Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
La
Ley de Datos de la Unión Europea, Reglamento UE 2023/2854, establece un marco
armonizado para el acceso y uso justo de datos generados por productos
conectados y servicios digitales, garantizando su utilización en condiciones
equitativas, transparentes y no discriminatorias tanto para usuarios como para
terceros elegidos por estos.
Sus
principales objetivos son:
- Facilitar la economía basada en
datos, impulsando la competitividad, la innovación y el crecimiento
sostenible.
- Eliminar barreras al intercambio
de datos, promoviendo estándares de interoperabilidad y acceso entre
empresas, consumidores y sector público.
- Promover el aprendizaje y el aprovechamiento de datos por parte de las PYMEs, consumidores y administraciones públicas.
La
Ley establece derechos y obligaciones para los usuarios y titulares como
precisa situaciones excepcionales (emergencias públicas, salud, desastres), en
las que las autoridades públicas soliciten acceso a datos, priorizando la
protección de intereses colectivos. Establece además derecho a compensación
justa por la puesta a disposición de datos en circunstancias no excepcionales.
Este Reglamento complementa el RGPD y la Directiva de privacidad, sin modificar
ni reducir los derechos fundamentales relacionados a la privacidad e intimidad.
La
Ley de Datos no afecta las competencias estatales en materia de seguridad,
defensa, administración fiscal y aduanera. Pero si fija límites para el intercambio
entre empresas, consumidores y sector público, y el respeto de la propiedad intelectual.,
fomentando la interoperabilidad, portabilidad y contratos inteligentes
Cada
Estado miembro designa autoridades competentes, coordinadores de datos y
supervisores para las garantías, aplicación, sanciones y promoción de buenas
prácticas de intercambio de datos y prevé mecanismos alternativos y organismos
de resolución de conflictos sobre acceso y uso de datos.
Su entrada en vigor se concretó en septiembre de 2025, con fases de aplicación progresivas según producto, servicio y tipo de contrato. Se anexa la Ley.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_______________________________________________________
La Ley de Datos entró en vigor: cuáles son sus ventajas.
La Ley de Datos de la UE entró en vigor el 12 de setiembre de 2025, mejorando el acceso de las personas y las empresas a los datos en
el mercado de la UE. En los últimos años, la Internet de las Cosas ha impulsado
un rápido crecimiento de la cantidad de datos disponibles. Las nuevas normas
fomentarán el uso de los datos y garantizarán que se compartan, almacenen y
traten respetando plenamente las normas europeas.
Estas nuevas normas mejorarán nuestras
vidas como ciudadanos en muchos aspectos, así como el funcionamiento de
nuestras empresas. Por ejemplo:
· Los precios de los servicios posventa y la reparación
de los dispositivos inteligentes serán más bajos. Por ejemplo, si se
avería su reloj inteligente, ahora puede solicitar que cualquier servicio de
reparación, que puede ser más barato que el del fabricante del reloj, tenga
acceso a los datos. En el pasado, solo el fabricante podía acceder a dichos
datos.
· Habrá nuevas oportunidades para utilizar servicios
basados en el acceso a los datos. Si tiene máquinas de diferentes fabricantes,
ahora puede recibir asesoramiento personalizado de una empresa que reúna datos
de todas ellas. Hasta ahora, cada fabricante bloqueaba los datos de su máquina.
Esto le permitirá, por ejemplo, conectar el termostato de su casa con la caseta
del jardín.
· Mejor acceso a los datos recogidos o producidos por un
dispositivo. Por ejemplo, el dueño de su bar quiere servir mejor café y la empresa
cafetera desea mejorar su producto. Antes, solo la empresa podía acceder a los
datos producidos por la máquina para diseñar la próxima generación de
cafeteras, y el dueño del bar no podía acceder a la información generada, por
ejemplo, la temperatura del agua. La Ley de Datos aclara que ambas partes
pueden acceder a todos los datos recogidos por la máquina.
La Ley de Datos también permite al
sector público acceder a los datos del sector privado y utilizarlos para
reaccionar en caso de emergencias públicas, como inundaciones e incendios
forestales. También protegerá a las empresas europeas de las cláusulas
contractuales abusivas en los contratos de intercambio de datos, de modo
que las pequeñas empresas puedan participar más activamente en el mercado de
datos.
La Ley de Datos empezará a aplicarse el 12 de septiembre de 2025.
Más información
Ficha informativa sobre la Ley de Datos
Ley de Datos: preguntas y respuestas
Una Europa Adaptada a la Era Digital
Autor
Dirección General de Comunicación
REGLAMENTO (UE)
2023/2854 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
del 13 de diciembre de
2023
sobre normas
armonizadas relativas al acceso justo a los datos y su utilización, y por el que
se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Ley de
Datos)
(Texto pertinente a
efectos del EEE)
EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su
artículo 114,
Vista la propuesta de la Comisión Europea,
Tras la transmisión del proyecto de acto legislativo a los parlamentos
nacionales,
Visto el dictamen del Banco Central Europeo
( 1 ) ,
Visto el dictamen del Comité Económico y Social Europeo ( 2 ) ,
Visto el dictamen del Comité de las Regiones ( 3 ) ,
Actuando de conformidad con el procedimiento legislativo ordinario ( 4 ) ,
Mientras que:
(1) En los últimos años, las tecnologías
basadas en datos han tenido efectos transformadores en todos los sectores de la
economía. En particular, la proliferación de productos conectados a internet ha
incrementado el volumen y el valor potencial de los datos para los
consumidores, las empresas y la sociedad. Los datos de alta calidad e
interoperables de diferentes ámbitos aumentan la competitividad y la
innovación, y garantizan un crecimiento económico sostenible. Los mismos datos
pueden utilizarse y reutilizarse para diversos fines y de forma ilimitada, sin
pérdida de calidad ni cantidad.
(2) Las barreras al intercambio de datos
impiden una asignación óptima de los mismos en beneficio de la sociedad. Entre
estas barreras se incluyen la falta de incentivos para que los titulares de
datos suscriban voluntariamente acuerdos de intercambio de datos, la
incertidumbre sobre los derechos y obligaciones en relación con los datos, los
costos de contratación e implementación de interfaces técnicas, el alto nivel de
fragmentación de la información en silos de datos, la deficiente gestión de
metadatos, la ausencia de estándares de interoperabilidad semántica y técnica,
los cuellos de botella que impiden el acceso a los datos, la falta de prácticas
comunes para el intercambio de datos y el abuso de los desequilibrios
contractuales en relación con el acceso y el uso de los datos.
(3) En los sectores caracterizados por la
presencia de microempresas, pequeñas empresas y medianas empresas, tal como se
definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la
Comisión ( 5 ) (PYME),
a menudo hay una falta de capacidades y competencias digitales para recopilar,
analizar y utilizar datos, y el acceso suele estar restringido cuando un agente
los mantiene en el sistema o debido a una falta de interoperabilidad entre
datos, entre servicios de datos o a través de las fronteras.
(4) Para responder a las necesidades de la
economía digital y eliminar los obstáculos que impiden el correcto
funcionamiento del mercado interior de datos, es necesario establecer un marco
armonizado que especifique quién tiene derecho a utilizar datos de productos o
datos de servicios relacionados, en qué condiciones y sobre qué base. Por
consiguiente, los Estados miembros no deben adoptar ni mantener requisitos
nacionales adicionales en relación con los asuntos que entran en el ámbito de
aplicación del presente Reglamento, salvo que se establezca expresamente en él,
ya que ello afectaría a su aplicación directa y uniforme. Además, las
actuaciones a nivel de la Unión deben entenderse sin perjuicio de las
obligaciones y los compromisos contraídos en los acuerdos comerciales
internacionales celebrados por la Unión.
(5) El presente Reglamento garantiza que los
usuarios de un producto conectado o un servicio relacionado en la Unión puedan
acceder, de manera oportuna, a los datos generados por el uso de ese producto
conectado o servicio relacionado y que esos usuarios puedan usar los datos,
incluso compartiéndolos con terceros de su elección. Impone la obligación a los
titulares de datos de poner los datos a disposición de los usuarios y de
terceros de su elección en determinadas circunstancias. También garantiza que
los titulares de datos pongan los datos a disposición de los destinatarios de
los datos en la Unión en términos y condiciones justos, razonables y no
discriminatorios y de manera transparente. Las normas de derecho privado son
clave en el marco general para el intercambio de datos. Por lo tanto, el
presente Reglamento adapta las normas de derecho contractual y evita la
explotación de los desequilibrios contractuales que obstaculizan el acceso y
uso justos de los datos. El presente Reglamento también garantiza que los
titulares de datos pongan a disposición de los organismos del sector público,
la Comisión, el Banco Central Europeo o los organismos de la Unión, cuando
exista una necesidad excepcional, los datos que sean necesarios para el
desempeño de una tarea específica realizada en interés público. Además, el
presente Reglamento pretende facilitar la transición entre servicios de
tratamiento de datos y mejorar la interoperabilidad de los datos y de los
mecanismos y servicios de intercambio de datos en la Unión. El presente
Reglamento no debe interpretarse como el reconocimiento o la concesión de un
nuevo derecho a los titulares de datos para utilizar los datos generados
mediante el uso de un producto conectado o un servicio relacionado.
(6) La generación de datos es el resultado de
las acciones de al menos dos actores, en particular el diseñador o fabricante
de un producto conectado, que en muchos casos también puede ser un proveedor de
servicios relacionados, y el usuario del producto conectado o del servicio
relacionado. Esto plantea cuestiones de equidad en la economía digital, ya que
los datos registrados por los productos conectados o los servicios relacionados
constituyen un insumo importante para los servicios posventa, auxiliares y de otro
tipo. Para obtener los importantes beneficios económicos de los datos, incluso
mediante el intercambio de datos sobre la base de acuerdos voluntarios y el
desarrollo de la creación de valor basada en datos por parte de las empresas de
la Unión, es preferible un enfoque general para la asignación de derechos de
acceso y uso de los datos a la concesión de derechos exclusivos de acceso y
uso. El presente Reglamento establece normas horizontales que podrían ser
seguidas por la legislación de la Unión o nacional que aborde las situaciones
específicas de los sectores pertinentes.
(7) El derecho fundamental a la protección de
datos personales está salvaguardado, en particular, por los Reglamentos (UE)
2016/679 ( 6 ) y
(UE) 2018/1725 ( 7 ) del
Parlamento Europeo y del Consejo. La Directiva 2002/58/CE del Parlamento
Europeo y del Consejo ( 8 ) protege
además la vida privada y la confidencialidad de las comunicaciones, incluso
mediante condiciones sobre cualquier dato personal y no personal almacenado en
equipos terminales, y el acceso desde estos. Dichos actos legislativos de la
Unión proporcionan la base para un tratamiento de datos sostenible y
responsable, incluso cuando los conjuntos de datos incluyen una mezcla de datos
personales y no personales. El presente Reglamento complementa y se entiende
sin perjuicio del Derecho de la Unión en materia de protección de datos
personales y de la intimidad, en particular los Reglamentos (UE) 2016/679 y
(UE) 2018/1725 y la Directiva 2002/58/CE. Ninguna disposición del presente
Reglamento debe aplicarse o interpretarse de forma que disminuya o limite el derecho
a la protección de datos personales ni el derecho a la privacidad y la
confidencialidad de las comunicaciones. Todo tratamiento de datos personales
con arreglo al presente Reglamento debe cumplir la legislación de la Unión en
materia de protección de datos, incluido el requisito de una base jurídica
válida para el tratamiento con arreglo al artículo 6 del Reglamento (UE)
2016/679 y, cuando proceda, las condiciones del artículo 9 de dicho Reglamento
y del artículo 5, apartado 3, de la Directiva 2002/58/CE. El presente
Reglamento no constituye una base jurídica para la recogida o generación de
datos personales por parte del titular de los datos. El presente Reglamento
impone a los titulares de los datos la obligación de poner los datos personales
a disposición de los usuarios o de terceros elegidos por el usuario, previa
solicitud de este. Dicho acceso debe proporcionarse a los datos personales que
sean tratados por el titular de los datos sobre la base de cualquiera de las
bases jurídicas a que se refiere el artículo 6 del Reglamento (UE) 2016/679.
