá de una simple operación. Esto se aplica tanto a los datos personales como a los no personales, incluidos los metadatos pertinentes.
Estos datos incluyen datos recogidos de un único sensor o de un grupo de sensores conectados, como la temperatura, la presión, el caudal, el audio, el valor de pH, el nivel de líquido, la posición, la aceleración o la velocidad.
Los datos y contenidos inferidos o derivados (por ejemplo, datos muy enriquecidos o material audiovisual) están fuera del ámbito de aplicación. Además, la Ley de Datos se entiende sin perjuicio de las leyes sobre la protección de los derechos de propiedad intelectual.
Por ejemplo, si un usuario ve una película en su televisor conectado, la película en sí no está dentro del alcance, pero los datos sobre el brillo de la pantalla están dentro del alcance.
En la práctica
El capítulo II de la Ley de Datos permite a los usuarios (es decir, cualquier persona física o jurídica que posea, alquile o arriende un producto conectado) acceder a los datos que generan a través de su uso del producto conectado o servicio relacionado. Si el usuario desea compartir estos datos con otra entidad o persona («tercero»),puede hacerlo directamente o puede solicitar al titular de datos que los comparta con un tercero de su elección (excluidos los guardianes de acceso en virtud de la Ley de Mercados Digitales). El titular de los datos suele ser la empresa que fabrica el producto conectado o que proporciona un servicio relacionado. El titular de datos debe tener un contrato con el usuario (por ejemplo, contrato de venta, contrato de alquiler, contrato de servicios relacionados, etc.) en el que se definan los derechos relativos al acceso, el uso y el intercambio de los datos generados por el producto conectado o el servicio relacionado. Es importante señalar que el titular de datos no puede utilizar ningún dato no personal generado por el producto sin el consentimiento del usuario.
A modo de ejemplo, y teniendo en cuenta que el contrato pertinente determina las funciones exactas:
Una empresa opera una excavadora: el titular de los datos sería normalmente el fabricante de la topadora, y el usuario sería la empresa que explota la topadora.
Si alguien compra una nevera conectada y descarga una aplicación que le ayuda a regular la temperatura óptima para el contenido de la nevera, podría haber dos titulares de datos, a saber, la entidad que comercializó la nevera y la entidad que ofrece el servicio relacionado (la aplicación), y solo el usuario (el propietario de la nevera).
La Ley de Datos incluye varios mecanismos para facilitar a los usuarios el uso de estas disposiciones: los titulares de datos deben proporcionar al usuario información sobre el tipo de datos que generarán al utilizar el producto conectado o el servicio relacionado (incluido el volumen, la frecuencia de recogida, etc.); los usuarios deben poder solicitar el acceso a los datos a través de un proceso sencillo, y los titulares de datos deben poner los datos a disposición de los usuarios de forma gratuita.
Limitaciones en el uso de los datos
Para no disuadir a las empresas de invertir en productos generadores de datos, los datos obtenidos no pueden utilizarse para desarrollar un producto conectado competidor. La Ley de Datos no prohíbe la competencia en servicios relacionados o posventa. Además, no existe ninguna obligación en virtud de la Ley de Datos para que un titular de datos comparta datos con terceros con sede fuera de la UE.
La Ley de Datos cumple plenamente las normas de protección de datos, en particular el RGPD. Cuando el usuario no sea el interesado cuyos datos se solicitan, los datos personales solo podrán ponerse a disposición si existe una base jurídica válida (por ejemplo, el consentimiento). Esta es una consideración importante, ya que los datos cogenerados a menudo contienen tanto datos personales como no personales, que pueden ser difíciles de separar.
Incentiva el desarrollo de productos y servicios conectados basados en nuevos flujos de datos, que son de especial valor para las empresas más pequeñas. Además, las microempresas y las pequeñas empresas, como fabricantes o proveedores de servicios relacionados, no están sujetas a las mismas obligaciones que las empresas más grandes.
Para proteger los secretos comerciales sin socavar el objetivo de la Ley de Datos de poner más datos a disposición, el titular de los datos y el usuario / tercero pueden acordar ciertas medidas para preservar la confidencialidad de los secretos comerciales. Cuando no se respeten estas medidas, el titular de datos podrá retener o suspender el intercambio de datos. El titular de datos solo podrá negarse a compartir datos cuando pueda demostrar que es muy probable que sufra daños económicos graves como consecuencia de la divulgación de secretos comerciales.
