lunes, 27 de noviembre de 2023

ENMIENDAS APROBADAS POR EL PARLAMENTO EUROPEO SOBRE LA PROPUESTA DE LA LEY DE DATOS.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

 

cferreyros@hotmail.com

RESUMEN

La Ley de Datos complementa el Reglamento de Gobernanza de Datos propuesto en noviembre de 2020. Mientras el Reglamento de Gobernanza de Datos crea los procesos y estructuras para facilitar los datos, la Ley de Datos determina quién puede crear valor a partir de los datos y bajo qué condiciones.

La Ley de Datos tiene como objetivo maximizar el valor de los datos en la economía garantizando que una gama más amplia de partes interesadas obtengan control sobre sus datos y que haya más datos disponibles para uso innovador, preservando al mismo tiempo los incentivos para invertir en la generación de datos.

Además, la Ley de datos tiene por objeto garantizar la coherencia entre los derechos de acceso a los datos, que a menudo se desarrollan para situaciones específicas y con diferentes normas y condiciones.

El 23 de noviembre de este año, el Diario Oficial de la Unión Europea publicó las enmiendas de una centena de páginas que el Parlamento Europeo aprobó a la Ley de Datos: el texto nuevo o modificado se señala en negrita y cursiva; las supresiones se indican mediante el símbolo ▌.

El presente Reglamento una vez aprobado, complementará el Derecho de la Unión y se entiende sin perjuicio del mismo en materia de protección de datos y privacidad, en particular, en lo que se refiere al Reglamento (UE) 2016/679 y la Directiva 2002/58/CE.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

____________________________________________________




Diario Oficial
de la Unión Europea

ES

Serie C


C/2023/419

23.11.2023

P9_TA(2023)0069

Ley de Datos

Enmiendas aprobadas por el Parlamento Europeo el 14 de marzo de 2023 sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos) (COM(2022)0068 — C9-0051/2022 — 2022/0047(COD)) (1)

(Procedimiento legislativo ordinario: primera lectura)

Enmienda 1

(C/2023/419)

ENMIENDAS DEL PARLAMENTO EUROPEO (*1)

a la propuesta de la Comisión

2022/0047 (COD)

Propuesta de

REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO

sobre normas armonizadas para un acceso justo a los datos y su utilización

(Ley de Datos)

(Texto pertinente a efectos del EEE)

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo (2),

Visto el dictamen del Comité de las Regiones (3),

De conformidad con el procedimiento legislativo ordinario,

Considerando lo siguiente:

(1)

En los últimos años, las tecnologías basadas en los datos han tenido efectos transformadores en todos los sectores de la economía. En particular, la proliferación de productos conectados a internet ▌ ha aumentado el volumen y el valor potencial de los datos para los consumidores, las empresas y la sociedad. Los datos interoperables y de alta calidad de diferentes ámbitos incrementan la competitividad y la innovación y garantizan un crecimiento económico sostenible. El mismo conjunto de datos puede utilizarse y reutilizarse para diversos fines y de modo ilimitado, sin pérdida de calidad o cantidad.

(2)

En un contexto en que la Unión goza de una posición competitiva a escala mundial en el ámbito de la fabricación y es líder en el sector de la robótica y los programas informáticos industriales, los obstáculos al intercambio de datos impiden una asignación óptima de los datos en beneficio de la sociedad. Estos obstáculos incluyen la falta de incentivos para que los titulares de datos suscriban voluntariamente acuerdos sobre el intercambio de datos, la incertidumbre sobre los derechos y las obligaciones en relación con los datos, el valor económico de los conjuntos de datos, los costes de contratación y aplicación de interfaces técnicas, el elevado nivel de fragmentación de la información en los silos de datos, la mala gestión de metadatos, la ausencia de normas para la interoperabilidad semántica y técnica, los cuellos de botella que impiden el acceso a los datos, la falta de prácticas comunes para el intercambio de datos y el abuso de los desequilibrios contractuales en relación con el acceso a los datos y su utilización.

 

(3)

En sectores caracterizados por la presencia de microempresas y pequeñas y medianas empresas (pymes) , a menudo escasean las capacidades y competencias digitales necesarias para recopilar, analizar y utilizar datos, y el acceso a estos queda limitado con frecuencia cuando un único agente los conserva en el sistema o debido a la falta de interoperabilidad entre datos, entre servicios de datos o a través de las fronteras.

(4)

Con el fin de responder a las necesidades de la economía digital , evitar la fragmentación del mercado interior que podría derivarse de la legislación nacional y eliminar los obstáculos al buen funcionamiento del mercado interior de datos, es necesario establecer un marco armonizado que especifique quién ▌ tiene derecho a utilizar los datos accesibles recogidos, obtenidos o generados de otro modo por los productos conectados o servicios relacionados, en qué condiciones y sobre qué base. Por consiguiente, los Estados miembros no deben adoptar ni mantener requisitos nacionales adicionales sobre las cuestiones que entran en el ámbito de aplicación del presente Reglamento, salvo que así se disponga explícitamente en él, ya que ello afectaría a su aplicación directa y uniforme.

 

(5)

El presente Reglamento garantiza que los fabricantes de productos conectados y los proveedores de servicios relacionados estén obligados a diseñar los productos y servicios de manera que los usuarios de un producto conectado o servicio relacionado en la Unión puedan acceder oportunamente a los datos accesibles desde el producto o generados durante la prestación de un servicio relacionado y que puedan utilizarlos e incluso compartirlos con terceros de su elección. El presente Reglamento impone a los titulares de datos la obligación de poner los datos a disposición de los usuarios y de los destinatarios de datos designados por los usuarios ▌ . También garantiza que los titulares de datos pongan los datos a disposición de los destinatarios de datos en la Unión en condiciones justas, razonables y no discriminatorias y de manera transparente. Las normas de Derecho privado son fundamentales en el marco general del intercambio de datos. Por lo tanto, el presente Reglamento adapta las normas de Derecho contractual e impide la explotación de los desequilibrios contractuales que dificultan el acceso y la utilización equitativos de los datos ▌ . El presente Reglamento también garantiza que, cuando exista una necesidad excepcional, los titulares de datos pongan los datos a disposición de los organismos del sector público de los Estados miembros y de las instituciones, órganos u organismos de la Unión ▌ . Además, el presente Reglamento pretende facilitar el cambio entre servicios de tratamiento de datos y mejorar la interoperabilidad de los datos y de los mecanismos y servicios de intercambio de datos en la Unión. El presente Reglamento no debe interpretarse como el reconocimiento o la creación de una base jurídica para que los titulares de datos conserven los datos, tengan acceso a ellos o los traten, ni como la concesión de un nuevo derecho de un titular de datos a utilizar los datos a los que se haya accedido desde un producto conectado o generados durante la prestación de un servicio relacionado. En cambio, reconoce que los usuarios pueden acordar conceder permisos de acceso y uso sobre los datos a los que se haya accedido desde productos conectados o generados durante la prestación de servicios relacionados a los titulares de datos, que a menudo pueden ser fabricantes, y que pueden acordar contractualmente con el usuario la realización de uno o más servicios relacionados.

(6)

La generación de datos es una función del diseño del fabricante de un producto conectado, en particular la inclusión en el dispositivo de sensores y programas informáticos de tratamiento de datos, de las acciones del usuario y, según las modalidades de funcionamiento, de la prestación de uno o más servicios relacionados. Muchos productos conectados, por ejemplo en los sectores de la infraestructura civil, la generación de energía o el transporte, registran datos sobre su entorno o su interacción con otros elementos de dicha infraestructura sin intervención alguna por parte del usuario o de un tercero. Estos datos pueden ser a menudo de carácter no personal y valiosos para el usuario o para terceros, que pueden utilizarlos para mejorar sus operaciones, el funcionamiento general de una red o sistema o ponerlos a disposición de otros. Esto plantea cuestiones de equidad en la economía digital, ya que los datos a los que se haya accedido desde productos conectados o generados durante la prestación de servicios relacionados constituyen una información importante para los servicios de posventa, los servicios auxiliares y otros servicios. Con el fin de aprovechar los importantes beneficios económicos de los datos ▌ para la economía y la sociedad, es preferible adoptar un enfoque general para asignar los derechos de acceso y utilización de los datos frente a la concesión de derechos exclusivos. Sin embargo, también es importante que el intercambio de datos basado en acuerdos voluntarios siga desarrollándose, a fin de facilitar el crecimiento del valor añadido de las empresas europeas impulsado por los datos.

 

(7)

El derecho fundamental a la protección de los datos personales está salvaguardado, en particular, por los Reglamentos (UE) 2016/679 (4) y ▌ (UE) 2018/1725 (5) del Parlamento Europeo y del Consejo . Además, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (6) protege la vida privada y la confidencialidad de las comunicaciones, incluso mediante el establecimiento de condiciones para el almacenamiento de datos personales y no personales en los equipos terminales, y el acceso desde estos. Los mencionados instrumentos constituyen la base para un tratamiento de datos sostenible y responsable, incluso cuando los conjuntos de datos contienen una combinación de datos personales y no personales. El presente Reglamento complementa el Derecho de la Unión y se entiende sin perjuicio del mismo en materia de protección de datos y privacidad, en particular, en lo que se refiere al Reglamento (UE) 2016/679 y la Directiva 2002/58/CE. Ninguna disposición del presente Reglamento debe aplicarse o interpretarse de manera que se reduzca o limite el derecho a la protección de los datos personales o el derecho a la intimidad y la confidencialidad de las comunicaciones. El presente Reglamento no debe interpretarse en el sentido de que establezca una nueva base jurídica para el tratamiento de los datos personales para cualquiera de las actividades reguladas o que modifique los requisitos de información dispuestos en el Reglamento (UE) 2016/679. En caso de conflicto entre lo dispuesto en el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o el Derecho nacional adoptado de conformidad con el Derecho de la Unión en la materia, debe prevalecer el Derecho de la Unión o nacional que sea aplicable en materia de protección de datos personales.

(8)

Los principios de minimización y protección de datos desde el diseño y por defecto son esenciales cuando el tratamiento implica riesgos significativos para los derechos fundamentales de las personas. Teniendo en cuenta los últimos avances técnicos, todas las partes en el intercambio de datos, incluso cuando estén dentro del ámbito de aplicación del presente Reglamento, deben aplicar medidas técnicas y organizativas para proteger estos derechos. Dichas medidas incluyen no solo la seudonimización y el cifrado, sino también el uso de una tecnología cada vez más utilizada que permita introducir algoritmos en los datos y obtener información valiosa sin que sea necesaria la transmisión entre las partes ni la copia superflua de los datos brutos o estructurados.

 

(9)

El presente Reglamento complementa el Derecho de la Unión —y se entiende sin perjuicio del mismo— cuyo objetivo sea promover los intereses de los consumidores y garantizar un elevado nivel de protección de los consumidores, así como proteger su salud, su seguridad y sus intereses económicos, en particular la Directiva 2005/29/CE del Parlamento Europeo y del Consejo (7), la Directiva 2011/83/UE del Parlamento Europeo y del Consejo (8) y la Directiva 93/13/CEE del Parlamento Europeo y del Consejo (9).

(10)

El presente Reglamento se entiende sin perjuicio de los actos jurídicos de la Unión que dispongan el intercambio de datos, el acceso a los mismos y su utilización con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, o a efectos aduaneros y fiscales, con independencia de la base jurídica en la que se hayan adoptado en virtud del Tratado de Funcionamiento de la Unión Europea. Dichos actos incluyen el Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021, sobre la lucha contra la difusión de contenidos terroristas en línea, las [propuestas sobre pruebas electrónicas, COM(2018) 225 y 226, una vez adoptadas], la [Propuesta de] Reglamento del Parlamento Europeo y del Consejo relativo a un mercado único de servicios digitales (Ley de servicios digitales) y por el que se modifica la Directiva 2000/31/CE, así como la cooperación internacional en este contexto, en particular sobre la base del Convenio del Consejo de Europa sobre la Ciberdelincuencia («Convenio de Budapest») de 2001. El presente Reglamento se entiende sin perjuicio de las competencias de los Estados miembros en relación con las actividades de seguridad pública, defensa y seguridad nacional de conformidad con el Derecho de la Unión, y con las actividades de las aduanas en materia de gestión de riesgos y, en general, de verificación del cumplimiento del código aduanero por parte de los operadores económicos.

 

(11)

Más allá de las obligaciones establecidas en el artículo 3, apartado 1, el presente Reglamento no debe afectar a la legislación de la Unión que establece requisitos en materia de diseño físico y datos para los productos que se introduzcan en el mercado de la Unión.

(12)

El presente Reglamento complementa el Derecho de la Unión —y se entiende sin perjuicio del mismo— que tenga como objetivo establecer requisitos de accesibilidad para determinados productos y servicios, en particular la Directiva 2019/882 (10).

 

(13)

El presente Reglamento se entiende sin perjuicio de las competencias de los Estados miembros en relación con las actividades de seguridad pública, defensa y seguridad nacional de conformidad con el Derecho de la Unión, y con las actividades de las aduanas en materia de gestión de riesgos y, en general, de verificación del cumplimiento del código aduanero por parte de los operadores económicos.

(13 bis

) El presente Reglamento también tiene por objeto reforzar la posición y los modelos de negocio de terceros, por ejemplo, los proveedores, mediante un enfoque horizontal. Para tener en cuenta la situación específica y la complejidad del sector correspondiente, al presente Reglamento debe seguirle la adopción de legislación sectorial, por ejemplo, sobre el espacio de datos relativos a la movilidad. Esta legislación podría establecer normas suplementarias sobre el derecho de los proveedores a mejorar o dirigir el acceso a los datos desde sus propios componentes inteligentes para cuestiones como el seguimiento de la calidad, el desarrollo de los productos o el perfeccionamiento de la seguridad, y aclarar el papel de los proveedores de componentes en relación con los productos conectados.

 

(13 ter)

El presente Reglamento se entiende sin perjuicio de los actos jurídicos nacionales y de la Unión por los que se establece la protección de los derechos de propiedad intelectual, en particular las Directivas 2001/29/CE (11) , 2004/48/CE (12) y (UE) 2019/790 (13) del Parlamento Europeo y del Consejo.

(14)

Los productos físicos que, a través de sus componentes, obtengan, generen o recopilen datos relativos a su rendimiento, uso o entorno y que puedan comunicar dichos datos mediante un servicio de comunicaciones electrónicas ▌ , una conexión física o un dispositivo (a menudo denominado «internet de las cosas») deben estar cubiertos por el presente Reglamento , con la excepción de los prototipos . Los servicios de comunicaciones electrónicas incluyen las redes telefónicas terrestres, las redes de televisión por cable, las redes basadas en satélites y las redes de comunicación de campo cercano. Dichos productos conectados se encuentran en todos los aspectos de la economía y la sociedad, en particular en infraestructuras privadas, civiles o comerciales, vehículos, buques, aeronaves, equipos domésticos y bienes de consumo, productos médicos y sanitarios, maquinaria agrícola e industrial o instalaciones de producción y transmisión de energía . Los datos obtenidos, generados o recogidos por un producto conectado que sean accesibles para los titulares de datos o los destinatarios de datos deben ser siempre accesibles para el propietario del producto, o para un tercero a quien este haya transferido determinados derechos sobre el producto mediante un contrato de alquiler o arrendamiento. A efectos del presente Reglamento , se debe denominar usuario al propietario o a dicho tercero. Estos derechos de acceso no deben obstaculizar ni alterar en modo alguno los derechos fundamentales de los interesados, que puedan estar interactuando con el producto conectado, con respecto a los datos personales generados por el producto. Las opciones de diseño de los fabricantes, las demandas de los usuarios y, en su caso, la legislación sectorial para abordar las necesidades y los objetivos específicos del sector, o las decisiones en materia de defensa de la competencia, deben determinar qué datos puede un producto conectado hacer accesibles a cualquier titular de datos o destinatario de datos en el punto de venta. El presente Reglamento se aplica a los productos comercializados en la Unión y, por tanto, no se aplica a los productos en fase de desarrollo, como los prototipos .

 

(15)

En cambio, los contenidos o los datos obtenidos, generados o a los que se haya accedido desde el producto conectado, o transmitidos a este con fines de almacenamiento o tratamiento por cuenta de terceros, como en el caso de los servidores o la infraestructura en la nube (por ejemplo, para su utilización por un servicio en línea), no deben estar cubiertos por el presente Reglamento.

(16)

También es necesario establecer normas aplicables a los servicios relacionados que estén incorporados en un producto conectado o estén interconectados con este, de tal manera que la ausencia de dicho servicio impediría que el producto desempeñara una o varias de sus funciones , y que impliquen la transferencia de datos entre el producto conectado y el proveedor de los servicios relacionados. El proveedor de un servicio relacionado que acceda a datos desde un producto conectado o tenga acceso a datos generados durante la prestación del servicio relacionado y tenga derecho a utilizar datos no personales, de conformidad con el artículo 4, apartado 6, debe considerarse un titular de datos para los datos a los que accedió desde el producto o generados durante la prestación del servicio relacionado. Estos servicios relacionados pueden formar parte del acuerdo de venta. Estos servicios relacionados pueden generar, por sí mismos, datos valiosos para el usuario, independientemente de la capacidad de recopilación de datos del producto conectado con el que estén interconectados. Dichos datos pueden representar la digitalización de las acciones y eventos de los usuarios y, en consecuencia, deben ser accesibles para el usuario. Estos datos pueden ser valiosos para el usuario y apoyan la innovación y el desarrollo de servicios digitales y servicios de otros tipos que protegen el medio ambiente, la salud y la economía circular, en particular porque facilitan el mantenimiento y la reparación de los productos en cuestión o el desarrollo de productos o servicios. La información derivada o inferida a partir de datos no personales por un titular de datos o un destinatario de datos, tras haber accedido a ellos desde el producto conectado, distintos de los datos generados durante la prestación de un servicio relacionado, no debe considerarse dentro del ámbito de aplicación del presente Reglamento. El presente Reglamento debe ser aplicable asimismo a los servicios relacionados no prestados por el propio vendedor o arrendador, sino por un tercero, en virtud del contrato de venta, alquiler o arrendamiento. En caso de duda sobre si la prestación de un servicio relacionado es necesaria para mantener el funcionamiento del sistema del producto conectado o si la prestación del servicio forma parte del contrato de venta, alquiler o arrendamiento, debe aplicarse el presente Reglamento. Ni el suministro de energía ni la facilitación de conectividad deben interpretarse como servicios relacionados en virtud del presente Reglamento.

 

(17)

Los datos a los que se haya accedido desde un producto conectado o generados durante la prestación de un servicio relacionado incluyen los datos registrados por el usuario de manera intencionada. Estos datos incluyen también los generados como subproducto de la intervención del usuario, como los datos de diagnóstico, y los generados sin intervención del usuario , como los datos sobre el entorno o las interacciones del producto conectado ( en particular cuando el producto se encuentra en «modo de espera»), así como los registrados durante los períodos en que el producto esté apagado. Estos datos deben contener los datos en la forma y el formato en que se accede a ellos desde el producto y ser compilados de una manera comprensible, estructurada, de uso común y legible por máquina, incluidos los metadatos pertinentes , pero no los resultantes de valor añadido a través de un proceso de software que calcule datos derivados cuando dicho proceso esté sujeto a secretos comerciales y derechos de propiedad intelectual. Cuando se acceda a los datos en un formato cifrado, el usuario debe disponer de todos los medios necesarios para descifrarlos y hacerlos accesibles.

(17 bis)

Deben tomarse más medidas para consolidar la economía de los datos y la gobernanza de los datos. En particular, es esencial aumentar y apoyar la alfabetización en materia de datos para que usuarios y empresas estén concienciados y motivados para ofrecer y facilitar el acceso a sus datos de conformidad con las normas jurídicas pertinentes. Esto constituye la base de una sociedad de datos sostenible. La difusión de medidas de alfabetización en materia de datos conllevaría la reducción de las desigualdades digitales, contribuiría a mejorar las condiciones de trabajo y, en última instancia, respaldaría la consolidación y la senda de innovación de la economía de los datos en la Unión. A fin de ofrecer oportunidades de empleo de calidad, debe garantizarse la adquisición y el desarrollo de capacidades de alfabetización en materia de datos, posibilitando la adquisición de competencias digitales por parte de ciudadanos y trabajadores, especialmente en el caso de los empleados de empresas emergentes y pymes.

 

(18)

Por usuario de un producto conectado debe entenderse la persona física o jurídica, como una empresa, un consumidor o un organismo del sector público, que ha adquirido el producto conectado o recibe servicios relacionados, o a la que el propietario del producto conectado ha transferido, sobre la base de un contrato de alquiler o de arrendamiento, derechos temporales para utilizar el producto conectado o recibir servicios relacionados . Este usuario asumirá los riesgos y aprovechará las ventajas de utilizar el producto conectado y ▌ , por lo tanto, debe tener derecho a aprovechar los datos a los que se haya accedido desde el producto conectado y generados durante la prestación de cualquier servicio relacionado.

(18 bis)

El término «alfabetización en materia de datos» se refiere a las capacidades, los conocimientos y la comprensión que permiten a usuarios, consumidores y empresas, en particular microempresas y pequeñas y medianas empresas, mejorar su concienciación sobre el valor potencial de los datos que han generado, producido e intercambiado, en el contexto de sus derechos y obligaciones establecidos en el presente Reglamento y en otros Reglamentos de la Unión relacionados con los datos. La alfabetización en materia de datos debe ir más allá del aprendizaje sobre herramientas y tecnologías y aspirar a dotar a los ciudadanos y a las empresas de la capacidad de beneficiarse de un mercado de datos justo. Por consiguiente, es necesario que la Comisión y los Estados miembros, en cooperación con todas las partes interesadas pertinentes, promuevan el desarrollo de la alfabetización en materia de datos, en todos los sectores de la sociedad, para los ciudadanos de todas las edades, incluidas las mujeres y las niñas. En consecuencia, la Unión y sus Estados miembros deben destinar más inversión a la educación y la formación, a fin de mejorar la alfabetización en materia de datos, y velar por que se realice un estrecho seguimiento de los avances en este sentido. Por consiguiente, las empresas también deben promover herramientas y adoptar medidas para garantizar las capacidades de alfabetización en materia de datos de los miembros de su personal que se ocupen del acceso a los datos y de su utilización, así como de las transferencias de datos, y, en su caso, también de otras personas que traten datos en su nombre, teniendo en cuenta tanto sus conocimientos técnicos, experiencia, educación y formación como los usuarios o grupos de usuarios a partir de los cuales se producen o generan los datos.

 

(19)

En la práctica, no todos los datos generados por productos conectados o servicios relacionados son fácilmente accesibles para sus usuarios, y a menudo existen pocas opciones de portabilidad de los datos generados por productos conectados a internet ▌ . Los usuarios no pueden obtener los datos necesarios para recurrir a proveedores de servicios de reparación y otros servicios, y las empresas no pueden poner en marcha servicios innovadores, más eficientes y prácticos. En muchos sectores, los fabricantes, aunque no tengan derecho legal a los datos, a menudo pueden determinar, a través del control del diseño técnico del producto o de los servicios relacionados, qué datos se generan y cómo se puede acceder a ellos. Por lo tanto, es necesario garantizar que los productos conectados se diseñen y fabriquen de manera que los datos generados por su uso sean fácilmente accesibles para el usuario en todo momento , gratuitamente, en un formato completo, estructurado, de uso común y legible por máquina, en particular a efectos de recuperar, utilizar o compartir los datos , y que los servicios relacionados se presten de esa misma manera. Salvo que la legislación de la Unión o del Estado miembro o las resoluciones judiciales pertinentes en materia de defensa de la competencia dispongan lo contrario, estos datos deben ser accesibles a nivel del tratamiento, en particular por medio de un programa informático incluido en el producto conectado, posibilitado por la elección de diseño del fabricante antes de la venta al usuario. Los datos deben estar disponibles en la forma en que sean accesibles desde el producto, con solo las adaptaciones mínimas necesarias para que puedan ser utilizados por un tercero, incluidos los metadatos asociados necesarios para interpretar y utilizar los datos. Esto requiere la eliminación de barreras técnicas para garantizar que los usuarios, cuando sea técnicamente posible, tengan acceso directo y en tiempo real a sus datos sin exhaustivos procedimientos individuales de verificación. Con el fin de facilitar el acceso de terceros a los datos requeridos, también es necesario un acceso rentable a herramientas informáticas. Cuando las actualizaciones o modificaciones posteriores del producto conectado, por parte del fabricante u otra parte, den lugar a datos accesibles adicionales o a una restricción de los datos accesibles inicialmente, estos cambios deben comunicarse al usuario en el contexto de la actualización o modificación. El presente Reglamento no establece la obligación de almacenar datos adicionalmente en la unidad informática central de un producto cuando esto sea desproporcionado en relación con el uso previsto. Esto no impide al fabricante o al titular de datos acordar voluntariamente con el usuario la realización de dicha adaptación.

(20)

En los casos de copropiedad del producto conectado y de los servicios relacionados que se presten, cuando varias personas o entidades posean un producto o sean parte en un acuerdo de arrendamiento o alquiler ▌ , el diseño del producto conectado o servicio relacionado o la interfaz pertinente debe permitir que todas las personas tengan acceso a los datos que generan. Por lo general, se requiere a los usuarios de productos conectados que generan datos la creación de una cuenta de usuario. Esta cuenta permite la identificación del usuario por parte de un titular de los datos, que puede ser el fabricante, y es un medio para comunicarse con vistas a realizar y tratar las solicitudes de acceso a datos. A efectos de identificación y autenticación, los fabricantes y los proveedores de servicios relacionados deben permitir a los usuarios utilizar carteras europeas de identidad digital, expedidas de conformidad con el Reglamento (UE) 910/2014 (14). Los fabricantes o diseñadores de un producto que suelen utilizar varias personas deben establecer el mecanismo necesario que permita crear cuentas de usuario separadas para personas concretas, cuando proceda, o que varias personas puedan utilizar la misma cuenta de usuario. Debe concederse acceso al usuario mediante mecanismos de solicitud sencillos, de ejecución automática, que no requieran un examen o autorización por parte de un fabricante o del titular de datos. Esto significa que los datos solo deben ponerse a disposición cuando el usuario lo desee realmente. Cuando no sea posible realizar la solicitud de acceso a los datos de manera automatizada, por ejemplo a través de una cuenta de usuario o de una aplicación móvil que acompañe al producto o servicio, el fabricante deberá informar al usuario de cómo puede acceder a los datos. Las cuentas de usuario deben permitir a los usuarios revocar el consentimiento para el tratamiento y el intercambio de datos, así como solicitar la supresión de los datos generados mediante el uso del producto conectado, en particular en los casos en que los usuarios del producto tengan la intención de transferir la propiedad del producto a otra parte.

 

(21)

Los productos pueden diseñarse para que determinados datos estén directamente disponibles a partir de un almacenamiento de datos en el dispositivo o de un servidor remoto al que se comuniquen los datos. El acceso al almacenamiento de datos en el dispositivo podrá habilitarse a través de redes de área local por cable o inalámbricas conectadas a un servicio de comunicaciones electrónicas disponible al público o a una red móvil. El servidor puede estar integrado en la capacidad del servidor local del fabricante o en la de un tercero o en la nube . De manera predeterminada, no se considera que los encargados del tratamiento, tal como se definen en el Reglamento (UE) 2016/679, actúen como titulares de datos , a menos que así se lo encargue específicamente el responsable del tratamiento . Pueden estar diseñados para permitir al usuario o a un tercero tratar los datos del producto o de una instancia informática del fabricante.

(22)

Los asistentes virtuales desempeñan un papel cada vez más importante en la digitalización de los entornos de consumo y profesionales y son una interfaz fácil de utilizar que sirve para reproducir contenidos, buscar información o activar objetos físicos conectados a internet ▌ . Los asistentes virtuales pueden funcionar como una pasarela única, por ejemplo en un entorno doméstico inteligente, y registrar cantidades significativas de datos pertinentes sobre cómo interactúan los usuarios con productos conectados a internet ▌ , incluso los fabricados por otras partes, y pueden sustituir a las interfaces proporcionadas por el fabricante, como pantallas táctiles o aplicaciones para teléfonos inteligentes. Es posible que el usuario desee poner dichos datos a disposición de fabricantes terceros para permitir el desarrollo de servicios innovadores destinados a hogares inteligentes. Estos asistentes virtuales deben estar cubiertos por el derecho de acceso a los datos contemplado en el presente Reglamento, también en lo que respecta a los datos registrados antes de la activación del asistente virtual mediante la palabra de activación y a los datos generados cuando un usuario interactúa con un producto conectado a través de un asistente virtual facilitado por una entidad distinta del fabricante del producto conectado ▌ .

 

(23)

Antes de celebrar un contrato de compra ▌ de un producto conectado, el fabricante o, en su caso, el vendedor, debe facilitar al usuario información clara y suficiente sobre los datos que son accesibles desde el producto conectado, incluidos el tipo, el formato, la frecuencia de muestreo y el volumen estimado de los datos accesibles. Esta debe incluir información sobre las estructuras de los datos, los formatos de datos, los vocabularios, los sistemas de clasificación, las taxonomías y las listas de códigos, cuando estén disponibles, así como información sobre cómo pueden almacenarse, recuperarse o accederse los datos, proporcionando también paquetes de desarrollo de software o interfaces de programación de aplicaciones, junto con las descripciones de sus condiciones de uso y su calidad de servicio . Esta obligación aporta transparencia sobre los datos accesibles generados y mejora la facilidad de acceso para el usuario. Un titular de datos podría cumplir con la obligación de transparencia, por ejemplo, manteniendo un localizador uniforme de recursos (URL) estable en la web, que puede distribuirse como un enlace web o un código QR, que apunte a la información relevante. Dicho URL podría ser proporcionado al usuario, por el fabricante o, en su caso, el vendedor, antes de celebrar el contrato de compra de un producto conectado. En cualquier caso, resulta necesario que se permita al usuario almacenar la información de manera que sea accesible para su futura consulta y que permita la reproducción inalterada de la información almacenada. Esta obligación de informar no afecta a la obligación del responsable del tratamiento de facilitar información al interesado de conformidad con los artículos 12, 13 y 14 del Reglamento (UE) 2016/679.

(23 bis)

Los servicios relacionados deben prestarse de tal manera que los datos generados durante su suministro, que corresponden a la digitalización de las acciones o los eventos del usuario, sean, por defecto, accesibles para el usuario, gratuitamente, con facilidad, con seguridad, y cuando sea pertinente y técnicamente viable, directamente, en un formato estructurado, de uso común y legible por máquina, junto con los metadatos pertinentes necesarios para interpretarlos y utilizarlos. La información derivada o inferida a partir de estos datos mediante algoritmos registrados complejos, en particular cuando combine la información producida por múltiples sensores en el producto conectado, no debe considerarse incluida en el ámbito de aplicación de la obligación del titular de datos de compartir datos con los usuarios o destinatarios de datos, a menos que se acuerde otra cosa. Antes de celebrar un acuerdo con un usuario sobre la prestación de un servicio relacionado, que implique el acceso del proveedor a los datos desde el producto conectado, de conformidad con el artículo 4, apartado 6, del presente Reglamento, el proveedor debe acordar con el usuario la naturaleza, el volumen, la frecuencia de recogida y el formato de los datos a los que acceda el proveedor de servicios relacionados desde el producto conectado, así como la naturaleza y el volumen estimado de los datos generados durante la prestación del servicio relacionado y, cuando proceda, las modalidades para que el usuario acceda a dichos datos o los recupere, incluido el período durante el cual deben almacenarse.