Cuando el usuario no sea el interesado, el presente Reglamento no crea una base
jurídica para facilitar el acceso a los datos personales ni para ponerlos a
disposición de un tercero, y no debe entenderse que confiere al titular de los
datos ningún nuevo derecho a utilizar los datos personales generados mediante
el uso de un producto conectado o un servicio relacionado. En tales casos,
podría redundar en interés del usuario facilitar el cumplimiento de los requisitos
del artículo 6 del Reglamento (UE) 2016/679. Dado que el presente Reglamento no
debe afectar negativamente a los derechos de protección de datos de los
interesados, el titular de los datos puede atender las solicitudes en tales
casos, entre otras cosas, anonimizando los datos personales o, cuando los datos
fácilmente disponibles contengan datos personales de varios interesados,
transmitiendo únicamente los datos personales relativos al usuario.
(8) Los principios de minimización y
protección de datos desde el diseño y por defecto son esenciales cuando el
tratamiento implica riesgos significativos para los derechos fundamentales de
las personas. Teniendo en cuenta el estado de la técnica, todas las partes que
compartan datos, incluidos los que estén dentro del ámbito de aplicación del
presente Reglamento, deben implementar medidas técnicas y organizativas para
proteger dichos derechos. Dichas medidas incluyen no solo la seudonimización y
el cifrado, sino también el uso de tecnología cada vez más disponible que
permite aplicar algoritmos a los datos y obtener información valiosa sin la
transmisión entre partes ni la copia innecesaria de los propios datos sin
procesar o estructurados.
(9) Salvo disposición en contrario del presente
Reglamento, este no afecta al Derecho contractual nacional, incluidas las
normas sobre la formación, validez o efecto de los contratos, ni a las
consecuencias de la resolución de un contrato. El presente Reglamento
complementa y se entiende sin perjuicio del Derecho de la Unión, cuyo objetivo
es promover los intereses de los consumidores y garantizar un alto nivel de
protección de estos, así como proteger su salud, seguridad e intereses
económicos, en particular la Directiva 93/13/CEE del Consejo ( 9 ) y
las Directivas 2005/29/CE ( 10 ) y
2011/83/UE ( 11 ) del
Parlamento Europeo y del Consejo.
(10) El presente Reglamento se entiende sin
perjuicio de los actos jurídicos nacionales y de la Unión que establecen el
intercambio, el acceso y la utilización de datos con fines de prevención,
investigación, detección o enjuiciamiento de infracciones penales o para la
ejecución de sanciones penales, o con fines aduaneros y fiscales,
independientemente de la base jurídica del Tratado de Funcionamiento de la
Unión Europea (TFUE) sobre la que se adoptaron dichos actos jurídicos de la
Unión, así como de la cooperación internacional en ese ámbito, en particular
sobre la base del Convenio del Consejo de Europa sobre la Ciberdelincuencia
(STE n.º 185), hecho en Budapest el 23 de noviembre de 2001. Dichos actos
incluyen los Reglamentos (UE) 2021/784 ( 12 ) ,
(UE) 2022/2065 ( 13 ) y
(UE) 2023/1543 ( 14 ) del
Parlamento Europeo y del Consejo y la Directiva (UE) 2023/1544 del Parlamento
Europeo y del Consejo ( 15 ) .
El presente Reglamento no se aplica a la recopilación, el intercambio, el
acceso o la utilización de datos con arreglo al Reglamento (UE) 2015/847 del
Parlamento Europeo y del Consejo ( 16 ) y
la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo ( 17 ) .
El presente Reglamento no se aplica a ámbitos que quedan fuera del ámbito de
aplicación del Derecho de la Unión y, en cualquier caso, no afecta a las
competencias de los Estados miembros en materia de seguridad pública, defensa o
seguridad nacional, administración aduanera y fiscal, ni a la salud y la
seguridad de los ciudadanos, independientemente del tipo de entidad a la que
los Estados miembros hayan encomendado el desempeño de tareas en relación con
dichas competencias.
(11) El Derecho de la Unión que establece los
requisitos de diseño físico y de datos para los productos que se introduzcan en
el mercado de la Unión no debe verse afectado a menos que lo disponga
específicamente el presente Reglamento.
(12) El presente Reglamento complementa y se
entiende sin perjuicio del Derecho de la Unión destinado a establecer
requisitos de accesibilidad para determinados productos y servicios, en
particular la Directiva (UE) 2019/882 del Parlamento Europeo y del
Consejo ( 18 ) .
(13) El presente Reglamento se entiende sin
perjuicio de los actos jurídicos nacionales y de la Unión que establecen la
protección de los derechos de propiedad intelectual, incluidas las Directivas
2001/29/CE ( 19 ) ,
2004/48/CE ( 20 ) y
(UE) 2019/790 ( 21 ) del
Parlamento Europeo y del Consejo.
(14) Los productos conectados que obtienen,
generan o recopilan, mediante sus componentes o sistemas operativos, datos
relativos a su rendimiento, uso o entorno, y que pueden comunicar dichos datos
a través de un servicio de comunicaciones electrónicas, una conexión física o
acceso desde el dispositivo, a menudo denominado internet de las cosas, deben
entrar en el ámbito de aplicación del presente Reglamento, con excepción de los
prototipos. Entre los ejemplos de dichos servicios de comunicaciones
electrónicas se incluyen, en particular, las redes telefónicas terrestres, las
redes de televisión por cable, las redes por satélite y las redes de
comunicaciones de campo cercano. Los productos conectados se encuentran en
todos los aspectos de la economía y la sociedad, incluidas las infraestructuras
privadas, civiles o comerciales, los vehículos, los equipos de salud y estilo
de vida, los buques, las aeronaves, los equipos domésticos y los bienes de
consumo, los dispositivos médicos y sanitarios o la maquinaria agrícola e
industrial. Las decisiones de diseño de los fabricantes y, cuando proceda, la
legislación de la Unión o nacional que aborde las necesidades y los objetivos
específicos del sector o las decisiones pertinentes de las autoridades
competentes, deben determinar qué datos puede poner a disposición un producto
conectado.
(15) Los datos representan la digitalización de
las acciones y eventos del usuario y, por consiguiente, deben ser accesibles
para el usuario. Las normas de acceso y uso de los datos de productos
conectados y servicios relacionados en virtud del presente Reglamento abordan
tanto los datos de productos como los datos de servicios relacionados. Los
datos de productos se refieren a los datos generados por el uso de un producto
conectado que el fabricante diseñó para que un usuario, el titular de los datos
o un tercero, incluido, cuando corresponda, el fabricante, puedan recuperar del
producto conectado. Los datos de servicios relacionados se refieren a los datos
que también representan la digitalización de las acciones o eventos del usuario
relacionados con el producto conectado que se generan durante la prestación de
un servicio relacionado por parte del proveedor. Los datos generados por el uso
de un producto conectado o un servicio relacionado deben entenderse como datos
registrados intencionalmente o datos que resultan indirectamente de la acción
del usuario, como datos sobre el entorno o las interacciones del producto
conectado. Esto debe incluir los datos sobre el uso de un producto conectado
generados por una interfaz de usuario o a través de un servicio relacionado, y
no debe limitarse a la información sobre dicho uso, sino que debe incluir todos
los datos que el producto conectado genera como resultado de dicho uso, como
los datos generados automáticamente por sensores y los datos registrados por
aplicaciones integradas, incluidas las aplicaciones que indican el estado del
hardware y fallos de funcionamiento. Esto también debe incluir los datos
generados por el producto conectado o el servicio relacionado durante periodos
de inactividad del usuario, como cuando este decide no utilizar un producto
conectado durante un periodo determinado y, en su lugar, lo mantiene en modo de
espera o incluso apagado, ya que el estado de un producto conectado o de sus
componentes, por ejemplo, las baterías, puede variar cuando el producto
conectado está en modo de espera o apagado. Los datos no modificados
sustancialmente, es decir, los datos en bruto, también conocidos como datos
fuente o primarios, que se refieren a puntos de datos generados automáticamente
sin ningún tipo de procesamiento adicional, así como los datos preprocesados
para hacerlos comprensibles y utilizables antes de su posterior procesamiento
y análisis, entran en el ámbito de aplicación del presente Reglamento. Estos
datos incluyen los recopilados de un solo sensor o de un grupo conectado de
sensores con el fin de que sean comprensibles para usos más amplios mediante la
determinación de una magnitud física, su calidad o el cambio en una magnitud
física, como la temperatura, la presión, el caudal, el audio, el valor de pH,
el nivel de líquido, la posición, la aceleración o la velocidad. El término
«datos preprocesados» no debe interpretarse de forma que obligue al titular de
los datos a realizar inversiones sustanciales en la limpieza y transformación
de los datos. Los datos que se pongan a disposición deben incluir los metadatos
pertinentes, incluyendo su contexto básico y la marca de tiempo, para que sean
utilizables, en combinación con otros datos.Como datos ordenados y clasificados
con otros puntos de datos relacionados, o reformateados a un formato de uso
común. Dichos datos son potencialmente valiosos para el usuario y apoyan la
innovación y el desarrollo de servicios digitales y de otro tipo para proteger
el medio ambiente, la salud y la economía circular, incluso facilitando el
mantenimiento y la reparación de los productos conectados en cuestión. Por el
contrario, la información inferida o derivada de dichos datos, que es el resultado
de inversiones adicionales para asignar valores o perspectivas a partir de los
datos, en particular mediante algoritmos propietarios y complejos, incluidos
los que forman parte de software propietario, no debe considerarse incluida en
el ámbito de aplicación del presente Reglamento y, en consecuencia, no debe
estar sujeta a la obligación del titular de los datos de ponerla a disposición
de un usuario o un destinatario de datos, salvo acuerdo en contrario entre el
usuario y el titular de los datos. Dichos datos podrían incluir, en particular,
información derivada mediante fusión de sensores, que infiere o deriva datos de
múltiples sensores, recopilados en el producto conectado mediante algoritmos
propietarios y complejos, y que podrían estar sujetos a derechos de propiedad
intelectual.