El titular de datos y el usuario podrán acordar limitar el intercambio de datos si existe el riesgo de que se socaven los requisitos de seguridad del producto conectado, lo que podría tener graves efectos adversos para la salud, la seguridad o la protección de las personas. Estos requisitos deben establecerse en la legislación nacional o de la UE.
Si el titular de datos suspende, retiene o se niega a compartir datos por motivos de protección de secretos comerciales o requisitos de seguridad, deberá notificarlo a la autoridad nacional competente. Los usuarios pueden impugnar dicha decisión, ya sea ante el órgano jurisdiccional competente de un Estado miembro, a través de una reclamación ante la autoridad competente o previo acuerdo con el titular de los datos ante un organismo de resolución de litigios.
Capítulo III: Normas sobre el intercambio obligatorio de datos entre empresas
¿Por qué?
La Ley de Datos introduce normas para situaciones en las que una empresa («titular de datos») tiene la obligación legal, en virtud de la legislación nacional o de la UE, de poner datos a disposición de otra empresa («destinatario de datos»), también en el contexto de los datos de IoT. En particular, las condiciones de intercambio de datos deben ser justas, razonables y no discriminatorias.
Como incentivo para el intercambio de datos, los titulares de datos que están obligados a compartir datos pueden solicitar una «compensación razonable» al destinatario de los datos.
Tipos de datos en el ámbito de aplicación
El Capítulo III de la Ley de Datos se aplica a todos los datos (tanto personales como no personales) en poder de una empresa, incluidas las situaciones cubiertas por el Capítulo II de la Ley de Datos.
En la práctica
Los titulares de datos podrán solicitar una compensación razonable por poner los datos a disposición de un destinatario de datos. Esto podría incluir los costes derivados de la puesta a disposición de los datos, así como los costes técnicos relacionados con la difusión y el almacenamiento. Sin embargo, a las microempresas, las pymes y las organizaciones de investigación sin ánimo de lucro no se les puede cobrar más que los costes incurridos por la puesta a disposición de los datos.
Con el fin de proteger a los titulares de datos, la Ley de Datos incluye una lista no exhaustiva de medidas para remediar situaciones en las que un tercero o usuario ha accedido o utilizado datos ilegalmente. Por ejemplo, un titular de datos podría exigir que una parte infractora deje de producir el producto en cuestión o destruya los datos que ha obtenido ilegalmente, o podría solicitar una compensación.
Cualquier obligación de intercambio de datos que preceda a la Ley de Datos no se verá afectada. Las obligaciones de la futura legislación (sectorial) deben ajustarse a las disposiciones del capítulo III de la Ley de Datos.
Capítulo IV: Cláusulas contractuales abusivas
¿Por qué?
La libertad contractual es fundamental para las relaciones entre empresas. Sin embargo, la Ley de Datos tiene por objeto proteger a todas las empresas europeas que deseen adquirir datos, en particular a las pymes, contra las cláusulas contractuales abusivas a través de sus medidas para intervenir en situaciones en las que, por ejemplo, una de las empresas se encuentre en una posición negociadora más fuerte (por ejemplo, debido a su tamaño de mercado) e imponga una cláusula no negociable («take-it-or-leave-it») relacionada con el acceso a los datos y su uso por la otra.
Tipos de datos en el ámbito de aplicación
Estas normas cubren todos los datos, tanto personales como no personales, en poder de una entidad privada a la que se accede y se utiliza sobre la base de un contrato entre empresas.
En la práctica
Cuando se refieran a la puesta a disposición de datos, las cláusulas de «tomarlo o dejarlo» impuestas unilateralmente podrán someterse a una prueba de abusividad.
La Ley de Datos establece una lista no exhaustiva de cláusulas que siempre se consideran abusivas (por ejemplo, que excluirían o limitarían la responsabilidad de la parte que impuso unilateralmente la cláusula por actos intencionales o negligencia grave) y de cláusulas que se presumen abusivas (por ejemplo, que limitarían indebidamente las vías de recurso en caso de incumplimiento de las obligaciones contractuales o la responsabilidad en caso de incumplimiento de dichas obligaciones, o ampliarían la responsabilidad de la empresa a la que se impuso unilateralmente la cláusula). Si una cláusula se considera abusiva, deja de ser válida y, en la medida de lo posible, simplemente se separa del contrato. Si se presume que es abusiva, la entidad que impuso la cláusula puede tratar de demostrar que la cláusula no es abusiva.