 

(24)

El presente Reglamento impone a los titulares de datos la obligación de poner a disposición los datos en determinadas circunstancias. En la medida en que se traten datos personales, un titular de datos debe ser responsable del tratamiento con arreglo al Reglamento (UE) 2016/679. Cuando el usuario sea un interesado, los titulares de datos deben estar obligados a proporcionarle acceso a sus datos y a ponerlos a disposición de terceros elegidos por el usuario de conformidad con el presente Reglamento. Sin embargo, el presente Reglamento no crea una base jurídica en virtud del Reglamento (UE) 2016/679 para que los titulares de datos faciliten el acceso a los datos personales o los pongan a disposición de un tercero cuando así lo solicite un usuario que no es un interesado, y no debe entenderse que concede ningún nuevo derecho a los titulares de datos a utilizar los datos a los que se haya accedido desde el producto conectado o generados durante la prestación de un servicio relacionado. Esto se aplica, en particular, cuando el fabricante es un titular de datos. En tal caso, la base para que el fabricante utilice datos no personales debe ser un acuerdo contractual entre el fabricante y el usuario. Dicho acuerdo podrá formar parte del contrato de venta ▌ del producto conectado . Debe darse al usuario una oportunidad razonable para rechazar ese acuerdo. En caso de que un usuario opte por rechazar las condiciones contractuales, ello no debe impedirle utilizar el producto pertinente del servicio, a menos que el producto del servicio no pueda funcionar sin la aceptación de las condiciones contractuales por parte del usuario. Toda cláusula contractual del acuerdo que estipule que un titular de datos puede utilizar los datos generados por el usuario de un producto o servicio relacionado debe ser transparente para el usuario, incluso en lo que respecta a la finalidad para la que un titular de datos pretenda utilizar los datos. El presente Reglamento no debe impedir las condiciones contractuales cuyo efecto sea excluir o limitar la utilización de los datos, o de determinadas categorías de los mismos, por parte de un titular de datos. El presente Reglamento tampoco debe impedir los requisitos reglamentarios sectoriales específicos en virtud del Derecho de la Unión, o del Derecho interno compatible con el Derecho de la Unión, que excluirían o limitarían la utilización de determinados datos por parte de un titular de datos por razones de orden público bien definidas.

(24 bis)

En la actualidad, resulta a menudo difícil para las empresas justificar los costes de personal o de computación necesarios para preparar conjuntos de datos o productos de datos no personales y ofrecerlos a posibles contrapartes a través de mercados de datos, incluidos los servicios de intermediación de datos, tal como se definen en el Reglamento(UE) 2022/868 del Parlamento Europeo y del Consejo (15) . Así pues, un obstáculo importante para el intercambio de datos no personales por parte de las empresas dimana de la falta de previsibilidad de los rendimientos económicos derivados de la inversión en la curación y puesta a disposición de conjuntos de datos o productos de datos. A fin de permitir la aparición de mercados líquidos, eficientes y equitativos de datos no personales en la Unión, debe aclararse qué parte tiene derecho a ofrecer dichos datos en un mercado. Por tanto, los usuarios deben tener derecho a compartir datos no personales con destinatarios de datos con fines comerciales y no comerciales. Este intercambio de datos podría ser realizado directamente por el usuario, a petición del usuario a través de un titular de datos o a través de servicios de intermediación de datos. Los servicios de intermediación de datos, regulados por el Reglamento (UE) 2022/868, podrían facilitar la economía de los datos mediante el establecimiento de relaciones comerciales entre los usuarios, los destinatarios de los datos y terceros, y pueden ayudar a los usuarios a ejercer su derecho a utilizar los datos, como garantizar la anonimización adecuada de los datos o la agregación del acceso a los datos de múltiples usuarios individuales. Con el fin de proteger los incentivos para que los usuarios moneticen los datos no personales de los productos conectados de su propiedad, los titulares de datos solo deben poder monetizar conjuntos de datos agregados de múltiples usuarios y no deben facilitar los datos no personales a los que hayan accedido desde el producto conectado a terceros con fines comerciales o no comerciales distintos del cumplimiento de sus obligaciones contractuales. Al mismo tiempo, cuando los titulares de datos hayan acordado contractualmente con los usuarios el derecho a utilizarlos, deben tener libertad para utilizarlos para una amplia gama de fines, como la mejora del funcionamiento del producto conectado o de los servicios relacionados, el desarrollo de nuevos productos o servicios o su enriquecimiento, manipulación o agregación con otros datos, incluso con el fin de poner a disposición de terceros el conjunto de datos resultante, siempre que dicho conjunto de datos derivados no permita la identificación de los elementos de datos específicos a los que haya accedido el titular de datos desde del producto conectado, ni permita a un tercero obtener dichos datos a partir del conjunto de datos sin un esfuerzo significativo.

 

(24 ter)

Cuando los productos generen datos, derivados o inferidos a partir de otros datos generados por el producto conectado mediante algoritmos registrados complejos, incluidos los que forman parte de programas informáticos registrados, en el sentido de la Directiva 2009/24/CE del Parlamento Europeo y del Consejo (16) , dichos datos deben considerarse excluidos del ámbito de aplicación del presente Reglamento y, por consiguiente, no sujetos a la obligación de que un titular de datos los ponga a disposición de un usuario o destinatario de datos, a menos que el usuario y el titular de datos acuerden otra cosa. Estos datos deben incluir, en particular, información derivada de la fusión de sensores, la inferencia o la derivación de datos desde múltiples sensores, recogidos en el producto conectado, utilizando algoritmos registrados complejos. No obstante, los datos inferidos o derivados del tratamiento de datos brutos recogidos a partir de un único sensor o de un grupo conectado de sensores, con el fin de hacer comprensibles los datos recogidos para casos de uso más amplios, determinando una cantidad o una calidad física o la modificación de una cantidad física, como la temperatura, la presión, el caudal, el pH, el nivel líquido, la posición, la aceleración o la velocidad, deben incluirse en la obligación de los titulares de datos de poner los datos a disposición de los usuarios y de los destinatarios de los datos. La legislación sectorial debe definir en mayor medida los datos accesibles sobre la base de las especificidades del sector.

(24 quater)

En principio, para fomentar la aparición de mercados líquidos, equitativos y eficientes de datos no personales, los usuarios de productos conectados deben poder compartir datos con otros, también con fines comerciales, con un mínimo esfuerzo jurídico y técnico. Antes de compartir datos, un usuario debe poder compartir datos con un alto grado de certeza de que no se enfrentará a consecuencias jurídicas adversas una vez que se hayan compartido los datos. Por consiguiente, cuando los datos estén excluidos de la obligación de un titular de datos de ponerlos a disposición de los usuarios o destinatarios de los datos, el alcance de dichos datos debe especificarse en el acuerdo contractual entre el usuario y el titular de los datos para la prestación de un servicio relacionado en un formato comprensible y claro, de manera que los usuarios puedan determinar fácilmente qué datos están a su disposición para compartirlos con destinatarios de datos o con terceros sin obligaciones adicionales en materia de protección de dichos datos.

 

(24 quinquies)

Existen muchas razones por las que determinados datos generados por el uso de un producto se mantienen inaccesibles para un titular de datos y, por consiguiente, no estarían sujetos a las obligaciones de intercambio establecidas en el capítulo II. Los datos pueden ser altamente volátiles (valores registrados a alta frecuencia) y ser sobrescritos de forma rápida o instantánea. Pueden recogerse únicamente para activar una función muy específica, como la actividad de los limpiaparabrisas o los faros, y actualmente no existe ningún caso de uso y el diseño del producto no prevé que estos datos se almacenen en el producto, habida cuenta de los costes relacionados con el almacenamiento de dichos datos, la conexión del sensor de captura de datos a un componente informático central desde el que puedan exportarse los datos y los costes de conectividad para transmitir los datos cuando los volúmenes sean considerables. En este sentido, los reglamentos sectoriales deben especificar en mayor medida la pertinencia de los datos accesibles en función de sus especificidades, a fin de garantizar la disponibilidad de, al menos, los datos que sean esenciales para la reparación o el mantenimiento de los productos conectados y los servicios relacionados.

(25)

En los sectores caracterizados por la concentración de un pequeño número de fabricantes o proveedores de servicios relacionados que abastecen a los usuarios finales, la capacidad de los usuarios para negociar el acceso a los datos transferidos por el producto conectado o generados durante la prestación de servicios relacionados es limitada debido al poder de negociación del fabricante o proveedor de servicios relacionados . En tales circunstancias, los acuerdos contractuales pueden resultar insuficientes para alcanzar el objetivo de la capacitación de los usuarios. Los datos suelen permanecer bajo el control de los fabricantes o los proveedores de servicios relacionados , lo que dificulta a los usuarios obtener valor a partir de los datos generados por los equipos de su propiedad . Por consiguiente, existe un potencial limitado para que las pequeñas empresas innovadoras ofrezcan soluciones basadas en datos de manera competitiva y para alcanzar una economía de los datos diversa en Europa. Por lo tanto, el presente Reglamento debe basarse en los últimos avances en sectores específicos, como el Código de conducta sobre el intercambio de datos agrícolas mediante acuerdo contractual. La legislación sectorial puede utilizarse para abordar las necesidades , preocupaciones en materia de seguridad y objetivos específicos del sector. Además, los titulares de datos no deben utilizar ningún dato al que hayan accedido desde el producto conectado o generado durante la prestación de servicios relacionados con el fin de obtener información sobre la situación económica del usuario, sus activos o métodos de producción o para cualquier otro fin que pueda socavar la posición comercial del usuario en los mercados en los que opera. Esto implicaría, por ejemplo, el uso de la información sobre el rendimiento global de una empresa, o de una explotación agrícola, en las negociaciones contractuales con el usuario sobre la posible adquisición de los productos, o de los productos agrícolas, del usuario en su propio detrimento, o para alimentar bases de datos más amplias de determinados mercados (por ejemplo, las bases de datos sobre el rendimiento de los cultivos para la próxima temporada de cosecha), ya que tal uso podría afectar negativamente al usuario de manera indirecta. El usuario debe disponer de la interfaz técnica necesaria para gestionar los permisos, preferiblemente con opciones de permiso detalladas (como «permitir una vez» o «permitir cuando se utilice esta aplicación o servicio»), incluida la opción de retirar el permiso.

 

(26)

En los contratos entre un titular de datos y un consumidor como usuario de productos conectados o servicios relacionados que generan datos, se aplica el Derecho en materia de protección de los consumidores de la Unión, como la Directiva 2005/29/CE, que se aplica a las prácticas comerciales desleales, y la Directiva 93/13/CEE se aplica a las cláusulas del contrato para garantizar que el consumidor no esté sujeto a cláusulas contractuales abusivas. En el caso de las cláusulas contractuales abusivas impuestas unilateralmente ▌ , el presente Reglamento establece que dichas cláusulas abusivas no deben ser vinculantes para dichas empresas.

(27)

Los titulares de datos podrán exigir una identificación adecuada del usuario para verificar el derecho de acceso a los datos por parte del usuario. En el caso de los datos personales tratados por un encargado del tratamiento en nombre del responsable del tratamiento, los titulares de datos deben garantizar que el encargado del tratamiento reciba y tramite la solicitud de acceso.

 

(28)

El usuario debe ser libre de utilizar los datos para cualquier fin lícito, lo que incluye que el usuario, en el ejercicio del derecho reconocido en el presente Reglamento, pueda facilitar los datos que haya recibido a un destinatario de datos que ofrezca un servicio posventa que pueda estar en competencia con un servicio prestado por un titular de datos, o dar instrucciones al titular de datos para que lo haga. La solicitud también debe ser válida con independencia de si la solicitud es planteada por el usuario o por un tercero autorizado que actúe en nombre del usuario, como servicio de intermediación de datos autorizado en el sentido del Reglamento (UE) 2022/868. Los titulares de datos deben garantizar que los datos puestos a disposición de un destinatario de datos sean tan exactos, completos, fiables, pertinentes y actualizados como los datos a los que el propio titular de datos pueda acceder, o a los que tenga derecho a acceder, al utilizar el producto conectado o servicio relacionado. En el tratamiento de los datos deben respetarse plenamente los secretos comerciales o de propiedad intelectual. Es importante mantener los incentivos a la inversión en productos con funcionalidades basadas en la utilización de datos procedentes de sensores incorporados a dichos productos. Por consiguiente, debe entenderse que los objetivos del presente Reglamento son fomentar el desarrollo de productos nuevos e innovadores o servicios relacionados, estimular la innovación en los mercados de posventa, y también alentar el desarrollo de servicios totalmente novedosos que utilicen los datos, incluso los basados en datos procedentes de diversos productos o servicios relacionados. Al mismo tiempo, el presente Reglamento pretende evitar la reducción de los incentivos a la inversión para el tipo de producto del que se obtienen los datos, por ejemplo, utilizando los datos para desarrollar un producto competidor. Otros fines lícitos en este contexto incluyen la ingeniería inversa, cuando esté permitida con arreglo a la Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo (17) como medio lícito de descubrimiento independiente de conocimientos técnicos o información, siempre que no dé lugar a una competencia desleal y se entienda sin perjuicio de la obligación de no desarrollar un producto competidor utilizando los datos recibidos en virtud del presente Reglamento. Este puede ser el caso para la finalidad de reparar, prolongar la vida útil de un producto o prestar servicios posventa a productos conectados cuando el fabricante o proveedor de servicios relacionados haya finalizado su producción o prestación.

(28 bis)

El presente Reglamento debe interpretarse de forma que preserve la protección conferida a los secretos comerciales en virtud de la Directiva (UE) 2016/943. A tal fin, los titulares de datos deben poder exigir al usuario, o a terceros elegidos por los usuarios, que preserven la confidencialidad de los datos considerados como secretos comerciales. Los secretos comerciales deben identificarse antes de la divulgación. Sin embargo, los titulares de datos no pueden vulnerar el derecho de los usuarios a solicitar el acceso y la utilización de los datos de conformidad con el presente Reglamento alegando que se consideran secretos comerciales determinados datos. El titular de datos, o el poseedor de secretos comerciales cuando no sea el titular de datos, debe tener la posibilidad de acordar con el usuario, o con terceros elegidos por los usuarios, las medidas adecuadas para preservar su confidencialidad, en particular mediante el uso de cláusulas contractuales tipo, acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta. En los casos en que el usuario o terceros elegidos por los usuarios no apliquen dichas medidas o vulneren la confidencialidad de los secretos comerciales, el titular de datos debe poder suspender el intercambio de los datos identificados como secretos comerciales, a la espera de la revisión del coordinador de datos del Estado miembro. En tales casos, el titular de datos debe notificar inmediatamente al coordinador de datos del Estado miembro en el que el titular de datos esté establecido, de conformidad con el artículo 31 del presente Reglamento, que ha suspendido el intercambio de datos y especificar las medidas que no se han aplicado o los secretos comerciales cuya confidencialidad se ha vulnerado. Cuando el usuario, o un tercero de su elección, desee impugnar la decisión del titular de datos de suspender el intercambio de datos, el coordinador de datos debe decidir, en un plazo razonable, si debe reanudarse o no el intercambio de datos y, en caso afirmativo, indicar en qué condiciones. La Comisión, asistida por el Comité Europeo de Innovación en materia de Datos, debe crear cláusulas contractuales tipo, y ser capaz de elaborar normas técnicas. La Comisión, asistida por el Comité Europeo de Innovación, también podría fomentar la creación de códigos de conducta relativos al respeto de los secretos comerciales o los derechos de propiedad intelectual en el tratamiento de los datos, con el fin de contribuir a la consecución del objetivo del presente Reglamento.

 

(29)

Un destinatario de datos al que se facilitan datos puede ser una persona física o jurídica, una empresa, un organismo de investigación, una organización sin ánimo de lucro o un intermediario, incluidos los servicios de intermediación de datos o las organizaciones de gestión de datos con fines altruistas, tal como se definen en el Reglamento (UE) 2022/868 . Al poner los datos a disposición de un destinatario de datos, los titulares de datos no deben explotar de manera abusiva su posición para buscar una ventaja competitiva en mercados en los que un titular de datos y un destinatario de datos puedan estar en competencia directa. Además, los titulares de datos no deben utilizar ningún dato al que se haya accedido desde el producto conectado o generado durante la prestación de un servicio relacionado con el fin de obtener información sobre la situación económica del tercero, sus activos o métodos de producción o para cualquier otro fin que pueda socavar la posición comercial del tercero en los mercados en los que opera. El usuario debe tener derecho a compartir datos no personales con terceros con fines comerciales. Previo acuerdo con el usuario, y con sujeción a lo dispuesto en el presente Reglamento, los destinatarios de datos deben poder transferir a terceros los derechos de acceso a los datos otorgados por el usuario, también a cambio de una compensación. Los servicios de intermediación de datos [regulados por el Reglamento (UE) 2022/868] pueden ayudar a los usuarios o a los destinatarios de datos a establecer una relación comercial para cualquier fin lícito sobre la base de datos que entren en el ámbito de aplicación del presente Reglamento. Podrían desempeñar un papel fundamental a la hora de agregar el acceso a los datos de un gran número de potenciales usuarios de datos individuales, de modo que puedan facilitarse los análisis de macrodatos o el aprendizaje automático, siempre que dichos usuarios mantengan el pleno control de si aportan sus datos a dicha agregación y de las condiciones comerciales en las que se utilizarán sus datos.

(30)

El uso de un producto o servicio relacionado puede generar datos relativos a una persona física identificada o identificable (el interesado), en particular cuando el usuario sea una persona física. El tratamiento de dichos datos está sujeto a las normas establecidas en virtud del Reglamento (UE) 2016/679, incluso cuando los datos personales y no personales de un conjunto de datos estén indisolublemente vinculados (18). El interesado puede ser el usuario u otra persona física. Los datos personales solo podrán ser solicitados por un responsable del tratamiento o un interesado. Un usuario que sea el interesado tiene derecho, en determinadas circunstancias, en virtud del Reglamento (UE) 2016/679, a acceder a los datos personales que le incumban, derecho que no se ve afectado por el presente Reglamento. En virtud del presente Reglamento, el usuario que sea una persona física tiene también derecho a acceder a todos los datos generados por el producto, tanto personales como no personales. Cuando el usuario no sea el interesado sino una empresa, incluido un empresario individual, y no en los casos de uso doméstico compartido del producto, el usuario será responsable del tratamiento en el sentido del Reglamento (UE) 2016/679. Por consiguiente, dicho usuario, como responsable del tratamiento que desea solicitar datos personales generados por el uso de un producto o un servicio relacionado, debe tener una base jurídica para el tratamiento de los datos con arreglo al artículo 6, apartado 1, del Reglamento (UE) 2016/679, como el consentimiento del interesado o el interés legítimo. Dicho usuario debe garantizar que el interesado esté debidamente informado de los fines especificados, explícitos y legítimos del tratamiento de dichos datos, y de la manera en que el interesado puede ejercer efectivamente sus derechos. Cuando el titular de datos y el usuario sean corresponsables del tratamiento en el sentido del artículo 26 del Reglamento (UE) 2016/679, están obligados a determinar, de manera transparente y mediante un acuerdo entre ellos, sus responsabilidades respectivas para garantizar el cumplimiento de dicho Reglamento. Debe entenderse que dicho usuario, una vez que los datos se hayan puesto a disposición, puede convertirse en titular de datos si cumple los criterios establecidos en el presente Reglamento y, por tanto, estar sujeto a la obligación de poner a disposición los datos en virtud del presente Reglamento.

 

(31)

Los datos a los que se haya accedido desde un producto conectado o generados durante la prestación de un servicio relacionado solo deben ponerse a disposición de un tercero a petición del usuario. Por lo tanto, el presente Reglamento complementa el derecho establecido en el artículo 20 del Reglamento (UE) 2016/679. Dicho artículo establece el derecho de los interesados a recibir los datos personales que les incumban en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otros responsables del tratamiento, cuando dichos datos se traten sobre la base del artículo 6, apartado 1, letra a), o del artículo 9, apartado 2, letra a), o de un contrato con arreglo al artículo 6, apartado 1, letra b). Los interesados también tienen derecho a que los datos personales se transmitan directamente de responsable a responsable, pero solo cuando sea técnicamente posible. El artículo 20 especifica que se trata de los datos facilitados por el interesado, pero no especifica si ello requiere un comportamiento activo por parte del interesado o si también es aplicable cuando un producto o servicio relacionado, por su diseño, observa el comportamiento de un interesado u otra información relacionada con un interesado de manera pasiva. El derecho establecido por el presente Reglamento complementa el derecho a la recepción y la portabilidad de datos personales en virtud del artículo 20 del Reglamento (UE) 2016/679 de varias maneras. Concede a los usuarios el derecho a acceder y poner a disposición de un destinatario de datos cualquier dato al que se haya accedido desde un producto conectado o generado durante la prestación de un servicio relacionado, independientemente de que sean de carácter personal, de la distinción entre datos facilitados activamente u observados pasivamente y de la base jurídica del tratamiento. A diferencia de las obligaciones técnicas establecidas en el artículo 20 del Reglamento (UE) 2016/679, el presente Reglamento exige y garantiza la viabilidad técnica del acceso de terceros a todos los tipos de datos incluidos en su ámbito de aplicación, ya sean personales o no personales. El presente Reglamento también permite a los titulares de datos establecer una compensación razonable a cargo de destinatarios de datos , pero no del usuario, por cualquier coste en que se incurra al proporcionar acceso directo a los datos generados por el producto del usuario. Si el titular de datos y un tercero no pueden acordar las condiciones de dicho acceso directo, no debe impedirse en modo alguno que el interesado ejerza los derechos recogidos en el Reglamento (UE) 2016/679, incluido el derecho a la portabilidad de los datos, buscando vías de recurso de conformidad con dicho Reglamento. En este contexto, debe entenderse que, de conformidad con el Reglamento (UE) 2016/679, un acuerdo contractual no permite el tratamiento de categorías especiales de datos personales por parte de los titulares de datos o del destinatario de datos .

(32)

El acceso a todos los datos almacenados en equipos terminales, y a los que se acceda desde estos, está sujeto a la Directiva 2002/58/CE y requiere el consentimiento del abonado o usuario en el sentido de dicha Directiva, a menos que sea estrictamente necesario para prestar un servicio de la sociedad de la información expresamente solicitado por el usuario o el abonado (o únicamente para la transmisión de una comunicación). La Directiva 2002/58/CE («Directiva sobre la privacidad y las comunicaciones electrónicas») y la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas protegen la integridad de los equipos terminales del usuario en lo que respecta al uso de las capacidades de tratamiento y almacenamiento y a la recopilación de información. Los equipos de internet de las cosas se consideran equipos terminales si están directa o indirectamente conectados a una red pública de comunicaciones.

 

(33)

Con el fin de evitar la explotación de los usuarios, los destinatarios de datos a los que se hayan facilitado datos a petición del usuario solo deben tratar los datos para los fines acordados con el usuario y no deben intercambiarlos con otro tercero sin informar inequívocamente al usuario de manera oportuna y obtener su acuerdo explícito a tal intercambio .

(34)

Los destinatarios de datos solo deben acceder a la información adicional necesaria para prestar el servicio solicitado por el usuario. Tras haber recibido acceso a los datos, el destinatario de datos debe tratarlos exclusivamente para los fines acordados con el usuario, sin injerencia del titular de datos. Para el usuario, debe ser tan fácil denegar o interrumpir el acceso a los datos del destinatario de datos como autorizarlo. Un destinatario de datos o titular de datos no debe dificultar indebidamente el ejercicio de los derechos o las opciones de los usuarios, en particular ofreciendo opciones a los usuarios de manera no neutral, ni coaccionar, engañar o manipular al usuario de ningún modo, tampoco perjudicando o socavando la autonomía, la toma de decisiones o las opciones del usuario, o utilizando una interfaz digital o parte de ella, incluidos su estructura, diseño, función o modo de funcionamiento con el usuario. En este contexto, los terceros o los titulares de datos no deben basarse en los denominados «patrones oscuros» a la hora de diseñar sus interfaces digitales. Los «patrones oscuros» son técnicas de diseño que empujan o engañan a los consumidores para que tomen decisiones que conllevan consecuencias negativas para sí mismos. Estas técnicas de manipulación pueden utilizarse para persuadir a los usuarios, en particular a los consumidores más vulnerables, a que incurran en comportamientos no deseados, y para engañarlos induciéndoles a tomar decisiones sobre transacciones de revelación de datos o para influir injustificadamente en la toma de decisiones de los usuarios del servicio, de tal manera que se socave y perjudique su autonomía, su toma de decisiones y su capacidad de elegir entre distintas opciones. Las prácticas comerciales habituales y legítimas que sean conformes con el Derecho de la Unión no deben considerarse por sí mismas como «patrones oscuros». Los terceros y los titulares de datos deben cumplir sus obligaciones en virtud del Derecho de la Unión pertinente, incluidos los requisitos establecidos en la Directiva 2005/29/CE, la Directiva 2011/83/UE, la Directiva 2000/31/CE y la Directiva 98/6/CE.

 

(35)

Los titulares de datos y los destinatarios de datos también deben abstenerse de utilizar los datos para trazar perfiles de personas, a menos que sea estrictamente necesario para prestar el servicio solicitado por el usuario. El requisito de suprimir datos personales cuando ya no sean necesarios para el fin acordado con el usuario complementa el derecho de supresión del interesado con arreglo al artículo 17 del Reglamento (UE) 2016/679. Cuando un destinatario de datos sea un proveedor de un servicio de intermediación de datos en el sentido del Reglamento (UE) 2022/868 , se aplicarán las garantías para el interesado que establece dicho Reglamento. El tercero puede utilizar los datos para desarrollar un producto o servicio relacionado, nuevo e innovador, pero no para desarrollar un producto competidor.

(36)

Las empresas emergentes, las pymes y las empresas de sectores tradicionales con capacidades digitales menos desarrolladas tienen dificultades para acceder a los datos pertinentes. El presente Reglamento tiene por objeto facilitar el acceso de estas entidades a los datos, garantizando al mismo tiempo que las obligaciones correspondientes queden delimitadas de la manera más proporcionada posible para evitar extralimitaciones. Al mismo tiempo, en la economía digital ha surgido un pequeño número de empresas muy grandes con un poder económico considerable gracias a la acumulación y agregación de grandes volúmenes de datos y a la infraestructura tecnológica necesaria para su monetización. Algunas de estas empresas prestan servicios básicos de plataforma que controlan ecosistemas de plataformas enteros en la economía digital, y que los operadores del mercado existentes o nuevos no son capaces de desafiar o disputar. El Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (19) tiene por objeto corregir estas ineficiencias y desequilibrios permitiendo a la Comisión designar a un proveedor como «guardián de acceso», e impone una serie de obligaciones a dichos guardianes de acceso designados, como la prohibición de combinar determinados datos sin consentimiento, o la obligación de garantizar los derechos efectivos a la portabilidad de los datos en virtud del artículo 20 del Reglamento (UE) 2016/679. En consonancia con el ▌Reglamento (UE) 2022/1925 , y habida cuenta de la inigualable capacidad de estas empresas para adquirir datos, la inclusión de dichas empresas guardianas de acceso como beneficiarias del derecho de acceso a los datos no sería necesaria para alcanzar el objetivo del presente Reglamento y, por tanto, sería desproporcionada en relación con los titulares de datos sujetos a dichas obligaciones. Esto significa que una empresa que presta servicios básicos de plataforma que ha sido designada como guardián de acceso no puede solicitar ni obtener acceso a los datos de los usuarios generados por el uso de un producto o servicio relacionado o por un asistente virtual sobre la base de las disposiciones del capítulo II del presente Reglamento. Debe entenderse que una empresa que presta servicios básicos de plataforma designada como guardián de acceso con arreglo al Reglamento (UE) 2022/1925 incluye a todas las entidades jurídicas de un grupo de empresas en el que una entidad jurídica presta un servicio básico de plataforma. Además, los terceros a los que se faciliten datos a petición del usuario no podrán poner los datos a disposición de un guardián de acceso designado. Por ejemplo, el tercero no puede subcontratar la prestación de servicios a un guardián de acceso. Sin embargo, esto no impide que terceros utilicen servicios de tratamiento de datos ofrecidos por un guardián de acceso designado. Esta exclusión de los guardianes de acceso designados del ámbito de aplicación del derecho de acceso en virtud del presente Reglamento no impide a estas empresas obtener datos por otros medios legales.

 

(37)

Las microempresas y las pequeñas empresas deben quedar exentas de las obligaciones establecidas en el capítulo II . Sin embargo, no sucede así cuando se subcontrata a una microempresa o pequeña empresa para fabricar o diseñar un producto. En estas situaciones, la empresa que haya subcontratado a la microempresa o pequeña empresa puede compensar adecuadamente al subcontratista. No obstante, una microempresa o pequeña empresa puede estar sujeta a los requisitos establecidos en el presente Reglamento como titular de datos, cuando no sea el fabricante del producto o un proveedor de servicios relacionados.

(38)

El presente Reglamento contiene normas ▌ , siempre que el titular de datos esté obligado por ley a poner los datos a disposición de un destinatario de datos. Dicho acceso debe basarse en condiciones justas, razonables, no discriminatorias y transparentes con el fin de garantizar la coherencia de las prácticas de intercambio de datos en el mercado interior, también entre distintos sectores, y de alentar y promover prácticas equitativas de intercambio de datos, incluso en ámbitos en los que no se concede dicho derecho de acceso a los datos. Estas normas generales de acceso no se aplican a las obligaciones de poner a disposición los datos en virtud del Reglamento (UE) 2016/679. El intercambio voluntario de datos no se ve afectado por estas normas.

 

(39)

Sobre la base del principio de libertad contractual, las partes deben seguir siendo libres de negociar las condiciones precisas para la puesta a disposición de los datos en sus contratos, en el marco de las normas generales de acceso para la puesta a disposición de los datos.

(40)

A fin de garantizar que las condiciones de acceso obligatorio a los datos sean equitativas para ambas partes, las normas generales sobre los derechos de acceso a los datos deben hacer referencia a la norma relativa a la necesidad de evitar cláusulas contractuales abusivas.

 

(41)

Todo acuerdo celebrado para poner los datos a disposición no debe discriminar entre categorías comparables de destinatarios de datos, independientemente de que sean grandes empresas, microempresas o pequeñas o medianas empresas. Para compensar la falta de información sobre las condiciones de los distintos contratos, lo que dificulta que el destinatario de los datos evalúe si las condiciones de puesta a disposición de los datos no son discriminatorias, debe ser responsabilidad de los titulares de datos demostrar que una cláusula contractual no es discriminatoria. La Comisión, con la participación de todas las partes afectadas, debe establecer orientaciones prácticas sobre lo que constituye una cláusula contractual no discriminatoria. No se considera una discriminación ilegal que el titular de datos utilice cláusulas contractuales diferentes para poner a disposición los datos ▌ , si dichas diferencias están justificadas por razones objetivas. Estas obligaciones se entienden sin perjuicio de lo dispuesto en el Reglamento (UE) 2016/679.