(16) El presente Reglamento permite a los
usuarios de productos conectados beneficiarse de servicios posventa, auxiliares
y de otro tipo basados en datos recopilados por sensores integrados en dichos
productos. La recopilación de dichos datos puede ser valiosa para mejorar el
rendimiento de los productos conectados. Es importante distinguir, por una
parte, los mercados para la prestación de dichos productos conectados equipados
con sensores y servicios conexos y, por otra, los mercados de software y
contenidos no relacionados, como el contenido textual, de audio o audiovisual,
a menudo protegido por derechos de propiedad intelectual. En consecuencia, los
datos que dichos productos conectados equipados con sensores generan cuando el
usuario graba, transmite, muestra o reproduce contenido, así como el propio
contenido, que a menudo está protegido por derechos de propiedad intelectual,
entre otras cosas para su uso en un servicio en línea, no deben estar cubiertos
por el presente Reglamento. El presente Reglamento tampoco debe aplicarse a los
datos obtenidos, generados o accedidos a partir del producto conectado, o que
se hayan transmitido a este, con fines de almacenamiento u otras operaciones de
procesamiento en nombre de otras partes que no sean el usuario, como puede ser
el caso de servidores o infraestructuras en la nube operados por sus
propietarios enteramente en nombre de terceros, entre otras cosas para su uso
por un servicio en línea.
(17) Es necesario establecer normas relativas a
los productos que están conectados a un servicio relacionado en el momento de
la compra, el alquiler o el arrendamiento financiero, de tal manera que su
ausencia impida que el producto conectado realice una o más de sus funciones, o
que posteriormente el fabricante o un tercero conecte al producto para añadir o
adaptar la funcionalidad del producto conectado. Dichos servicios relacionados
implican el intercambio de datos entre el producto conectado y el proveedor del
servicio y deben entenderse explícitamente vinculados al funcionamiento de las
funciones del producto conectado, como los servicios que, en su caso,
transmiten comandos al producto conectado que pueden influir en su acción o
comportamiento. Los servicios que no afectan al funcionamiento del producto
conectado y que no implican la transmisión de datos o comandos al producto
conectado por parte del proveedor del servicio no deben considerarse servicios
relacionados. Dichos servicios podrían incluir, por ejemplo, servicios
auxiliares de consultoría, análisis o servicios financieros, o reparaciones y
mantenimiento regulares. Los servicios relacionados pueden ofrecerse como parte
del contrato de compra, alquiler o arrendamiento financiero. También podrían
prestarse servicios relacionados para productos del mismo tipo, y los usuarios
podrían esperar razonablemente que se prestaran teniendo en cuenta la
naturaleza del producto conectado y cualquier declaración pública realizada por
o en nombre del vendedor, arrendador, arrendador u otras personas en eslabones
anteriores de la cadena de transacciones, incluido el fabricante. Dichos
servicios relacionados pueden generar por sí mismos datos de valor para el
usuario, independientemente de las capacidades de recopilación de datos del
producto conectado con el que están interconectados. El presente Reglamento
también debe aplicarse a un servicio relacionado que no sea suministrado por el
propio vendedor, arrendador o arrendador, sino que sea prestado por un tercero.
En caso de duda sobre si el servicio se presta como parte del contrato de
compraventa, alquiler o arrendamiento financiero, debe aplicarse el presente
Reglamento. Ni el suministro de energía ni el suministro de conectividad deben
interpretarse como servicios relacionados con arreglo al presente Reglamento.
(18) El usuario de un producto conectado debe
entenderse como una persona física o jurídica, como una empresa, un consumidor
o un organismo del sector público, que posee un producto conectado, ha recibido
ciertos derechos temporales, por ejemplo, mediante un contrato de alquiler o
arrendamiento, para acceder o utilizar los datos obtenidos del producto
conectado, o recibe servicios relacionados para el producto conectado. Dichos
derechos de acceso no deben alterar ni interferir en modo alguno con los
derechos de los interesados que puedan interactuar con un producto conectado
o un servicio relacionado en relación con los datos personales generados por el
producto conectado o durante la prestación del servicio relacionado. El usuario
asume los riesgos y disfruta de los beneficios del uso del producto conectado y
también debe tener acceso a los datos que genera. Por lo tanto, el usuario debe
tener derecho a beneficiarse de los datos generados por ese producto conectado
y de cualquier servicio relacionado. Un propietario, inquilino o arrendatario
también debe considerarse un usuario, incluso cuando varias entidades puedan
considerarse usuarios. En el contexto de múltiples usuarios, cada usuario puede
contribuir de manera diferente a la generación de datos y tener interés en
varias formas de uso, como la gestión de flotas para una empresa de leasing o
soluciones de movilidad para personas que utilizan un servicio de uso
compartido de automóviles.
(19) La alfabetización en datos se refiere a las
habilidades, el conocimiento y la comprensión que permiten a los usuarios,
consumidores y empresas, en particular a las pymes que entran en el ámbito de
aplicación del presente Reglamento, ser conscientes del valor potencial de los
datos que generan, producen y comparten, y que están motivados a ofrecer y
facilitar el acceso a ellos de conformidad con las normas jurídicas
pertinentes. La alfabetización en datos debe ir más allá del aprendizaje de
herramientas y tecnologías y tener como objetivo dotar y empoderar a los
ciudadanos y las empresas con la capacidad de beneficiarse de un mercado de
datos inclusivo y justo. La difusión de las medidas de alfabetización en datos
y la introducción de acciones de seguimiento adecuadas podrían contribuir a
mejorar las condiciones laborales y, en última instancia, a sostener la
consolidación y la trayectoria de innovación de la economía de los datos en la
Unión. Las autoridades competentes deben promover herramientas y adoptar
medidas para promover la alfabetización en datos entre los usuarios y las
entidades que entran en el ámbito de aplicación del presente Reglamento y el
conocimiento de sus derechos y obligaciones en virtud del mismo.
(20) En la práctica, no todos los datos
generados por productos conectados o servicios relacionados son fácilmente
accesibles para sus usuarios, y las posibilidades de portabilidad de los datos
generados por productos conectados a internet suelen ser limitadas. Los
usuarios no pueden obtener los datos necesarios para recurrir a proveedores de
reparación y otros servicios, y las empresas no pueden ofrecer servicios
innovadores, prácticos y más eficientes. En muchos sectores, los fabricantes
pueden determinar, mediante su control del diseño técnico de los productos
conectados o servicios relacionados, qué datos se generan y cómo se puede
acceder a ellos, a pesar de no tener ningún derecho legal sobre ellos. Por lo
tanto, es necesario garantizar que los productos conectados se diseñen y
fabriquen, y que los servicios relacionados se diseñen y presten, de tal manera
que los datos de los productos y los datos de los servicios relacionados,
incluidos los metadatos necesarios para interpretarlos y utilizarlos, incluso para
recuperarlos, utilizarlos o compartirlos, sean siempre accesibles de forma
fácil y segura para el usuario, de forma gratuita, en un formato completo,
estructurado, de uso común y legible por máquina. Los datos de producto y los
datos de servicio relacionados que el titular de los datos obtiene o puede
obtener legalmente del producto conectado o del servicio relacionado, por
ejemplo, mediante el diseño del producto conectado, el contrato del titular de
los datos con el usuario para la prestación de servicios relacionados y sus
medios técnicos de acceso a los datos, sin un esfuerzo desproporcionado, se
denominan «datos fácilmente disponibles». Los datos fácilmente disponibles no
incluyen los datos generados por el uso de un producto conectado cuando el diseño
de este no prevea su almacenamiento o transmisión fuera del componente en el
que se generan o del producto conectado en su conjunto. Por lo tanto, el
presente Reglamento no debe interpretarse como la imposición de la obligación
de almacenar datos en la unidad central de procesamiento de un producto
conectado. La ausencia de dicha obligación no debe impedir que el fabricante o
el titular de los datos acuerden voluntariamente con el usuario la realización
de dichas adaptaciones. Las obligaciones de diseño establecidas en el presente
Reglamento se entienden sin perjuicio del principio de minimización de datos
establecido en el artículo 5, apartado 1, letra c), del Reglamento (UE)
2016/679 y no deben entenderse como la imposición de una obligación de diseñar productos
conectados y servicios relacionados de forma que almacenen o procesen de otro
modo datos personales distintos de los necesarios en relación con los fines
para los que se tratan. Podría introducirse legislación de la Unión o nacional
para definir más detalles, como los datos de producto a los que debe accederse
desde los productos conectados o servicios relacionados, dado que dichos datos
pueden ser esenciales para el funcionamiento, la reparación o el mantenimiento
eficientes de dichos productos conectados o servicios relacionados. Cuando se
realicen actualizaciones o modificaciones posteriores de un producto conectado
o un servicio relacionado,por el fabricante o un tercero, dar lugar a datos
accesibles adicionales o a una restricción de los datos inicialmente
accesibles, dichos cambios deberán comunicarse al usuario en el contexto de la
actualización o modificación.
(21) Cuando varias personas o entidades se
consideren usuarios, por ejemplo, en caso de copropiedad o cuando un
propietario, arrendatario o inquilino comparta los derechos de acceso o uso de
los datos, el diseño del producto conectado o del servicio relacionado, o la
interfaz pertinente, debe permitir que cada usuario acceda a los datos que
genere. El uso de productos conectados que generan datos suele requerir la
creación de una cuenta de usuario. Dicha cuenta permite que el titular de los
datos, que puede ser el fabricante, identifique al usuario. También puede
utilizarse como medio de comunicación y para presentar y procesar solicitudes
de acceso a los datos. Cuando varios fabricantes o proveedores de servicios
relacionados hayan vendido, alquilado o arrendado productos conectados o
prestado servicios relacionados, integrados, al mismo usuario, este debe
dirigirse a cada una de las partes con las que tenga un contrato. Los
fabricantes o diseñadores de un producto conectado que sea utilizado
habitualmente por varias personas deben establecer los mecanismos necesarios
para permitir cuentas de usuario independientes para cada persona, cuando
corresponda, o para la posibilidad de que varias personas utilicen la misma
cuenta de usuario. Las soluciones de cuentas deben permitir a los usuarios
eliminar sus cuentas y borrar los datos relacionados con ellas, así como
cancelar el acceso, el uso o el intercambio de datos, o presentar solicitudes
de cancelación, en particular teniendo en cuenta los cambios en la propiedad o el
uso del producto conectado. El acceso debe concederse al usuario mediante un
mecanismo de solicitud simple que permita la ejecución automática y no requiera
examen ni autorización por parte del fabricante o del titular de los datos.
Esto significa que los datos deben estar disponibles solo cuando el usuario
realmente desee acceder a ellos. Cuando la ejecución automática de la solicitud
de acceso a los datos no sea posible, por ejemplo, a través de una cuenta de
usuario o de la aplicación móvil que acompaña al producto conectado o al
servicio relacionado, el fabricante debe informar al usuario sobre cómo acceder
a los datos.
(22) Los productos conectados pueden estar
diseñados para que ciertos datos sean directamente accesibles desde el
almacenamiento de datos en el dispositivo o desde un servidor remoto al que se
comunican los datos. El acceso al almacenamiento de datos en el dispositivo
puede habilitarse a través de redes de área local (LAN) cableadas o
inalámbricas conectadas a un servicio de comunicaciones electrónicas o una red
móvil pública. El servidor puede ser el propio servidor local del fabricante o
el de un tercero o un proveedor de servicios en la nube. Los encargados del
tratamiento, tal como se definen en el artículo 4, punto 8, del Reglamento (UE)
2016/679, no se consideran titulares de datos. Sin embargo, pueden tener la
tarea específica de poner los datos a disposición por el responsable del
tratamiento, tal como se define en el artículo 4, punto 7, del Reglamento (UE)
2016/679. Los productos conectados pueden estar diseñados para permitir que el
usuario o un tercero procesen los datos en el producto conectado, en una
instancia informática del fabricante o en un entorno de tecnologías de la
información y la comunicación (TIC) elegido por el usuario o el tercero.