Capítulo V: Intercambio de datos entre empresas y gobiernos
¿Por qué?
Los datos en poder de entidades privadas pueden ser esenciales para que un organismo del sector público lleve a cabo una tarea de interés público. El capítulo V de la Ley de Datos permite a los organismos del sector público acceder a dichos datos, en determinadas condiciones, cuando exista una necesidad excepcional. Esta última se refiere a una situación imprevisible y limitada en el tiempo, en la que los datos en poder de una entidad privada son necesarios para el desempeño de la tarea de interés público, en particular para mejorar la toma de decisiones basada en pruebas. Las situaciones de necesidad excepcional incluyen tanto emergencias públicas (como catástrofes naturales o provocadas por el hombre, pandemias e incidentes de ciberseguridad) como situaciones no urgentes (por ejemplo, podrían utilizarse datos agregados y anonimizados de los sistemas GPS de los conductores para ayudar a optimizar los flujos de tráfico).
La Ley de Datos garantizará que las autoridades públicas tengan acceso a dichos datos de manera oportuna y fiable, sin imponer una carga administrativa indebida a las empresas.
Tipos de datos incluidos en el ámbito de aplicación
En virtud del capítulo V, todos los datos entran en el ámbito de aplicación, centrándose en los datos no personales.
El capítulo V de la Ley de Datos sobre el intercambio de datos entre empresas y administraciones públicas distingue entre dos escenarios:
Para responder a una emergencia pública, un organismo del sector público debe solicitar datos no personales. Sin embargo, si esto es insuficiente para responder a la situación, se pueden solicitar datos personales. En la medida de lo posible, estos datos deben ser anonimizados por el titular de los datos.
En situaciones que no sean de emergencia, los organismos del sector público solo podrán solicitar datos no personales.
Principales partes interesadas
Las entidades facultadas para solicitar datos incluyen organismos del sector público de los Estados miembros, así como determinadas instituciones, órganos y organismos de la UE. Estas entidades también pueden compartir los datos con organizaciones de investigación y financiación en determinadas condiciones.
En el contexto de las solicitudes entre empresas y administraciones públicas, los titulares de datos suelen ser entidades privadas, pero también pueden incluir empresas públicas.
En la práctica
Un organismo del sector público podrá, en determinadas condiciones, obligar a un titular de datos a poner a disposición determinados datos sin demora indebida para responder a una emergencia pública. La Ley de datos define una emergencia pública; pero su existencia se determina con arreglo a procedimientos o leyes nacionales o de la UE.
En el caso de necesidades excepcionales que no estén relacionadas con una emergencia pública, un organismo del sector público podrá solicitar datos no personales para cumplir una tarea específica que sea de interés público y que haya sido prevista por la ley, si el organismo del sector público puede demostrar que no ha podido acceder a los datos por otros medios.
En ambos casos (emergencia y no emergencia), las solicitudes deben respetar una serie de principios y condiciones estrictos. Por ejemplo, las solicitudes deben ser específicas, transparentes y proporcionadas, los secretos comerciales deben protegerse y los datos deben suprimirse una vez que ya no sean necesarios.
El cuadro que figura a continuación resume lo que las empresas pueden solicitar para facilitar datos a un organismo del sector público en este contexto.
Compensación por la puesta a disposición de datos en virtud del capítulo V de la Ley de Datos
| Las empresas que no sean micro y pequeñas empresas pueden solicitar: | Las micro y pequeñas empresas pueden solicitar: | |
| Emergencia pública | Las empresas pueden solicitar que su contribución de datos sea reconocida y públicamente reconocida por el organismo del sector público receptor. | Remuneración razonable que no exceda de los costes técnicos y organizativos incurridos + acuse de recibo público, previa solicitud |
| Situaciones no urgentes | Remuneración razonable que no supere los costes técnicos y organizativos contraídos (excepto para la elaboración de estadísticas oficiales) | N/A (exento de la obligación de facilitar datos) |
Para minimizar la carga para las empresas, los mismos datos no pueden ser solicitados más de una vez («principio de «solo una vez») por más de un organismo del sector público. Por esta razón, todas las solicitudes deben ser puestas a disposición del público por el coordinador de datos (a menos que haya un problema de seguridad).