(42)

Con el fin de incentivar la inversión continua en la generación y la puesta a disposición de datos valiosos, como la inversión en herramientas técnicas pertinentes, el presente Reglamento contiene el principio de que los titulares de datos pueden solicitar una compensación razonable cuando estén legalmente obligados a poner los datos a disposición del destinatario de los datos en las relaciones entre empresas . Estas disposiciones no deben entenderse como un pago por los propios datos, sino para permitir que los titulares de datos reciban una compensación razonable por la puesta a disposición de los datos o , en el caso de las microempresas, las pequeñas o medianas empresas y los organismos de investigación que utilicen los datos sin ánimo de lucro , por los costes directos en que se haya incurrido y las inversiones necesarias para poner los datos a disposición. La Comisión debe elaborar orientaciones que detallen lo que se considera una compensación razonable en la economía de los datos.

 

(42 bis)

Esta compensación razonable podrá incluir, en primer lugar, los costes en que se haya incurrido y, excepto en el caso de las microempresas y las pequeñas empresas, las inversiones necesarias para la puesta a disposición de los datos. Estos costes pueden ser técnicos, como los costes necesarios para la reproducción de los datos, su difusión por medios electrónicos y su almacenamiento, pero no los costes de recopilación o producción de datos. Estos costes técnicos podrían incluir también los costes de tratamiento necesarios para poner a disposición los datos. Los costes relacionados con la puesta a disposición de los datos también podrán incluir los costes destinados a facilitar solicitudes concretas de intercambio de datos. También pueden variar en función de los acuerdos alcanzados para la puesta a disposición de los datos. Los acuerdos a largo plazo entre los titulares de datos y los destinatarios de datos, por ejemplo a través de contratos inteligentes, podrían reducir los costes en transacciones regulares o repetitivas en una relación de negocios. Los costes relacionados con la puesta a disposición de los datos pueden corresponder a una solicitud concreta o ser compartidos con otras solicitudes. En el segundo caso, un único destinatario de datos no debe pagar la totalidad de los costes de puesta a disposición de los datos. La compensación razonable podrá incluir, excepto en el caso de las microempresas y las pequeñas empresas, en segundo lugar, un margen. Este margen puede variar en función de factores relacionados con los propios datos, como su volumen, formato o naturaleza, o de la oferta y la demanda de los datos. Puede tener en cuenta los costes de recopilación de datos. Por lo tanto, el margen puede disminuir cuando el titular de datos haya recopilado los datos para su propia actividad sin inversiones significativas, o puede aumentar cuando las inversiones en la recopilación de datos a efectos de la actividad del titular de datos sean elevadas. El margen también puede depender del uso de los datos por parte del destinatario. Puede limitarse o incluso excluirse en situaciones en las que el uso de los datos por parte del destinatario de datos no afecte a las propias actividades del titular de datos. El hecho de que los datos sean cogenerados por un producto conectado que sea propiedad del usuario también podría reducir el importe de la compensación en comparación con otras situaciones en las que los datos son generados por el titular de datos, por ejemplo durante la prestación de un servicio relacionado.

(43)

En casos debidamente justificados, como cuando sea necesario proteger la participación y la competencia de los consumidores o promover la innovación en determinados mercados, el Derecho de la Unión o la legislación nacional que aplica el Derecho de la Unión pueden imponer una compensación regulada por la puesta a disposición de tipos de datos específicos.

 

(44)

Con el fin de proteger a las microempresas y a las pequeñas y medianas empresas de cargas económicas excesivas que les dificultarían comercialmente el desarrollo y la gestión de modelos de negocio innovadores, la compensación por la puesta a disposición de los datos que pagarían no debe superar el coste directo de la puesta a disposición de los datos y no debe ser discriminatoria. El mismo régimen debe aplicarse a aquellas organizaciones de investigación que utilicen los datos sin ánimo de lucro.

(45)

Los costes directos de la puesta a disposición de los datos son los costes necesarios para la reproducción de los datos, su difusión por medios electrónicos y su almacenamiento, pero no los costes de recopilación o producción de datos. Los costes directos de la puesta a disposición de los datos deben limitarse a la parte atribuible a las solicitudes individuales, teniendo en cuenta que el titular de datos tendrá que establecer permanentemente las interfaces técnicas necesarias o los correspondientes programas informáticos y la conectividad. Los acuerdos a largo plazo entre los titulares de datos y los destinatarios de datos, por ejemplo a través de un modelo de suscripción, podrían reducir los costes relacionados con la puesta a disposición de los datos en transacciones regulares o repetitivas en una relación de negocios. Si el titular de datos no es una pyme, este debe proporcionar activamente el cálculo que demuestre que su precio se basa en los costes, cuando sepa, o deba haber sabido, que su contraparte es una pyme. En cualquier caso, debe indicar que está obligado a poner los datos a disposición de una pyme al precio de coste y que está obligado a facilitar información detallada cuando se le solicite.

 

(46)

La intervención no es necesaria cuando el intercambio de datos se realiza entre grandes empresas, ni cuando el titular de datos es una pequeña o mediana empresa y el destinatario de datos es una gran empresa. En tales casos, se considera que las empresas son capaces de negociar cualquier compensación si es razonable, teniendo en cuenta factores como el volumen, el formato, el carácter, la oferta y la demanda de los datos, así como los costes derivados de la recopilación y puesta a disposición del destinatario de datos. En caso de uso indebido o divulgación de datos, el destinatario de datos debe ser responsable de los daños de la parte que los sufra y debe atender sin demora indebida las solicitudes del titular de datos.

(47)

La transparencia es un principio importante a la hora de garantizar que la compensación solicitada por un titular de datos sea razonable o, si el destinatario de datos es una pyme , que la compensación no supere los costes directamente relacionados con la puesta a disposición de los datos al destinatario de datos y que sea atribuible a la solicitud individual. A fin de que los destinatarios de datos puedan evaluar y verificar que la compensación cumple los requisitos del presente Reglamento, el titular de datos debe facilitar al destinatario de datos la información necesaria para calcular la compensación con un nivel de detalle suficiente.

 

(48)

Garantizar el acceso a formas alternativas de resolución de litigios nacionales y transfronterizos derivados de la puesta a disposición de los datos debe redundar en beneficio de los titulares y destinatarios de datos y, por lo tanto, reforzar la confianza en el intercambio de datos. Cuando las partes no puedan acordar condiciones justas, razonables y no discriminatorias para la puesta a disposición de los datos, los organismos de resolución de litigios deben ofrecer a las partes una solución sencilla, rápida y económica.

(49)

A fin de evitar el recurso a dos o más organismos de resolución de litigios para un mismo litigio, en particular en un contexto transfronterizo, un organismo de resolución de litigios debe poder rechazar una solicitud de resolución de un litigio que ya se haya presentado ante otro organismo de resolución de litigios o ante un órgano jurisdiccional de un Estado miembro.

 

(50)

No debe impedirse que las partes en los procedimientos de resolución de litigios ejerzan su derecho fundamental a la tutela judicial efectiva y a un juez imparcial. Por consiguiente, la decisión de someter un litigio a un organismo de resolución de litigios no debe privar a dichas partes de su derecho a recurrir ante un órgano jurisdiccional de un Estado miembro. Los órganos de resolución de litigios deben poner a disposición del público informes anuales de actividad.

(51)

Cuando una de las partes se encuentra en una posición negociadora más fuerte, existe el riesgo de que pueda aprovecharla en detrimento de la otra parte contratante a la hora de negociar y haga que el acceso a los datos sea menos viable desde el punto de vista comercial y, a veces, económicamente prohibitivo. Estos desequilibrios contractuales perjudican a las empresas que no cuentan con una capacidad significativa de negociar las condiciones de acceso a los datos, y cuya única opción es aceptar cláusulas contractuales de «o lo tomas o lo dejas». Por lo tanto, las cláusulas contractuales abusivas que regulen el acceso a los datos y su utilización, o la responsabilidad y los recursos en caso de incumplimiento o rescisión de obligaciones relacionadas con los datos no deben ser vinculantes para las microempresas ni para las pequeñas o medianas empresas cuando se les hayan impuesto unilateralmente.

 

(52)

Las normas sobre cláusulas contractuales deben tener en cuenta el principio de libertad contractual como concepto esencial en las relaciones entre empresas. ▌ . Se trata de situaciones del tipo «o lo tomas o lo dejas» en las que una parte presenta una determinada cláusula contractual y la otra no puede influir en el contenido de dicha cláusula pese a haber intentado negociarla. Una cláusula contractual que sea planteada simplemente por una de las partes y aceptada por la otra empresa, o una cláusula que se negocie y posteriormente se acuerde de forma modificada entre las partes contratantes no debe considerarse como impuesta unilateralmente. Todos los acuerdos contractuales deben respetar los principios sobre condiciones equitativas, razonables y no discriminatorias (FRAND, por sus siglas en inglés).

(53)

Además, las normas sobre cláusulas contractuales abusivas solo deben aplicarse a aquellos elementos de un contrato que estén relacionados con la puesta a disposición de datos, es decir, las cláusulas contractuales relativas al acceso a los datos y a su utilización, así como a la responsabilidad o los recursos por incumplimiento y rescisión de las obligaciones relacionadas con los datos. Las secciones del mismo contrato que no guarden relación con la puesta a disposición de datos no deben estar sujetas al control del carácter abusivo establecido en el presente Reglamento.

 

(54)

Los criterios para determinar las cláusulas contractuales abusivas solo deben aplicarse a cláusulas contractuales excesivas cuando se abuse de una posición negociadora más fuerte. La gran mayoría de las cláusulas contractuales que son comercialmente más favorables para una parte que para la otra, incluidas las que son habituales en los contratos entre empresas, constituyen una expresión normal del principio de libertad contractual y siguen siendo aplicables.

(55)

Si una cláusula contractual no está incluida en la lista de cláusulas que siempre se consideran abusivas o que se presumen abusivas, se aplicará la disposición general del carácter abusivo. A este respecto, las cláusulas enumeradas como abusivas deben servir como referencia para interpretar la disposición general del carácter abusivo. Por último, las cláusulas contractuales tipo para los contratos de intercambio de datos entre empresas que la Comisión debe desarrollar y recomendar también pueden ser útiles para las partes comerciales a la hora de negociar contratos.

 

(56)

En casos de necesidad excepcional, puede ser necesario que los organismos del sector público o las instituciones, órganos y organismos de la Unión utilicen datos que obren en propiedad de una empresa o que esta esté recopilando actualmente o haya obtenido, recopilado o generado de otra forma con anterioridad y que conserve en el momento de la solicitud, para responder a emergencias públicas o en otros casos excepcionales. Las organizaciones que realizan actividades de investigación y las organizaciones que financian la investigación también se pueden organizar como organismos del sector público u organismos de Derecho público. Con el fin de limitar la carga para las empresas, las microempresas y las pequeñas empresas deben quedar exentas de la obligación de facilitar datos a los organismos del sector público y a las instituciones, órganos y organismos de la Unión en situaciones de necesidad excepcional.

(57)

En caso de emergencia pública, ya sea una emergencia de salud pública, una emergencia derivada de la degradación del medio ambiente o de una catástrofe natural grave (incluidas las agravadas por el cambio climático) o una catástrofe grave provocada por el ser humano, como un incidente grave de ciberseguridad, el interés público resultante de la utilización de los datos prevalecerá sobre el interés de los titulares de datos de disponer libremente de los datos que obran en su poder. En tal caso, los titulares de datos deben estar obligados a poner los datos a disposición de los organismos del sector público o de las instituciones, órganos y organismos de la Unión que así lo requieran , y estar sujetos a las condiciones y otras garantías establecidas en el presente Reglamento o en otro acto legislativo de la Unión o nacional . La existencia de una emergencia pública se determina con arreglo a los procedimientos respectivos de los Estados miembros o de las organizaciones internacionales pertinentes.

 

(58)

También puede surgir una necesidad excepcional de situaciones de no emergencia cuando un organismo del sector público pueda demostrar que los datos son necesarios para el cumplimiento de una tarea específica de interés público contemplada explícitamente y definida en la legislación nacional, como evitar una emergencia pública o ayudar a la posterior recuperación . Dicha solicitud solo podrá presentarse cuando ▌ el organismo del sector público o la institución, órgano u organismo de la Unión haya identificado datos específicos que no estén disponibles y solo si ha agotado los tres medios alternativos siguientes para obtener datos: solicitar los datos a través de acuerdos voluntarios, comprar los datos en el mercado y apoyarse en obligaciones existentes para poner a disposición los datos .

(59)

El presente Reglamento no debe aplicarse a los acuerdos voluntarios celebrados con vistas al intercambio de datos no personales entre entidades privadas y públicas, ni debe condicionarlos. ▌ Los requisitos de acceso a los datos para verificar el cumplimiento de las normas aplicables, incluso en los casos en que los organismos del sector público asignen la tarea de verificación del cumplimiento a entidades que no sean organismos del sector público, tampoco deben verse afectados por el presente Reglamento.

 

(60)

Para el ejercicio de sus tareas en los ámbitos de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales y administrativas, la ejecución de sanciones penales y administrativas, así como la recopilación de datos con fines fiscales o aduaneros, los organismos del sector público y las instituciones, órganos y organismos de la Unión deben basarse en sus competencias en virtud de la legislación sectorial. Por consiguiente, el presente Reglamento no afecta a los instrumentos relativos al intercambio, el acceso y la utilización de datos en dichos ámbitos.

(61)

Es necesario un marco proporcionado, limitado y predecible a escala de la Unión para que, en caso de necesidades excepcionales, los titulares de datos pongan los datos a disposición de los organismos del sector público y de las instituciones, órganos y organismos de la Unión, tanto para garantizar la seguridad jurídica como para minimizar las cargas administrativas que recaen sobre las empresas. A tal fin, las solicitudes de datos por parte de los organismos del sector público y de las instituciones, órganos y organismos de la Unión a los titulares de datos deben basarse en el Derecho de la Unión o nacional y ser específicas, transparentes y proporcionadas en cuanto al alcance de su contenido y su granularidad. La finalidad de la solicitud y el uso previsto de los datos solicitados deben ser específicos y explicarse claramente, y permitir al mismo tiempo la flexibilidad necesaria para que la entidad solicitante desempeñe sus tareas en aras del interés público. La solicitud también debe respetar los intereses legítimos de las empresas a las que se dirige. La carga para los titulares de datos debe reducirse al mínimo obligando a las entidades solicitantes a respetar el principio de «solo una vez», que impide que los mismos datos sean solicitados más de una vez por más de un organismo del sector público o una institución, órgano u organismo de la Unión cuando dichos datos sean necesarios para responder a una emergencia pública. A fin de garantizar la transparencia y una coordinación adecuada , la entidad que solicite los datos debe comunicar sin demora injustificada las solicitudes de datos formuladas por los organismos del sector público y por las instituciones, órganos u organismos de la Unión al coordinador de datos de dicho Estado miembro, que garantizará que dichas solicitudes se incluyan en una lista pública disponible en línea de todas las solicitudes justificadas por una necesidad excepcional .

 

(62)

El objetivo de la obligación de facilitar los datos es garantizar que los organismos del sector público y las instituciones, órganos y organismos de la Unión tengan los conocimientos necesarios para responder a emergencias públicas, prevenirlas o recuperarse de ellas, o para mantener la capacidad de desempeñar tareas específicas expresamente contempladas por la ley. Los datos obtenidos por dichas entidades pueden ser sensibles desde el punto de vista comercial. Por consiguiente, el Reglamento (UE) 2022/868 y la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo (20) no deben aplicarse a los datos facilitados en virtud del presente Reglamento, que no deben considerarse como datos abiertos disponibles para su reutilización por terceros. No obstante, esto no debe afectar a la aplicabilidad de la Directiva (UE) 2019/1024 en lo que se refiere a la reutilización de las estadísticas oficiales para cuya elaboración se hayan utilizado datos obtenidos con arreglo al presente Reglamento, siempre que dicha reutilización no incluya los datos subyacentes. Además, no debe afectar a la posibilidad de intercambiar los datos para llevar a cabo investigaciones o para la compilación de estadísticas oficiales, siempre que se cumplan las condiciones establecidas en el presente Reglamento. Cuando lo permita el Derecho de la Unión o nacional, los organismos del sector público también deben poder intercambiar los datos obtenidos en virtud del presente Reglamento con otros organismos del sector público con el fin de hacer frente a las necesidades excepcionales para las que se han solicitado los datos , siempre y cuando se informe al titular de los datos de manera oportuna y todos los organismos respeten las mismas normas sobre transparencia que el solicitante original de los datos y se garantice la protección de los secretos comerciales y de los derechos de propiedad intelectual .

(63)

Los titulares de datos deben tener la posibilidad de pedir una modificación de la solicitud presentada por un organismo del sector público o una institución, órgano u organismo de la Unión o su cancelación en un plazo de cinco o quince días hábiles, dependiendo del carácter de la necesidad excepcional invocada en la solicitud. En caso de solicitudes motivadas por una emergencia pública, debe existir una razón justificada para no poner a disposición los datos si puede demostrarse que la solicitud es similar o idéntica a una solicitud presentada previamente con el mismo fin por otro organismo del sector público o por otra institución, órgano u organismo de la Unión o si el titular de datos no está recopilando actualmente, o no ha recopilado, obtenido o generado previamente los datos solicitados y no los retiene en el momento de la solicitud . El titular de datos que rechace la solicitud o que exija su modificación debe comunicar la justificación subyacente de la denegación de la solicitud al organismo del sector público o a la institución, órgano u organismo de la Unión que solicite los datos. En caso de que los derechos sui generis sobre bases de datos en virtud de la Directiva 96/9/CE del Parlamento Europeo y del Consejo (21) se apliquen en relación con los conjuntos de datos solicitados, los titulares de datos deben ejercer sus derechos de manera que no se impida al organismo del sector público y a las instituciones, órganos y organismos de la Unión obtener los datos o intercambiarlos de conformidad con el presente Reglamento.

 

 

(65)

Los datos puestos a disposición de los organismos del sector público y de las instituciones, órganos y organismos de la Unión sobre la base de una necesidad excepcional solo deben utilizarse para el fin para el que se solicitaron ▌ . Los datos deben destruirse cuando ya no sean necesarios para el fin indicado en la solicitud, a menos que se acuerde de otro modo, y debe informarse al titular de datos al respecto. Los organismos del sector público y las instituciones, órganos y organismos de la Unión deben garantizar, incluso mediante la aplicación de medidas de seguridad proporcionadas, cuando proceda de conformidad con el Derecho de la Unión y nacional, que se preserve cualquier naturaleza protegida de los datos y se evite el acceso no autorizado.

 

(66)

Al reutilizar los datos facilitados por los titulares de datos, los organismos del sector público y las instituciones, órganos y organismos de la Unión deben respetar tanto la legislación vigente aplicable como las obligaciones contractuales a las que esté sujeto el titular de datos. Cuando la divulgación de secretos comerciales del titular de datos a organismos del sector público o a instituciones, órganos y organismos de la Unión sea estrictamente necesaria para cumplir el objetivo para el que se han solicitado los datos, debe garantizarse con antelación la confidencialidad de dicha divulgación al titular de datos o al poseedor de secretos comerciales, también, en su caso, mediante el uso de cláusulas contractuales tipo, normas técnicas y la aplicación de códigos de conducta . En los casos en que el organismo del sector público o la institución, órgano u organismo de la Unión o los terceros que hayan recibido los datos para desempeñar la tarea que les haya sido externalizada no apliquen esas medidas o vulneren la confidencialidad de los secretos comerciales, el titular de datos debe poder suspender el intercambio de los datos identificados como secretos comerciales. Dicha decisión de suspender el intercambio de datos podría ser impugnada por el organismo del sector público, o por la institución, órgano u organismo de la Unión, o por los terceros a los que se hayan transmitido los datos, y estar sujeta a revisión por parte del coordinador de datos del Estado miembro.

(67)

Cuando esté en juego la salvaguardia de un bien público significativo, como en la respuesta a emergencias públicas, no debe esperarse que el organismo del sector público o la institución, órgano u organismo de la Unión compensen a las empresas por los datos obtenidos , siempre y cuando la solicitud esté limitada en el tiempo y en su alcance y sea proporcionada a la situación de la emergencia pública . Las emergencias públicas son acontecimientos inusuales y no todas requieren la utilización de datos que obran en propiedad de las empresas. Por tanto, no es probable que las actividades empresariales de los titulares de datos se vean afectadas negativamente como consecuencia de que los organismos del sector público o las instituciones, órganos u organismos de la Unión puedan acudir al presente Reglamento. No obstante, en los casos de necesidad excepcional distintos de la respuesta a una emergencia pública, que pueden ser más frecuentes e incluyen la prevención o recuperación de una emergencia pública, los titulares de datos deben tener derecho a una compensación razonable. El presente Reglamento no debe afectar a los existentes acuerdos nacionales o de la Unión en virtud de los cuales los datos se comparten gratuitamente, ni impedir que los organismos del sector público , las instituciones, órganos u organismos de la Unión y los titulares de datos celebren acuerdos voluntarios de intercambio de datos de forma gratuita.

 

(68)

El organismo del sector público o la institución, órgano u organismo de la Unión podrá intercambiar los datos que haya obtenido en virtud de la solicitud con otras entidades o personas cuando ello sea necesario para llevar a cabo actividades de investigación científica o actividades analíticas que no pueda realizar por sí mismo , siempre y cuando esas actividades sean estrictamente necesarias para responder a la emergencia . Debe informar oportunamente al titular de datos de dicho intercambio. Estos datos también podrán intercambiarse en las mismas circunstancias con los institutos nacionales de estadística y Eurostat para compilar estadísticas oficiales. No obstante, estas actividades de investigación deben ser compatibles con la finalidad para la que se solicitaron los datos y el titular de datos debe ser informado del ulterior intercambio de los datos que había facilitado. Las personas u organismos que lleven a cabo actividades de investigación con las que puedan compartirse estos datos deben actuar sin ánimo de lucro o en el contexto de una misión de interés público reconocida por el Estado. Los organismos sobre los que las empresas comerciales o públicas tienen una influencia decisiva tal que les permita ejercer un control derivado de situaciones estructurales que podría dar lugar a un acceso preferente a los resultados de la investigación no deben considerarse organismos de investigación a efectos del presente Reglamento.

(69)

La capacidad de los clientes de servicios de tratamiento de datos, incluidos los servicios en la nube y en el borde, de cambiar de un servicio de tratamiento de datos a otro, evitando la inactividad de los servicios, o de utilizar los servicios de varios proveedores simultáneamente sin costes indebidos de transferencia de datos es una condición clave para lograr un mercado más competitivo con menores barreras de entrada para los nuevos proveedores de servicios , y para garantizar una mayor resiliencia para los usuarios de estos servicios . Las garantías de cambio efectivo también deben incluir a los clientes que se benefician de ofertas de nivel gratuito a gran escala, para que ello no dé lugar a una situación de bloqueo para los clientes. Facilitar un enfoque multinube para los clientes de servicios de tratamiento de datos también contribuye a aumentar su resiliencia operativa digital, tal como se reconoce para las entidades de servicios financieros en el Reglamento sobre la resiliencia operativa digital del sector financiero.

 

(69 bis)

Las tasas por cambio de proveedor son tasas que imponen los proveedores de servicios de computación en la nube a sus clientes por el proceso de cambio. Normalmente, estas tasas tienen como fin trasladar los costes en los que pueda incurrir el proveedor de origen debido al proceso de cambio al cliente que desee efectuar el cambio. Entre las tasas por cambio de proveedor se encuentran los costes relativos a la transferencia de los datos de un proveedor a otro, o hacia un sistema local («tasas de salida»), o los costes incurridos en acciones de apoyo específicas durante el proceso de cambio. Las tasas de salida innecesariamente elevadas y otros costes injustificados que no están relacionados con la propia tasa por cambio de proveedor disuaden a los clientes de cambiar, restringen la libre circulación de datos y pueden limitar la competencia y provocar efectos del bloqueo para los clientes de los servicios de tratamiento de datos, reduciendo los incentivos para elegir un proveedor de servicios diferente o adicional. Como consecuencia de las nuevas obligaciones previstas en el presente Reglamento, el proveedor de servicios de tratamiento de datos de origen podría externalizar determinadas tareas y renumerar a entidades terceras con el fin de cumplir dichas obligaciones. El cliente no debe asumir los costes derivados de la externalización de servicios realizada por el proveedor de servicios de tratamiento de datos de origen durante el proceso de cambio, y dichos costes deben considerarse injustificados. Nada de lo dispuesto en la Ley de Datos impide a un cliente remunerar a entidades terceras por el apoyo en el proceso de migración. Los proveedores de origen de servicios de tratamiento de datos cobran tasas de salida a los clientes cuando estos desean sacar sus datos de la red de un proveedor de servicios en la nube a una ubicación externa, en especial, cuando se produce un cambio de un proveedor a otro o a varios proveedores de destino, al trasladar sus datos de una ubicación a otra utilizando el mismo proveedor de servicios en la nube. Por lo tanto, para fomentar la competencia, la retirada gradual de las tasas asociadas al cambio de servicio de tratamiento de datos debe incluir específicamente retirar las tasas de salida que cobre el servicio de tratamiento de datos a un cliente.

(70)

El Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo anima a los proveedores de servicios de tratamiento de datos a que desarrollen y apliquen eficazmente códigos de conducta autorreguladores que incluyan las mejores prácticas para, entre otras cosas, facilitar el cambio de proveedores de servicios de tratamiento de datos y la portabilidad de datos. Dada la limitada adopción de los marcos autorreguladores desarrollados como respuesta y la falta general de disponibilidad de normas e interfaces abiertas, es necesario adoptar un conjunto de obligaciones reglamentarias mínimas para los proveedores de servicios de tratamiento de datos a fin de eliminar los obstáculos contractuales, comerciales, organizativos, económicos y técnicos , que no se limitan a restringir la velocidad de la transferencia de datos en la salida del cliente, lo que dificulta el cambio efectivo entre servicios de tratamiento de datos.

 

(71)

Los servicios de tratamiento de datos deben abarcar los servicios que permiten un acceso de red ubicuo y bajo demanda a un conjunto compartido, configurable, modulable y elástico de recursos informáticos distribuidos. Esos recursos informáticos incluyen recursos tales como las redes, los servidores u otras infraestructuras virtuales o físicas, ▌ software, en particular herramientas de desarrollo de software, almacenamiento, aplicaciones y servicios. Los modelos de utilización de los servicios de tratamiento de datos deben incluir la nube privada y pública. Dichos servicios y modelos de utilización deben ser los mismos que los definidos en las normas internacionales. La capacidad del cliente del servicio de tratamiento de datos de autoabastecerse unilateralmente de capacidades de computación, como, por ejemplo, tiempo de servidor o almacenamiento en red, sin ninguna interacción humana por parte del proveedor de servicios de tratamiento de datos podría describirse como que requiere un esfuerzo mínimo de gestión y conlleva una interacción mínima entre el proveedor y el cliente . El término « ubicuo » se utiliza para describir que las capacidades de computación se suministran en toda la red y se accede a ellas a través de mecanismos que promueven el uso de plataformas de cliente ligero o pesado heterogéneas (desde navegadores a dispositivos móviles y estaciones de trabajo). El término «modulable» se refiere a los recursos de computación que el proveedor de servicios de tratamiento de datos puede asignar de manera flexible con independencia de la localización geográfica de los recursos para hacer frente a fluctuaciones de la demanda. El término «▌ elástico» se usa para describir los recursos informáticos de los que se abastece y que se ponen a la venta según la demanda, de modo que se puedan aumentar o reducir con rapidez los recursos disponibles en función de la carga de trabajo. El término « conjunto compartido » se usa para describir recursos informáticos que se proporcionan a múltiples usuarios que comparten un acceso común al servicio pero la tramitación se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electrónico. El término «distribuido» se emplea para describir los recursos informáticos que se encuentran ubicados en distintos ordenadores o dispositivos conectados en red y que se comunican y coordinan entre sí intercambiando mensajes. El término «muy distribuido» se emplea para describir servicios de tratamiento de datos que implican tratar los datos más cerca del punto en que los datos se generan o recogen, por ejemplo en un dispositivo de tratamiento de datos conectado. La computación en el borde, que es un ejemplo de este tipo de tratamiento de datos muy distribuido, está previsto que genere nuevos modelos de negocio y de prestación de servicios de computación en nube, que deben ser abiertos e interoperables desde el principio. Los servicios digitales considerados plataformas en línea conforme a la definición del artículo 3, letra i), de [la Ley de servicios digitales] y los servicios de contenidos en línea tal como se definen en el artículo 2, apartado 5, del Reglamento (UE) 2017/1128 del Parlamento Europeo y del Consejo (22) no deben considerarse «servicios de tratamiento de datos» en el sentido del presente Reglamento.

(71 bis)

Los servicios de tratamiento de datos se inscriben en uno o más de los tres modelos siguientes de prestación de servicios de tratamiento de datos: IcS (infraestructura como servicio), PcS (plataforma como servicio) y ScS (software como servicio). Estos modelos de prestación de servicios representan una combinación específica y preestablecida de recursos informáticos ofrecidos por un proveedor de servicios de tratamiento de datos. Estos tres modelos básicos de prestación de servicios en la nube se completan con variaciones emergentes, cada una de las cuales consta de una combinación distinta de recursos informáticos, como almacenamiento como servicio y base de datos como servicio. A efectos del presente Reglamento, los servicios de tratamiento de datos pueden clasificarse en una variedad más detallada y no exhaustiva de diferentes «servicios equivalentes», es decir, conjuntos de servicios de tratamiento de datos que comparten el mismo objetivo principal y las mismas funcionalidades principales, así como el mismo tipo de modelos de tratamiento de datos, que no están relacionados con las características operativas del servicio. Por ejemplo, dos bases de datos pueden parecer compartir el mismo objetivo principal, pero tras considerar su modelo de tratamiento de datos, su modelo de distribución y su caso de uso específico, dichas bases de datos deben incluirse en una subcategoría más detallada de servicios equivalentes. Los servicios equivalentes pueden tener características diferentes y competidoras, como el rendimiento, la seguridad, la resistencia y la calidad del servicio.

 

(71 ter)

La extracción de los datos que pertenecen al cliente del proveedor de servicios de tratamiento de datos de origen sigue siendo uno de los retos que impide el restablecimiento de las funcionalidades del servicio en la infraestructura del proveedor de destino. Con el fin de planificar adecuadamente la estrategia de salida, evitar tareas innecesarias y gravosas y garantizar que el cliente no pierda ninguno de sus datos como consecuencia del proceso de cambio de proveedor, el proveedor de servicios de tratamiento de datos de origen debe incluir en el contrato la información obligatoria sobre el alcance de los datos que el cliente puede exportar una vez que decida cambiar a otro servicio o a otro proveedor de servicios de tratamiento de datos o a una infraestructura de TIC in situ. El alcance de los datos exportables debe incluir, como mínimo, los datos de entrada y salida, incluidos los formatos de datos pertinentes, las estructuras de datos y los metadatos generados directa o indirectamente o cogenerados por el uso del servicio de tratamiento de datos por parte del cliente, y que pueden asignarse claramente al cliente. Los datos exportables deben excluir cualquier servicio de tratamiento de datos, los activos de terceros o los datos protegidos por derechos de propiedad intelectual o que constituyan un secreto comercial o información confidencial, como los datos relacionados con la integridad y la seguridad del servicio prestado por el servicio de tratamiento de datos, y también deben excluir los datos utilizados por el proveedor para gestionar, mantener y mejorar el servicio.