(23) Los asistentes virtuales desempeñan un
papel cada vez más importante en la digitalización de los entornos
profesionales y de consumo, y sirven como una interfaz intuitiva para
reproducir contenido, obtener información o activar productos conectados a internet.
Pueden actuar como una puerta de enlace única en, por ejemplo, un hogar
inteligente y registrar cantidades significativas de datos relevantes sobre
cómo interactúan los usuarios con los productos conectados a internet,
incluidos los fabricados por terceros, y pueden sustituir el uso de interfaces
proporcionadas por el fabricante, como pantallas táctiles o aplicaciones para
teléfonos inteligentes. El usuario podría desear poner estos datos a
disposición de terceros fabricantes y habilitar nuevos servicios inteligentes.
Los asistentes virtuales deben estar cubiertos por los derechos de acceso a los
datos previstos en el presente Reglamento. Los datos generados cuando un
usuario interactúa con un producto conectado a través de un asistente virtual
proporcionado por una entidad distinta del fabricante del producto conectado
también deben estar cubiertos por los derechos de acceso a los datos previstos
en el presente Reglamento. No obstante, solo los datos derivados de la
interacción entre el usuario y un producto conectado o un servicio relacionado
a través del asistente virtual deben estar cubiertos por el presente
Reglamento. Los datos generados por el asistente virtual que no estén
relacionados con el uso de un producto conectado o un servicio relacionado no
están cubiertos por el presente Reglamento.
(24) Antes de formalizar un contrato de compra,
alquiler o arrendamiento de un producto conectado, el vendedor, arrendador o
arrendador, que puede ser el fabricante, debe proporcionar al usuario
información clara y comprensible sobre los datos del producto que este puede
generar, incluyendo el tipo, el formato y el volumen estimado de dichos datos.
Esto podría incluir información sobre estructuras de datos, formatos de datos,
vocabularios, sistemas de clasificación, taxonomías y listas de códigos, cuando
estén disponibles, así como información clara y suficiente para el ejercicio de
los derechos del usuario sobre cómo se pueden almacenar, recuperar o acceder a
los datos, incluyendo las condiciones de uso y la calidad del servicio de las
interfaces de programación de aplicaciones o, cuando corresponda, el suministro
de kits de desarrollo de software. Esta obligación garantiza la transparencia
sobre los datos del producto generados y facilita el acceso al usuario. La
obligación de información podría cumplirse, por ejemplo, manteniendo un
localizador uniforme de recursos (URL) estable en la web, que pueda
distribuirse como enlace web o código QR y que dirija a la información
pertinente, que podría ser proporcionada por el vendedor, arrendador o
arrendador, que puede ser el fabricante, al usuario antes de formalizar el
contrato de compra, alquiler o arrendamiento de un producto conectado. En
cualquier caso, es necesario que el usuario pueda almacenar la información de
forma accesible para futuras consultas y que permita la reproducción inalterada
de la información almacenada. No se puede esperar que el titular de los datos
almacene los datos indefinidamente en vista de las necesidades del usuario del
producto conectado, sino que debe implementar una política de retención de
datos razonable, cuando corresponda, de conformidad con el principio de
limitación del almacenamiento, de conformidad con el artículo 5, apartado 1,
letra e), del Reglamento (UE) 2016/679, que permita la aplicación efectiva de
los derechos de acceso a los datos previstos en dicho Reglamento. La obligación
de proporcionar información no afecta a la obligación del responsable del
tratamiento de proporcionar información al interesado de conformidad con los
artículos 12, 13 y 14 del Reglamento (UE) 2016/679. La obligación de
proporcionar información antes de la celebración de un contrato para la
prestación de un servicio relacionado recaerá en el futuro titular de los
datos, independientemente de si este celebra un contrato de compra, alquiler o
arrendamiento financiero de un producto conectado. Si la información cambia
durante la vida útil del producto conectado o la vigencia del contrato del
servicio relacionado, incluido si la finalidad para la que se utilizarán dichos
datos cambia con respecto a la finalidad originalmente especificada, también
deberá proporcionarse al usuario.
(25) El presente Reglamento no debe
interpretarse como que confiere a los titulares de datos ningún nuevo derecho a
utilizar datos de productos o datos de servicios relacionados. Cuando el
fabricante de un producto conectado sea titular de datos, la base para que el
fabricante utilice datos no personales debe ser un contrato entre el fabricante
y el usuario. Dicho contrato podría formar parte de un acuerdo para la
prestación del servicio relacionado, que podría celebrarse junto con el
contrato de compra, alquiler o arrendamiento financiero relativo al producto
conectado. Cualquier cláusula contractual que estipule que el titular de datos
puede utilizar datos de productos o datos de servicios relacionados debe ser
transparente para el usuario, incluyendo los fines para los que el titular de
datos pretende utilizarlos. Dichos fines pueden incluir la mejora del
funcionamiento del producto conectado o de los servicios relacionados, el
desarrollo de nuevos productos o servicios, o la agregación de datos con el fin
de poner a disposición de terceros los datos derivados resultantes, siempre que
dichos datos derivados no permitan la identificación de datos específicos
transmitidos al titular de datos desde el producto conectado, ni permitan a un
tercero derivar dichos datos del conjunto de datos. Cualquier modificación del
contrato debe depender del consentimiento informado del usuario. El presente
Reglamento no impide que las partes acuerden condiciones contractuales cuyo
efecto sea excluir o limitar el uso de datos no personales, o ciertas
categorías de datos no personales, por parte de un titular de datos. Tampoco
impide que las partes acuerden poner a disposición de terceros datos de productos
o datos de servicios relacionados, directa o indirectamente, incluso, cuando
corresponda, a través de otro titular de datos. Además, el presente Reglamento
no impide que los requisitos reglamentarios sectoriales específicos en virtud
del Derecho de la Unión, o del Derecho nacional compatible con el Derecho de la
Unión, excluyan o limiten el uso de ciertos datos de este tipo por parte del
titular de los datos por motivos de orden público bien definidos. El presente
Reglamento no impide que los usuarios, en el caso de relaciones entre empresas,
pongan datos a disposición de terceros o titulares de datos en virtud de
cualquier condición contractual legal, incluso acordando limitar o restringir
la compartición posterior de dichos datos, o ser compensados
proporcionalmente, por ejemplo, a cambio de renunciar a su derecho a usar o
compartir dichos datos. Si bien el concepto de «titular de datos» generalmente
no incluye a los organismos del sector público, puede incluir a las empresas
públicas.
(26) Para fomentar la creación de mercados
líquidos, equitativos y eficientes para los datos no personales, los usuarios
de productos conectados deben poder compartir datos con terceros, incluso con
fines comerciales, con un mínimo esfuerzo legal y técnico. Actualmente, a las
empresas les resulta a menudo difícil justificar los costes de personal o
informáticos necesarios para preparar conjuntos o productos de datos no
personales y ofrecerlos a posibles contrapartes a través de servicios de
intermediación de datos, incluidos los mercados de datos. Por lo tanto, un
obstáculo importante para el intercambio de datos no personales por parte de
las empresas se deriva de la falta de previsibilidad de la rentabilidad
económica derivada de la inversión en la conservación y puesta a disposición de
conjuntos o productos de datos. Para permitir la creación de mercados líquidos,
equitativos y eficientes para los datos no personales en la Unión, debe
aclararse quién tiene derecho a ofrecer dichos datos en un mercado. Por consiguiente,
los usuarios deben tener derecho a compartir datos no personales con los
destinatarios de los datos con fines comerciales y no comerciales. Dicho
intercambio de datos podría ser realizado directamente por el usuario, a
petición del usuario a través del titular de los datos, o a través de servicios
de intermediación de datos. Los servicios de intermediación de datos, regulados
por el Reglamento (UE) 2022/868 del Parlamento Europeo y del
Consejo ( 22 ), podrían
facilitar una economía de datos al establecer relaciones comerciales entre
usuarios, destinatarios de datos y terceros, y pueden ayudar a los usuarios a
ejercer su derecho a usar los datos, como garantizar la anonimización de los
datos personales o la agregación del acceso a los datos de múltiples usuarios
individuales. Cuando los datos estén excluidos de la obligación del titular de
ponerlos a disposición de los usuarios o terceros, el alcance de dichos datos
podría especificarse en el contrato entre el usuario y el titular de los datos
para la prestación de un servicio relacionado, de modo que los usuarios puedan
determinar fácilmente qué datos están disponibles para compartir con los
destinatarios de los datos o terceros. Los titulares de datos no deben poner a
disposición de terceros datos de productos no personales con fines comerciales
o no comerciales distintos del cumplimiento de su contrato con el usuario, sin
perjuicio de los requisitos legales conforme al Derecho de la Unión o nacional
para que un titular de datos ponga los datos a disposición. Cuando corresponda,
los titulares de datos deben obligar contractualmente a terceros a no compartir
más los datos recibidos de ellos.
(27) En sectores caracterizados por la
concentración de un pequeño número de fabricantes que suministran productos
conectados a los usuarios finales, las opciones disponibles para los usuarios
para el acceso, uso e intercambio de datos pueden ser limitadas. En tales
circunstancias, los contratos pueden ser insuficientes para lograr el objetivo
de empoderamiento de los usuarios, lo que dificulta que estos obtengan valor de
los datos generados por el producto conectado que compran, alquilan o
arriendan. En consecuencia, existe un potencial limitado para que las pequeñas
empresas innovadoras ofrezcan soluciones basadas en datos de forma competitiva
y para una economía de datos diversificada en la Unión. Por lo tanto, el
presente Reglamento debe basarse en la evolución reciente en sectores
específicos, como el Código de Conducta sobre el intercambio de datos agrícolas
mediante contrato. Podrá adoptarse legislación de la Unión o nacional para
abordar las necesidades y los objetivos específicos del sector. Además, los titulares
de datos no deben utilizar ningún dato fácilmente disponible que no sea
personal para obtener información sobre la situación económica del usuario, sus
activos o métodos de producción, ni sobre dicho uso por parte del usuario de
ninguna otra manera que pueda perjudicar su posición comercial en los mercados
en los que opera. Esto podría incluir el uso de información sobre el
rendimiento general de una empresa o explotación agrícola en negociaciones
contractuales con el usuario sobre la posible adquisición de sus productos o
productos agrícolas en detrimento del usuario, o el uso de dicha información
para alimentar bases de datos más amplias sobre ciertos mercados en conjunto,
por ejemplo, bases de datos sobre el rendimiento de los cultivos para la próxima
temporada de cosecha, ya que dicho uso podría afectar negativamente al usuario
de forma indirecta. El usuario debe contar con la interfaz técnica necesaria
para gestionar los permisos, preferiblemente con opciones de permisos
granulares como "permitir una vez" o "permitir mientras se usa
esta aplicación o servicio", incluyendo la opción de revocar dichos
permisos.