Capítulo VI: Cambio entre servicios de tratamiento de datos
¿Por qué?
Con el fin de garantizar un mercado competitivo en la UE, los clientes de servicios de tratamiento de datos (incluidos los servicios en la nube y en el borde) deben poder cambiar sin problemas de un proveedor a otro. Sin embargo, los clientes se enfrentan actualmente a una serie de barreras a esto, incluidas las altas tarifas asociadas, por ejemplo, a la salida de datos, los largos procedimientos y la falta de interoperabilidad entre los proveedores que pueden dar lugar a una pérdida de datos y aplicaciones.
La Ley de Datos hará que la conmutación sea libre, rápida y fluida. Esto beneficiará a los clientes, que pueden elegir libremente los servicios que mejor satisfagan sus necesidades, así como a los proveedores, que se beneficiarán de un grupo más grande de clientes.
Ámbito de aplicación
El capítulo VI de la Ley de Datos se aplica a los proveedores de servicios de tratamiento de datos (es decir, servicios digitales que permiten el acceso a redes ubicuas y bajo demanda, como redes, servidores u otras infraestructuras y programas informáticos virtuales o físicos). Los datos clave para el cambio incluyen los datos de entrada y salida, incluidos los metadatos, generados por el uso del servicio por parte del cliente, excluidos los datos protegidos por derechos de propiedad intelectual o que constituyen un secreto comercial del proveedor de servicios.
En la práctica
Para superar el desequilibrio de poder entre proveedores y clientes en el mercado de la nube, la Ley de Datos establece requisitos mínimos para el contenido de los contratos en la nube. En particular, los clientes de los sectores público y privado se beneficiarán de una transparencia contractual mucho mayor.
La Ley de Datos incluye medidas para garantizar que los clientes puedan cambiar de un proveedor de servicios de tratamiento de datos («proveedor de origen») a otro proveedor («destino») de forma rápida y fluida, y sin perder datos ni la funcionalidad de las aplicaciones. Por ejemplo, los proveedores de Plataforma y Software como Servicio deben poner a disposición interfaces abiertas y, como mínimo, exportar datos en un formato de uso común y legible por máquina. Los proveedores de infraestructura como servicio deben adoptar medidas para facilitar que, cuando un cliente cambie a un servicio del mismo tipo, obtenga resultados materialmente comparables en respuesta a la misma información para las características que comparten ambos servicios («equivalencia funcional»). Como ejemplo de tal medida, el proveedor de origen puede tener que usar herramientas para cambiar las cargas de trabajo de computación de una tecnología de virtualización a otra.
Todos los proveedores están obligados a eliminar los obstáculos que sus clientes pueden enfrentar cuando quieren cambiar a otro proveedor o utilizar varios servicios al mismo tiempo.
La Ley de Datos también eliminará por completo los cargos por cambio de proveedor, incluidos los cargos por salida de datos (es decir, los cargos por tránsito de datos), a partir del 12 de enero de 2027. Esto significa que los proveedores no podrán cobrar a sus clientes por las operaciones necesarias para facilitar el cambio o la salida de datos. Sin embargo, como medida transitoria durante los tres primeros años posteriores a la entrada en vigor de la Ley de Datos (del 11 de enero de 2024 al 12 de enero de 2027), los proveedores aún pueden cobrar a sus clientes los costes incurridos en relación con el cambio y la salida de datos.
Capítulo VII: Acceso ilícito de las administraciones públicas de terceros países
¿Por qué?
En ocasiones, una decisión o sentencia dictada por un país fuera de la UE («tercer país») tiene por objeto permitir el acceso de los poderes públicos a los datos no personales tratados y almacenados en la UE y su transferencia. No obstante, en determinados casos, conceder el acceso a dichos datos o su transferencia puede ser realmente ilícito, en particular cuando la solicitud entre en conflicto con la legislación y las garantías de la UE en materia de protección de los derechos fundamentales de las personas, los intereses de seguridad nacional o los datos sensibles desde el punto de vista comercial.