(72)

El objetivo del presente Reglamento es facilitar el cambio entre servicios de tratamiento de datos, que englobe todas las condiciones y acciones pertinentes que son necesarias para que un cliente ponga fin a un acuerdo contractual con un servicio de tratamiento de datos, celebre uno o varios contratos nuevos con diferentes proveedores de servicios de tratamiento de datos, transmita todos sus activos digitales, incluidos datos, a los otros proveedores concernidos y continúe utilizándolos en el nuevo entorno, y se beneficie de la equivalencia funcional. Cabe señalar que los servicios de tratamiento de datos sujetos al presente Reglamento son aquellos en los que el servicio de tratamiento de datos, tal como se define en el presente Reglamento, forma parte del negocio principal de un proveedor. Por activos digitales se entienden los elementos en formato digital respecto de los cuales el cliente tiene derecho de uso, como los datos, aplicaciones, máquinas virtuales y otras manifestaciones de tecnologías de virtualización, como los contenedores. El proceso de cambio es una operación impulsada por el cliente que consta de tres fases principales, a saber: i) extracción de datos, esto es, la descarga de datos desde el ecosistema del proveedor de origen; ii) transformación, cuando los datos se estructuran de modo que no se ajustan al esquema de la ubicación de destino; y iii) carga de los datos en una nueva ubicación de destino. En una situación específica descrita en el presente Reglamento, la separación de un servicio concreto del contrato y su traslado a otro proveedor también debe considerarse cambio de proveedor. En ocasiones, una entidad tercera gestiona el proceso de cambio en nombre del cliente. En consecuencia, debe entenderse que todos los derechos y obligaciones del cliente establecidos por el presente Reglamento, incluida la obligación de colaborar de buena fe, se aplican a dicha entidad tercera en estas circunstancias. Los proveedores y los clientes de servicios en la nube ostentan distintos niveles de responsabilidad, en función de las fases del proceso mencionado. Por ejemplo, el proveedor de servicios de tratamiento de datos de origen es responsable de extraer los datos a un formato legible por máquina, pero son el cliente y el proveedor de destino quienes cargarán los datos en el nuevo entorno, a menos que se haya obtenido un servicio de transición profesional específico. Los obstáculos al cambio son de distinta naturaleza, en función de la fase del proceso de cambio a que se refiera. Por equivalencia funcional se entiende la posibilidad de restablecer, sobre la base de los datos del cliente, un nivel mínimo de funcionalidad de un servicio en el entorno de un nuevo servicio de tratamiento de datos después del cambio, cuando el servicio de destino ofrezca un resultado comparable en respuesta a la misma entrada para la funcionalidad compartida suministrada al cliente en virtud del acuerdo contractual. Los diferentes servicios solo pueden lograr la equivalencia funcional de las funcionalidades básicas compartidas, en las que tanto los proveedores de servicios de origen como los de destino ofrecen de forma independiente las mismas funcionalidades básicas . El presente Reglamento no instaura la obligación de facilitar la equivalencia funcional para los modelos de prestación de servicios de tratamiento de datos del modelo de prestación de PcS o ScS. Los metadatos pertinentes , generados por el uso de un servicio que hace el cliente, deben ser también portables de conformidad con las disposiciones relativas a los cambios del presente Reglamento y estar comprendidos en la definición de «datos exportables» . Los servicios de tratamiento de datos se utilizan en todos los sectores y varían en cuanto a complejidad y tipo de servicio. Esta es una consideración importante con respecto al proceso y a los plazos de la portabilidad.

 

(72 bis)

Hace falta un enfoque regulador para la interoperabilidad que sea ambicioso y que inspire la innovación, con el fin de superar la dependencia de un solo proveedor, que obstaculiza la competencia y el desarrollo de nuevos servicios. La interoperabilidad entre servicios de tratamiento de datos equivalentes implica múltiples interfaces y niveles de infraestructuras y programas informáticos, y rara vez se limita a una prueba binaria de si se puede lograr o no. Por el contrario, la construcción de dicha interoperabilidad está sujeta a un análisis de costes y beneficios que es necesario para determinar si vale la pena perseguir resultados razonablemente previsibles. La norma ISO/IEC 19941: 2017 es una referencia importante para la consecución de los objetivos del presente Reglamento, ya que contiene consideraciones técnicas que aclaran la complejidad de dicho proceso.

(73)

Cuando los proveedores de servicios de tratamiento de datos sean a su vez clientes de servicios de tratamiento de datos prestados por un tercer proveedor, ellos mismos se beneficiarán de cambios más efectivos, aunque estarán inevitablemente vinculados por las obligaciones del presente Reglamento en lo relativo a sus propias ofertas de servicios.

 

(74)

Debe exigirse a los proveedores de servicios de tratamiento de datos que no impongan y eliminen todos los obstáculos pertinentes y que ofrezcan toda la asistencia y apoyo , dentro de su capacidad y de forma proporcional a sus respectivas obligaciones, que sean necesarios para que el proceso de cambio se realice con éxito , seguridad y eficacia . El presente Reglamento no exige a los proveedores de servicios de tratamiento de datos que desarrollen nuevas categorías de servicios de tratamiento de datos , tampoco en el marco o sobre la base de la infraestructura informática de diferentes proveedores de servicios de tratamiento de datos para garantizar la equivalencia funcional en un entorno distinto del de sus propios sistemas. Los proveedores de servicios de tratamiento de datos de origen no tienen acceso ni información sobre el entorno del proveedor de servicios de tratamiento de datos de destino y no deben estar obligados a reconstruir el servicio del cliente, con arreglo a requisitos de equivalencia funcional, dentro de la infraestructura del proveedor de destino. En su lugar, el proveedor de origen debe adoptar todas las medidas razonables a su alcance para facilitar el proceso de lograr la equivalencia funcional proporcionando capacidades, información adecuada, documentación, apoyo técnico y, en su caso, las herramientas necesarias. La información que facilitarán los proveedores de servicios de tratamiento de datos a los clientes debe apoyar el desarrollo de la estrategia de salida del cliente e incluir procedimientos para iniciar el cambio del servicio de computación en la nube, los formatos de datos legibles por máquina a los que pueden exportarse los datos del usuario, las herramientas, incluida al menos una interfaz de portabilidad de datos estándar abierta, prevista para la exportación de datos, información sobre las restricciones y limitaciones técnicas conocidas que podrían afectar al proceso de cambio y el tiempo estimado necesario para completar el proceso de cambio . El contrato escrito en el que se establezcan los derechos del cliente y las obligaciones del proveedor de servicios de computación en nube solo debe cubrir la información disponible para el proveedor de servicios de tratamiento de datos en el momento de la celebración del contrato. Los derechos existentes en relación con la resolución de los contratos, incluidos los introducidos por el Reglamento (UE) 2016/679 y la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo (23) no deben verse afectados. Todo período obligatorio en virtud del presente Reglamento no debe afectar al cumplimiento de otros plazos con arreglo a la legislación sectorial. El capítulo VI del presente Reglamento no debe entenderse en el sentido de que impide a los proveedores de servicios de tratamiento de datos suministrar a sus clientes servicios, características y funcionalidades nuevos y mejorados o competir con otros proveedores de servicios de tratamiento de datos sobre esa base.

(75)

Para facilitar el cambio entre servicios de tratamiento de datos, los proveedores de servicios de tratamiento de datos deben considerar el uso de herramientas de ejecución y/o cumplimiento, en particular las publicadas por la Comisión en forma de un Código normativo relativo a los servicios en nube. En particular, las cláusulas contractuales tipo son beneficiosas para incrementar la confianza en los servicios de tratamiento de datos, crear una relación más equilibrada entre usuarios y proveedores de servicios de tratamiento de datos y mejorar la seguridad jurídica sobre las condiciones aplicables para el cambio a otros servicios de tratamiento de datos. En este contexto, los usuarios y los proveedores de servicios de tratamiento de datos deben considerar el uso de cláusulas contractuales tipo elaboradas por organismos o grupos de expertos competentes establecidos con arreglo al Derecho de la Unión.

 

(75 bis)

Con el fin de facilitar el cambio entre servicios de computación en la nube, todas las partes implicadas, incluidos los proveedores de servicios de tratamiento de datos, tanto de origen como de destino, deben colaborar de buena fe con vistas a permitir un proceso de cambio eficaz y la transferencia segura y oportuna de los datos necesarios en un formato comúnmente utilizado, legible por máquina y mediante una interfaz de portabilidad de datos estándar y abierta, y a evitar perturbaciones del servicio.

(75 ter)

Los servicios de tratamiento de datos que tengan que ver con servicios que se modifican sustancialmente para atender a las necesidades de un cliente específico (a medida), o los servicios de tratamiento de datos que operan con carácter experimental o solo prestan un servicio de prueba y evaluación para ofertas de productos para empresas, deben quedar exentos de algunas de las obligaciones aplicables al cambio de servicio de tratamiento de datos.

 

(75 quater)

Sin perjuicio de su derecho a iniciar un procedimiento ante un tribunal, los clientes deben tener acceso a órganos certificados de resolución de litigios para solucionar los litigios relacionados con el cambio entre proveedores de servicios de tratamiento de datos.

(76)

Las especificaciones y normas de interoperabilidad y portabilidad abiertas desarrolladas de conformidad con el anexo II, apartados 3 y 4, del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo (24) en el ámbito de la interoperabilidad y la portabilidad permiten un entorno en la nube multiproveedor ▌ , que constituye un requisito clave para la innovación abierta en la economía de los datos europea. Puesto que los procesos centrados en el mercado no han demostrado la capacidad de establecer especificaciones técnicas o normas que faciliten la interoperabilidad y portabilidad efectivas en la nube en los niveles PcS ▌ y ScS ▌ , la Comisión debe poder pedir , cuando sea técnicamente posible, a los organismos europeos de normalización, sobre la base del presente Reglamento y de conformidad con el Reglamento (UE) n.o 1025/2012, que elaboren dichas normas, en el caso de los servicios equivalentes para los que aún no existen tales normas. Además de ello, la Comisión animará a los actores del mercado a desarrollar las especificaciones de interoperabilidad y portabilidad abiertas pertinentes. Previa consulta con las partes interesadas y teniendo en cuenta las normas internacionales y europeas pertinentes y las iniciativas de autorregulación, la Comisión, mediante actos delegados, puede hacer obligatorio el uso de normas europeas de interoperabilidad y portabilidad o especificaciones de interoperabilidad y portabilidad abiertas para servicios equivalentes específicos a través de una referencia en un repositorio central de normas de la Unión para la interoperabilidad de los servicios de tratamiento de datos. Los proveedores de servicios de tratamiento de datos deben garantizar la compatibilidad con estas normas o especificaciones de portabilidad, teniendo en cuenta la naturaleza, la seguridad y la integridad de los datos que albergan. Las normas europeas de interoperabilidad y portabilidad de los servicios de tratamiento de datos y las especificaciones de interoperabilidad abiertas solo tendrán su referencia si son conformes a los criterios especificados en el presente Reglamento, que tienen el mismo significado que los requisitos de los puntos 3 y 4 del anexo II del Reglamento (UE) n.o 1025/2012 y las facetas de interoperabilidad definidas en la norma ISO/IEC 19941: 2017.

 

(77)

Los terceros países pueden adoptar leyes, reglamentaciones y otros actos jurídicos que tengan por objeto transferir directamente o facilitar el acceso gubernamental a datos no personales que se encuentran fuera de sus fronteras, en particular en la Unión. Las sentencias de órganos jurisdiccionales o las decisiones de autoridades judiciales o administrativas de terceros países, incluidas autoridades policiales de terceros países, que requieran dicha transferencia de datos no personales o el acceso a estos deben tener fuerza legal al amparo de un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país solicitante y la Unión o un Estado miembro. En otros casos, pueden darse situaciones en las que una solicitud de transferir o dar acceso a datos no personales derivada de la legislación de un tercer país entre en conflicto con una obligación de proteger dichos datos en virtud de la legislación nacional o de la Unión, en particular en lo que se refiere a la protección de los derechos fundamentales de la persona, como el derecho a la seguridad y el derecho a la tutela judicial efectiva, o los intereses fundamentales de un Estado miembro relacionados con la seguridad o la defensa nacionales, así como la protección de los datos sensibles desde el punto de vista comercial, incluida la protección de los secretos comerciales, y la protección de los derechos de propiedad intelectual e industrial, y especialmente sus compromisos contractuales en materia de confidencialidad conforme a dicha legislación. Cuando no existan acuerdos internacionales que regulen estas cuestiones, la transferencia o el acceso solo han de permitirse si el ordenamiento jurídico del tercer país exige que se establezcan los motivos y la proporcionalidad de la decisión, que la resolución judicial o la decisión revista un carácter específico, y que la oposición motivada del destinatario sea revisada por un órgano jurisdiccional competente del tercer país, facultado para tomar debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos. Cuando sea posible con arreglo a las condiciones de la solicitud de acceso a los datos de la autoridad del tercer país, el proveedor de servicios de tratamiento de datos debe poder informar al consumidor cuyos datos se solicitan a fin de verificar la existencia de un conflicto potencial de dicho acceso con la normativa de la Unión o nacional, como la relativa a la protección de datos sensibles desde el punto de vista comercial, incluida la protección de los secretos comerciales, los derechos de propiedad intelectual e industrial y los compromisos contractuales en materia de confidencialidad.

(78)

Para impulsar la confianza en los datos es esencial que las salvaguardas relativas a los ciudadanos, el sector público y las empresas de la Unión se apliquen en la medida de lo posible para garantizar que se ejerce control sobre sus datos. Además, deben respetarse el Derecho, los valores y las normas de la Unión en cuanto a la seguridad, la protección de los datos y de la vida privada, y la protección de los consumidores, entre otros aspectos. Con el fin de evitar el acceso ilícito a datos no personales, los proveedores de servicios de tratamiento de datos sujetos a este instrumento, como los servicios en la nube y en el borde, deben adoptar todas las medidas razonables para impedir el acceso a los sistemas en los que se almacenen datos no personales, incluso, cuando proceda, mediante el cifrado de datos, la sujeción frecuente a auditorías, el respeto verificado de los pertinentes sistemas de certificación de garantías de seguridad y la modificación de las políticas de empresa.

 

(79)

La normalización y la interoperabilidad semántica y sintáctica deben desempeñar un papel clave para proporcionar soluciones técnicas que permitan la portabilidad y la interoperabilidad. A fin de facilitar la conformidad con los requisitos para la interoperabilidad dentro de los espacios comunes europeos de datos, que son específicos, sectoriales o intersectoriales, deben desarrollarse marcos interoperables de normas y prácticas comunes para compartir o tratar conjuntamente datos para, entre otros fines, el desarrollo de nuevos productos y servicios, la investigación científica o las iniciativas de la sociedad civil. El presente Reglamento establece determinados requisitos esenciales de interoperabilidad. Los participantes de los espacios de datos, que son entidades que facilitan o participan en el intercambio de datos dentro de los espacios comunes europeos de datos, incluidos los titulares de datos, deben cumplir estos requisitos. El cumplimiento de estas normas puede producirse mediante el cumplimiento de los requisitos establecidos en el presente Reglamento o mediante la adaptación a normas ya existentes a través de una presunción de conformidad. A fin de facilitar la conformidad con los requisitos para la interoperabilidad es necesario establecer una presunción de conformidad para soluciones de interoperabilidad que cumplan las normas armonizadas o partes de las mismas de conformidad con el Reglamento (UE) n.o 1025/2012 ▌. Estas normas deben desarrollarse de manera abierta, tecnológicamente neutra e inclusiva, en consonancia con el capítulo II del Reglamento (UE) n.o 1025/2012. Teniendo en cuenta, cuando proceda, las posiciones adoptadas por el Comité Europeo de Innovación en materia de Datos, de conformidad con el artículo 30, letra f), del Reglamento (UE) 2022/868, la Comisión debe adoptar especificaciones comunes en ámbitos en los que no existan normas armonizadas o sean insuficientes para seguir mejorando la interoperabilidad de los espacios comunes europeos de datos, las interfaces de programación de aplicaciones, el cambio de nube y los contratos inteligentes. Por otra parte, podrían quedar por adoptar especificaciones comunes en los distintos sectores, de conformidad con la legislación sectorial nacional o de la Unión, sobre la base de las necesidades específicas de dichos sectores. Estructuras y modelos de datos reutilizables (en forma de vocabularios básicos), ontologías, perfil de aplicación de metadatos, datos de referencia en forma de vocabulario básico, taxonomías, listas de códigos, cuadros de autoridades y tesauros también pueden formar parte de las especificaciones técnicas de interoperabilidad semántica. Por otra parte, previa consulta a las partes interesadas y teniendo en cuenta las normas internacionales y europeas pertinentes y las iniciativas de autorregulación, así como, cuando proceda, las posiciones adoptadas por el Comité Europeo de Innovación en materia de Datos, tal como se contempla en el artículo 30, letra f), del Reglamento (UE) 2022/868, la Comisión debe estar facultada para adoptar especificaciones comunes en ámbitos en los que no existen normas armonizadas y hacer obligatorio el desarrollo de normas armonizadas para la portabilidad y la interoperabilidad de los servicios de tratamiento de datos. El Comité Europeo de Innovación en materia de Datos debe basarse en las iniciativas europeas y mundiales existentes para la interoperabilidad intersectorial de los datos. En particular, el Comité Europeo de Innovación en materia de Datos debe estudiar el potencial del marco para la identidad digital de los objetos establecido por el Reglamento (UE) n.o 910/2014 y los sistemas para la identificación de entidades jurídicas como la GLEIF a tal efecto.

(79 bis)

A fin de seguir reforzando la coordinación en la aplicación del presente Reglamento, el Comité Europeo de Innovación en materia de Datos debe fomentar el intercambio mutuo de información entre las autoridades competentes, así como asesorar y asistir a la Comisión en los asuntos que se deriven del presente Reglamento y que se inscriban en el ámbito de competencias del artículo 30 del Reglamento (UE) 2022/868. Un subgrupo de participación de las partes interesadas a que se refiere el artículo 29, apartado 2, letra c), de dicho Reglamento debe participar en la consulta de forma continua.

 

(80)

A fin de promover la interoperabilidad de los contratos inteligentes en las aplicaciones de intercambio de datos, podrá ser necesario establecer requisitos esenciales para los contratos inteligentes para los profesionales que creen contratos inteligentes para terceros o integren dichos contratos inteligentes en aplicaciones que apoyen la ejecución de acuerdos de intercambio de datos. Por ejemplo, los contratos inteligentes deben garantizar el respeto de las condiciones para el intercambio de datos. Deben promoverse programas de formación específicos sobre contratos inteligentes para las empresas, en particular las pymes .

(81)

A fin de garantizar la aplicación eficaz del presente Reglamento, los Estados miembros deben designar una o más autoridades competentes y dotarlas de recursos suficientes . Si un Estado miembro designa más de una autoridad competente, debe designar también una autoridad competente de coordinación. Es preciso que las autoridades competentes cooperen entre sí de modo efectivo y oportuno, de acuerdo con los principios de buena administración y asistencia mutua, con el fin de garantizar la aplicación y ejecución eficaces del presente Reglamento . Las autoridades responsables de la supervisión del cumplimiento de la protección de datos y las autoridades competentes designadas con arreglo a la legislación sectorial serán responsables de la aplicación del presente Reglamento en sus ámbitos de competencia. Las autoridades competentes deben cooperar a petición de las autoridades del Comité Europeo de Protección de Datos y del Comité Europeo de Innovación en materia de Datos.

 

(81 bis)

A fin de seguir reforzando la coordinación en la aplicación del presente Reglamento, el Comité Europeo de Innovación en materia de Datos debe fomentar el intercambio mutuo de información entre las autoridades competentes, así como asesorar y asistir a la Comisión en los asuntos que se deriven del presente Reglamento, centrándose en los asuntos que se inscriban en el ámbito de competencias del Comité en virtud del artículo 30 del Reglamento (UE) 2022/868.

(82)

A fin de hacer valer sus derechos en virtud del presente Reglamento, las personas físicas y jurídicas deben tener derecho a solicitar reparación por la vulneración de sus derechos en virtud del presente Reglamento presentando denuncias ante el coordinador de datos, otras autoridades competentes pertinentes y órganos judiciales . Dichas autoridades deben ser obligadas a cooperar para garantizar que la denuncia se gestione y resuelva adecuadamente y de manera rápida y efectiva . A fin de aprovechar el mecanismo de la red de cooperación en materia de protección de los consumidores y facilitar las acciones de representación, el presente Reglamento modifica los anexos del Reglamento (UE) 2017/2394 del Parlamento Europeo y del Consejo (25) y de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo (26).

 

(83)

Las autoridades competentes de los Estados miembros deben garantizar que el incumplimiento de las obligaciones establecidas en el presente Reglamento sea penalizado con sanciones. Al hacerlo, deben tener en cuenta la naturaleza, gravedad, reincidencia y duración de la infracción, atendiendo al interés público en juego, el alcance y el tipo de actividades realizadas, así como la capacidad económica del infractor. Deben tener en cuenta si el infractor incumple sistemática o repetidamente las obligaciones que le incumben en virtud del presente Reglamento. Con el fin de ayudar a las empresas a redactar y negociar contratos, la Comisión debe desarrollar y recomendar modelos de cláusulas contractuales no obligatorias para los contratos de intercambio de datos entre empresas, teniendo en cuenta, en su caso, las condiciones de sectores específicos y las prácticas existentes con mecanismos voluntarios de intercambio de datos. Estas cláusulas contractuales tipo serán principalmente una herramienta práctica para ayudar en particular a las empresas pequeñas a celebrar un contrato. Cuando se utilicen de forma generalizada e integral, estas cláusulas contractuales tipo también deben tener el efecto beneficioso de influir en el diseño de los contratos sobre el acceso y uso de datos y, por tanto, deben conducir en general a unas relaciones contractuales más justas a la hora de acceder a los datos y compartirlos.

(84)

Con el fin de eliminar el riesgo de que titulares de bases de datos que contengan datos obtenidos o generados por medio de componentes físicos, como sensores, de un producto conectado y de un servicio relacionado , a saber, datos generados por máquinas, reclamen el derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE , el presente Reglamento aclara que el derecho sui generis no es aplicable a dichas bases de datos, ya que no se cumplirían los requisitos de protección de una inversión sustancial ni en la obtención, ni la verificación ni la presentación de los datos, en el sentido del artículo 7, apartado 1, de la Directiva 96/9/CE. Ello no obsta a la posible aplicación del derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE a bases de datos que contengan datos que no entren en el ámbito de aplicación del presente Reglamento, siempre que se cumplan los requisitos de protección de conformidad con el artículo 7, apartado 1, de dicha Directiva .

 

(85)

Con el fin de tener en cuenta los aspectos técnicos de los servicios de tratamiento de datos, los poderes para adoptar actos con arreglo al artículo 290 del TFUE deben delegarse en la Comisión por lo que respecta a complementar el presente Reglamento a fin de introducir un mecanismo de supervisión de las tasas por cambio impuestas por los proveedores de servicios de tratamiento de datos en el mercado, especificar más detalladamente los requisitos esenciales para los participantes de espacios de datos que ofrezcan datos o servicios de datos a otros participantes y los proveedores de servicios de tratamiento de datos en materia de interoperabilidad, y publicar la referencia de las especificaciones abiertas de interoperabilidad y las normas europeas para la interoperabilidad de los servicios de tratamiento de datos. Es particularmente importante que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que dichas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional sobre la mejora de la legislación, de 13 de abril de 2016 (27). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(86)

Con objeto de garantizar condiciones uniformes para la ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución en lo relativo a completar el presente Reglamento para adoptar especificaciones comunes que garanticen la interoperabilidad de espacios comunes europeos de datos y el intercambio de datos, el cambio entre servicios de tratamiento de datos, la interoperabilidad de los contratos inteligentes, así como para medios técnicos, como las interfaces de programación de aplicaciones, para permitir la transmisión de datos entre las partes, también de forma continua o en tiempo real, y para vocabularios básicos de interoperabilidad semántica, así como para adoptar especificaciones comunes para los contratos inteligentes. Dichas competencias deberán ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (28).

 

(87)

El presente Reglamento no debe afectar a las disposiciones específicas de los actos de la Unión adoptados en el ámbito del intercambio de datos entre empresas, entre empresas y consumidores y entre empresas y organismos del sector público que fueran adoptados antes de la fecha de adopción del presente Reglamento. Para garantizar la coherencia y el buen funcionamiento del mercado interior, la Comisión debe evaluar, cuando proceda, la situación relativa a la relación entre el presente Reglamento y los actos adoptados antes de la fecha de adopción del presente Reglamento que regulan el intercambio de datos, a fin de evaluar la necesidad de adaptar dichas disposiciones específicas al presente Reglamento. El presente Reglamento debe entenderse sin perjuicio de las normas que aborden necesidades específicas de sectores o ámbitos de interés público concretos. Dichas normas pueden incluir requisitos adicionales sobre los aspectos técnicos del acceso a datos, como las interfaces para el acceso a datos, o sobre la forma de facilitar el acceso a datos, por ejemplo, directamente desde el producto o a través de servicios de intermediación de datos. Dichas normas también pueden incluir límites a los derechos de los titulares de datos a acceder a los datos de los usuarios o a utilizarlos, u otros aspectos que vayan más allá del acceso y el uso de datos, como los relacionados con la gobernanza. El presente Reglamento debe entenderse también sin perjuicio de normas más específicas en el contexto del desarrollo de espacios comunes europeos de datos.

(88)

El presente Reglamento no debe afectar a la aplicación de las normas de competencia, en particular los artículos 101 y 102 del Tratado. Las medidas establecidas en el presente Reglamento no deben utilizarse para restringir la competencia de forma contraria al Tratado.

 

(89)

Con el fin de permitir a los agentes económicos adaptarse a las nuevas normas establecidas en el presente Reglamento y adoptar las disposiciones técnicas necesarias , estas deben ser aplicables en el plazo de dieciocho meses a partir de la entrada en vigor del Reglamento. Solo cuando el titular de datos y el fabricante sean la misma entidad, las obligaciones relativas a la prestación de servicios relacionados prestados para los productos conectados ya introducidos en el mercado en los últimos cinco años a partir de la entrada en vigor del presente Reglamento deben aplicarse retroactivamente. Dichas obligaciones deben cumplirse únicamente cuando el proveedor de servicios relacionados pueda desplegar a distancia mecanismos para garantizar el cumplimiento de los requisitos con arreglo al artículo 1 y únicamente cuando el despliegue de tales mecanismos no suponga una carga desproporcionada para el fabricante.

(90)

El Supervisor Europeo de Protección de Datos y el Comité Europeo de Protección de Datos, a los que se consultó de conformidad con el artículo 42, del Reglamento (UE) 2018/1725, emitieron un dictamen conjunto el [XX XX 2022].

HAN ADOPTADO EL PRESENTE REGLAMENTO:

CAPÍTULO I

DISPOSICIONES GENERALES

Artículo 1

Objeto y ámbito de aplicación

1. El presente Reglamento establece disposiciones armonizadas sobre:

a)

el diseño de productos conectados para permitir el acceso a los datos generados por un producto conectado o generados durante la prestación de servicios relacionados al usuario de dicho producto;

 

b)

los titulares de datos que pongan datos a los que hayan accedido desde un producto conectado o generados durante la prestación de un servicio relacionado a disposición de los interesados, los usuarios o los destinatarios de datos, a petición del usuario o del interesado;

 

c)

las condiciones contractuales justas para acuerdos de intercambio de datos;

 

d)

la puesta a disposición de organismos del sector público o de instituciones, órganos u organismos de la Unión de datos, cuando exista una necesidad excepcional de interés público;

 

e)

la facilitación del cambio entre servicios de tratamiento de datos;

 

f)

la introducción de salvaguardias contra el acceso gubernamental internacional ilícito a datos no personales; y

 

g)

la elaboración de normas de interoperabilidad y especificaciones comunes para los datos que deban transferirse y utilizarse.

1 bis. El presente Reglamento cubre los datos personales y no personales, incluidos los siguientes tipos de datos y los siguientes contextos:

a)

el capítulo II se aplica a los datos accesibles obtenidos, recogidos o generados de otro modo por productos conectados o generados durante la prestación de servicios relacionados;

 

b)

el capítulo III se aplica a cualquier dato del sector privado sujeto a obligaciones legales de intercambio de datos;

 

c)

el capítulo IV se aplica a cualquier dato del sector privado al que se acceda y que se utilice sobre la base de acuerdos contractuales entre empresas;

 

d)

el capítulo V se aplica a cualquier dato no personal del sector privado;

 

e)

el capítulo VI se aplica a cualquier dato y servicio tratado por los servicios de tratamiento de datos;

 

f)

el capítulo VII se aplica a cualquier dato no personal conservado en la Unión por los proveedores de servicios de tratamiento de datos.

2. El presente Reglamento se aplica a:

a)

los fabricantes de productos conectados y los proveedores de servicios relacionados introducidos en el mercado de la Unión , con independencia de su lugar de establecimiento, y los usuarios de dichos productos conectados o servicios relacionados o, en el caso de los datos personales, las personas físicas identificadas o identificables con las que guarden relación los datos obtenidos, recogidos o generados por el uso de dichos productos o servicios relacionados ;

 

b)

los usuarios de productos conectados o servicios relacionados en la Unión y los titulares de datos , con independencia de su lugar de establecimiento, que pongan datos a disposición de los destinatarios de datos de la Unión o, en el caso de los datos personales, las personas físicas identificadas o identificables con las que guarden relación los datos obtenidos, recogidos o generados por el uso de dichos productos o servicios relacionados;

 

c)

los destinatarios de datos de la Unión para los cuales se ponen a disposición datos;

 

d)

los organismos del sector público de un Estado miembro y las instituciones, organismos u órganos de la Unión que soliciten a los titulares de datos que pongan a disposición datos cuando exista una necesidad excepcional de esos datos para el cumplimiento de un cometido específico realizado en interés público y de los titulares de datos que faciliten esos datos en respuesta a dicha solicitud;

 

e)

los proveedores de servicios de tratamiento de datos , con independencia de su lugar de establecimiento, que ofrezcan dichos servicios a clientes de la Unión.

3. La legislación de la Unión en materia de protección de datos personales, protección de la vida privada y confidencialidad de las comunicaciones e integridad de los equipos terminales se aplicará a cualquier dato personal tratado en relación con los derechos y obligaciones establecidos en el presente Reglamento. La obtención, recogida o generación de datos personales mediante el uso de un producto o servicio relacionado requerirá una base jurídica conforme a la legislación aplicable en materia de protección de datos. El presente Reglamento no constituye una base jurídica para el tratamiento de datos personales. El presente Reglamento se entiende sin perjuicio del Derecho de la Unión relativo a la protección de datos personales y la privacidad , en particular del Reglamento (UE) 2016/679 , el Reglamento (UE) 2018/1725 y la Directiva 2002/58/CE, incluidas las normas sobre los poderes y competencias de las autoridades de control. En caso de conflicto entre lo dispuesto en el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o privacidad o el Derecho nacional adoptado de conformidad con el Derecho de la Unión en la materia, prevalecerá el Derecho de la Unión o nacional que sea aplicable en la materia. En lo tocante a los derechos establecidos en el capítulo II del presente Reglamento, y cuando los usuarios sean los interesados de los datos personales, sujetos a los derechos y obligaciones en virtud de dicho capítulo, las disposiciones del presente Reglamento complementarán y especificarán el derecho a la portabilidad de los datos con arreglo al artículo 20 del Reglamento (UE) 2016/679. Ninguna disposición del presente Reglamento se aplicará o interpretará de manera que se reduzca o limite el derecho a la protección de los datos personales o el derecho a la intimidad y la confidencialidad de las comunicaciones.