(28) En los contratos entre un titular de datos
y un consumidor como usuario de un producto conectado o un servicio relacionado
que genera datos, se aplica el Derecho de la Unión en materia de consumo, en
particular las Directivas 93/13/CEE y 2005/29/CE, para garantizar que el
consumidor no esté sujeto a cláusulas contractuales abusivas. A efectos del
presente Reglamento, las cláusulas contractuales abusivas impuestas
unilateralmente a una empresa no deben ser vinculantes para esta.
(29) Los titulares de datos podrán exigir la
identificación adecuada del usuario para verificar su derecho a acceder a los
datos. En el caso de datos personales tratados por un encargado del tratamiento
en nombre del responsable del tratamiento, los titulares de datos deberán
garantizar que el encargado reciba y gestione la solicitud de acceso.
(30) El usuario debe tener la libertad de
utilizar los datos para cualquier fin lícito. Esto incluye proporcionar los
datos que el usuario ha recibido al ejercer sus derechos en virtud del presente
Reglamento a un tercero que ofrece un servicio posventa que puede competir con
un servicio prestado por un titular de datos, o instruir al titular de datos
para que lo haga. La solicitud debe ser presentada por el usuario o por un
tercero autorizado que actúe en nombre de un usuario, incluido un proveedor de
un servicio de intermediación de datos. Los titulares de datos deben garantizar
que los datos puestos a disposición del tercero sean tan precisos, completos,
fiables, pertinentes y actualizados como los datos a los que el propio titular
de datos puede o tiene derecho a acceder mediante el uso del producto conectado
o servicio relacionado. Todos los derechos de propiedad intelectual deben
respetarse en el manejo de los datos. Es importante preservar los incentivos
para invertir en productos con funcionalidades basadas en el uso de datos de
sensores integrados en dichos productos.
(31) Directiva (UE) 2016/943 del Parlamento
Europeo y del Consejo ( 23 )establece
que la adquisición, utilización o divulgación de un secreto comercial se
considerará lícita, entre otros casos, cuando dicha adquisición, utilización o
divulgación sea requerida o permitida por el Derecho de la Unión o nacional. Si
bien el presente Reglamento exige a los titulares de datos que revelen
determinados datos a los usuarios o a terceros de su elección, incluso cuando
dichos datos puedan ser protegidos como secretos comerciales, debe
interpretarse de forma que se preserve la protección otorgada a los secretos
comerciales en virtud de la Directiva (UE) 2016/943. En este contexto, los
titulares de datos deben poder exigir a los usuarios o a terceros de su
elección que preserven la confidencialidad de los datos considerados secretos
comerciales. A tal fin, los titulares de datos deben identificar los secretos
comerciales antes de la divulgación y deben tener la posibilidad de acordar con
los usuarios o terceros de su elección las medidas necesarias para preservar su
confidencialidad, incluido el uso de condiciones contractuales tipo, acuerdos
de confidencialidad, protocolos de acceso estrictos, normas técnicas y la
aplicación de códigos de conducta. Además del uso de cláusulas contractuales
tipo que la Comisión desarrollará y recomendará, el establecimiento de códigos
de conducta y normas técnicas relativas a la protección de secretos comerciales
en el tratamiento de datos podría contribuir al logro del objetivo del presente
Reglamento y debe fomentarse. Cuando no exista un acuerdo sobre las medidas
necesarias o cuando un usuario, o terceros de su elección, no apliquen las
medidas acordadas o menoscaben la confidencialidad de los secretos comerciales,
el titular de los datos debe poder denegar o suspender la compartición de datos
identificados como secretos comerciales. En tales casos, el titular de los
datos debe comunicar su decisión por escrito al usuario o al tercero sin demora
indebida y notificar a la autoridad competente del Estado miembro en el que
esté establecido que ha denegado o suspendido la compartición de datos e
identificar las medidas que no se han acordado o aplicado y, en su caso, los
secretos comerciales cuya confidencialidad se ha menoscabado. En principio, los
titulares de datos no pueden denegar una solicitud de acceso a datos en virtud
del presente Reglamento únicamente por el hecho de que determinados datos se
consideren secretos comerciales, ya que ello subvertiría los efectos previstos
del mismo. Sin embargo, en circunstancias excepcionales, el titular de datos
que sea titular de un secreto comercial podrá, caso por caso, rechazar una
solicitud de los datos específicos en cuestión si puede demostrar al usuario o
al tercero que, a pesar de las medidas técnicas y organizativas adoptadas por
el usuario o el tercero, es muy probable que la divulgación de dicho secreto
comercial genere un perjuicio económico grave. Un perjuicio económico grave
implica una pérdida económica grave e irreparable. El titular de datos deberá
justificar debidamente su negativa por escrito, sin demora indebida, al usuario
o al tercero y notificarlo a la autoridad competente.Dicha justificación debe
basarse en elementos objetivos que demuestren el riesgo concreto de perjuicio
económico grave que se espera que resulte de una divulgación específica de
datos y las razones por las que las medidas adoptadas para salvaguardar los
datos solicitados no se consideran suficientes. En ese contexto, puede tenerse
en cuenta un posible impacto negativo en la ciberseguridad. Sin perjuicio del
derecho a solicitar reparación ante un órgano jurisdiccional de un Estado
miembro, cuando el usuario o un tercero desee impugnar la decisión del titular
de los datos de denegar, retener o suspender la compartición de datos, el
usuario o el tercero puede presentar una reclamación ante la autoridad
competente, que debe decidir sin demora indebida si debe iniciarse o reanudarse
la compartición de datos y en qué condiciones, o puede acordar con el titular
de los datos remitir el asunto a un organismo de resolución de litigios. Las
excepciones a los derechos de acceso a los datos en el presente Reglamento no
deben limitar en ningún caso el derecho de acceso y el derecho a la portabilidad
de los datos de los interesados en virtud del Reglamento (UE) 2016/679.
(32) El objetivo del presente Reglamento no es
solo fomentar el desarrollo de nuevos productos conectados innovadores o
servicios relacionados y estimular la innovación en el mercado de posventa,
sino también el desarrollo de servicios completamente novedosos que utilicen
los datos en cuestión, incluidos los basados en datos de diversos productos
conectados o servicios relacionados. Al mismo tiempo, el presente Reglamento
pretende evitar que se socaven los incentivos a la inversión para el tipo de
producto conectado del que se obtienen los datos, por ejemplo, mediante el uso
de datos para desarrollar un producto conectado competidor que los usuarios
consideren intercambiable o sustituible, en particular sobre la base de las
características del producto conectado, su precio y el uso previsto. El
presente Reglamento no prohíbe el desarrollo de un servicio relacionado que
utilice datos obtenidos en virtud del mismo, ya que ello tendría un efecto
disuasorio indeseable sobre la innovación. Prohibir el uso de los datos a los
que se accede en virtud del presente Reglamento para desarrollar un producto
conectado competidor protege los esfuerzos de innovación de los titulares de
los datos. Que un producto conectado compita con el producto conectado del que
proceden los datos depende de si ambos productos conectados compiten en el
mismo mercado de productos. Esto se determinará con base en los principios
establecidos en el Derecho de la competencia de la Unión para definir el
mercado de productos de referencia. No obstante, entre los fines lícitos para
el uso de los datos se podría incluir la ingeniería inversa, siempre que cumpla
con los requisitos establecidos en el presente Reglamento y en el Derecho de la
Unión o nacional. Este podría ser el caso para reparar o prolongar la vida útil
de un producto conectado o para la prestación de servicios posventa a productos
conectados.
(33) Un tercero al que se faciliten los datos
puede ser una persona física o jurídica, como un consumidor, una empresa, una
organización de investigación, una organización sin ánimo de lucro o una
entidad que actúe con fines profesionales. Al facilitar los datos a un tercero,
el titular de los datos no debe abusar de su posición para obtener una ventaja
competitiva en mercados donde el titular de los datos y el tercero puedan
competir directamente. Por lo tanto, el titular de los datos no debe utilizar
datos fácilmente disponibles para obtener información sobre la situación
económica, los activos o los métodos de producción del tercero, ni sobre su uso
por parte de este, de ninguna otra manera que pueda perjudicar su posición
comercial en los mercados en los que opera. El usuario debe poder compartir
datos no personales con terceros con fines comerciales. Previo acuerdo con el
usuario, y con sujeción a lo dispuesto en el presente Reglamento, los terceros
deben poder transferir los derechos de acceso a los datos otorgados por el
usuario a otros terceros, incluso a cambio de una compensación. Los
intermediarios de datos entre empresas (B2B) y los sistemas de gestión de
información personal (SGIP), denominados servicios de intermediación de datos
en el Reglamento (UE) 2022/868, pueden ayudar a usuarios o terceros a
establecer relaciones comerciales con un número indeterminado de posibles
contrapartes para cualquier fin lícito comprendido en el ámbito de aplicación
de este Reglamento. Podrían desempeñar un papel fundamental en la agregación
del acceso a los datos, facilitando así el análisis de big data o el
aprendizaje automático, siempre que los usuarios mantengan el control total
sobre si desean proporcionar sus datos a dicha agregación y las condiciones
comerciales en las que se utilizarán.
(34) El uso de un producto conectado o un
servicio relacionado puede, en particular cuando el usuario es una persona
física, generar datos relativos al interesado. El tratamiento de dichos datos
está sujeto a las normas establecidas en el Reglamento (UE) 2016/679, incluso
cuando los datos personales y no personales de un conjunto de datos están
inextricablemente vinculados. El interesado puede ser el usuario u otra persona
física. Los datos personales solo pueden ser solicitados por un responsable del
tratamiento o un interesado. Un usuario que sea el interesado tiene, en
determinadas circunstancias, derecho, en virtud del Reglamento (UE) 2016/679, a
acceder a los datos personales que le conciernen, y estos derechos no se ven
afectados por el presente Reglamento. En virtud del presente Reglamento, el
usuario que sea una persona física tiene además derecho a acceder a todos los
datos generados por el uso de un producto conectado, ya sean personales o no
personales. Cuando el usuario no sea el interesado, sino una empresa, incluido
un autónomo, y no en los casos de uso doméstico compartido del producto
conectado, se considera que el usuario es el responsable del tratamiento. En
consecuencia, un usuario que, como responsable del tratamiento, pretenda
solicitar datos personales generados por el uso de un producto conectado o un
servicio relacionado, deberá contar con una base legal para el tratamiento de
los datos, tal como lo exige el artículo 6, apartado 1, del Reglamento (UE)
2016/679, como el consentimiento del interesado o la ejecución de un contrato
del que este sea parte. Dicho usuario deberá asegurarse de que el interesado
esté debidamente informado de las finalidades específicas, explícitas y
legítimas del tratamiento de dichos datos, y de cómo puede ejercer sus derechos
de forma efectiva. Cuando el titular de los datos y el usuario sean
corresponsables del tratamiento en el sentido del artículo 26 del Reglamento
(UE) 2016/679, deberán determinar, de forma transparente mediante un acuerdo
entre ellos, sus respectivas responsabilidades en materia de cumplimiento de
dicho Reglamento. Cabe entender que dicho usuario, una vez facilitados los
datos, podrá a su vez convertirse en titular de los datos si cumple los
criterios establecidos en el presente Reglamento y, por lo tanto, queda sujeto
a la obligación de facilitar los datos en virtud del mismo.