La Ley de Datos sigue la Ley de Gobernanza de Datos con respecto a las disposiciones destinadas a prevenir el acceso gubernamental ilegal de terceros países y la transferencia de datos no personales almacenados en la UE. Estas disposiciones no tienen ningún impacto en el intercambio periódico de datos entre empresas. Aumentan la transparencia y la seguridad jurídica en relación con el proceso y las condiciones en las que los organismos gubernamentales no pertenecientes a la UE pueden acceder a datos no personales o transferirlos a ellos.
Tipos de datos en el ámbito de aplicación
Cualquier dato no personal conservado en la UE por un proveedor de un servicio de tratamiento de datos.
En la práctica
La Ley de Datos no prohíbe los flujos transfronterizos de datos, pero garantiza que la protección otorgada a los datos en la UE viaje con cualquier dato transferido fuera de la UE.
En este contexto, la Ley de Datos establece normas y salvaguardias para las solicitudes de acceso de un organismo del sector público extranjero a los datos no personales conservados en la Unión. Estas disposiciones no afectan a la cooperación internacional legítima en relación con la aplicación de la ley.
Si no existe un acuerdo internacional que regule el acceso de un gobierno de un tercer país a datos no personales ubicados dentro de la UE, los datos solo pueden transferirse o accederse en condiciones específicas. Estas condiciones se refieren a determinadas garantías que salvaguardan los derechos europeos que debe cumplir el ordenamiento jurídico del tercer país, incluido el requisito de exponer los motivos y evaluar la proporcionalidad en la decisión. El proveedor de servicios de tratamiento de datos al que se dirija dicha decisión podrá ponerse en contacto con el organismo nacional pertinente para ayudar a evaluar si se cumplen las condiciones establecidas en la Ley de Datos. Para ayudar a evaluar si se han cumplido estas condiciones, la Comisión Europea elaborará directrices junto con el Comité Europeo de Innovación en materia de Datos (un grupo de expertos creado en virtud de la Ley de Gobernanza de Datos para facilitar el intercambio de mejores prácticas y dar prioridad a las normas de interoperabilidad intersectorial).
Los proveedores de servicios de tratamiento de datos deben adoptar todas las medidas razonables (por ejemplo, cifrado, auditorías, cumplimiento de los sistemas de certificación) para impedir el acceso a los sistemas en los que almacenan datos no personales. Estas medidas deben publicarse en sus sitios web. Además, siempre que sea posible, deben informar a sus clientes antes de dar acceso a sus datos.
Capítulo VIII: Interoperabilidad
¿Por qué?
Las normas y la interoperabilidad son fundamentales para garantizar que los datos procedentes de diferentes fuentes puedan utilizarse dentro de los espacios comunes europeos de datos y entre ellos para fomentar la investigación y desarrollar nuevos productos o servicios. A tal fin, la Ley de Datos establece algunos requisitos esenciales que deben cumplir los participantes en los espacios de datos y que la Comisión Europea puede especificar en mayor medida mediante actos delegados.
También tiene por objeto garantizar la interoperabilidad entre los servicios de tratamiento de datos; esto es esencial para que los clientes se beneficien de un cambio más fácil.
Principales partes interesadas
Este capítulo se dirige a los participantes de espacios de datos que ofrecen datos o servicios basados en datos a otros participantes y que facilitan o participan en el intercambio de datos dentro de los espacios de datos.
También se dirige a los proveedores de contratos inteligentes, así como a los proveedores de servicios de procesamiento de datos.
En la práctica
Los participantes en el espacio de datos deben cumplir varios requisitos esenciales para permitir que los datos fluyan dentro de los espacios de datos y entre ellos. Por ejemplo, una descripción de las estructuras de datos, formatos de datos y vocabularios, cuando estén disponibles, debe ser de acceso público. Además, deben garantizarse medios para garantizar la interoperabilidad de los acuerdos de intercambio de datos, como los contratos inteligentes.
La Ley de Datos también prepara el terreno para aumentar la interoperabilidad de los servicios de tratamiento de datos a través de normas armonizadas y especificaciones de interoperabilidad abiertas.
Además, establece requisitos para los proveedores de contratos inteligentes para la ejecución automatizada de acuerdos de intercambio de datos, por ejemplo, para garantizar que cumplan correctamente las disposiciones del acuerdo de intercambio de datos y resistan la manipulación por parte de terceros.