4. El presente Reglamento no afectará a los actos jurídicos de la Unión y nacionales que contemplen el intercambio, el acceso y la utilización de datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o administrativas o la ejecución de sanciones penales o administrativas , incluido el Reglamento (UE) 2021/784 del Parlamento Europeo y del Consejo (29) y las [propuestas sobre pruebas electrónicas COM(2018) 225 y 226] una vez adoptadas, ni tampoco a la cooperación internacional en dicho ámbito. El presente Reglamento no afectará a la recogida, intercambio, acceso y utilización de datos en virtud de la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, ni del Reglamento (UE) 2015/847 del Parlamento Europeo y del Consejo, relativo a la información que acompaña a las transferencias de fondos. El presente Reglamento no afectará a las competencias de los Estados miembros en relación con actividades relativas a la seguridad pública, la defensa, la seguridad nacional, las aduanas y la administración fiscal, ni a la salud pública y la seguridad de los ciudadanos de conformidad con el Derecho de la Unión. El presente Reglamento no se aplicará a los datos recogidos o generados en el contexto de actividades relacionadas con la defensa, por productos o servicios de defensa o por productos o servicios desplegados y utilizados con fines de defensa.

4 bis. El presente Reglamento complementa, sin afectar a su aplicabilidad, el Derecho de la Unión destinado a promover los intereses de los consumidores y garantizar un elevado nivel de protección de los consumidores, así como proteger su salud, su seguridad y sus intereses económicos, en particular las Directivas 2005/29/CE, 2011/83/UE y 93/13/CEE.

4 ter. Los titulares de datos no estarán obligados a facilitar el acceso a los datos a ninguna persona física o jurídica, entidad u organismo fuera de la Unión, salvo a petición del usuario o salvo disposición contraria en el Derecho de la Unión o en el Derecho nacional por el que se aplique el Derecho de la Unión.

4 quater. Las obligaciones establecidas en el Reglamento no impedirán el intercambio voluntario, lícito y recíproco de datos no personales entre usuarios, titulares de datos y destinatarios de datos que haya sido acordado en contratos.

Artículo 2

Definiciones

A los efectos del presente Reglamento, se entenderá por:

1)

«datos», cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual; el presente Reglamento no se aplicará a los contenidos, ni a los datos obtenidos, generados o recogidos por el producto conectado o transmitidos a este en nombre de terceros con fines de almacenamiento o tratamiento;

 

1 bis)

«datos personales», los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

 

1 ter)

«datos no personales», aquellos que no sean datos personales;

 

1 quater)

«consentimiento», el consentimiento tal como se define en el artículo 4, punto 11, del Reglamento (UE) 2016/679;

 

1 quinquies)

«interesado», el interesado tal como se define en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

 

1 sexies)

«usuario de datos», una persona física o jurídica que tiene acceso legítimo a determinados datos personales o no personales y tiene derecho a usarlos con fines comerciales o no comerciales;

 

2)

«producto conectado », un bien ▌ que obtiene, genera o recoge datos accesibles relativos a su uso o entorno y que puede comunicar datos a través de un servicio de comunicaciones electrónicas , una conexión física o un acceso en el dispositivo y cuya función primaria no es el almacenamiento, el tratamiento ni la transmisión de datos en nombre de terceros ;

 

3)

«servicio relacionado», un servicio digital, incluido el software pero excluidos los servicios de comunicaciones electrónicas, que está interconectado con un producto de tal manera que su ausencia impediría al producto realizar una o varias de sus funciones , y que implica el acceso del proveedor o del servicio a los datos desde el producto conectado ;

 

4)

«asistentes virtuales», software que puede procesar peticiones, tareas o preguntas, incluso a partir de material de audio, material escrito, gestos o movimientos, y basándose en dichas peticiones, tareas o preguntas, acceder a otros servicios o controlar las funciones de productos;

 

4 bis)

«consumidor», toda persona física que actúe con fines ajenos a su actividad comercial, negocio, oficio o profesión;

 

5)

«usuario», una persona física o jurídica que posee un producto conectado o recibe un servicio relacionado, o a quien el propietario de un producto conectado ha transferido, sobre la base de un acuerdo de alquiler o arrendamiento, derechos temporales para utilizar un producto conectado o recibir servicios relacionados y, cuando el producto conectado o el servicio relacionado implique el tratamiento de datos personales, el interesado;

 

6)

«titular de datos», una persona física o jurídica que ha accedido a datos del producto conectado o ha generado datos durante la prestación de un servicio relacionado y que tiene el derecho contractualmente acordado a utilizar dichos datos, así como la obligación, en virtud del presente Reglamento, del Derecho de la Unión aplicable o de la legislación nacional de ejecución del Derecho de la Unión, de poner determinados datos a disposición del usuario o de un destinatario de datos ;

 

7)

«destinatario de datos», una persona física o jurídica ▌ distinta del usuario de un producto conectado o servicio relacionado, a disposición de la cual un titular de datos pone los datos a los que se haya accedido desde un producto conectado o generados durante la prestación de un servicio relacionado previa solicitud explícita del usuario ▌ o de conformidad con una obligación legal en virtud del Derecho de la Unión o de la legislación nacional de ejecución del Derecho de la Unión;

 

8)

«empresa», una persona física o jurídica que, en relación con los contratos y prácticas contemplados por el presente Reglamento, actúa con fines relacionados con su actividad comercial, empresa, oficio o profesión;

 

9)

«organismo del sector público», las autoridades nacionales, regionales o locales de los Estados miembros y las entidades de derecho público de los Estados miembros, o las asociaciones constituidas por una o más de dichas autoridades o por una o más de dichas entidades;

 

10)

«emergencia pública», una situación excepcional , limitada en el tiempo, como las emergencias de salud pública, las emergencias derivadas de desastres naturales, así como las catástrofes graves provocadas por el hombre, incluidos los incidentes graves de ciberseguridad, que afecta negativamente a la población de la Unión, de un Estado miembro o de una parte de él, que entraña un riesgo de repercusiones graves y duraderas en las condiciones de vida o la estabilidad económica, la estabilidad financiera o la degradación sustancial e inmediata de los activos económicos de la Unión o del Estado miembro en cuestión , y que se determina y declara oficialmente conforme a los procedimientos correspondientes en virtud del Derecho de la Unión o nacional ;

 

10 bis)

«estadísticas oficiales», las «estadísticas europeas» en el sentido del Reglamento (CE) n.o 223/2009 (30);

 

11)

«tratamiento», toda operación o conjunto de operaciones que se efectúa sobre datos o conjuntos de datos en formato electrónico, por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o interconexión, limitación, supresión o destrucción;

 

12)

«servicio de tratamiento de datos», un servicio digital distinto de un servicio de contenidos en línea tal como se define en el artículo 2, apartado 5, del Reglamento (UE) 2017/1128, prestado a un cliente, que hace posible la administración bajo demanda y un acceso remoto amplio a un conjunto modulable y elástico de recursos informáticos que se pueden compartir, de carácter centralizado, distribuido o muy distribuido;

 

13)

«tipo de servicio», un conjunto de servicios de tratamiento de datos que comparten el mismo objetivo primario y el modelo básico de servicio de tratamiento de datos;

 

14)

«equivalencia funcional», el mantenimiento de un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de tratamiento de datos tras el proceso de cambio, de tal manera que, en respuesta a una acción de entrada por parte del usuario en elementos esenciales del servicio, el servicio de destino suministra el mismo resultado con el mismo rendimiento y con el mismo nivel de seguridad, resiliencia operativa y calidad del servicio que el servicio de origen en el momento de la resolución del contrato;

 

15)

« normas abiertas», especificaciones técnicas ▌que están orientadas, en función de los resultados, hacia la interoperabilidad entre servicios de tratamiento de datos y que se adoptan mediante un proceso incluyente, colaborativo, consensuado y transparente del que no puede excluirse a las partes afectadas significativamente y las partes interesadas ;

 

 

 

18)

«especificaciones comunes», un documento, distinto de una norma, con soluciones técnicas que proponen una forma de cumplir determinados requisitos y obligaciones establecidos en el presente Reglamento;

 

19)

«interoperabilidad», la capacidad de dos o más servicios basados en datos, incluidos espacios de datos o redes, sistemas, productos, aplicaciones o componentes de comunicación para tratar, intercambiar y utilizar datos con el fin de desempeñar sus funciones de manera precisa, eficaz y coherente ;

 

19 bis)

«portabilidad», la capacidad de un cliente para trasladar datos importados o generados directamente que puedan asignarse claramente al cliente entre su propio sistema y servicios en la nube, y entre servicios en la nube de diferentes proveedores de servicios en la nube;

 

20)

«norma armonizada», una norma armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) n.o 1025/2012;

 

20 bis)

«espacios comunes europeos de datos», marcos interoperables de normas y prácticas comunes, específicos para un fin o un sector o intersectoriales, cuyo fin es compartir o tratar conjuntamente los datos para, entre otros fines, el desarrollo de nuevos productos y servicios, la investigación científica o las iniciativas de la sociedad civil;

 

20 ter)

«metadatos», una descripción estructurada del contenido de la utilización de los datos que facilita la búsqueda o la utilización de esos datos;

 

20 quater)

«servicio de intermediación de datos», un servicio de intermediación de datos tal como se define en el artículo 2, punto 11, del Reglamento (UE) 2022/868;

 

20 quinquies)

«cesión altruista de datos», el intercambio voluntario de datos tal como se define en el artículo 2, punto 16, del Reglamento (UE) 2022/868;

 

20 sexies)

«secreto comercial», información que reúne todos los requisitos enumerados en el artículo 2, punto 1, de la Directiva (UE) 2016/943;

 

20 septies)

«poseedor de un secreto comercial», en el sentido del artículo 2, punto 2, de la Directiva (UE) 2016/943.

CAPÍTULO II

INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA

Artículo 3

Obligación de hacer accesibles para el usuario los datos a los que se haya accedido desde productos conectados o generados durante la prestación de servicios relacionados.

1. Los productos conectados se diseñarán y fabricarán de manera tal que los datos que recojan, generen u obtengan de otro modo, a los que puedan acceder los titulares de datos o los destinatarios de datos, sean, por defecto, accesibles para el usuario , gratuitamente, con facilidad, con seguridad, y cuando sea pertinente y técnicamente viable , directamente , en un formato completo, estructurado, de uso común y legible por máquina . Los datos estarán disponibles en la forma en que hayan sido recopilados, obtenidos o generados por el producto conectado, con solo las adaptaciones mínimas necesarias para que puedan ser utilizados por un tercero, incluidos los metadatos asociados necesarios para interpretar y utilizar los datos. La información derivada o inferida a partir de estos datos mediante algoritmos registrados complejos, en particular cuando combine la información producida por múltiples sensores en el producto conectado, no se considerará incluida en el ámbito de aplicación de la obligación del titular de datos de compartir datos con los usuarios o destinatarios de datos, a menos que se acuerde otra cosa entre el usuario y el titular de datos. En el caso de que el usuario sea un interesado, los productos conectados ofrecerán posibilidades para ejercer directamente los derechos de los interesados, cuando sea técnicamente viable. Los productos conectados se diseñarán y fabricarán de manera tal que se ofrezca a los interesados, con independencia de su título jurídico sobre el producto conectado, la posibilidad de utilizar los productos contemplados en el presente Reglamento de la forma menos invasiva posible para la privacidad. Los requisitos establecidos en el párrafo primero se cumplirán sin restringir la funcionalidad del producto conectado y de los servicios relacionados, y de conformidad con los requisitos de seguridad de los datos establecidos en el Derecho de la Unión.

1 bis. Los titulares de datos podrán rechazar una solicitud de datos si el acceso a ellos está prohibido en virtud del Derecho nacional o de la Unión.

2. Antes de celebrar un contrato de compra ▌ de un producto conectado, el fabricante o, en su caso, el vendedor, facilitará al usuario como mínimo la siguiente información, de manera sencilla y en un formato claro y comprensible:

a)

el tipo de datos, el formato, la frecuencia de muestreo, la capacidad de almacenamiento en el dispositivo y el volumen estimado de los datos accesibles que el producto conectado puede recopilar, generar u obtener de otro modo ;

 

b)

la probabilidad de que el producto conectado sea capaz de generar datos de forma continua y en tiempo real;

 

b bis)

la probabilidad de que los datos se almacenen en un dispositivo o en un servidor remoto, también el período durante el cual estos se almacenarán;

 

c)

el modo en que el usuario puede acceder gratuitamente a esos datos y, en su caso, recuperarlos y solicitar su supresión ;

 

c bis)

los medios técnicos para acceder a los datos, como los paquetes de desarrollo de software o las interfaces de programación de aplicaciones, así como sus condiciones de uso y su calidad de servicio, que se describirán en una medida suficiente para permitir el desarrollo de dichos medios de acceso;

 

c ter)

la posibilidad de que un titular de datos sea el poseedor de secretos comerciales u otros derechos de propiedad intelectual contenidos en los datos a los que se pueda acceder desde el producto conectado o generados durante la prestación de un servicio relacionado y, en caso contrario, la identidad del poseedor de secretos comerciales, como su nombre comercial y la dirección geográfica en la que está establecido.

2 bis. Los servicios relacionados deberán prestarse de tal manera que los datos generados durante su suministro, que corresponden a la digitalización de las acciones o los eventos del usuario, sean, por defecto, accesibles para el usuario, gratuitamente, con facilidad, con seguridad, y cuando sea pertinente y técnicamente viable, directamente, en un formato estructurado, de uso común y legible por máquina, junto con los metadatos pertinentes necesarios para interpretarlos y utilizarlos.

2 ter. Antes de que el usuario celebre un acuerdo con un proveedor de servicios relacionados, que implique el acceso del proveedor a los datos desde el producto conectado durante la prestación de dichos servicios, de conformidad con el artículo 4, apartado 6, del presente Reglamento, el acuerdo abordará los siguientes elementos:

a)

el carácter, el volumen, la frecuencia de recopilación y el formato de los datos a los que haya accedido el proveedor de servicios relacionados desde el producto conectado y, cuando proceda, las modalidades mediante las que el usuario puede acceder a estos datos o recuperarlos, también el período durante el cual estos se almacenarán;

 

b)

el carácter y el volumen estimado de los datos generados durante la prestación del servicio relacionado, así como las modalidades mediante las que el usuario puede acceder a estos datos o recuperarlos;

 

c)

opciones de consentimiento pormenorizadas y significativas para el tratamiento de datos, en el sentido del artículo 4, apartado 11, del Reglamento (UE) 2016/679;

 

d)

la posibilidad de que el proveedor del servicio relacionado, en su calidad de titular de datos, tenga la intención de utilizar los datos a los que se haya accedido desde el propio producto conectado o de permitir que uno o varios terceros utilicen los datos para fines acordados con el usuario;

 

e)

el nombre comercial del proveedor del servicio relacionado, su identificador de entidad jurídica, los datos de contacto y la dirección geográfica en la que está establecido; y, en su caso, otras partes encargadas del tratamiento de datos;

 

f)

cuando proceda, los medios de comunicación que permitan al usuario ponerse rápidamente en contacto con el proveedor y comunicarse con su personal de manera eficiente;

 

g)

el modo en que el usuario puede solicitar que los datos se compartan con un destinatario de datos y, en su caso, retirar el consentimiento de que los datos se compartan;

 

h)

la posibilidad de que un titular de datos sea el poseedor de secretos comerciales u otros derechos de propiedad intelectual contenidos en los datos a los que se pueda acceder desde el producto conectado o generados durante la prestación de un servicio relacionado y, en caso contrario, la identidad del poseedor de secretos comerciales, como su nombre comercial, su identificador de entidad jurídica y la dirección geográfica en la que está establecido;

 

i)

el modo en que el usuario puede gestionar los permisos para permitir el uso de los datos, cuando sea posible con opciones de permiso detalladas, e incluida la opción de retirar a un titular de datos los permisos para el uso de los datos del usuario, o bien a los terceros designados por un titular de datos, o de excluir direcciones geográficas;

 

j)

la duración del acuerdo entre el usuario y el proveedor del servicio relacionado, así como las modalidades para rescindir dicho acuerdo de forma prematura; así como el período mínimo durante el cual está garantizado que el servicio relacionado recibirá actualizaciones de seguridad y funcionalidad;

 

k)

el derecho del usuario a presentar una reclamación relativa a la infracción de las disposiciones del presente capítulo ante el coordinador de datos a que se refiere el artículo 31.

Artículo 3 bis

Alfabetización en materia de datos

1. Al aplicar el presente Reglamento, la Unión y los Estados miembros promoverán medidas y herramientas para el desarrollo de la alfabetización en materia de datos, en todos los sectores y teniendo en cuenta las distintas necesidades de los grupos de usuarios, consumidores y empresas, también a través de la educación y la formación y de programas de capacitación y de mejora de capacidades, garantizando al mismo tiempo un equilibrio adecuado en materia de género y de edad, con vistas a permitir una sociedad y un mercado de datos justos.

Artículo 4

Derechos y obligaciones de los usuarios y los titulares de datos de acceder a los datos a los que se haya accedido desde productos conectados o que se hayan generado durante la prestación de servicios relacionados , utilizar dichos datos y ponerlos a disposición

1. Cuando el usuario no pueda acceder directamente a los datos desde el producto, los titulares de datos pondrán a disposición del usuario todo dato al que se haya accedido desde un producto conectado o que se haya generado durante la prestación de un servicio relacionado sin demora indebida, con facilidad, con seguridad, en un formato general, estructurado, de uso común y legible por máquina, gratuitamente y, cuando sea pertinente y técnicamente viable , de forma continua y en tiempo real , poniendo asimismo a disposición del interesado todo dato personal derivado de dichos datos con arreglo al artículo 15 del Reglamento (UE) 2016/679, junto con los metadatos pertinentes . Los datos se proporcionarán en la forma en que hayan sido accedidos desde el producto conectado o generados por el servicio relacionado, con solo las adaptaciones mínimas necesarias para que puedan ser utilizados por un tercero, incluidos los metadatos asociados necesarios para interpretar y utilizar los datos. La información derivada o inferida a partir de estos datos mediante algoritmos registrados complejos, en particular cuando combine la información producida por múltiples sensores en el producto conectado, no se considerará incluida en el ámbito de aplicación de la obligación del titular de datos de compartir datos con los usuarios o destinatarios de datos, a menos que se acuerde otra cosa entre el usuario y el titular de datos. Toda solicitud de acceso a los datos a un titular de datos deberá realizarse sobre la base de una simple solicitud por medios electrónicos cuando sea técnicamente viable y, en su caso, deberá indicar el tipo, la naturaleza o el alcance de los datos solicitados .

1 bis. Los titulares de datos podrán rechazar una solicitud de datos si el acceso a ellos está prohibido en virtud del Derecho nacional o de la Unión.

1 ter. Los usuarios y los titulares de datos podrán acordar contractualmente restringir o prohibir el acceso, la utilización o el intercambio ulterior de datos que pudiesen socavar la seguridad del producto según lo establecido por ley. Cualquiera de las partes podrá remitir el caso al coordinador de datos para evaluar si dicha restricción está justificada, en particular a la luz de cualquier efecto adverso grave para la salud o la seguridad de las personas. Las autoridades sectoriales competentes tendrán la posibilidad de proporcionar asesoramiento técnico en este contexto.

1 quater. Cuando se ajuste a todas las disposiciones establecidas en el presente Reglamento y a las condiciones acordadas en el acuerdo contractual entre las partes, el titular de datos no será responsable ante el usuario de los daños derivados de los datos facilitados, siempre que el titular de datos haya tratado los datos de forma lícita de conformidad con la legislación nacional y de la Unión y haya cumplido los requisitos de ciberseguridad pertinentes y, en su caso, las medidas técnicas y organizativas para preservar la confidencialidad de los datos compartidos. Al cumplir lo dispuesto en el presente Reglamento, un usuario que facilite lícitamente a un tercero los datos a los que se haya accedido desde un producto conectado o que haya recibido a raíz de una solicitud realizada con arreglo al artículo 4, apartado 1, o un destinatario de datos que comparta lícitamente con un tercero datos puestos a su disposición por un titular de datos no serán responsables de los daños derivados del intercambio de dichos datos, siempre que el usuario o el destinatario de los datos hayan tratado los datos de conformidad con la legislación nacional y de la Unión y hayan cumplido los requisitos de ciberseguridad pertinentes y, en su caso, las medidas técnicas y organizativas para preservar la confidencialidad de los datos compartidos.

1 quinquies. Los titulares de datos no dificultarán indebidamente el ejercicio de los derechos o las opciones de los usuarios, en particular ofreciendo opciones a los usuarios de manera no neutral o perjudicando o socavando la autonomía, la toma de decisiones o las opciones libres del usuario a través de la estructura, el diseño, la función o el modo de funcionamiento de la interfaz de usuario o de una parte de ella.

2. Los titulares de datos no exigirán al usuario que facilite ninguna información que vaya más allá de lo necesario para verificar su condición de usuarios con arreglo al apartado 1. Los titulares de datos no conservarán ninguna información sobre el acceso del usuario a los datos solicitados más allá de lo necesario para la correcta ejecución de la solicitud de acceso del usuario y para la seguridad y el mantenimiento de la infraestructura de datos. Cuando se exija legalmente una identificación, los titulares de datos permitirán que los usuarios se identifiquen y autentiquen a través de las carteras europeas de identidad digital, de conformidad con el Reglamento (UE) n.o 910/2014.

3. Los secretos comerciales se preservarán y solo se desvelarán a condición de que se adopten con antelación todas las medidas específicas necesarias con arreglo a la Directiva (UE) 2016/943 para preservar su confidencialidad, en particular con respecto a terceros. El titular de datos o el poseedor de secretos comerciales, si no es simultáneamente el titular de datos, identificará los datos protegidos como secretos comerciales y podrá acordar con el usuario cualquier medida técnica y organizativa para preservar la confidencialidad de los datos compartidos, en particular en relación con terceros , así como disposiciones en materia de responsabilidad. Dichas medidas técnicas y organizativas incluyen, según proceda, cláusulas contractuales tipo, acuerdos confidenciales, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta. En los casos en que el usuario no aplique dichas medidas o vulnere la confidencialidad de los secretos comerciales, el titular de datos deberá poder suspender el intercambio de los datos identificados como secretos comerciales. En tales casos, el titular de datos deberá notificar inmediatamente al coordinador de datos del Estado miembro en el que el titular de datos esté establecido, de conformidad con el artículo 31 del presente Reglamento, que ha suspendido el intercambio de datos y deberá especificar las medidas que no se han aplicado o los secretos comerciales cuya confidencialidad se ha vulnerado. Cuando el usuario desee impugnar la decisión del titular de datos de suspender el intercambio de datos, el coordinador de datos decidirá, en un plazo razonable, si debe reanudarse o no el intercambio de datos y, en caso afirmativo, indicará en qué condiciones .

4. El usuario no utilizará ▌datos obtenidos con arreglo a una solicitud contemplada en el apartado 1 para desarrollar un producto que compita directamente con el producto del que proceden los datos , y no utilizará dichos datos para obtener información sobre la situación económica, los activos y los métodos de producción del fabricante .

4 bis. El usuario no recurrirá a medios coercitivos ni abusará de las lagunas en la infraestructura técnica de un titular de datos diseñada para proteger los datos con el fin de obtener acceso a los mismos.

4 ter. Los usuarios tendrán derecho a compartir directamente, a través de un titular de datos o a través de proveedores de servicios de intermediación de datos según lo dispuesto en el Reglamento (UE) 2022/868, datos no personales a los que se haya accedido desde el producto conectado o que se hayan obtenido con arreglo a una solicitud contemplada en el apartado 1 con cualquier destinatario de datos con fines comerciales o no comerciales. El intercambio de datos entre un usuario y un destinatario de datos se llevará a cabo mediante acuerdos contractuales, y las disposiciones del capítulo IV sobre condiciones justas, razonables y no discriminatorias se aplicarán mutatis mutandis a los acuerdos contractuales entre usuarios y destinatarios de datos.

5. Cuando el usuario no sea un interesado, el titular de datos solo pondrá a disposición del usuario los datos personales generados por el uso de un producto o servicio relacionado cuando se cumplan todas las condiciones y normas recogidas en la legislación aplicable en materia de protección de datos, en particular cuando exista una base jurídica válida con arreglo al artículo 6 del Reglamento (UE) 2016/679 y, en su caso, se cumplan las condiciones del artículo 9 del Reglamento (UE) 2016/679 y el artículo 5, apartado 3, de la Directiva 2002/58/CE .

6. Los titulares de datos solo utilizarán los datos no personales a los que se haya accedido desde un producto conectado o que se hayan generado durante la prestación de un servicio relacionado sobre la base de un acuerdo contractual con el usuario. El titular de datos no supeditará el uso del producto o servicio relacionado a que el usuario le permita tratar datos no necesarios para la funcionalidad del producto o la prestación del servicio relacionado. El titular de datos suprimirá los datos cuando ya no sean necesarios para la finalidad acordada contractualmente. Ni los titulares de datos ni los usuarios utilizarán dichos datos obtenidos, recogidos o generados por el uso del producto o servicio relacionado para obtener información sobre la situación económica, los activos y los métodos de producción de la otra parte , ni sobre el uso del producto o servicio relacionado por parte de esta , susceptible de socavar la posición comercial de la otra parte en los mercados en los que el usuario opera.

6 bis. Los titulares de datos no pondrán a disposición de terceros datos no personales a los que hayan accedido desde el producto conectado a que se hace referencia en el artículo 3, apartado 2, letra a), con fines comerciales o no comerciales distintos del cumplimiento de sus obligaciones contractuales respecto al usuario. Cuando proceda, los titulares de datos obligarán contractualmente a los terceros a no compartir los datos recibidos de ellos.

6 ter. Cuando el acuerdo contractual entre el usuario y el titular de datos permita el uso de los datos no personales a los que hayan accedido desde el producto conectado a que se refiere el artículo 3, apartado 2 bis, letra a), el titular de datos podrá utilizar dichos datos para cualquiera de los siguientes fines:

a)

mejorar el funcionamiento del producto conectado o de los servicios relacionados;

 

b)

desarrollar nuevos productos o servicios;

 

c)

enriquecerlo o manipularlo o agregarlo con otros datos, incluso con el fin de poner a disposición de terceros el conjunto de datos resultante, siempre que dicho conjunto de datos derivados no permita la identificación de los elementos de datos específicos transmitidos al titular de los datos desde el producto conectado, ni permita a un tercero derivarlos del conjunto de datos.

6 quater. Los usuarios, en las relaciones entre empresas, tienen derecho a poner los datos a disposición de los destinatarios o titulares de datos con arreglo a cualquier condición contractual legal, incluso aceptando limitar o restringir el intercambio ulterior de dichos datos, y a recibir una compensación proporcional a cambio de renunciar a su derecho a utilizar o compartir dichos datos de forma lícita. Los destinatarios o titulares de datos no supeditarán la oferta de un servicio relacionado, o sus condiciones comerciales, incluida la fijación de precios, a dicho acuerdo por parte del usuario, ni coaccionarán, engañarán ni manipularán de ningún otro modo al usuario para que ponga a disposición los datos con arreglo a tales condiciones contractuales.

Artículo 5

Derecho del usuario a compartir datos con terceros

1. A petición de un usuario o de una parte que actúe en nombre de un usuario, como un servicio autorizado de intermediación de datos en el sentido del Reglamento (UE) 2022/868, los titulares de datos pondrán a disposición de un tercero los datos a los que hayan accedido desde un producto conectado o que se hayan generado durante la prestación de un servicio relacionado, sin demora indebida , con facilidad, con seguridad, en un formato general, estructurado, de uso común y legible por máquina, gratuitamente para el usuario, con la misma calidad que está a disposición del titular de datos y, cuando sea pertinente y técnicamente viable , de forma continua y en tiempo real. Cuando el usuario sea un interesado, los datos personales se tratarán para los fines especificados por el interesado, como los siguientes:

a)

la prestación de servicios de posventa, como el mantenimiento y la reparación del producto, incluidos los servicios de posventa en competencia con un producto conectado o servicio prestado por un titular de datos;

 

b)

permitir que el usuario actualice el software del producto conectado o servicios relacionados, en particular para la resolución de problemas de seguridad y facilidad de uso;

 

c)

servicios específicos de intermediación de datos reconocidos en la Unión o servicios específicos prestados por organizaciones de gestión de datos con fines altruistas reconocidas en la Unión con arreglo a las condiciones y requisitos de los capítulos III y IV del Reglamento (UE) 2022/868.

Los datos se proporcionarán en la forma en que se haya accedido a ellos desde el producto, con solo las adaptaciones mínimas necesarias para que puedan ser utilizados por un tercero, incluidos los metadatos asociados necesarios para interpretar y utilizar los datos. La información derivada o inferida a partir de estos datos mediante algoritmos registrados complejos, en particular cuando combine la información producida por múltiples sensores en el producto conectado, no se considerará incluida en el ámbito de aplicación de la obligación del titular de datos de compartir datos con los usuarios o destinatarios de datos, a menos que se acuerde otra cosa entre el usuario y el titular de datos.

1 bis. El derecho contemplado en el apartado 1 no se aplicará a los datos resultantes del uso de un producto o servicio relacionado en el contexto de la prueba de otros productos, sustancias o procesos nuevos que aún no se hayan comercializado, a menos que el uso por parte de un tercero esté permitido por el acuerdo con la empresa con la que el usuario acordó utilizar uno de sus productos para probar otros productos, sustancias o procesos nuevos.

2. Ninguna empresa que preste servicios básicos de plataforma respecto de la cual uno o más de dichos servicios hayan sido designados guardianes de acceso, de conformidad con el artículo […] del ▌Reglamento (UE) 2022/1925 , podrá ser un destinatario de datos elegible en virtud del presente artículo y, por tanto, no podrá:

a)

instar o incentivar comercialmente a un usuario de ninguna manera, incluso ofreciendo una compensación monetaria o de otro tipo, para que ponga a disposición de uno de sus servicios datos que el usuario haya obtenido en virtud de una solicitud con arreglo al artículo 4, apartado 1;

 

b)

instar o incentivar comercialmente a un usuario para que solicite al titular de datos que ponga a disposición de uno de sus servicios datos en virtud del apartado 1 del presente artículo;

 

c)

recibir datos de un usuario que este haya obtenido en virtud de una solicitud con arreglo al artículo 4, apartado 1.

3. No se exigirá al usuario ni al destinatario de datos que faciliten ninguna información que vaya más allá de lo necesario para verificar su condición de usuario o de destinatario de datos con arreglo al apartado 1. Los titulares de datos no conservarán ninguna información sobre el acceso del destinatario de datos a los datos solicitados más allá de lo necesario para la correcta ejecución de la solicitud de acceso del destinatario de datos y para la seguridad y el mantenimiento de la infraestructura de datos.

4. El destinatario de datos no usará medios coercitivos ni abusará de las lagunas de la infraestructura técnica de un titular de datos diseñada para proteger los datos con el fin de obtener acceso a los datos.

5. El titular de datos no utilizará ningún dato no personal obtenido, recogido o generado por el uso del producto o servicio relacionado con el fin de obtener información sobre la situación económica, los activos o los métodos de producción del tercero, ni sobre el uso por parte de este, que pueda socavar la posición comercial del tercero en los mercados en los que opera, a menos que el tercero haya dado su consentimiento explícito para tal uso y tenga la posibilidad técnica de retirar fácilmente dicho consentimiento en cualquier momento.