(35) Los datos de productos o de servicios
relacionados solo deben ponerse a disposición de terceros a petición del
usuario. El presente Reglamento complementa, en consecuencia, el derecho,
previsto en el artículo 20 del Reglamento (UE) 2016/679, de los interesados a
recibir datos personales que les conciernen en un formato estructurado, de uso
común y lectura mecánica, así como a transferir dichos datos a otro responsable
del tratamiento, cuando estos se traten por medios automatizados con arreglo al
artículo 6, apartado 1, letra a), o al artículo 9, apartado 2, letra a), o a un
contrato con arreglo al artículo 6, apartado 1, letra b), de dicho Reglamento.
Los interesados también tienen derecho a que los datos personales se
transmitan directamente de un responsable del tratamiento a otro, pero solo
cuando sea técnicamente viable. El artículo 20 del Reglamento (UE) 2016/679
especifica que se refiere a los datos proporcionados por el interesado, pero no
especifica si esto requiere un comportamiento activo por parte del interesado o
si también se aplica a situaciones en las que un producto conectado o un
servicio relacionado, por su diseño, observa el comportamiento de un interesado
u otra información en relación con este de forma pasiva. Los derechos previstos
en este Reglamento complementan el derecho a recibir y portar datos personales
en virtud del artículo 20 del Reglamento (UE) 2016/679 de diversas maneras.
Este Reglamento otorga a los usuarios el derecho a acceder y poner a
disposición de un tercero cualquier dato de producto o de servicio relacionado,
independientemente de su naturaleza como datos personales, de la distinción
entre datos proporcionados activamente u observados pasivamente, y de la base
jurídica del tratamiento. A diferencia del artículo 20 del Reglamento (UE)
2016/679, este Reglamento exige y garantiza la viabilidad técnica del acceso de
terceros a todos los tipos de datos que entran en su ámbito de aplicación, ya
sean personales o no personales, garantizando así que los obstáculos técnicos
ya no dificulten ni impidan el acceso a dichos datos. También permite a los
titulares de los datos establecer una compensación razonable que deberá ser
abonada por terceros, pero no por el usuario, por los costes incurridos en la
provisión de acceso directo a los datos generados por el producto conectado del
usuario. Si un titular de los datos y un tercero no logran acordar las
condiciones para dicho acceso directo, el interesado no debe verse impedido en
ningún caso de ejercer los derechos establecidos en el Reglamento (UE)
2016/679, incluido el derecho a la portabilidad de los datos, mediante la
interposición de recursos de conformidad con dicho Reglamento. Debe entenderse
en este contexto que, de conformidad con el Reglamento (UE) 2016/679, un
contrato no permite el tratamiento de categorías especiales de datos personales
por parte del titular de los datos o el tercero.
(36) El acceso a cualquier dato almacenado en un
equipo terminal y al que se acceda desde él está sujeto a la Directiva
2002/58/CE y requiere el consentimiento del suscriptor o usuario en el sentido
de dicha Directiva, salvo que sea estrictamente necesario para la prestación de
un servicio de la sociedad de la información solicitado explícitamente por el
usuario o el suscriptor, o con el único fin de transmitir una comunicación. La
Directiva 2002/58/CE protege la integridad del equipo terminal del usuario en lo
que respecta al uso de las capacidades de procesamiento y almacenamiento, así
como a la recopilación de información. Un equipo del Internet de las Cosas se
considera un equipo terminal si está conectado directa o indirectamente a una
red pública de comunicaciones.
(37) Con el fin de evitar la explotación de los
usuarios, los terceros a quienes se hayan facilitado datos a petición del
usuario deberán procesar dichos datos únicamente para los fines acordados con
el usuario y compartirlos con otro tercero únicamente con el consentimiento del
usuario para dicho intercambio de datos.
(38) De acuerdo con el principio de minimización
de datos, los terceros solo deben acceder a la información necesaria para la
prestación del servicio solicitado por el usuario. Tras acceder a los datos, el
tercero debe procesarlos para los fines acordados con el usuario sin
interferencia del titular de los datos. Debe ser tan fácil para el usuario
denegar o interrumpir el acceso del tercero a los datos como para el usuario
autorizarlo. Ni los terceros ni los titulares de los datos deben dificultar
indebidamente el ejercicio de sus opciones o derechos por parte del usuario,
incluso ofreciéndole opciones de manera no neutral, ni coaccionándolo,
engañándolo o manipulándolo, ni subvirtiendo o menoscabando su autonomía, toma
de decisiones o elecciones, incluso mediante una interfaz digital de usuario o
una parte de ella. En ese contexto, los terceros o los titulares de los datos
no deben basarse en los denominados «patrones oscuros» al diseñar sus
interfaces digitales. Los patrones oscuros son técnicas de diseño que inducen o
engañan a los consumidores a tomar decisiones que tienen consecuencias
negativas para ellos. Esas técnicas de manipulación pueden emplearse para
persuadir a los usuarios, en particular a los consumidores vulnerables, a que
adopten comportamientos no deseados, para engañar a los usuarios incitándolos a
tomar decisiones sobre transacciones de divulgación de datos o para sesgar
irrazonablemente la toma de decisiones de los usuarios del servicio de tal
manera que subvierta o perjudique su autonomía, capacidad de decisión y
elección. Las prácticas comerciales comunes y legítimas que cumplen el Derecho
de la Unión no deben considerarse en sí mismas como patrones oscuros. Los
terceros y los titulares de datos deben cumplir sus obligaciones en virtud del
Derecho de la Unión pertinente, en particular los requisitos establecidos en
las Directivas 98/6/CE ( 24 ) y
2000/31/CE ( 25 ) del
Parlamento Europeo y del Consejo y en las Directivas 2005/29/CE y 2011/83/UE.
(39) Los terceros también deben abstenerse de
utilizar datos incluidos en el ámbito de aplicación del presente Reglamento
para elaborar perfiles de personas, a menos que dichas actividades de
tratamiento sean estrictamente necesarias para prestar el servicio solicitado
por el usuario, incluso en el contexto de la toma de decisiones automatizada.
La obligación de suprimir los datos cuando ya no sean necesarios para la
finalidad acordada con el usuario, salvo acuerdo en contrario en relación con
los datos no personales, complementa el derecho de supresión del interesado, de
conformidad con el artículo 17 del Reglamento (UE) 2016/679. Cuando un tercero
preste un servicio de intermediación de datos, se aplicarán las garantías para
el interesado previstas en el Reglamento (UE) 2022/868. El tercero podrá
utilizar los datos para desarrollar un producto conectado nuevo e innovador o
un servicio relacionado, pero no para desarrollar un producto conectado
competidor.
(40) Las empresas emergentes, las pequeñas
empresas, las empresas que se consideran medianas empresas según el artículo 2
del anexo de la Recomendación 2003/361/CE y las empresas de sectores
tradicionales con capacidades digitales menos desarrolladas tienen dificultades
para acceder a los datos pertinentes. El presente Reglamento pretende facilitar
el acceso a los datos a estas entidades, garantizando al mismo tiempo que las
obligaciones correspondientes sean lo más proporcionadas posible para evitar
una extralimitación. Al mismo tiempo, un pequeño número de empresas muy grandes
ha surgido con un poder económico considerable en la economía digital gracias a
la acumulación y agregación de grandes volúmenes de datos y a la
infraestructura tecnológica para monetizarlos. Estas empresas muy grandes
incluyen empresas que prestan servicios básicos de plataforma que controlan
ecosistemas de plataforma completos en la economía digital y a las que los
operadores del mercado, ya sean nuevos o existentes, no pueden impugnar ni
rebatir. El Reglamento (UE) 2022/1925 del Parlamento Europeo y del
Consejo ( 26 ) pretende
corregir dichas ineficiencias y desequilibrios permitiendo a la Comisión
designar a una empresa como «guardianes de acceso» e impone a dichos guardianes
de acceso una serie de obligaciones, entre ellas la prohibición de combinar
determinados datos sin consentimiento y la obligación de garantizar derechos
efectivos a la portabilidad de los datos en virtud del artículo 20 del
Reglamento (UE) 2016/679. De conformidad con el Reglamento (UE) 2022/1925, y
dada la capacidad inigualable de dichas empresas para adquirir datos, no es
necesario para alcanzar el objetivo del presente Reglamento, y por lo tanto
resultaría desproporcionado para los titulares de datos sujetos a dichas
obligaciones, incluir a los guardianes de acceso como beneficiarios del derecho
de acceso a los datos. Dicha inclusión probablemente también limitaría los
beneficios del presente Reglamento para las pymes, vinculados a la equidad en
la distribución del valor de los datos entre los agentes del mercado. Esto
significa que una empresa que presta servicios básicos de plataforma y que ha
sido designada como guardián de acceso no puede solicitar ni obtener acceso a
los datos de los usuarios generados por el uso de un producto conectado o un
servicio relacionado, o por un asistente virtual, de conformidad con el
presente Reglamento. Además, los terceros a quienes se faciliten datos a
petición del usuario no podrán ponerlos a disposición de un guardián de acceso.
Por ejemplo, el tercero no podrá subcontratar la prestación del servicio a un
guardián de acceso. Sin embargo, esto no impide que terceros utilicen los
servicios de tratamiento de datos ofrecidos por un guardián de acceso. Tampoco
impide que dichas empresas obtengan y utilicen los mismos datos a través de
otros medios lícitos. Los derechos de acceso previstos en el presente
Reglamento contribuyen a una mayor variedad de servicios para los consumidores.
Dado que los acuerdos voluntarios entre los guardianes de acceso y los
titulares de los datos no se ven afectados, la limitación a la hora de conceder
acceso a los guardianes de acceso no los excluiría del mercado ni les impediría
ofrecer sus servicios.
(41) Dado el estado actual de la tecnología,
resultaría excesivamente gravoso para las microempresas y pequeñas empresas
imponer obligaciones de diseño adicionales en relación con los productos
conexos fabricados o diseñados, o los servicios conexos prestados, por ellas.
Sin embargo, este no es el caso cuando una microempresa o pequeña empresa tiene
una empresa asociada o vinculada en el sentido del artículo 3 del anexo de la
Recomendación 2003/361/CE que no se considera microempresa o pequeña empresa y
que es subcontratada para fabricar o diseñar un producto conexo o para prestar
un servicio conexo. En tales situaciones, la empresa que ha subcontratado la
fabricación o el diseño a una microempresa o pequeña empresa puede compensar
adecuadamente al subcontratista. No obstante, una microempresa o pequeña
empresa puede estar sujeta a los requisitos establecidos en el presente
Reglamento como titular de los datos cuando no sea el fabricante del producto
conexo ni un proveedor de servicios conexos. Se aplicará un período transitorio
a las empresas que hayan sido calificadas como medianas empresas durante menos
de un año y a los productos conexos durante un año a partir de la fecha en que
fueron comercializados por una mediana empresa. Este período de un año permite
a la mediana empresa adaptarse y prepararse antes de enfrentarse a la
competencia en el mercado de servicios para los productos conexos que fabrica
sobre la base de los derechos de acceso previstos en el presente Reglamento.
Este período transitorio no se aplica cuando la mediana empresa tenga una
empresa asociada o vinculada que no se califique como microempresa o pequeña
empresa, ni cuando la mediana empresa haya sido subcontratada para fabricar o
diseñar el producto conexo o para prestar el servicio conexo.