La Comisión evaluará los obstáculos a la interoperabilidad y dará prioridad a las necesidades de normalización, sobre la base de las cuales podrá solicitar a las organizaciones europeas de normalización que elaboren normas armonizadas que cumplan los requisitos antes mencionados.
Si la solicitud no da lugar a una norma armonizada o si la norma es insuficiente para garantizar la conformidad con la Ley de Datos, la Comisión puede adoptar especificaciones comunes como solución alternativa. Estos deben desarrollarse de manera abierta e inclusiva, teniendo en cuenta las observaciones del Comité Europeo de Innovación en materia de Datos.
Capítulo IX: Aplicación y disposiciones generales
Los Estados miembros designarán una o varias autoridades competentes (nuevas o existentes) para garantizar la aplicación eficiente de la Ley de Datos. Cuando existan múltiples autoridades competentes, los Estados miembros deben designar a una de ellas como «coordinadora de datos». El coordinador de datos actuará como «ventanilla única» para todas las cuestiones relacionadas con la aplicación de la Ley de Datos a nivel nacional, facilitando su aplicación tanto a las empresas como a las autoridades públicas. Por ejemplo, si una empresa busca reparación por la infracción de sus derechos en virtud de la Ley de Datos, el coordinador de datos debe (previa solicitud) proporcionar toda la información necesaria para ayudarles a presentar su reclamación ante la autoridad competente adecuada. El coordinador de datos también facilitará la colaboración en situaciones transfronterizas, como cuando una autoridad competente de un Estado miembro determinado no sabe a qué autoridad debe dirigirse en el Estado miembro del coordinador de datos.
La Comisión mantendrá un registro público de autoridades competentes y coordinadores de datos.
El Comité Europeo de Innovación en materia de Datos facilitará los debates entre las autoridades competentes, por ejemplo, para coordinar y adoptar recomendaciones sobre el establecimiento de sanciones por infracciones de la Ley de Datos. Las sanciones son establecidas por las autoridades competentes y, de conformidad con la Ley de Datos, deben imponerse sanciones efectivas, proporcionadas y disuasorias.
Los Estados miembros podrán, si lo desean, crear organismos certificados de resolución de litigios para ayudar a las partes que no puedan acordar condiciones justas, razonables y no discriminatorias para la puesta a disposición de los datos. Las partes tienen libertad para dirigirse a cualquier organismo de solución de diferencias, ya sea en el Estado miembro en el que estén establecidas o en otro.
Los mecanismos certificados de resolución de litigios y las autoridades competentes especializadas facilitarán a las empresas, en particular a las pequeñas empresas, el ejercicio de sus derechos en virtud de la Ley de Datos, ya que ofrecen una solución sencilla, rápida y de bajo coste a las partes implicadas.
¿Qué sigue?
La estrategia europea de datos establece el camino para que la UE se convierta en líder en la economía de los datos. Esto se logrará mediante la creación de un mercado único europeo de datos en el que los datos puedan fluir entre sectores y Estados miembros de manera segura y fiable en beneficio de la economía y la sociedad. Al garantizar la equidad en la asignación del valor de los datos entre las partes interesadas, la Ley de Datos es un elemento clave para lograr esta visión.
La Ley de Datos entrará en vigor el 12 de septiembre de 2025.
Para ayudar a las empresas a navegar por estas nuevas normas, la Comisión recomendará un conjunto de cláusulas contractuales modelo para ayudar a las empresas a celebrar contratos de intercambio de datos que sean justos, razonables y no discriminatorios (capítulos II y III de la Ley de Datos). Estos términos también proporcionarán orientación sobre la compensación razonable y la protección de los secretos comerciales. La Comisión también recomendará un conjunto de cláusulas contractuales tipo no vinculantes para los contratos de computación en nube entre usuarios y proveedores de servicios en la nube. Se ha creado un grupo de expertos para ayudar a la Comisión a redactar dichos términos y cláusulas y tiene previsto recomendarlos para el otoño de 2025.
En un plazo de tres años a partir de su entrada en vigor, la Comisión llevará a cabo una evaluación del impacto de la Ley de Datos. Sobre esta base, si es necesario, la Comisión puede proponer una modificación de la ley.
Fuente: digital-strategy.ec.europa.eu