6. En el caso de un interesado que no sea el usuario que solicita el acceso , los datos personales obtenidos, recogidos o generados por su uso de un producto o servicio relacionado , y los datos derivados e inferidos de dicho uso, solo podrán ponerse a disposición por parte del titular de datos al tercero cuando exista una base jurídica válida con arreglo al artículo 6 del Reglamento (UE) 2016/679 y, en su caso, se cumplan las condiciones del artículo 9 del Reglamento (UE) 2016/679 y el artículo 5, apartado 3, de la Directiva 2002/58/CE .

7. El hecho de que el titular de datos y el tercero no lleguen a un acuerdo sobre las modalidades de transmisión de los datos no obstaculizará, evitará ni interferirá en el ejercicio de los derechos del interesado en virtud del Reglamento (UE) 2016/679 y, en particular, en el derecho a la portabilidad de los datos con arreglo al artículo 20 de dicho Reglamento.

8. Los secretos comerciales solo se desvelarán a terceros en la medida en que sea estrictamente necesario para cumplir el objetivo de la solicitud acordado entre el usuario y el tercero, y el tercero adopte antes de su divulgación todas las medidas específicas necesarias acordadas entre el titular de datos (o el poseedor del secreto comercial, si no es a la vez el titular de datos) y el tercero para preservar la confidencialidad del secreto comercial. En tal caso, el titular de datos o el poseedor del secreto comercial identificará los datos protegidos como secretos comerciales y las medidas técnicas y organizativas para preservar su confidencialidad , así como las disposiciones en materia de responsabilidad. Dichas medidas técnicas y organizativas se especificarán en el acuerdo entre el titular de datos o el poseedor del secreto comercial y el tercero , incluido, según el caso, mediante cláusulas contractuales tipo, protocolos de acceso estrictos, acuerdos confidenciales, normas técnicas y la aplicación de códigos de conducta. En los casos en que el tercero no aplique dichas medidas o vulnere la confidencialidad de los secretos comerciales, el titular de datos podrá suspender el intercambio de los datos identificados como secretos comerciales. En tales casos, el titular de datos deberá notificar inmediatamente al coordinador de datos del Estado miembro en el que el titular de datos esté establecido, de conformidad con el artículo 31, que ha suspendido el intercambio de datos y deberá especificar las medidas que no se han aplicado o los secretos comerciales cuya confidencialidad se ha vulnerado. Cuando el tercero desee impugnar la decisión del titular de datos de suspender el intercambio de datos, el coordinador de datos decidirá, en un plazo razonable, si debe reanudarse o no el intercambio de datos y, en caso afirmativo, indicará en qué condiciones .

9. El derecho a que se refiere el apartado 1 no afectará negativamente a los derechos de los interesados de otras partes conforme a la legislación aplicable en materia de protección de datos .

Artículo 6

Obligaciones de los destinatarios de datos que reciben datos a petición del usuario

1. Los destinatarios de datos tratarán los datos que se pongan a su disposición con arreglo al artículo 5 únicamente para los fines y en las condiciones acordadas con el usuario, y cuando se cumplan todas las condiciones y normas previstas en la legislación aplicable en materia de protección de datos, en particular cuando exista una base jurídica válida en virtud del artículo 6, apartado 1, del Reglamento (UE) 2016/679 y, en su caso, se cumplan las condiciones del artículo 9 del Reglamento (UE) 2016/679 y el artículo 5, apartado 3, de la Directiva 2002/58/CE, y sin perjuicio de los derechos del interesado en lo que respecta a los datos personales . Los destinatarios de datos suprimirán los datos cuando ya no sean necesarios para la finalidad acordada , a menos que acuerden otra cosa con el usuario .

2. El destinatario de datos no podrá:

a)

dificultar indebidamente el ejercicio de los derechos o las opciones de los usuarios, en particular ofreciendo opciones a los usuarios de manera no neutral, ni coaccionar, engañar o manipular al usuario de ningún modo, o perjudicar o socavar la autonomía, la toma de decisiones o las opciones del usuario, ni tampoco utilizar una interfaz digital o parte de ella con el usuario , incluidos su estructura, diseño, función o modo de funcionamiento ;

 

b)

utilizar los datos que reciba para la elaboración de perfiles de personas físicas en el sentido del artículo 4, punto 4, del Reglamento (UE) 2016/679 de otro modo que no sea de conformidad con dicho Reglamento ;

 

c)

poner los datos que reciba a disposición de otro tercero sin informar al usuario de forma clara y fácilmente accesible y solicitar el permiso contractual explícito del usuario;

 

d)

poner los datos que reciba a disposición de una empresa que preste servicios básicos de plataforma respecto de la cual uno o más de dichos servicios hayan sido designados guardianes de acceso con arreglo al artículo 3 del Reglamento (UE) 2022/1925 ( Reglamento de Mercados Digitales);

 

e)

utilizar los datos que reciba para desarrollar un producto que compita con el producto del que proceden los datos a los que ha accedido ni compartir los datos con otro tercero con tal finalidad; los destinatarios de datos no utilizarán ningún dato no personal generado por el uso del producto o servicio relacionado con el fin de obtener información sobre la situación económica, los activos o los métodos de producción del titular de los datos, ni sobre el uso por parte de este, que pueda socavar la posición comercial del titular de los datos en los mercados en los que este opera;

 

e bis)

utilizar los datos que reciba de una manera que afecte negativamente a la seguridad del producto o del servicio o servicios relacionados;

 

e ter)

ignorar, en su caso, las medidas específicas acordadas con un titular de datos o con el poseedor de los secretos comerciales de conformidad con el artículo 5, apartado 8, del presente Reglamento ni vulnerar la confidencialidad de los secretos comerciales;

 

e quater)

utilizar los datos para alterar información sensible sobre protección de infraestructuras críticas en el sentido del artículo 2, letra d), de la Directiva 2008/114/CE.

2 bis. El tercero asumirá la responsabilidad de garantizar la seguridad y la protección de los datos que reciba de un titular de datos.

Artículo 7

Ámbito de aplicación de las obligaciones de intercambio de datos de empresa a consumidor y de empresa a empresa

1. Las obligaciones del presente capítulo no se aplicarán a ▌empresas que se consideren microempresas o pequeñas empresas, tal como se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE, siempre que dichas empresas no tengan empresas asociadas o empresas vinculadas, según la definición del artículo 3 del anexo de la Recomendación 2003/361/CE, que no puedan considerarse microempresas o pequeñas empresas y cuando no se haya subcontratado a una microempresa o una pequeña empresa para fabricar o diseñar un producto o prestar un servicio relacionado .

2. Cuando el presente Reglamento se refiera a productos o servicios relacionados, se entenderá que dicha referencia incluye también a los asistentes virtuales, en la medida en que se utilicen para acceder a un producto o servicio relacionado o para controlarlo.

CAPÍTULO III

OBLIGACIONES DE LOS TITULARES DE DATOS LEGALMENTE OBLIGADOS A PONER LOS DATOS A DISPOSICIÓN

Artículo 8

Condiciones en las que los titulares de datos ponen datos a disposición de los destinatarios de datos

1. Cuando un titular de datos esté obligado a poner datos a disposición de un destinatario de datos en virtud del artículo 5 o de otra normativa de la Unión o de legislación nacional de ejecución del Derecho de la Unión, acordará con el destinatario de datos las modalidades de puesta a disposición de los datos y lo hará en condiciones justas, razonables y no discriminatorias y de una forma transparente, de conformidad con lo dispuesto en el presente capítulo y en el capítulo IV.

2. ▌ Ninguna cláusula contractual sobre el acceso a los datos y su utilización o sobre la responsabilidad y las vías de recurso por incumplimiento o resolución de obligaciones relativas a datos será vinculante si cumple las condiciones del artículo 13 o si excluye la aplicación, establece excepciones o modifica los derechos del usuario en virtud del capítulo II.

3. El titular de los datos no discriminará en cuanto a las modalidades de intercambio de datos entre categorías comparables de destinatarios de datos, incluidas las empresas asociadas o las empresas vinculadas, tal como se definen en el artículo 3 del anexo de la Recomendación 2003/361/CE, del titular de los datos, cuando se pongan a disposición los datos. Cuando un destinatario de datos tenga dudas razonables de que las condiciones en las que se han puesto a su disposición los datos son discriminatorias, el titular de los datos proporcionará al destinatario de los datos, sin demora indebida, pruebas que demuestren que no ha habido discriminación.

5. Los titulares de datos y los destinatarios de datos no estarán obligados a facilitar ninguna información que vaya más allá de lo necesario para verificar el cumplimiento de las condiciones contractuales acordadas para la puesta a disposición de los datos o de sus obligaciones en virtud del presente Reglamento o de otra legislación de la Unión aplicable o de legislación nacional de ejecución del Derecho de la Unión.

5 bis. Los titulares de datos y los destinatarios de datos adoptarán todas las medidas jurídicas, organizativas y técnicas necesarias para garantizar la seguridad e integridad de las transferencias de datos.

6. Salvo disposición en contrario del Derecho de la Unión, incluidos el artículo 4, apartado 3, el artículo 5, apartado 8, y el artículo 6 del presente Reglamento, o de legislación nacional de ejecución del Derecho de la Unión, la obligación de poner los datos a disposición de un destinatario de datos no obligará a la divulgación de secretos comerciales en el sentido de la Directiva (UE) 2016/943.

Artículo 9

Compensación por la puesta a disposición de los datos

1. Toda compensación acordada entre un titular de datos y un destinatario de datos por la puesta a disposición de los datos en relaciones entre empresas deberá ser no discriminatoria y razonable. Los titulares de datos, destinatarios de datos o terceros no cobrarán directa o indirectamente a los consumidores o interesados una tasa, compensación o costes por compartir datos o acceder a ellos.

2. Cuando el destinatario de datos sea un organismo de investigación sin ánimo de lucro o una pyme , conforme a la definición del artículo 2 del anexo de la Recomendación 2003/361/CE y siempre que dichas empresas no tengan empresas asociadas o vinculadas, según la definición del artículo 3 del anexo de la Recomendación 2003/361/CE y no puedan considerarse pymes , toda compensación que se acuerde no deberá superar los costes directamente relacionados con la puesta a disposición del destinatario de los mismos y que sean atribuibles a la solicitud. El artículo 8, apartado 3, será de aplicación a estos efectos. En el caso de una pyme, el titular de los datos informará activamente de la obligación de facilitar los datos preferiblemente en función de un modelo basado en los costes.

2 bis. La Comisión elaborará directrices para determinar los criterios aplicables a las categorías de costes relacionados con la puesta a disposición de los datos, que constituirán la base para la concesión de compensaciones con arreglo al apartado 1.

3. El presente artículo no será óbice para que otra legislación de la Unión u otra legislación nacional de ejecución del Derecho de la Unión excluyan la compensación por la puesta a disposición de datos o prevean una indemnización inferior.

4. El titular de datos facilitará al destinatario de datos información que contenga la base para el cálculo de la compensación con el suficiente detalle para que el destinatario de datos pueda verificar que se cumplen los requisitos del apartado 1 y, en su caso, del apartado 2.

Artículo 10

Resolución de litigios

1. Los usuarios, los titulares de datos y los destinatarios de datos tendrán acceso a órganos de resolución de litigios, certificados de conformidad con el apartado 2 del presente artículo, para resolver litigios en relación con el cumplimiento de la obligación del titular de datos de facilitar, previa solicitud del usuario, los datos al destinatario de los datos, la determinación de condiciones justas, razonables y no discriminatorias para poner los datos a disposición y de la forma transparente de hacerlo, de conformidad con los artículos 8 , 9 y 13 .

2. A petición del órgano de resolución de litigios, el Estado miembro en el que esté establecido dicho órgano lo certificará, siempre que el órgano haya demostrado que cumple todas las condiciones siguientes:

a)

es imparcial e independiente, y dictará sus resoluciones con arreglo a unas normas de procedimiento claras y justas;

 

b)

dispone de los conocimientos técnicos necesarios relativos a la determinación de condiciones justas, razonables y no discriminatorias aplicables a la puesta a disposición de datos y la manera de hacerlo con transparencia, que permiten que el órgano pueda determinar efectivamente dichas condiciones;

 

c)

es fácilmente accesible a través de tecnologías de comunicación electrónicas;

 

d)

es capaz de adoptar sus decisiones de manera rápida, eficiente y rentable y al menos en una de las lenguas oficiales del Estado miembro en el que esté establecido el órgano .

Si a más tardar el [fecha de aplicación del Reglamento] no hay ningún órgano de resolución de litigios certificado en un Estado miembro, dicho Estado miembro deberá constituir y certificar un órgano de resolución de litigios que cumpla las condiciones establecidas en las letras a) a d) del presente apartado.

3. Los Estados miembros notificarán a la Comisión los órganos de resolución de litigios certificados de conformidad con el apartado 2. La Comisión publicará la lista de dichos órganos en un sitio web específico y la mantendrá actualizada.

4. Los órganos de resolución de litigios darán a conocer las tasas, o los mecanismos utilizados para determinar las tasas, a las partes afectadas antes de que estas soliciten una decisión.

5. Los órganos de resolución de litigios rechazarán tratar cualquier solicitud de resolución de un litigio que ya se haya presentado ante otro órgano de resolución de litigios o ante un órgano jurisdiccional de un Estado miembro.

6. Los órganos de resolución de litigios brindarán a las partes la posibilidad de expresar, en un plazo razonable, su punto de vista sobre los asuntos que esas partes hayan sometido a dichos órganos. En ese contexto, los órganos de resolución de litigios facilitarán a dichas partes las observaciones de la otra parte y cualquier declaración realizada por expertos. Dichos órganos brindarán a las partes la posibilidad de presentar comentarios sobre dichas observaciones y declaraciones.

7. Los órganos de resolución de litigios emitirán su decisión sobre los asuntos que les sean remitidos a más tardar 90 días después de que se haya formulado la solicitud de decisión. Dichas decisiones se formularán por escrito o en un soporte duradero y se apoyarán mediante una exposición de motivos que justifique la decisión.

7 bis. Los órganos de resolución de litigios pondrán a disposición del público informes anuales de actividad. Cada informe anual incluirá, en particular, la información siguiente:

a)

el número de litigios recibidos;

 

b)

una agregación de los resultados de dichos litigios;

 

c)

la duración media de la resolución de los litigios;

 

d)

las razones más comunes que dan lugar a litigios entre las partes.

7 ter. Con el fin de facilitar el intercambio de información y mejores prácticas, el órgano público de resolución de litigios podrá decidir la inclusión de recomendaciones sobre cómo evitar o resolver tales problemas.

8. La decisión del órgano de resolución de litigios solo será vinculante para las partes si estas han dado su consentimiento explícito a su carácter vinculante antes del inicio del procedimiento de resolución de litigios.

9. El presente artículo no afectará al derecho de las partes a interponer un recurso efectivo ante un órgano jurisdiccional de un Estado miembro.

Artículo 11

Medidas técnicas de protección y disposiciones sobre la utilización o divulgación no autorizadas de datos

1. El titular de datos podrá aplicar medidas técnicas de protección adecuadas, incluidos contratos inteligentes y el cifrado , para impedir la divulgación de los datos y el acceso a los mismos de manera no autorizada, incluidos los metadatos, y garantizar el cumplimiento de los artículos 4, 5, 6, 8, 9 y 10, así como de las condiciones contractuales acordadas para la puesta a disposición de los datos. Dichas medidas técnicas de protección no discriminarán entre destinatarios de datos ni obstaculizarán el derecho del usuario a obtener una copia, recuperar, utilizar o acceder a los datos o a facilitar datos a terceros de manera efectiva de conformidad con el artículo 5 ni ningún derecho de un tercero en virtud del Derecho de la Unión o de legislación nacional de ejecución del Derecho de la Unión a que se refiere el artículo 8, apartado 1. Cuando un usuario o titular de datos aporte pruebas tangibles pertinentes sobre el uso ilícito o la divulgación no autorizada a un tercero por parte del destinatario de los datos, este último facilitará, a petición del usuario o del titular de datos, información sobre cómo se han utilizado los datos o con quién se han compartido.

2. Cuando un destinatario de datos, con el fin de obtener datos, haya facilitado información ▌falsa al titular de datos, haya utilizado medios engañosos o coercitivos o haya abusado de lagunas evidentes en la infraestructura técnica del titular de datos destinada a proteger los datos, haya utilizado los datos puestos a disposición con fines no autorizados , incluido el desarrollo de un producto competidor en el sentido del artículo 6, apartado 2, letra e), o haya desvelado ilícitamente ▌datos a otra parte , el destinatario de datos será responsable de los daños de la parte que sufra el uso indebido o la revelación de esos datos y deberá atender sin demora indebida las solicitudes del titular de datos o del poseedor del secreto comercial, cuando no sean la misma persona jurídica, de :

a)

suprimir los datos puestos a disposición ▌y cualquier copia de los mismos;

 

b)

poner fin a la producción, la oferta, la puesta en el mercado o el uso de bienes, datos derivados o servicios producidos sobre la base de los conocimientos obtenidos a través de dichos datos, o a la importación, exportación o almacenamiento de mercancías infractoras con esos fines, y destruir cualquier mercancía infractora;

 

b bis)

informar al usuario del uso o divulgación no autorizados de los datos y de las medidas adoptadas para poner fin al uso o divulgación no autorizados de los datos;

 

b ter)

notificar al titular de los datos la divulgación de los mismos.

2 bis. Cuando el destinatario de datos infrinja el artículo 6, apartado 2, letras a) y b), el usuario gozará de las mismas prerrogativas que el titular de datos, y el destinatario de datos de las mismas obligaciones que las establecidas en el apartado 2.

Artículo 12

Ámbito de aplicación de las obligaciones de los titulares de datos legalmente obligados a poner los datos a disposición

1. El presente capítulo se aplicará cuando el titular de datos esté obligado, en virtud del artículo 5, o en virtud del Derecho de la Unión o de legislación nacional de ejecución del Derecho de la Unión, a poner los datos a disposición de un destinatario de datos.

2. Cualquier cláusula contractual de un acuerdo de intercambio de datos que, en detrimento de una de las partes o, en su caso, en detrimento del usuario, excluya la aplicación del presente capítulo, establezca excepciones al mismo o modifique sus efectos, será nula .

2 bis. Cualquier cláusula contractual de un acuerdo de intercambio de datos entre los titulares de datos y los destinatarios de datos que, en detrimento de los interesados, socave la aplicación de sus derechos a la privacidad y a la protección de los datos, establezca excepciones a estos o modifique sus efectos, será nula.

3. El presente capítulo solo se aplicará en relación con las obligaciones de puesta a disposición de los datos en virtud del Derecho de la Unión o de legislación nacional de ejecución del Derecho de la Unión, que entren en vigor después del [fecha de aplicación del Reglamento].

CAPÍTULO IV

CLÁUSULAS ABUSIVAS ENTRE EMPRESAS EN RELACIÓN CON EL ACCESO A LOS DATOS Y SU UTILIZACIÓN

Artículo 13

Cláusulas contractuales abusivas impuestas unilateralmente a ▌empresas

1. Las cláusulas contractuales sobre el acceso a los datos y su utilización o sobre la responsabilidad y las vías de recurso por incumplimiento o resolución de obligaciones relativas a datos que hayan sido impuestas unilateralmente por una empresa a otra empresa ▌no serán vinculantes para esta última empresa, el destinatario de datos o el usuario, respectivamente, en caso de ser abusivas.

1 bis. Una cláusula contractual no se considerará abusiva cuando se derive del Derecho de la Unión aplicable.

2. Una cláusula contractual será abusiva si, por su naturaleza, menoscaba objetivamente la capacidad de la parte a la que se ha impuesto unilateralmente para proteger su interés comercial legítimo por los datos de que se trate o si su aplicación se aparta manifiestamente de las buenas prácticas comerciales en materia de acceso a los datos y su utilización, en contravención de los principios de buena fe y comercio justo o crea un desequilibrio importante entre los derechos y obligaciones de las partes en el contrato .

3. A los efectos del presente artículo, una cláusula contractual será abusiva si tiene por objeto o efecto:

a)

excluir o limitar la responsabilidad de la parte que haya impuesto unilateralmente la cláusula en caso de acciones intencionadas o negligencia grave;

 

b)

excluir las vías de recurso de que dispone la parte a la que se haya impuesto unilateralmente la cláusula en caso de incumplimiento de obligaciones contractuales o la responsabilidad de la parte que haya impuesto unilateralmente la cláusula en caso de infracción de dichas obligaciones;

 

c)

otorgar a la parte que haya impuesto unilateralmente la cláusula el derecho exclusivo de determinar si los datos facilitados son acordes con el contrato o de interpretar cualquier cláusula del contrato.

4. A los efectos del presente artículo, se presumirá que una cláusula contractual es abusiva si tiene por objeto o efecto:

a)

limitar de forma inadecuada las vías de recurso en caso de incumplimiento de obligaciones contractuales o la responsabilidad en caso de infracción de dichas obligaciones;

 

b)

permitir a la parte que haya impuesto unilateralmente la cláusula acceder a los datos de la otra parte contratante y utilizarlos de manera que cause un grave perjuicio a los intereses legítimos de dicha otra parte , incluido cuando esos datos contengan datos sensibles desde el punto de vista comercial o estén protegidos por secretos comerciales o derechos de propiedad intelectual, sin el consentimiento previo de las partes pertinentes ;

 

c)

impedir a la parte a la que se haya impuesto unilateralmente la cláusula utilizar los datos que haya aportado o generado durante el período de vigencia del contrato, o limitar la utilización de estos datos en tal medida que esa parte no pueda utilizar, recopilar ni controlar esos datos, ni acceder a ellos, ni explotar su valor de manera proporcionada;

 

c bis)

imponer la elección unilateral de la jurisdicción competente o el pago del coste relacionado con el procedimiento;

 

c ter)

impedir que la parte a la que se haya impuesto unilateralmente la cláusula ponga fin al acuerdo en un plazo razonable;

 

d)

impedir a la parte a la que se haya impuesto unilateralmente la cláusula obtener una copia de los datos que haya aportado o generado durante el período de vigencia del contrato o dentro de un plazo razonable tras su resolución;

 

e)

permitir a la parte que haya impuesto unilateralmente la cláusula modificar sustancialmente el precio inicial pagadero en virtud del contrato, o cualquier otra condición sustancial sobre los datos que deben compartirse, sin que la otra parte tenga derecho a rescindir el contrato, o permitir a la parte que haya impuesto unilateralmente la cláusula resolver el contrato con un plazo de preaviso excesivamente corto, habida cuenta de las posibilidades razonables de la otra parte contratante de cambiar a un servicio alternativo y comparable y del perjuicio financiero ocasionado por esa resolución, salvo cuando haya razones fundadas para hacerlo.

5. Se considerará que una cláusula contractual se ha impuesto unilateralmente en la acepción del presente artículo si ha sido aportada por una de las partes contratantes sin que la otra parte contratante haya podido influir en su contenido pese a haber intentado negociarlo. Corresponderá a la parte contratante que haya aportado una cláusula contractual demostrar que no ha sido impuesta unilateralmente.

6. En caso de que la cláusula contractual abusiva sea disociable de las demás cláusulas del contrato, estas seguirán siendo vinculantes.

6 bis. La parte que haya establecido la cláusula controvertida no podrá alegar que se trata de una cláusula abusiva.

7. El presente artículo no se aplicará a las cláusulas comerciales del objeto principal del contrato y no afectará a la capacidad de las partes para negociar el precio a pagar.

8. Las partes de un contrato que entre en el ámbito de aplicación del apartado 1 no excluirán la aplicación del presente artículo, no establecerán excepciones al mismo ni modificarán sus efectos.

8 bis. El presente artículo se aplicará a todos los nuevos contratos que entren en vigor a partir de [la fecha de entrada en vigor del presente Reglamento]. Las empresas dispondrán de un plazo de tres años a partir de esa fecha para revisar las obligaciones contractuales vigentes sujetas al presente Reglamento.

8 ter. Dada la rapidez con que se producen las innovaciones en los mercados, la lista de cláusulas contractuales abusivas del artículo 13 será revisada periódicamente por la Comisión y se actualizará, en caso necesario, en función de las nuevas prácticas comerciales.

CAPÍTULO V

PUESTA DE LOS DATOS A DISPOSICIÓN DE LOS ORGANISMOS DEL SECTOR PÚBLICO Y DE LAS INSTITUCIONES, ÓRGANOS U ORGANISMOS DE LA UNIÓN EN RAZÓN DE UNA NECESIDAD EXCEPCIONAL

Artículo 14

Obligación de facilitar datos en razón de una necesidad excepcional

1. Previa solicitud específica, debidamente justificada y limitada en el tiempo y en su ámbito de aplicación , un titular de datos que sea una persona jurídica facilitará datos no personales disponibles en el momento de la solicitud, incluidos los metadatos, a un organismo del sector público o a una institución, órgano u organismo de la Unión que demuestre la existencia de una necesidad excepcional de utilizar los datos solicitados.

2. El presente capítulo no será de aplicación a las microempresas ni a las pequeñas empresas, según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE.

2 bis. El presente capítulo no será óbice para la celebración de acuerdos voluntarios entre empresas y organismos del sector público e instituciones, órganos u organismos de la Unión para compartir datos con el fin de prestar servicios públicos, incluso para necesidades excepcionales si así lo estipulan sus contratos.

Artículo 15

Necesidad excepcional de utilizar los datos

Se considerará que existe una necesidad excepcional limitada en el tiempo y en su ámbito de aplicación de utilizar los datos no personales en la acepción del presente capítulo en ▌ las circunstancias siguientes:

a)

cuando los datos solicitados sean necesarios para responder a una emergencia pública;

 

b)

en situaciones de no emergencia, cuando el organismo del sector público o la institución, órgano u organismo de la Unión actúe sobre la base del Derecho de la Unión o nacional y haya identificado datos específicos que no estén a su disposición y que sean necesarios para el cumplimiento de una tarea específica de interés público que esté explícitamente prevista por ley, como la prevención o la recuperación de una emergencia pública , y que el organismo del sector público o la institución, órgano u organismo de la Unión no haya podido obtener por cualquiera de los medios siguientes: un acuerdo voluntario ; la compra de datos en el mercado o apoyándose en obligaciones existentes de facilitar los datos.

Artículo 15 bis

Punto único para la tramitación de las solicitudes de los organismos del sector público

1. El coordinador de datos designado con arreglo al artículo 31 será responsable de coordinar las solicitudes de los organismos del sector público del Estado miembro de que se trate de conformidad con el artículo 14, apartado 1, con el fin de garantizar que las solicitudes cumplan el requisito establecido en el presente capítulo y las transmitirá al titular de los datos. Evitará las solicitudes múltiples de diferentes organismos del sector público dentro de su territorio al mismo titular de datos.

2. Los Estados miembros informarán periódicamente a la Comisión de las solicitudes realizadas en virtud del artículo 14, apartado 1.

3. Cuando los organismos del sector público o las instituciones, órganos u organismos de la Unión requieran datos del mismo titular de datos en más de un Estado miembro sobre la base de una necesidad excepcional de conformidad con el artículo 14, apartado 1, las autoridades competentes de los Estados miembros cooperarán de conformidad con el artículo 22 para coordinar sus solicitudes cuando sea necesario para minimizar la carga administrativa de los titulares de datos.

4. La Comisión elaborará un modelo para las solicitudes con arreglo al artículo 17.

Artículo 16

Relación con otras obligaciones de facilitar datos a organismos del sector público e instituciones, órganos y organismos de la Unión

1. El presente capítulo no afectará a las obligaciones establecidas en el Derecho de la Unión o nacional a efectos de la presentación de informes, el cumplimiento de solicitudes de información o la demostración o verificación del cumplimiento de obligaciones legales.

2. El presente capítulo no se aplicará a los organismos del sector público y las instituciones, órganos y organismos de la Unión que llevan a cabo actividades para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o administrativas o de ejecución de sanciones penales, ni a la administración aduanera o tributaria. El presente capítulo no afecta al Derecho de la Unión y nacional aplicable en materia de prevención, investigación, detección o enjuiciamiento de infracciones penales o administrativas o de ejecución de sanciones penales o administrativas, ni de administración aduanera o tributaria.

2 bis. Las empresas que entren en el ámbito de aplicación del presente capítulo informarán a sus usuarios de la posibilidad de compartir datos en caso de circunstancias excepcionales.

Artículo 17

Solicitudes de puesta a disposición de datos

1. En una solicitud de datos con arreglo al artículo 14, apartado 1, el organismo del sector público o la institución, órgano u organismo de la Unión deberá:

a)

solicitar los datos dentro de su ámbito de competencias y especificar qué conjuntos de datos necesita;

 

b)

demostrar la necesidad excepcional para la que solicita los datos y el cumplimiento de las condiciones contempladas en el artículo 15 ;

 

c)

explicar el objeto de la solicitud, la utilización prevista de los datos solicitados y la duración de dicha utilización;

 

c bis)

especificar, siempre que sea posible, cuándo se prevé que los datos sean suprimidos por todas las partes que tengan acceso a ellos;

 

c ter)

justificar la elección del titular de datos al que se dirige la solicitud;

 

c quater)

especificar todos los demás organismos del sector público, instituciones, órganos u organismos de la Unión y terceros con los que se prevé compartir los datos solicitados;

 

c quinquies)

revelar la identidad del tercero a que se refieren el apartado 4 del presente artículo y el artículo 21 del presente Reglamento;

 

c sexies)

aplicar todas las medidas de seguridad de las TIC pertinentes en relación con la transferencia y el almacenamiento de datos;

 

d)

indicar la base jurídica que sustenta la solicitud de los datos;

 

d bis)

especificar los límites geográficos aplicables a la solicitud de datos;

 

e)

especificar el plazo en que deben facilitarse los datos y en que el titular de datos puede pedir al organismo del sector público o a la institución, órgano u organismo de la Unión que modifique o retire la solicitud;

 

e bis)

presentar una declaración sobre el tratamiento lícito y seguro de los datos solicitados, incluida la confidencialidad de los secretos comerciales;

 

e ter)

garantizar que la puesta a disposición de los datos no coloque al titular de datos en una situación de violación del Derecho de la Unión o nacional ni le confiera responsabilidad por cualquier infracción o perjuicio resultante del acceso a los datos que el organismo del sector público o la institución, órgano u organismo de la Unión haya solicitado.

2. Toda solicitud de datos presentada con arreglo al apartado 1 del presente artículo deberá:

a)

expresarse por escrito y en un lenguaje claro, conciso y sencillo comprensible para el titular de datos;

 

a bis)

presentarse a través de la autoridad competente;

 

a ter)

ser específica en lo que se refiere al tipo de datos solicitados y corresponder a datos que estén a disposición del titular de datos en el momento de la solicitud;

 

b)

estar justificada y guardar proporción con la necesidad excepcional, en cuanto a la granularidad y volumen de los datos solicitados y la frecuencia de acceso a los datos solicitados;

 

c)

respetar los objetivos legítimos del titular de datos, teniendo en cuenta la protección de los secretos comerciales y el coste y el esfuerzo necesarios para facilitar los datos; cuando proceda, especificar las medidas que deban adoptarse de conformidad con el artículo 19, apartado 2, a fin de preservar la confidencialidad de los secretos comerciales, también, en su caso, a través de cláusulas contractuales tipo, normas técnicas y códigos de conducta;

 

d)

referirse únicamente a datos no personales;

 

e)

informar al titular de datos de las sanciones que impondrá de conformidad con el artículo 33 el coordinador de datos a que se refiere el artículo 31 en caso de que no se atienda la solicitud;

 

f)

transmitirse al coordinador de datos a que se refiere el artículo 31, quien pondrá la solicitud a disposición del público por internet sin demora indebida ; el coordinador de datos podrá informar al organismo del sector público o a la institución, órgano u organismo de la Unión si el titular de datos ya ha facilitado los datos solicitados en respuesta a una solicitud presentada previamente para el mismo fin por otro organismo del sector público u otra institución, órgano u organismo de la Unión.