(42) Teniendo en cuenta la variedad de productos
conectados que generan datos de distinta naturaleza, volumen y frecuencia,
presentan distintos niveles de riesgos para los datos y la ciberseguridad y
brindan oportunidades económicas de distinto valor, y con el fin de garantizar
la coherencia de las prácticas de intercambio de datos en el mercado interior,
incluso entre sectores, y de fomentar y promover prácticas justas de
intercambio de datos incluso en ámbitos donde no se prevé dicho derecho de
acceso, el presente Reglamento establece normas horizontales sobre las
modalidades de acceso a los datos cuando el titular de los datos esté obligado
por el Derecho de la Unión o la legislación nacional adoptada de conformidad
con el Derecho de la Unión a poner los datos a disposición de un destinatario.
Dicho acceso debe basarse en condiciones justas, razonables, no
discriminatorias y transparentes. Estas normas generales de acceso no se
aplican a las obligaciones de puesta a disposición de los datos en virtud del
Reglamento (UE) 2016/679. El intercambio voluntario de datos no se ve afectado
por dichas normas. Las condiciones contractuales modelo no vinculantes para el
intercambio de datos entre empresas que desarrollará y recomendará la Comisión
pueden ayudar a las partes a celebrar contratos que incluyan condiciones
justas, razonables y no discriminatorias y que se apliquen de manera
transparente. La celebración de contratos, que pueden incluir cláusulas
contractuales modelo no vinculantes, no debe condicionar el derecho a compartir
datos con terceros a la existencia de dicho contrato. Si las partes no logran
celebrar un contrato de intercambio de datos, incluso con el apoyo de
organismos de resolución de litigios, el derecho a compartir datos con terceros
es exigible ante los tribunales nacionales.
(43) Sobre la base del principio de libertad
contractual, las partes deben tener la libertad de negociar las condiciones
precisas para la puesta a disposición de los datos en sus contratos, en el
marco de las normas generales de acceso a la misma. Las condiciones de dichos
contratos podrían incluir medidas técnicas y organizativas, incluidas las
relativas a la seguridad de los datos.
(44) Para garantizar que las condiciones de
acceso obligatorio a los datos sean justas para ambas partes de un contrato,
las reglas generales sobre los derechos de acceso a los datos deben hacer
referencia a la regla sobre cómo evitar cláusulas contractuales injustas.
(45) Todo acuerdo celebrado en relaciones entre
empresas para la puesta a disposición de datos debe ser no discriminatorio
entre categorías comparables de destinatarios de datos, independientemente de
si las partes son grandes empresas o pymes. Para compensar la falta de
información sobre las condiciones contenidas en los diferentes contratos, que
dificulta al destinatario de los datos evaluar si las condiciones para la
puesta a disposición de los datos son no discriminatorias, debe ser responsabilidad
de los titulares de los datos demostrar que una cláusula contractual no es
discriminatoria. No se considera discriminación ilícita que un titular de datos
utilice diferentes condiciones contractuales para la puesta a disposición de
los datos si dichas diferencias están justificadas por razones objetivas. Estas
obligaciones se entienden sin perjuicio del Reglamento (UE) 2016/679.
(46) Con el fin de promover la inversión
continua en la generación y puesta a disposición de datos valiosos, incluidas
las inversiones en herramientas técnicas pertinentes, y evitar al mismo tiempo
cargas excesivas en el acceso y el uso de los datos que hagan que su
intercambio deje de ser comercialmente viable, el presente Reglamento establece
el principio de que, en las relaciones entre empresas, los titulares de datos
podrán solicitar una compensación razonable cuando estén obligados, en virtud
del Derecho de la Unión o de la legislación nacional adoptada de conformidad
con este, a poner los datos a disposición de un destinatario. Dicha
compensación no debe interpretarse como un pago por los propios datos. La
Comisión debe adoptar directrices sobre el cálculo de una compensación
razonable en la economía de los datos.
(47) En primer lugar, una compensación razonable
por el cumplimiento de la obligación, en virtud del Derecho de la Unión o de la
legislación nacional adoptada de conformidad con el Derecho de la Unión, de dar
curso a una solicitud de puesta a disposición de datos puede incluir una
compensación por los costes incurridos en dicha puesta a disposición. Dichos
costes pueden ser técnicos, como los costes necesarios para la reproducción,
difusión electrónica y almacenamiento de datos, pero no los de recopilación o
producción de datos. Dichos costes técnicos también pueden incluir los costes
de procesamiento necesarios para la puesta a disposición de los datos,
incluidos los costes asociados a su formateo. Los costes relacionados con la
puesta a disposición de los datos también pueden incluir los costes de
facilitar solicitudes concretas de intercambio de datos. Asimismo, pueden
variar en función del volumen de los datos, así como de las medidas adoptadas
para su puesta a disposición. Los acuerdos a largo plazo entre los titulares y
los destinatarios de los datos, por ejemplo, mediante un modelo de suscripción
o el uso de contratos inteligentes, pueden reducir los costes en las
transacciones regulares o repetitivas de una relación comercial. Los costes
relacionados con la puesta a disposición de los datos son específicos de una
solicitud concreta o se comparten con otras solicitudes. En este último caso,
un único destinatario de los datos no debe asumir la totalidad de los costes de
puesta a disposición de los datos. En segundo lugar, una compensación razonable
también puede incluir un margen, excepto en el caso de las pymes y las
organizaciones de investigación sin ánimo de lucro. El margen puede variar en
función de factores relacionados con los propios datos, como el volumen, el
formato o la naturaleza de estos. Puede tener en cuenta los costes de
recopilación de los datos. Por lo tanto, el margen puede disminuir cuando el
titular de los datos los ha recopilado para su propio negocio sin inversiones
significativas, o puede aumentar cuando las inversiones en la recopilación de
datos para los fines del negocio del titular son elevadas. Puede limitarse o
incluso excluirse en situaciones en las que el uso de los datos por parte del
receptor no afecte a las propias actividades del titular. El hecho de que los
datos sean cogenerados por un producto conectado propiedad del usuario,
alquilado o arrendado por este también podría reducir el importe de la compensación
en comparación con otras situaciones en las que los datos son generados por el
titular de los datos, por ejemplo, durante la prestación de un servicio
relacionado.
(48) No es necesario intervenir en caso de
intercambio de datos entre grandes empresas, o cuando el titular de los datos
sea una pequeña o mediana empresa y el destinatario de los datos sea una gran
empresa. En tales casos, se considera que las empresas son capaces de negociar
la compensación dentro de los límites razonables y no discriminatorios.
(49) Para proteger a las pymes de cargas
económicas excesivas que les dificultarían comercialmente desarrollar y
gestionar modelos de negocio innovadores, la compensación razonable que deben
pagar por la puesta a disposición de los datos no debe superar los costes
directamente relacionados con dicha puesta a disposición. Los costes
directamente relacionados son aquellos atribuibles a solicitudes individuales,
teniendo en cuenta que el titular de los datos debe establecer de forma
permanente las interfaces técnicas necesarias o el software y la conectividad
relacionados. El mismo régimen debe aplicarse a las organizaciones de
investigación sin ánimo de lucro.
(50) En casos debidamente justificados, incluso
cuando sea necesario salvaguardar la participación de los consumidores y la
competencia o promover la innovación en determinados mercados, podrá preverse
una compensación regulada por la puesta a disposición de tipos específicos de
datos en el Derecho de la Unión o en la legislación nacional adoptada de conformidad
con el Derecho de la Unión.
(51) La transparencia es un principio
fundamental para garantizar que la compensación solicitada por el titular de
los datos sea razonable o, si el destinatario de los datos es una pyme o una
organización de investigación sin ánimo de lucro, que esta no supere los costes
directamente relacionados con la puesta a disposición de los datos y sea
atribuible a la solicitud individual en cuestión. Para que los destinatarios de
los datos puedan evaluar y verificar que la compensación cumple los requisitos
del presente Reglamento, el titular de los datos debe proporcionar al
destinatario de los datos información suficientemente detallada para su
cálculo.
(52) Garantizar el acceso a vías alternativas
para la resolución de litigios nacionales y transfronterizos que surjan en
relación con la puesta a disposición de datos debería beneficiar a los
titulares y receptores de los datos y, por lo tanto, reforzar la confianza en
el intercambio de datos. Cuando las partes no puedan acordar condiciones
justas, razonables y no discriminatorias para la puesta a disposición de los
datos, los organismos de resolución de litigios deberían ofrecerles una
solución sencilla, rápida y económica. Si bien el presente Reglamento solo
establece las condiciones que deben cumplir los organismos de resolución de
litigios para obtener la certificación, los Estados miembros tienen la libertad
de adoptar normas específicas para el procedimiento de certificación, incluidas
la expiración o la revocación de la certificación. Las disposiciones del presente
Reglamento sobre resolución de litigios no deberían obligar a los Estados
miembros a establecer organismos de resolución de litigios.
(53) El procedimiento de resolución de litigios
previsto en el presente Reglamento es un procedimiento voluntario que permite a
los usuarios, titulares y destinatarios de datos acordar someter sus litigios a
los organismos de resolución de litigios. Por lo tanto, las partes deben tener
la libertad de dirigirse al organismo de resolución de litigios de su elección,
ya sea dentro o fuera de los Estados miembros en los que estén establecidas.
(54) Para evitar los casos en que dos o más
organismos de resolución de litigios se enfrenten a un mismo litigio, en
particular en una situación transfronteriza, un organismo de resolución de
litigios debe poder negarse a tramitar una solicitud de resolución de un
litigio que ya se haya presentado ante otro organismo de resolución de litigios
o ante un órgano jurisdiccional de un Estado miembro.
(55) Para garantizar la aplicación uniforme del
presente Reglamento, los órganos de resolución de litigios deben tener en
cuenta las condiciones contractuales modelo no vinculantes que elabore y
recomiende la Comisión, así como el Derecho de la Unión o nacional que
especifique las obligaciones de intercambio de datos o las directrices emitidas
por las autoridades sectoriales para la aplicación de dicho Derecho.
(56) No debe impedirse que las partes en
procedimientos de resolución de litigios ejerzan sus derechos fundamentales a
la tutela judicial efectiva y a un juicio justo. Por lo tanto, la decisión de
someter un litigio a un órgano de resolución de litigios no debe privar a
dichas partes de su derecho a solicitar reparación ante un órgano
jurisdiccional de un Estado miembro. Los órganos de resolución de litigios
deben publicar sus informes anuales de actividad.
(57) Los titulares de datos podrán aplicar medidas
técnicas de protección adecuadas para evitar la divulgación o el acceso
ilícitos a los datos. Sin embargo, dichas medidas no deben discriminar entre
los destinatarios de los datos ni obstaculizar el acceso o el uso de los datos
por parte de los usuarios o destinatarios de los datos. En caso de prácticas
abusivas por parte de un destinatario de datos, como engañar al titular de los
datos proporcionando información falsa con la intención de utilizar los datos
con fines ilícitos, incluido el desarrollo de un producto conectado competidor
basado en los datos, el titular de los datos y, cuando corresponda y cuando no
sean la misma persona, el titular del secreto comercial o el usuario, podrán
solicitar al tercero o al destinatario de los datos que aplique medidas
correctivas o reparadoras sin demora indebida. Dichas solicitudes, y en
particular las solicitudes para poner fin a la producción, la oferta o la
comercialización de bienes, datos o servicios derivados, así como las
solicitudes para poner fin a la importación, la exportación, el almacenamiento
de bienes infractores o su destrucción, deben evaluarse en función de su
proporcionalidad con respecto a los intereses del titular de los datos, del
titular del secreto comercial o del usuario.