3. Un organismo del sector público o una institución, órgano u organismo de la Unión no facilitará datos obtenidos de conformidad con el presente capítulo para su reutilización en la acepción de la Directiva (UE) 2019/1024 y el Reglamento (UE) 2022/868 . La Directiva (UE) 2019/1024 y el Reglamento (UE) 2022/868 no será de aplicación a los datos que obren en poder de los organismos del sector público obtenidos conforme al presente capítulo.

4. Lo dispuesto en el apartado 3 no impedirá al organismo del sector público o la institución, órgano u organismo de la Unión intercambiar los datos obtenidos con arreglo al presente capítulo con otro organismo del sector público u otra institución, órgano u organismo de la Unión que se haya incluido en la solicitud de conformidad con el apartado 1, letra c quater), con el fin de completar las tareas a que se refiere el artículo 15 ni poner los datos a disposición de un tercero en los casos en que haya externalizado, mediante un acuerdo de acceso público, inspecciones técnicas u otras funciones respecto a ese tercero. Obligará contractualmente al tercero a no utilizar los datos para ningún otro fin y a no compartirlos con otros terceros. Cuando un organismo del sector público o una institución, órgano u organismo de la Unión transmita o facilite datos en aplicación del presente apartado, lo notificará al titular de datos del que haya recibido los datos sin demora indebida. En el plazo de cinco días hábiles a partir de dicha notificación, el titular de datos tendrá derecho a formular una objeción motivada a dicha transmisión o facilitación de datos. En caso de que el organismo del sector público o la institución, órgano u organismo de la Unión rechace la objeción motivada, el titular de los datos podrá someter el asunto al coordinador de datos a que se refiere el artículo 31. Los organismos del sector público y las instituciones, órganos u organismos de la Unión y los terceros receptores estarán sujetos a las obligaciones establecidas en el artículo 19 ▌.

Los datos obtenidos con arreglo al presente capítulo solo se utilizarán para los fines especificados en la solicitud. Los organismos del sector público y las instituciones, órganos u organismos de la Unión obligarán contractualmente a los terceros con los que hayan acordado compartir datos de conformidad con el apartado 4 a no utilizar los datos para ningún otro fin y a no compartirlos con otras partes.

Artículo 18

Cumplimiento de las solicitudes de datos

1. Cuando un titular de datos reciba una solicitud de acceso a los datos con arreglo al presente capítulo, pondrá los datos a disposición del organismo del sector público o la institución, órgano u organismo de la Unión solicitante sin demora indebida , teniendo en cuenta el tiempo disponible y las medidas técnicas, organizativas y jurídicas necesarias .

2. Sin perjuicio de las necesidades específicas en relación con la disponibilidad de datos definidas en la legislación sectorial, el titular de datos podrá denegar la solicitud o pedir su modificación en un plazo de cinco días hábiles a partir de la recepción de la solicitud de los datos necesarios para responder a una emergencia pública, y en el plazo de treinta días hábiles en otros casos de necesidad excepcional, basándose en uno de los siguientes motivos:

a)

que los datos no estén a disposición del titular de los datos en el momento de la solicitud ;

 

a bis)

que las medidas de seguridad relativas a la transferencia, el almacenamiento y el mantenimiento de la confidencialidad sean insuficientes;

 

a ter)

que otro organismo del sector público o institución, órgano u organismo de la Unión haya presentado previamente una solicitud similar para el mismo fin y no se haya informado al titular de los datos de la destrucción de los datos de conformidad con el artículo 19, apartado 1, letra c);

 

b)

que la solicitud no reúna las condiciones establecidas en el artículo 17, apartados 1 y 2.

4. En caso de que el titular de datos decida denegar la solicitud o pedir su modificación de conformidad con el apartado 3, indicará la identidad del organismo del sector público o de la institución, órgano u organismo de la Unión que haya presentado previamente una solicitud con la misma finalidad.

5. Cuando el cumplimiento de la solicitud de facilitar datos a un organismo del sector público o a una institución, órgano u organismo de la Unión exija la divulgación de datos personales, el titular de datos ▌ seudonimizará los datos personales que deban ponerse a disposición .

6. Cuando el organismo del sector público o la institución, órgano u organismo de la Unión desee impugnar la negativa del titular de datos a facilitar los datos solicitados, o su petición de modificar la solicitud, o cuando el titular de datos desee impugnar la solicitud, la cuestión será remitida al coordinador de datos contemplado en el artículo 31 , sin perjuicio del derecho a someter un litigio a un órgano jurisdiccional civil o administrativo, de conformidad con el Derecho de la Unión o nacional .

Artículo 19

Obligaciones de los organismos del sector público y de las instituciones, órganos y organismos de la Unión

1. Un organismo del sector público o una institución, órgano u organismo de la Unión que haya recibido datos en respuesta a una solicitud presentada con arreglo al artículo 14 y los institutos de estadística u organismos de investigación que reciban datos en virtud de una solicitud presentada con arreglo al artículo 21, apartado 1 :

 

 

b)

en la medida en que el tratamiento de datos personales resulte necesario, aplicará medidas técnicas y organizativas que protejan los derechos y libertades de los interesados y garanticen un nivel elevado de seguridad y eviten la divulgación no autorizada de datos ;

 

b bis)

aplicará las medidas técnicas y organizativas necesarias para gestionar los riesgos cibernéticos que puedan afectar a la confidencialidad, integridad o disponibilidad de los datos solicitados;

 

b ter)

informará al titular de datos del que haya recibido los datos sobre cualquier incidente de ciberseguridad que afecte a la confidencialidad, integridad o disponibilidad de los datos recibidos lo antes posible y, a más tardar, 72 horas después de haber determinado que se ha producido el incidente, sin perjuicio de las obligaciones de notificación en virtud del Reglamento (UE) XXX/XXXX (IOUE) y la Directiva (UE) 2022/2555; dichas entidades serán responsables de los daños debidos a una vulneración de la ciberseguridad en caso de que no hubieran adoptado las medidas a que se refiere el apartado 1, letra b bis);

 

c)

suprimirá los datos en cuanto dejen de ser necesarios para la finalidad indicada e informará sin demora indebida al titular de datos de su supresión .

1 bis. El organismo del sector público, la institución, órgano u organismo de la Unión o el tercero que reciba datos con arreglo al presente capítulo no podrá:

a)

utilizar los datos para desarrollar un producto o servicio que compita con el producto o servicio o que mejore un producto o servicio existente del que proceden los datos a los que ha accedido;

 

b)

obtener información sobre la situación económica, los activos y los métodos de producción o funcionamiento del titular de los datos, ni compartir los datos con otro tercero a tal efecto; o

 

c)

compartir los datos con otro tercero para cualquiera de estos fines.

2. La divulgación de secretos comerciales ▌ a un organismo del sector público o a una institución, órgano u organismo de la Unión solo se exigirá en la medida en que sea estrictamente necesario para cumplir la finalidad de una solicitud en virtud del artículo 15 . En ese caso, el titular de datos identificará los datos protegidos como secretos comerciales. El organismo del sector público o la institución, órgano u organismo de la Unión adoptará por adelantado todas las medidas técnicas y organizativas necesarias y adecuadas acordadas con el titular de datos o con el poseedor de secretos comerciales si no se trata simultáneamente de la misma persona jurídica, para preservar la confidencialidad de dichos secretos comerciales , también, cuando proceda, mediante el uso de cláusulas contractuales tipo, normas técnicas y la aplicación de códigos de conducta .

2 bis. Cuando un organismo del sector público o una institución, órgano u organismo de la Unión transmita o facilite datos a terceros para llevar a cabo las tareas que se le hayan externalizado como resultado de la externalización de inspecciones técnicas u otras funciones de conformidad con el artículo 17, apartado 4, los secretos comerciales identificados por el titular de datos solo se divulgarán en la medida en que sean estrictamente necesarios para que el tercero lleve a cabo las tareas que se hayan externalizado y a condición de que se adopten por adelantado todas las medidas específicas necesarias y acordadas entre el titular de datos y el tercero, incluidas medidas técnicas y organizativas para preservar la confidencialidad de dichos secretos comerciales, y también, cuando proceda, mediante el uso de cláusulas contractuales tipo, normas técnicas y la aplicación de códigos de conducta.

2 ter. En los casos en que el organismo del sector público o la institución, órgano u organismo de la Unión que haya presentado la solicitud de datos o el tercero al que se hayan facilitado los datos de conformidad con el artículo 17, apartado 4, no apliquen esas medidas o vulneren la confidencialidad de los secretos comerciales, el titular de datos podrá suspender el intercambio de los datos identificados como secretos comerciales. En tales casos, el titular de datos notificará inmediatamente al coordinador de datos del Estado miembro en el que el titular de datos esté establecido, de conformidad con el artículo 31, que ha suspendido el intercambio de datos y especificará las medidas que no se han aplicado o los secretos comerciales cuya confidencialidad se ha vulnerado. Cuando el organismo del sector público, la institución, órgano u organismo de la Unión o el tercero deseen impugnar la decisión del titular de datos de suspender el intercambio de datos, el coordinador de datos decidirá, en un plazo razonable, si debe reanudarse o no el intercambio de datos y, en caso afirmativo, indicará en qué condiciones.

2 quater. Los organismos del sector público o las instituciones, órganos u organismos de la Unión serán responsables de la seguridad de los datos que reciban.

2 quinquies. Los organismos del sector público o las instituciones, órganos u organismos de la Unión informarán al titular de datos en caso de que se produzca una violación de la seguridad lo antes posible, pero a más tardar en un plazo de 48 horas.

Artículo 20

Compensación en caso de necesidad excepcional

1. Salvo indicación en contrario en el Derecho de la Unión o nacional, la puesta a disposición de datos en respuesta a una emergencia pública con arreglo al artículo 15, letra a), será gratuita. El organismo del sector público o la institución, órgano u organismo de la Unión que haya recibido los datos dará reconocimiento público al titular de datos si este así lo solicita.

2. ▌El titular de datos tendrá derecho a una retribución justa por facilitar datos en respuesta a una solicitud presentada con arreglo al artículo 15, letra b) , que como mínimo cubrirá los costes técnicos y organizativos soportados para dar cumplimiento a la solicitud, incluidos, en su caso, los costes de anonimización y de adaptación técnica, más un margen razonable. A petición del organismo del sector público o de la institución, órgano u organismo de la Unión que solicite los datos, el titular de datos facilitará información sobre la base de cálculo de los costes y del margen razonable.

2 bis. Cuando el organismo del sector público o la institución, órgano u organismo de la Unión desee impugnar el nivel de la remuneración solicitada por el titular de los datos, el asunto se someterá al coordinador de datos a que se refiere el artículo 31 del Estado miembro en el que esté radicado el titular de los datos.

Artículo 21

Contribución de los organismos de investigación o institutos de estadística en el contexto de las necesidades excepcionales

1. Un organismo del sector público o una institución, órgano u organismo de la Unión tendrá derecho a compartir con personas físicas u organizaciones los datos recibidos de conformidad con el presente capítulo a fin de llevar a cabo actividades de investigación científica o análisis necesarios para cumplir la finalidad para la que se hayan solicitado los datos, o con institutos nacionales de estadística , los miembros del Sistema Europeo de Bancos Centrales y Eurostat para la recopilación de estadísticas oficiales.

2. Las personas físicas u organizaciones que reciban los datos con arreglo al apartado 1 actuarán exclusivamente sin fines lucrativos o en el contexto de una misión de interés público reconocida en el Derecho de la Unión o del Estado miembro correspondiente. Quedarán excluidas las organizaciones sujetas a una influencia significativa de empresas comerciales, que puedan dar a estas un acceso preferente a los resultados de la investigación.

3. Las personas físicas u organizaciones que reciban los datos con arreglo al apartado 1 cumplirán las disposiciones del artículo 17, apartado 3, y del artículo 19.

4. Cuando un organismo del sector público o una institución, órgano u organismo de la Unión tenga la intención de transmitir o facilitar datos en aplicación del apartado 1, lo notificará al titular de datos del que haya recibido los datos. Esta notificación deberá incluir la identidad y los datos de contacto de las personas u organizaciones que reciban los datos, los fines de la transmisión o la facilitación de los datos y el período durante el cual la entidad receptora usará dichos datos. En el plazo de cinco días hábiles a partir de la notificación a que se refiere el párrafo primero de este apartado, el titular de datos tendrá derecho a formular una objeción motivada a dicha transmisión o facilitación de datos. En caso de que el organismo del sector público o la institución, órgano u organismo de la Unión rechace la objeción, el titular de los datos podrá someter la objeción motivada al coordinador de datos a que se refiere el artículo 31.

Artículo 22

Asistencia mutua y cooperación transfronteriza

1. Los organismos del sector público e instituciones, órganos y organismos de la Unión cooperarán y se asistirán mutuamente con el fin de aplicar el presente capítulo de manera coherente.

2. Los datos compartidos en el contexto de la petición y prestación de asistencia con arreglo al apartado 1 no podrán utilizarse de manera incompatible con la finalidad prevista en la petición.

3. Cuando un organismo del sector público prevea solicitar datos a un titular de datos establecido en otro Estado miembro, notificará previamente su intención al coordinador de datos de ese Estado miembro a que se refiere el artículo 31. Este requisito será también de aplicación a las solicitudes de las instituciones, órganos y organismos de la Unión. La solicitud será evaluada por la autoridad competente del Estado miembro en el que esté establecido el titular de los datos.

4. Tras la notificación de conformidad con el apartado 3, el coordinador de datos asesorará al organismo del sector público solicitante acerca de la necesidad, en su caso, de cooperar con organismos del sector público del Estado miembro en el que esté establecido el titular de datos, con el objetivo de reducir su carga administrativa en relación con el cumplimiento de la solicitud. El organismo del sector público solicitante tendrá en cuenta el asesoramiento del coordinador de datos .

CAPÍTULO VI

CAMBIO DE PROVEEDOR DE SERVICIOS DE TRATAMIENTO DE DATOS

Artículo 22 bis

Definiciones

A efectos del presente capítulo, se entenderá por:

1)

«servicio de tratamiento de datos»: servicio digital que permite el acceso a la red ubicuo y bajo demanda a un conjunto compartido de recursos informáticos configurables, modulables y elásticos de carácter centralizado, distribuido o muy distribuido, que se proporciona a un cliente, y que puede establecerse e interrumpirse rápidamente con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios;

 

2)

«local»: una infraestructura de TIC y recursos informáticos arrendados o propiedad del cliente, situados en su propio centro de datos y gestionados por el cliente o por un tercero;

 

3)

«servicio equivalente»: un conjunto de servicios de tratamiento de datos que comparten el mismo objetivo primario y el modelo de servicio de tratamiento de datos;

 

4)

«portabilidad de datos del servicio de tratamiento de datos»: la capacidad del servicio de computación en la nube para mover y adaptar sus datos exportables entre los servicios de tratamiento de datos del cliente, incluso en diferentes modelos de utilización;

 

5)

«cambio de proveedor»: el proceso por el que un cliente de un servicio de tratamiento de datos pasa de utilizar un servicio de tratamiento de datos a utilizar un segundo servicio equivalente u otro servicio ofrecido por otro proveedor de servicios de tratamiento de datos, en particular extrayendo, transformando y cargando los datos, en el que participen el proveedor de servicios de tratamiento de datos de origen, el cliente y el proveedor de servicios de tratamiento de datos de destino;

 

6)

«datos exportables»: datos de entrada y salida, incluidos los metadatos, directa o indirectamente generados o cogenerados por el uso por parte del cliente del servicio de tratamiento de datos, excluidos cualesquiera activos o datos de un proveedor de servicios de tratamiento de datos o de un tercero que estén protegidos por derechos de propiedad intelectual o que constituyan secretos comerciales o información confidencial;

 

7)

«equivalencia funcional»: la posibilidad de restablecer, sobre la base de los datos del cliente, un mínimo nivel de funcionalidad en el entorno de un nuevo servicio de tratamiento de datos después de un cambio de proveedor cuando el servicio de destino proporciona resultados comparables a la misma entrada para la funcionalidad compartida ofrecida al cliente en virtud del acuerdo contractual;

 

8)

«tasas de salida»: las tasas de transferencia de datos cobradas a los clientes de un proveedor de servicios de tratamiento de datos por extraer sus datos a través de la red de la infraestructura de TIC de un proveedor de servicios de tratamiento de datos.

Artículo 23

Eliminación de los obstáculos a un cambio efectivo de proveedor de servicios de tratamiento de datos

1. Los proveedores de un servicio de tratamiento de datos adoptarán , en la medida de sus capacidades, las medidas previstas en los artículos 24 , 24 bis, 24 ter , 25 y 26 para permitir a los clientes cambiar a otro servicio de tratamiento de datos que cubra un servicio equivalente , prestado por otro proveedor de servicios de tratamiento de datos o, cuando proceda, usar varios proveedores de servicios de tratamiento de datos a la vez . En particular, los proveedores del servicio de tratamiento de datos eliminarán y no pondrán obstáculos comerciales, técnicos, contractuales u organizativos que impidan a los clientes:

a)

poner término, tras un plazo máximo de preaviso de sesenta días naturales, al acuerdo contractual del servicio , salvo que el cliente y el proveedor acuerden explícitamente un plazo de preaviso alternativo, siempre y cuando ambas partes puedan influir por igual en el contenido del acuerdo contractual ;

 

b)

celebrar nuevos acuerdos contractuales con otro proveedor de servicios de tratamiento de datos que cubra el ▌ servicio equivalente ;

 

c)

transferir los datos exportables del cliente , aplicaciones y otros activos digitales a otro proveedor de servicios de tratamiento de datos o a una infraestructura de TIC local, incluso después de haberse beneficiado de una oferta gratuita ;

 

d)

alcanzar la equivalencia funcional en el uso del nuevo servicio en el entorno informático del otro proveedor o los otros proveedores de servicios de tratamiento de datos que cubran el ▌ servicio equivalente , de conformidad con el artículo 26.

2. El apartado 1 solo será aplicable a los obstáculos relacionados con los servicios, los acuerdos contractuales o las prácticas comerciales del proveedor del servicio de tratamiento de datos de origen .

Artículo 24

Cláusulas contractuales relativas al cambio de proveedor de servicios de tratamiento de datos

1. Los derechos del cliente y las obligaciones del proveedor de un servicio de tratamiento de datos en relación con el cambio de proveedor de esos servicios o, en su caso, con una infraestructura de TIC local se establecerán con claridad en un contrato escrito que se pondrá a disposición del cliente en un formato fácil de usar con anterioridad a la firma del contrato . Sin perjuicio de lo dispuesto en la Directiva (UE) 2019/770, el proveedor de servicios de tratamiento de datos garantizará que el contrato incluya al menos los siguientes elementos:

a)

cláusulas que permitan al cliente, previa solicitud, cambiar a un servicio de tratamiento de datos ofrecido por otro proveedor de servicios de tratamiento de datos o transferir todos los datos exportables , aplicaciones y activos digitales a un sistema de TIC local, sin demoras indebidas y, en cualquier caso, durante un período transitorio obligatorio no superior a noventa días naturales como máximo, durante el cual el proveedor de servicios de tratamiento de datos:

i)

apoyará razonablemente el proceso de cambio y lo facilitará ;

 

ii)

actuará con la debida atención para mantener la continuidad de las actividades y un alto nivel de seguridad del servicio y, teniendo en cuenta los avances en el proceso de cambio, velará , en la mayor medida posible, por la continuidad en la prestación de las funciones o servicios pertinentes dentro de la capacidad del proveedor de los servicios de tratamiento de datos de origen y de conformidad con las obligaciones contractuales ;

 

ii bis)

proporcionará información clara sobre los riesgos conocidos para la continuidad de la prestación de las funciones o servicios respectivos por parte del proveedor de servicios de tratamiento de datos de origen;

 

a bis)

una lista de los otros servicios que los clientes pueden obtener para facilitar el proceso de cambio, como la prueba del proceso de cambio;

 

a ter)

la obligación del proveedor de servicios de tratamiento de datos de apoyar el desarrollo de la estrategia de salida del cliente pertinente para los servicios contratados, en particular facilitando toda la información pertinente;

 

b)

una especificación detallada de todas las categorías de datos y aplicaciones que pueden ser exportadas durante el proceso de cambio, que deberá comprender, como mínimo, todos los datos exportables ;

 

c)

un período mínimo para la extracción de datos de al menos treinta días naturales a partir de la expiración del período transitorio acordado entre el cliente y el proveedor de servicios de tratamiento de datos , de conformidad con el apartado 1, letra a), y con el apartado 2;

 

c bis)

la obligación del proveedor de servicios de tratamiento de datos de suprimir todos los datos exportables de antiguos clientes una vez expirado el período establecido en el apartado 1, letra c), del presente artículo;

2. Cuando el período de transición obligatorio definido en el apartado 1, letras a) y c), del presente artículo sea técnicamente inviable, el proveedor de servicios de tratamiento de datos notificará la inviabilidad técnica al cliente dentro de un plazo de catorce días hábiles desde que se haya presentado la solicitud de cambio, y la motivará debidamente e indicará un período de transición alternativo, que no podrá exceder de nueve meses. De conformidad con el apartado 1 del presente artículo, se garantizará la ▌ continuidad del servicio durante todo el período de transición alternativo mediante el pago de la tasa reducida contemplada en el artículo 25, apartado 2. El cliente conservará el derecho a ampliar este período, en caso necesario, antes o durante el proceso de cambio.

Artículo 24 bis

Obligación de información de los proveedores de servicios de tratamiento de datos de destino

El proveedor de servicios de tratamiento de datos de destino facilitará al cliente información sobre los procedimientos disponibles para el cambio y la portabilidad al servicio de tratamiento de datos cuando sea un destino de portabilidad, incluida la información sobre los métodos y formatos de portabilidad disponibles, así como las restricciones y limitaciones técnicas conocidas por el proveedor de servicios de tratamiento de datos de destino.

Artículo 24 ter

Obligación de buena fe

Todas las partes implicadas, incluidos los proveedores de servicios de tratamiento de datos de destino, colaborarán de buena fe para que el proceso de cambio de proveedor sea eficaz, permita la transferencia oportuna de los datos necesarios y mantenga la continuidad del servicio.

Artículo 25

Supresión gradual de la tasa por cambio de proveedor

1. A partir del [ fecha de entrada en vigor del presente Reglamento ], los proveedores de servicios de tratamiento de datos no cobrarán a los clientes que sean consumidores por el proceso de cambio.

2. Desde el [fecha X, fecha de entrada en vigor del presente Reglamento ] hasta el [fecha X + 3 años], los proveedores de servicios de tratamiento de datos podrán cobrar al cliente en relaciones entre empresas una tasa reducida por el proceso de cambio , en especial en lo referente a las tasas de salida .

2 bis. A partir del [tres años después de la fecha de entrada en vigor del presente Reglamento], los proveedores de servicios de tratamiento de datos no cobrarán por el proceso de cambio.

3. La tasa contemplada en el apartado 2 no excederá de los costes soportados por el proveedor de servicios de tratamiento de datos que tengan una relación directa con el proceso de cambio de que se trate y estará asociada a las operaciones obligatorias que el proveedor de servicios de tratamiento de datos deba realizar como parte del proceso de cambio .

3 bis. A los efectos del presente artículo, no se considerarán tasas del proceso de cambio las tarifas estándar de suscripción o de servicio y los cargos por el trabajo de los servicios profesionales de transición realizados por el proveedor de los servicios de tratamiento de datos a petición del cliente para apoyar el proceso de cambio.

3 ter. Antes de celebrar un acuerdo contractual con un cliente, el proveedor de servicios de tratamiento de datos facilitará al cliente información clara en la que se describan las tasas cobradas al cliente por el proceso de cambio, de conformidad con el apartado 2, así como las tasas a que se refiere el apartado 3 bis, y, cuando proceda, facilitará información sobre los servicios que implican un cambio muy complejo o costoso o imposible de realizar sin interferencias significativas en la arquitectura de datos, aplicaciones o servicios. Cuando proceda, el proveedor de servicios de tratamiento de datos pondrá esta información a disposición de los clientes a través de una sección específica de su sitio web o de cualquier otra forma fácilmente accesible.

4. La Comisión estará facultada para adoptar actos delegados, de conformidad con el artículo 38, con el fin de completar el presente Reglamento para introducir un mecanismo de seguimiento que permita a la Comisión supervisar la tasa por cambio de proveedor aplicada por los proveedores de servicios de tratamiento de datos en el mercado, con el fin de asegurar su supresión y reducción conforme a los apartados 1 y 2 del presente artículo de acuerdo con el calendario establecido en dichos apartados .

Artículo 26

Aspectos técnicos del cambio de proveedor

1. Los proveedores de servicios de tratamiento de datos que afectan a recursos informáticos modulables y elásticos limitados a elementos de infraestructura, como los servidores, las redes y los recursos necesarios para explotar la infraestructura, pero que no proporcionan acceso a los servicios operativos, aplicaciones y software almacenados, tratados o implantados en esos elementos de infraestructura, adoptarán medidas razonables dentro de sus posibilidades para facilitar que el cliente, tras cambiar a un servicio ofrecido por otro proveedor de servicios de tratamiento de datos que cubra el mismo tipo de servicio, consiga la equivalencia funcional en el uso del nuevo servicio , siempre y cuando el proveedor de servicios de tratamiento de datos establezca la equivalencia funcional. El proveedor de servicios de tratamiento de datos de origen facilitará el proceso proporcionando capacidades, información adecuada, documentación, apoyo técnico y, cuando proceda, las herramientas necesarias .

2. Los proveedores de servicios de tratamiento de datos ▌, entre ellos los proveedores de servicios de tratamiento de datos de destino, pondrán las interfaces abiertas a disposición del público de forma gratuita para facilitar el cambio entre esos servicios y la portabilidad e interoperabilidad de los datos. De conformidad con el apartado 1 del presente artículo, dichos servicios también deberán permitir que un servicio específico, cuando no existan obstáculos importantes, pueda desvincularse del contrato y ponerse a disposición para el cambio de manera interoperable .

3. ▌Los proveedores de servicios de tratamiento de datos velarán por la compatibilidad con las especificaciones de interoperabilidad y portabilidad abiertas o las normas europeas sobre interoperabilidad definidas de conformidad con el artículo 29, apartado 5 ▌.

3 bis. Los proveedores de servicios de tratamiento de datos para los que se haya publicado una nueva especificación de interoperabilidad y portabilidad abierta o una nueva norma europea en el repositorio mencionado en el artículo 29, apartado 5, tendrán derecho a un período de transición de un año para cumplir la obligación a que se refiere el apartado 3 del presente artículo.

4. Cuando las especificaciones de interoperabilidad y portabilidad abiertas o las normas europeas a que se refiere el apartado 3 del presente artículo no existan para el ▌ servicio equivalente de que se trate, el proveedor de servicios de tratamiento de datos exportará, a petición del cliente y cuando sea técnicamente viable , todos los datos exportables en un formato estructurado, de uso común y legible por máquina tal y como se haya indicado al cliente de conformidad con la estrategia de salida a que se refiere el artículo 24, apartado 1, letra a ter), a menos que el cliente acepte otro formato .

4 bis. Los proveedores de servicios de tratamiento de datos no estarán obligados a desarrollar nuevas tecnologías o servicios, no divulgarán o transferirán datos o tecnología confidenciales o sujetas a derechos de propiedad a un cliente o a otro proveedor de servicios de tratamiento de datos y no pondrán en peligro la seguridad e integridad del servicio del cliente o proveedor.

Artículo 26 bis

Exenciones para determinados servicios de tratamiento de datos

1. Las obligaciones establecidas en el artículo 23, apartado 1, letra d), y en los artículos 25 y 26 no se aplicarán a los servicios de tratamiento de datos que se hayan diseñado a medida.

2. Las obligaciones establecidas en el presente capítulo no se aplicarán a los servicios de tratamiento de datos que se presten a título gratuito, que operen con carácter experimental o que solo presten un servicio de prueba y evaluación de las ofertas comerciales de productos.

Artículo 26 ter

Resolución de litigios

1. Los clientes tendrán acceso a los órganos de resolución de litigios, certificados de conformidad con el artículo 10, apartado 2, para resolver litigios relativos a vulneraciones de los derechos de los clientes e incumplimientos de las obligaciones del proveedor de un servicio de tratamiento de datos en relación con el cambio de proveedor de tales servicios. El cliente tendrá derecho a permitir que un tercero presente acciones legales en su nombre.

2. El artículo 10, apartados 3 a 9, se aplicará a la resolución de litigios entre clientes y proveedores servicios de tratamiento de datos en relación con el cambio de proveedor de estos servicios.

CAPÍTULO VII

PROTECCIÓN DE LOS DATOS NO PERSONALES EN CONTEXTOS INTERNACIONALES

Artículo 27

Acceso y transferencia internacionales

1. Los proveedores de servicios de tratamiento de datos personales adoptarán todas las medidas técnicas, jurídicas y organizativas ▌, lo que incluye la celebración de acuerdos contractuales, para impedir la transferencia internacional de datos no personales conservados en la Unión y el acceso de gobiernos de terceros países a tales datos, cuando la transferencia o el acceso contravengan el Derecho de la Unión o el Derecho nacional del Estado miembro de que se trate, sin perjuicio de lo dispuesto en los apartados 2 o 3.

2. Las resoluciones o sentencias de los órganos jurisdiccionales y resoluciones de las autoridades administrativas de terceros países por las que se exija a un proveedor de servicios de tratamiento de datos transferir datos no personales sujetos al presente Reglamento conservados en la Unión, o dar acceso a tales datos, solo se reconocerán o ejecutarán de cualquier forma si se basan en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o entre el tercer país solicitante y un Estado miembro.

3. En ausencia de tal acuerdo internacional, cuando un proveedor de servicios de tratamiento de datos sea el destinatario de una resolución de un órgano jurisdiccional o de una autoridad administrativa de un tercer país por la que se exija transferir datos no personales sujetos al presente Reglamento conservados en la Unión, o dar acceso a tales datos, y el cumplimiento de dicha resolución pueda poner al destinatario en una situación de conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro pertinente, la transferencia de tales datos a esa autoridad del tercer país, o el acceso a los mismos por su parte, únicamente tendrán lugar previo examen por los órganos o autoridades competentes pertinentes, de conformidad con el presente Reglamento, para evaluar si, además de cumplir las disposiciones de cualquier legislación de la Unión o nacional pertinente, se han cumplido las condiciones siguientes :

a)

el sistema del tercer país exige que se expongan los motivos y la proporcionalidad de la resolución o sentencia y que la resolución o sentencia, según el caso, sea de carácter específico, por ejemplo, al establecer un vínculo suficiente con determinadas personas sospechosas o infracciones;

 

b)

la objeción motivada del destinatario está sujeta a revisión por un órgano jurisdiccional competente del tercer país; y

 

c)

el Derecho del tercer país faculta al órgano jurisdiccional competente que dicta la resolución o sentencia o revisa la resolución de una autoridad administrativa para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o por el Derecho nacional del Estado miembro pertinente.

El destinatario de la resolución podrá solicitar el dictamen de la Comisión, del coordinador de datos a se refiere el presente Reglamento o de los organismos o autoridades competentes pertinentes, para determinar si se cumplen las condiciones expuestas, especialmente cuando considere que la resolución puede referirse a secretos comerciales y otros datos comercialmente sensibles , así como a contenidos protegidos por derechos de propiedad intelectual, o puede colisionar con los intereses de seguridad nacional o de defensa de la Unión o sus Estados miembros. Si el destinatario no ha recibido una respuesta en el plazo de un mes, o si el dictamen de las autoridades competentes llega a la conclusión de que no se cumplen las condiciones, el destinatario denegará la solicitud de transferencia o acceso por esos motivos.

El Comité Europeo de Innovación en materia de Datos establecido por el Reglamento (UE) 2022/868 y contemplado en el artículo 31 bis del presente Reglamento asesorará y asistirá a la Comisión en la elaboración de directrices para la evaluación del cumplimiento de esas condiciones.

4. Si se cumplen las condiciones de los apartados 2 o 3, el proveedor de servicios de tratamiento de datos facilitará la cantidad mínima de datos permitida en respuesta a una solicitud, sobre la base de una interpretación razonable de la solicitud por parte del órgano o la autoridad competente .

4 bis. Cuando el proveedor de servicios de tratamiento de datos tenga motivos para considerar que la transferencia de datos no personales o el acceso a ellos puede generar un riesgo de reidentificación de datos no personales o anonimizados, el proveedor solicitará autorización a los organismos o autoridades competentes pertinentes, con arreglo a la legislación aplicable en materia de protección de datos, antes de transferir los datos o dar acceso a ellos.

5. Antes de dar cumplimiento a la solicitud, el proveedor de servicios de tratamiento de datos informará al titular de datos de que una autoridad administrativa de un tercer país ha presentado una solicitud de acceso a sus datos, excepto en los casos en que la solicitud sirva a fines de aplicación de la ley y mientras sea necesario para preservar la eficacia de las actividades correspondientes de aplicación de la ley.

CAPÍTULO VIII

INTEROPERABILIDAD

Artículo 28

Requisitos esenciales en materia de interoperabilidad de los espacios de datos

1. Los participantes de espacios de datos que ofrezcan datos o servicios de datos a otros participantes cumplirán los siguientes requisitos esenciales para facilitar la interoperabilidad de los datos y de los mecanismos y servicios de intercambio de datos:

a)

el contenido del conjunto de datos, las restricciones de uso, las licencias, la metodología de recopilación de datos y la calidad e incertidumbre de los datos se describirán en una medida suficiente en un formato legible por máquina para que el destinatario pueda encontrar los datos, acceder a ellos y utilizarlos;

 

b)

las estructuras de datos, los formatos de datos, los vocabularios, los sistemas de clasificación, las taxonomías y las listas de códigos se describirán de manera que sean de acceso público y coherentes;

 

c)

los medios técnicos para acceder a los datos, tales como las interfaces de programación de aplicaciones, así como sus condiciones de uso y su calidad de servicio, se describirán en una medida suficiente para permitir el acceso automático a los datos y su transmisión automática entre las partes, de forma continua o en tiempo real, en un formato legible por máquina cuando sea técnicamente viable y no impida el buen funcionamiento del producto ;

 

d)

se proporcionarán los medios que permitan la interoperabilidad de los contratos ▌ para el intercambio de datos en el marco de sus servicios y actividades.

Estos requisitos pueden ser de carácter genérico o referirse a sectores específicos, si bien han de tomar plenamente en consideración la interrelación con requisitos derivados de otras legislaciones sectoriales nacionales o de la Unión.

2. La Comisión estará facultada para adoptar actos delegados, previa consulta al Comité Europeo de Innovación en materia de Datos con arreglo a lo dispuesto en el artículo 29 y en el artículo 30, letras f) y h), del Reglamento (UE) 2022/868 y de conformidad con el artículo 38 del presente Reglamento , con el fin de completar el presente Reglamento precisando en mayor medida los requisitos esenciales contemplados en el apartado 1 del presente artículo .

3. Se presumirá que los participantes de espacios de datos que ofrezcan datos o servicios de datos a otros participantes de espacios de datos que sean conformes con normas armonizadas, o partes de estas normas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea son conformes con los requisitos esenciales a que se refiere el apartado 1 ▌, en la medida en que dichas normas contemplen esos requisitos.

3 bis. Los participantes de un espacio de datos determinado acordarán las normas por las que se definan las responsabilidades relativas a dichos requisitos entre los participantes.

4. De conformidad con el artículo 10 del Reglamento (UE) n.o 1025/2012, la Comisión podrá pedir a una o varias organizaciones europeas de normalización que elaboren normas armonizadas que satisfagan los requisitos esenciales contemplados en el apartado 1 del presente artículo , redactados de una manera abierta, transparente, tecnológicamente neutra, impulsada por la industria e inclusiva, de conformidad con el capítulo II del Reglamento (UE) n.o 1025/2012, teniendo en cuenta, en su caso, los estándares internacionales, buenas prácticas, normas, especificaciones técnicas y normas de código abierto pertinentes ya existentes, así como las necesidades de las pymes.

5. La Comisión podrá adoptar , mediante actos de ejecución, especificaciones comunes en caso de que las normas armonizadas a que se refiere el apartado 4 no existan o cuando considere que las normas armonizadas pertinentes son insuficientes para garantizar la conformidad con los requisitos esenciales del apartado 1 del presente artículo, en su caso . Antes de adoptar dichos actos de ejecución, la Comisión buscará asesoramiento y tendrá en cuenta las posiciones pertinentes adoptadas por el Comité Europeo de Innovación en materia de Datos, tal como se contempla en el artículo 30, letra f), del Reglamento (UE) 2022/868, y se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 39, apartado 2.

6. La Comisión podrá adoptar directrices propuestas por el Comité Europeo de Innovación en materia de Datos de conformidad con el artículo 30, letra h), del Reglamento (UE) 2022/868 que establezcan especificaciones de interoperabilidad para el funcionamiento de los espacios comunes europeos de datos, tales como disposiciones de aplicación y acuerdos entre las partes para los modelos arquitectónicos y las normas técnicas que fomenten el intercambio de datos, por ejemplo, en lo que respecta a los derechos de acceso y a la traducción técnica del consentimiento o permiso.

Artículo 29

Interoperabilidad y portabilidad de los servicios de tratamiento de datos

1. Las especificaciones de interoperabilidad y portabilidad abiertas y las normas europeas para la interoperabilidad y la portabilidad de los servicios de tratamiento de datos deberán:

a)

cuando sea técnicamente viable, orientarse, en función de los resultados, hacia la consecución de la interoperabilidad y la portabilidad entre distintos servicios de tratamiento de datos que cubran servicios equivalentes ;

 

b)

mejorar la portabilidad de los activos digitales entre distintos servicios de tratamiento de datos que cubran servicios equivalentes ;

 

c)

facilitar , cuando sea técnicamente viable, la equivalencia funcional entre distintos servicios de tratamiento de datos a que se refiere el artículo 26, apartado 1, que cubran servicios equivalentes;

 

c bis)

no afectar negativamente a la seguridad e integridad de los servicios y datos;

 

c ter)

formularse de tal forma que permita avances técnicos y la incorporación de nuevas funciones e innovaciones en los servicios de tratamiento de datos.

2. Las especificaciones de interoperabilidad y portabilidad abiertas y las normas europeas para la interoperabilidad y la portabilidad de los servicios de tratamiento de datos abordarán:

a)

los aspectos de la interoperabilidad de la nube en lo que respecta a la interoperabilidad del transporte, la interoperabilidad sintáctica, la interoperabilidad semántica de los datos, la interoperabilidad conductual y la interoperabilidad de los marcos normativos;

 

b)

los aspectos de la portabilidad de los datos en la nube en lo que respecta a la portabilidad sintáctica de los datos, la portabilidad semántica de los datos y la portabilidad de los marcos normativos relativos a los datos;

 

c)

los aspectos de las aplicaciones en la nube en lo que respecta a la portabilidad sintáctica de las aplicaciones, la portabilidad de las instrucciones de las aplicaciones, la portabilidad de los metadatos de las aplicaciones, la portabilidad conductual de las aplicaciones y la portabilidad de los marcos normativos de las aplicaciones.

3. Las especificaciones de interoperabilidad y portabilidad abiertas cumplirán lo dispuesto en el anexo II, puntos 3 y 4, del Reglamento (UE) n.o 1025/2012.

3 bis. Las especificaciones de interoperabilidad y portabilidad abiertas y las normas europeas no distorsionarán el mercado de servicios de tratamiento de datos ni limitarán el desarrollo de nuevas tecnologías o soluciones competidoras e innovadoras o de tecnologías o soluciones basadas en ellas.

4. Tras tener en cuenta las normas internacionales y europeas pertinentes y las iniciativas de autorregulación, de conformidad con el artículo 10 del Reglamento (UE) n.o 1025/2012, la Comisión podrá pedir a una o varias organizaciones europeas de normalización que elaboren normas europeas aplicables a servicios equivalentes a los servicios de tratamiento de datos. La normalización tendrá en cuenta las necesidades de las pymes.

5. A los efectos del artículo 26, apartado 3, del presente Reglamento, la Comisión , previa consulta al Comité Europeo de Innovación en materia de Datos con arreglo a lo dispuesto en el artículo 29 y en el artículo 30, letras f) y h), del Reglamento (UE) 2022/868, estará facultada para adoptar actos delegados que complementen el presente Reglamento , de conformidad con el artículo 38 del presente Reglamento , con el fin de publicar la referencia de ▌ normas abiertas para la interoperabilidad y portabilidad de los servicios de tratamiento de datos en el repositorio central de normas de la Unión para la interoperabilidad y portabilidad de los servicios de tratamiento de datos, elaboradas por las organizaciones de normalización pertinentes o las organizaciones a que se refiere el anexo II, punto 3, del Reglamento (UE) n.o 1025/2012, siempre y cuando esas especificaciones y normas cumplan los criterios establecidos en los apartados 1 y 2 del presente artículo.

Artículo 30

Requisitos esenciales de los contratos inteligentes para el intercambio de datos

La parte ofertante de contratos inteligentes ▌ en el contexto de un acuerdo de puesta a disposición de datos cumplirá los siguientes requisitos esenciales:

a)

solidez y control de acceso : velará por que el contrato inteligente se haya diseñado de manera que ofrezca unos mecanismos de control de acceso rigurosos y un grado de solidez muy elevado con el fin de evitar errores funcionales y contrarrestar los intentos de manipulación por terceros;

 

b)

resolución y suspensión seguras: velará por que exista un mecanismo que permita poner fin a la ejecución de transacciones; el contrato inteligente incluirá funciones internas que permitan reinicializar el contrato o darle instrucciones para poner fin a la operación o suspenderla con objeto de evitar futuras ejecuciones (accidentales); a este respecto, deben definirse de manera clara y transparente las condiciones en las que un contrato inteligente podría restablecerse, rescindirse o interrumpirse; en particular, debe evaluarse en qué condiciones debe permitirse la rescisión o interrupción no consensuada;

 

b bis)

equivalencia: el contrato inteligente ofrecerá el mismo nivel de protección y seguridad jurídica que cualquier otro contrato generado por otros medios;

 

b ter)

protección de la confidencialidad de los secretos comerciales: se garantizará que el contrato inteligente se ha diseñado de modo que garantice la confidencialidad de los secretos comerciales, de conformidad con el presente Reglamento.

CAPÍTULO IX

APLICACIÓN Y EJECUCIÓN

Artículo 31

Coordinador de datos

1. Cada Estado miembro designará una autoridad de coordinación competente e independiente («coordinador de datos») con el fin de garantizar la aplicación y ejecución del presente Reglamento , coordinar las actividades encomendadas a ese Estado miembro, actuar como punto de contacto único frente a la Comisión en lo que respecta a la aplicación del presente Reglamento, y representar al Estado miembro en el Comité Europeo de Innovación en materia de Datos contemplado en el artículo 31 bis .

1 bis. Las autoridades de control independientes responsables de supervisar la aplicación del Reglamento (UE) 2016/679 tendrán la responsabilidad de supervisar la aplicación del presente Reglamento en lo que respecta a la protección de los datos personales. Se aplicarán mutatis mutandis los capítulos VI y VII del Reglamento (UE) 2016/679. El Supervisor Europeo de Protección de Datos tendrá la responsabilidad de supervisar la aplicación del presente Reglamento en lo que respecta a las instituciones, órganos y organismos de la Unión. Cuando proceda, se aplicará mutatis mutandis el artículo 62 del Reglamento (UE) 2018/1725. Las funciones y competencias de las autoridades de control se ejercerán respecto al tratamiento de datos personales.

2. Sin perjuicio de lo dispuesto en el apartado 1 del presente artículo , el coordinador de datos asegurará la cooperación entre las autoridades nacionales competentes responsables del seguimiento de otros actos jurídicos de la Unión o nacionales en el ámbito de los servicios de comunicaciones de datos y electrónicas, a saber :

 

 

b)

para cuestiones específicas del acceso a datos sectoriales relacionadas con la aplicación del presente Reglamento, se respetará la competencia de las autoridades sectoriales , sin perjuicio de las normas sobre conflictos de competencias ;

 

c)

la autoridad nacional competente responsable de la aplicación y ejecución del capítulo VI del presente Reglamento tendrá experiencia en el ámbito de los servicios de comunicaciones de datos y electrónicas.

3. Los Estados miembros velarán por que las funciones y competencias del coordinador de datos estén claramente definidas e incluyan:

a)

fomentar la sensibilización entre los usuarios y las entidades que entren en el ámbito de aplicación del presente Reglamento acerca de los derechos y obligaciones previstos en el presente Reglamento;

 

b)

tramitar y adoptar decisiones sobre las denuncias derivadas de supuestas infracciones del presente Reglamento, investigar el objeto de la denuncia en la medida adecuada e informar periódicamente al denunciante sobre el curso y el resultado de la investigación en un plazo razonable, en particular cuando resulte necesario proseguir la investigación o coordinar actuaciones con otra autoridad competente;

 

c)

llevar a cabo investigaciones sobre asuntos que afecten a la aplicación del presente Reglamento, también sobre la base de información recibida de otra autoridad competente o autoridad pública;

 

d)

imponer sanciones económicas efectivas, proporcionadas y disuasorias, que pueden incluir multas coercitivas y multas con efectos retroactivos, o iniciar procedimientos judiciales para la imposición de multas;

 

e)

hacer un seguimiento de los avances tecnológicos y comerciales pertinentes para la puesta a disposición y utilización de datos con vistas a una mejor aplicación del presente Reglamento ;

 

f)

cooperar con los coordinadores de datos de otros Estados miembros para garantizar la aplicación coherente , rápida y efectiva del presente Reglamento, lo que incluye el intercambio de toda la información pertinente por medios electrónicos, sin demora indebida;

 

f bis)

cooperar con todas las autoridades competentes pertinentes en virtud de otros actos legislativos de la Unión, así como con el Comité Europeo de Protección de Datos y el Comité Europeo de Innovación en materia de Datos, para garantizar que las obligaciones del presente Reglamento se cumplan de manera coherente con otros actos legislativos de la Unión;

 

g)

asegurar la disponibilidad pública en línea de las solicitudes de acceso a datos presentadas por organismos del sector público en caso de emergencia pública con arreglo al capítulo V;

 

h)

cooperar con todas las autoridades competentes pertinentes para garantizar que las obligaciones del capítulo VI se cumplan de manera coherente con otra legislación de la Unión y medidas de autorregulación aplicables a los proveedores de servicios de tratamiento de datos;

 

i)

velar por la supresión de la tasa por cambio de proveedor de servicios de tratamiento de datos de conformidad con el artículo 25.

4. Cuando un Estado miembro designe más de una autoridad competente, los coordinadores de datos , en el ejercicio de las funciones y competencias que les hayan sido asignadas con arreglo al apartado 3 del presente artículo, cooperarán mutuamente , con el Comité Europeo de Innovación en materia de Datos y, cuando proceda, con la autoridad de control responsable del seguimiento de la aplicación del Reglamento (UE) 2016/679 y con el Supervisor Europeo de Protección de Datos , para garantizar la aplicación coherente del presente Reglamento. En esos casos, los Estados miembros en cuestión designarán una autoridad competente coordinadora.

5. Los Estados miembros comunicarán a la Comisión y al Comité Europeo de Innovación en materia de Datos el nombre de los coordinadores de datos y sus respectivas funciones y competencias, así como, cuando proceda, el nombre de la autoridad competente coordinadora. La Comisión mantendrá un registro público de dichas autoridades.

6. En el ejercicio de sus funciones y competencias de conformidad con el presente Reglamento, los coordinadores de datos actuarán de forma independiente e imparcial y no estarán sometidos a ninguna influencia externa, ya sea directa o indirecta, y no solicitarán ni aceptarán instrucciones de ninguna otra autoridad pública o entidad privada.

7. Los Estados miembros velarán por dotar al coordinador de datos de los recursos humanos y técnicos suficientes, los conocimientos técnicos, los locales y la infraestructura necesarios para el ejercicio eficaz y adecuado de sus funciones de conformidad con el presente Reglamento.

7 bis. Las entidades incluidas en el ámbito de aplicación del presente Reglamento estarán sujetas a la jurisdicción del Estado miembro en el que esté establecida la entidad.

7 ter. Todo usuario, titular de datos o destinatario de datos que sea una persona jurídica y no esté establecido en la Unión, pero esté sujeto a las obligaciones previstas en el presente Reglamento, designará un representante legal en uno de los Estados miembros en los que estén establecidas sus contrapartes pertinentes.

7 quater. Las autoridades competentes en virtud del presente Reglamento estarán facultadas para solicitar a los usuarios, titulares de datos o destinatarios de datos que sean personas jurídicas, o a sus representantes legales, toda la información necesaria a fin de verificar el cumplimiento de los requisitos del presente Reglamento. Las solicitudes de información deberán ser proporcionadas al cumplimiento de sus funciones y estar motivadas.

7 quinquies. Cuando un usuario, un titular de datos o un destinatario de datos que sea una persona jurídica y no esté establecido en la Unión no designe a un representante legal o este no facilite, a petición de la autoridad competente, la información necesaria que demuestre exhaustivamente el cumplimiento del presente Reglamento, la autoridad competente estará facultada para aplazar el inicio o suspender la prestación de servicios relacionados por parte de los titulares de datos o las solicitudes de acceso a los datos de los titulares de datos por parte de usuarios o destinatarios de datos, que sean personas jurídicas, hasta que se designe al representante legal o se facilite la información necesaria.

Artículo 31 bis

Asistencia mutua

1. Los coordinadores de datos y la Comisión cooperarán estrechamente y se prestarán asistencia mutua para aplicar el presente Reglamento de manera coherente y eficiente. La asistencia mutua incluirá, en particular, el intercambio de toda información con arreglo al presente artículo por medios electrónicos y la obligación del coordinador de datos del Estado miembro de que se trate de informar a todas las autoridades competentes y a la Comisión sobre la apertura de una investigación.

2. A efectos de una investigación, el coordinador de datos del país de establecimiento podrá solicitar a otros coordinadores de datos que proporcionen información específica en su poder o que ejerzan sus poderes de investigación con respecto a información específica ubicada en su Estado miembro. Cuando proceda, el coordinador de datos que reciba la solicitud podrá implicar a otras autoridades competentes u otras autoridades públicas del Estado miembro de que se trate.

3. El coordinador de datos que reciba la solicitud de conformidad con el apartado 2 la atenderá e informará sin demora indebida a la autoridad competente del Estado miembro de que se trate sobre las medidas adoptadas.

4. El Comité Europeo de Innovación en materia de Datos fomentará el intercambio mutuo de información entre las autoridades competentes y asesorará y asistirá a la Comisión en todos los asuntos que se deriven del presente Reglamento y que sean competencia del Comité en virtud del artículo 30 del Reglamento (UE) 2022/868. Los coordinadores de datos representarán a los Estados miembros en el Comité Europeo de Innovación en materia de Datos establecido en virtud del Reglamento (UE) 2022/868.

Artículo 32

Derecho a presentar una reclamación ante el coordinador de datos

1. Sin perjuicio de cualquier otro recurso administrativo o acción judicial, toda persona física y jurídica tendrá derecho a presentar una reclamación individual o ▌ colectiva ante el coordinador de datos del Estado miembro en el que tenga su residencia habitual, su lugar de trabajo o su lugar de establecimiento cuando considere que los derechos que le confiere el presente Reglamento han sido vulnerados. Dicha reclamación puede derivarse de la suspensión del intercambio de datos identificados como secretos comerciales, tras recibir la notificación del titular de datos con arreglo al artículo 4, apartado 3, el artículo 5, apartado 8, o el artículo 19, apartado 2 ter.

2. El coordinador de datos ante el que se haya presentado la reclamación informará al reclamante , con arreglo al Derecho nacional, sobre el curso del procedimiento y la decisión tomada.

3. Las autoridades competentes cooperarán desde el comienzo del proceso para tramitar y resolver las reclamaciones eficazmente y a su debido tiempo , lo que incluirá el establecimiento de plazos razonables para la adopción de decisiones formales, garantizando la igualdad entre las partes y el derecho de los denunciantes a ser oídos y acceder al expediente a lo largo de todo el proceso, y el intercambio de toda información pertinente por medios electrónicos, sin demora indebida. Dicha cooperación no afectará al mecanismo específico de cooperación previsto en los capítulos VI y VII del Reglamento (UE) 2016/679.

Artículo 32 bis

Representación

1. Sin perjuicio de la Directiva (UE) 2020/1828 o de cualquier otro tipo de representación con arreglo al Derecho nacional, los usuarios, titulares de datos o destinatarios de datos tendrán derecho al menos a mandatar a un organismo, organización o asociación para que ejerza los derechos atribuidos por el presente Reglamento en su nombre, siempre que dicho organismo, organización o asociación cumpla todas las condiciones siguientes:

a)

que opere sin ánimo de lucro;

 

b)

que se haya constituido correctamente con arreglo al Derecho de un Estado miembro;

 

c)

que sus objetivos estatutarios incluyan un interés legítimo en velar por que se cumpla el presente Reglamento.

Artículo 32 ter

Derecho a la tutela judicial efectiva contra una autoridad competente

1. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo usuario, titular de datos y destinatario de datos tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de una autoridad competente que le concierna.

2. Sin perjuicio de cualquier otro recurso administrativo o extrajudicial, todo usuario tendrá derecho a la tutela judicial efectiva en caso de que la autoridad competente no dé curso a una reclamación con prontitud o no informe al usuario, al titular de datos y al destinatario de datos en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada en virtud del artículo 32.

3. Las acciones contra una autoridad competente se ejercitarán ante los órganos jurisdiccionales del Estado miembro de residencia habitual, lugar de trabajo o establecimiento del usuario o de su organización representativa.

4. Cuando se ejerciten acciones contra una decisión de una autoridad competente que haya sido precedida de un dictamen o una decisión del Comité en el marco del mecanismo de coherencia, la autoridad de control remitirá dicho dictamen o decisión al órgano jurisdiccional correspondiente.

Artículo 32 quater

Derecho a la tutela judicial efectiva

1. Sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluidos aquellos en virtud de la Directiva (UE) 2020/1828, y del derecho a presentar una reclamación ante una autoridad competente en virtud del artículo 32 ter, todo usuario, titular de datos y destinatario de datos tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia del incumplimiento del presente Reglamento.

2. Las acciones contra un titular de datos, un tercero o un destinatario de datos se interpondrán ante los órganos jurisdiccionales del Estado miembro en el que el usuario tenga su residencia habitual, su lugar de trabajo o su establecimiento.

Artículo 33

Sanciones

1. Los Estados miembros adoptarán las normas sobre las sanciones aplicables a las infracciones del presente Reglamento y todas las medidas necesarias para garantizar su aplicación. Esas sanciones serán efectivas, proporcionadas y disuasorias.

1 bis. Por lo que respecta a la imposición de sanciones por infracciones del presente Reglamento, los Estados miembros tendrán en cuenta los siguientes criterios no exhaustivos:

a)

la naturaleza, gravedad, escala y duración de la infracción;

 

b)

cualquier medida adoptada por la parte infractora para mitigar o reparar el perjuicio causado por la infracción;

 

c)

las infracciones anteriores cometidas por la parte infractora;

 

d)

los beneficios financieros obtenidos o las pérdidas evitadas por la parte infractora debido a la infracción, en la medida en que dichos beneficios o pérdidas puedan establecerse de forma fiable;

 

e)

cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso.

2. A más tardar el [fecha de aplicación del Reglamento], los Estados miembros notificarán a la Comisión , al Comité Europeo de Protección de Datos y al Comité Europeo de Innovación en materia de Datos esas normas y medidas, y les notificarán sin demora toda modificación posterior que las afecte. La Comisión actualizará con regularidad y mantendrá un registro público de fácil acceso de dichas medidas.

3. En caso de infracción de las obligaciones establecidas en los capítulos II, III y V del presente Reglamento, las autoridades de control a que se refiere el artículo 51 del Reglamento (UE) 2016/679 podrán, dentro de su ámbito de competencia, imponer multas administrativas acordes con el artículo 83 del Reglamento (UE) 2016/679 y hasta el importe mencionado en el artículo 83, apartado 5, de dicho Reglamento.

4. En caso de infracción de las obligaciones establecidas en el capítulo V del presente Reglamento, la autoridad de control a que se refiere el artículo 52 del Reglamento (UE) 2018/1725 podrá, dentro de su ámbito de competencia, imponer multas administrativas acordes con el artículo 66 del Reglamento (UE) 2018/1725 y hasta el importe mencionado en el artículo 66, apartado 3, de dicho Reglamento.

Artículo 34

Cláusulas contractuales tipo

La Comisión elaborará y recomendará cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización , así como cláusulas contractuales tipo para los contratos en el ámbito de la computación en la nube, basadas en los principios sobre condiciones equitativas, razonables y no discriminatorias (FRAND, por sus siglas en inglés), para ayudar a las partes en la elaboración y negociación de contratos con derechos y obligaciones contractuales equilibrados. Dichas cláusulas contractuales tipo abordarán, como mínimo, los siguientes elementos:

a)

el derecho a la resolución anticipada del contrato y las condiciones de indemnización en caso de resolución anticipada;

 

b)

las políticas de conservación y almacenamiento de datos;

 

c)

la legibilidad de los datos para el usuario, incluida la información sobre metadatos y descifrado;

 

d)

la protección y la preservación de la confidencialidad de los secretos comerciales de conformidad con el presente Reglamento.

Las cláusulas contractuales tipo a que se refiere el párrafo primero se publicarán y estarán disponibles de forma gratuita en un formato electrónico fácilmente utilizable.

CAPÍTULO X

INAPLICABILIDAD DEL DERECHO SUI GENERIS CON ARREGLO A LA DIRECTIVA 96/9/CE A LAS BASES DE DATOS QUE CONTENGAN CIERTOS DATOS

Artículo 35

Bases de datos que contienen ciertos datos

▌El derecho sui generis establecido en el artículo 7 de la Directiva 96/9/CE no se aplicará a las bases de datos que contengan datos obtenidos o generados por el uso de un producto o un servicio relacionado incluido en el ámbito de aplicación del presente Reglamento .

CAPÍTULO XI

DISPOSICIONES FINALES

Artículo 36

Modificación del Reglamento (UE) 2017/2394

En el anexo del Reglamento (UE) 2017/2394, se añade el punto siguiente:

«29.

[Reglamento (UE) XXX del Parlamento Europeo y del Consejo (Ley de Datos)].».

Artículo 37

Modificación de la Directiva (UE) 2020/1828

En el anexo de la Directiva (UE) 2020/1828, se añade el punto siguiente:

«67.

[Reglamento (UE) XXX del Parlamento Europeo y del Consejo (Ley de Datos)].».

Artículo 38

Ejercicio de la delegación

1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2. Los poderes para adoptar actos delegados mencionados en el artículo 25, apartado 4, en el artículo 28, apartado 2, y en el artículo 29, apartado 5, se otorgan a la Comisión por un período de tiempo indefinido a partir del […].

3. La delegación de poderes mencionada en el artículo 25, apartado 4, en el artículo 28, apartado 2, y en el artículo 29, apartado 5, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.

4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional sobre la mejora de la legislación de 13 de abril de 2016.

5. Tan pronto como la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6. Los actos delegados adoptados en virtud del artículo 25, apartado 4, del artículo 28, apartado 2, y del artículo 29, apartado 5, entrarán en vigor únicamente si, en un plazo de tres meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará tres meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 39

Procedimiento de comité

1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.

2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011.

Artículo 40

Otros actos jurídicos de la Unión que regulan los derechos y obligaciones en materia de acceso a los datos y su utilización

1. No se verán afectadas las obligaciones específicas para la puesta a disposición de datos entre empresas, entre empresas y consumidores y, con carácter excepcional, entre empresas y organismos del sector público establecidas en actos jurídicos de la Unión que hayan entrado en vigor el [xx XXX xxx] o antes de esa fecha, así como en los actos delegados o actos de ejecución basados en dichas normas.

2. El presente Reglamento se entiende sin perjuicio de la legislación de la Unión que, a la luz de las necesidades de un sector, de un espacio común europeo de datos o de un área de interés público, establezca requisitos adicionales, en particular relativos a:

a)

aspectos técnicos del acceso a los datos;

 

b)

límites a los derechos de los titulares de datos de acceder a determinados datos facilitados por usuarios o de utilizarlos;

 

c)

aspectos que vayan más allá del acceso a los datos y su utilización.

Artículo 41

Evaluación y revisión

1. A más tardar el [dos años desde la fecha de aplicación del presente Reglamento], la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo. En la evaluación se analizarán, en particular:

-a)

el uso de los datos por parte de usuarios, titulares de datos, destinatarios de datos y terceros, el desarrollo de prácticas de monetización de la economía de los datos europea y el desarrollo de los acuerdos de intercambio de datos, como la dinámica competitiva en los espacios de datos y los servicios de intermediación de datos;

 

-a bis)

los efectos de las obligaciones técnicas y administrativas para cumplir el presente Reglamento, en particular su capítulo II, sobre los participantes de la industria, teniendo asimismo en cuenta las exenciones a las pymes;

 

a)

el acceso a otras categorías o tipos de datos;

 

b)

la exclusión de determinadas categorías de empresas como beneficiarias al amparo del artículo 5;

 

b bis)

si las disposiciones del presente Reglamento relativas a los secretos comerciales garantizan el respeto de dichos secretos sin obstaculizar el acceso a los datos ni su intercambio; en particular, la evaluación valorará si la confidencialidad de los secretos comerciales se garantiza en la práctica y de qué manera, a pesar de su divulgación tanto en el contexto del intercambio de datos con terceros como en el contexto de las relaciones entre empresas y administraciones públicas; esta evaluación se llevará a cabo en estrecha relación con el informe de evaluación de la Directiva (UE) 2016/943 previsto para el 9 de junio de 2026 de conformidad con el artículo 18, apartado 3, de dicha Directiva;

 

c)

otras situaciones que hayan de considerarse necesidades excepcionales a efectos del artículo 15;

 

d)

los cambios en las prácticas contractuales de los proveedores de servicios de tratamiento de datos y si esos cambios se traducen en un cumplimiento suficiente del artículo 24;