(58) Cuando una de las partes se encuentra en
una posición negociadora más fuerte, existe el riesgo de que dicha posición
perjudique a la otra parte contratante al negociar el acceso a los datos, lo
que resultaría en que el acceso a los datos fuera comercialmente menos viable
y, en ocasiones, económicamente prohibitivo. Estos desequilibrios contractuales
perjudican a todas las empresas que carecen de una capacidad significativa para
negociar las condiciones de acceso a los datos y que podrían verse obligadas a
aceptar cláusulas contractuales de tipo "lo tomas o lo dejas". Por lo
tanto, las cláusulas contractuales abusivas que regulan el acceso y el uso de
los datos, o la responsabilidad y las reparaciones por el incumplimiento o la
terminación de las obligaciones relacionadas con los datos, no deberían ser
vinculantes para las empresas cuando dichas cláusulas se les hayan impuesto
unilateralmente.
(59) Las normas sobre cláusulas contractuales
deben tener en cuenta el principio de libertad contractual como concepto
esencial en las relaciones entre empresas. Por lo tanto, no todas las cláusulas
contractuales deben estar sujetas a un análisis de abusividad, sino solo
aquellas impuestas unilateralmente. Esto se refiere a situaciones de
"tómalo o déjalo" en las que una parte proporciona una cláusula
contractual determinada y la otra empresa no puede influir en su contenido a
pesar de intentar negociarla. Una cláusula contractual simplemente
proporcionada por una parte y aceptada por la otra empresa, o una cláusula
negociada y posteriormente acordada con modificaciones entre las partes
contratantes, no debe considerarse impuesta unilateralmente.
(60) Además, las normas sobre cláusulas
contractuales abusivas deben aplicarse únicamente a los elementos del contrato
relacionados con la puesta a disposición de datos, es decir, las cláusulas
contractuales relativas al acceso y uso de los datos, así como la responsabilidad
o las medidas correctivas por incumplimiento y rescisión de las obligaciones
relacionadas con los datos. Otras partes del mismo contrato, no relacionadas
con la puesta a disposición de datos, no deben estar sujetas al criterio de
abusividad establecido en el presente Reglamento.
(61) Los criterios para identificar cláusulas
contractuales abusivas deben aplicarse únicamente a cláusulas contractuales
excesivas en las que se haya abusado de una posición negociadora más ventajosa.
La gran mayoría de las cláusulas contractuales que son comercialmente más
favorables para una parte que para la otra, incluidas las habituales en los
contratos entre empresas, constituyen una expresión normal del principio de
libertad contractual y siguen aplicándose. A efectos del presente Reglamento,
una desviación grave de las buenas prácticas comerciales incluiría, entre otras
cosas, menoscabar objetivamente la capacidad de la parte a la que se ha
impuesto unilateralmente la cláusula para proteger su interés comercial
legítimo en los datos en cuestión.
(62) Para garantizar la seguridad jurídica, el
presente Reglamento establece una lista de cláusulas que siempre se consideran
abusivas y una lista de cláusulas que se presumen abusivas. En este último
caso, la empresa que impone la cláusula contractual debe poder refutar la
presunción de abusividad demostrando que la cláusula contractual enumerada en
el presente Reglamento no es abusiva en el caso específico en cuestión. Si una
cláusula contractual no está incluida en la lista de cláusulas que siempre se consideran
abusivas o que se presumen abusivas, se aplica la disposición general sobre
abusividad. A este respecto, las cláusulas enumeradas como cláusulas
contractuales abusivas en el presente Reglamento deben servir de referencia
para interpretar la disposición general sobre abusividad. Por último, las
cláusulas contractuales tipo no vinculantes para los contratos de intercambio
de datos entre empresas que la Comisión desarrollará y recomendará también
pueden ser útiles para las partes comerciales a la hora de negociar contratos.
Si una cláusula contractual se declara abusiva, el contrato en cuestión debe
seguir aplicándose sin dicha cláusula, a menos que la cláusula contractual
abusiva no sea separable de las demás cláusulas del contrato.
(63) En situaciones de necesidad excepcional,
puede ser necesario que los organismos del sector público, la Comisión, el
Banco Central Europeo o los organismos de la Unión utilicen, en el ejercicio de
sus funciones estatutarias en interés público, los datos existentes, incluidos,
cuando proceda, los metadatos que los acompañan, para responder a emergencias
públicas o en otros casos excepcionales. Las necesidades excepcionales son
circunstancias imprevisibles y limitadas en el tiempo, a diferencia de otras
circunstancias que pueden ser planificadas, programadas, periódicas o
frecuentes. Si bien el concepto de «titular de los datos» no suele incluir a
los organismos del sector público, sí puede incluir a las empresas públicas.
Las organizaciones que realizan investigaciones y las que las financian también
podrían organizarse como organismos del sector público o de derecho público.
Para limitar la carga de las empresas, las microempresas y las pequeñas
empresas solo deberían tener la obligación de proporcionar datos a los
organismos del sector público, la Comisión, el Banco Central Europeo o los
organismos de la Unión en situaciones de necesidad excepcional cuando dichos
datos sean necesarios para responder a una emergencia pública y el organismo
del sector público, la Comisión, el Banco Central Europeo o el organismo de la
Unión no puedan obtener dichos datos por medios alternativos de manera oportuna
y eficaz en condiciones equivalentes.
(64) En caso de emergencias públicas, como
emergencias de salud pública, emergencias derivadas de desastres naturales,
incluyendo aquellos agravados por el cambio climático y la degradación
ambiental, así como desastres mayores de origen humano, como incidentes graves
de ciberseguridad, el interés público resultante del uso de los datos
prevalecerá sobre el interés de los titulares de los datos en disponer
libremente de ellos. En tal caso, los titulares de los datos deben estar
obligados a poner los datos a disposición de los organismos del sector público,
la Comisión, el Banco Central Europeo o los organismos de la Unión, cuando
estos lo soliciten. La existencia de una emergencia pública debe determinarse o
declararse de conformidad con el Derecho de la Unión o nacional y con base en
los procedimientos pertinentes, incluidos los de las organizaciones
internacionales pertinentes. En tales casos, el organismo del sector público
debe demostrar que los datos objeto de la solicitud no podrían obtenerse de
otra manera de manera oportuna y efectiva y en condiciones equivalentes, por
ejemplo, mediante el suministro voluntario de datos por otra empresa o la
consulta de una base de datos pública.
(65) También puede surgir una necesidad
excepcional en situaciones que no sean de emergencia. En tales casos, un
organismo del sector público, la Comisión, el Banco Central Europeo o un
organismo de la Unión solo podrán solicitar datos no personales. El organismo
del sector público deberá demostrar que los datos son necesarios para el
cumplimiento de una tarea específica de interés público prevista explícitamente
por la ley, como la elaboración de estadísticas oficiales o la mitigación o
recuperación de una emergencia pública. Además, dicha solicitud solo podrá
realizarse cuando el organismo del sector público, la Comisión, el Banco
Central Europeo o un organismo de la Unión hayan identificado datos específicos
que de otro modo no podrían obtenerse de manera oportuna y eficaz y en
condiciones equivalentes, y solo si han agotado todos los demás medios a su
disposición para obtenerlos, como la obtención de los datos mediante acuerdos
voluntarios, incluida la compra de datos no personales en el mercado ofreciendo
precios de mercado, o recurriendo a las obligaciones existentes de facilitar
los datos o a la adopción de nuevas medidas legislativas que puedan garantizar
la disponibilidad oportuna de los datos. También deben aplicarse las
condiciones y principios que rigen las solicitudes, como los relativos a la
limitación de la finalidad, la proporcionalidad, la transparencia y la
limitación temporal. En caso de solicitudes de datos necesarios para la
elaboración de estadísticas oficiales, el organismo del sector público
solicitante también debe demostrar si la legislación nacional le permite
adquirir datos no personales en el mercado.
(66) El presente Reglamento no debe aplicarse ni
sustituir los acuerdos voluntarios para el intercambio de datos entre entidades
públicas y privadas, incluido el suministro de datos por parte de las pymes, y
se entiende sin perjuicio de los actos jurídicos de la Unión que establezcan
solicitudes de información obligatorias de entidades públicas a entidades
privadas. Las obligaciones impuestas a los titulares de datos de proporcionar
datos motivadas por necesidades de naturaleza no excepcional, en particular cuando
se conoce la gama de datos y de titulares de datos o cuando el uso de datos
puede tener lugar de forma regular, como en el caso de las obligaciones de
información y las obligaciones del mercado interior, tampoco deben verse
afectadas por el presente Reglamento. Los requisitos de acceso a los datos para
verificar el cumplimiento de las normas aplicables, incluso cuando los
organismos del sector público asignan la tarea de verificación del cumplimiento
a entidades distintas de los organismos del sector público, tampoco deben verse
afectados por el presente Reglamento.
(67) El presente Reglamento complementa y se
entiende sin perjuicio del Derecho de la Unión y nacional que establece el
acceso a los datos y su utilización con fines estadísticos, en particular el
Reglamento (CE) n.o 223/2009 del Parlamento Europeo y del Consejo ( 27 ) ,
así como los actos jurídicos nacionales relacionados con las estadísticas
oficiales.
(68) Para el ejercicio de sus funciones en
materia de prevención, investigación, detección o enjuiciamiento de
infracciones penales o administrativas, o la ejecución de sanciones penales y
administrativas, así como la recopilación de datos con fines fiscales o aduaneros,
los organismos del sector público, la Comisión, el Banco Central Europeo o los
organismos de la Unión deben basarse en las competencias que les confiere el
Derecho de la Unión o nacional. Por consiguiente, el presente Reglamento no
afecta a los actos legislativos relativos al intercambio, el acceso y la
utilización de datos en dichos ámbitos.
(69) De conformidad con el artículo 6, apartados
1 y 3, del Reglamento (UE) 2016/679, es necesario un marco proporcionado,
limitado y predecible a nivel de la Unión que establezca la base jurídica para
la puesta a disposición de datos por parte de los titulares de los mismos, en
casos de necesidades excepcionales, a organismos del sector público, la
Comisión, el Banco Central Europeo u organismos de la Unión, tanto para
garantizar la seguridad jurídica como para minimizar las cargas administrativas
impuestas a las empresas. A tal fin, las solicitudes de datos de los organismos
del sector público, la Comisión, el Banco Central Europeo u organismos de la
Unión a los titulares de los datos deben ser específicas, transparentes y
proporcionadas en cuanto a su contenido y granularidad. La finalidad de la
solicitud y el uso previsto de los datos solicitados deben ser específicos y
estar claramente explicados, permitiendo al mismo tiempo la flexibilidad
adecuada para que la entidad solicitante lleve a cabo sus tareas específicas en
interés público. La solicitud también debe respetar los intereses legítimos del
titular de los datos al que se dirige. La carga para los titulares de datos
debe minimizarse obligando a las entidades solicitantes a respetar el principio
de solicitud única, que impide que los mismos datos sean solicitados más de una
vez por más de un organismo del sector público o por la Comisión, el Banco
Central Europeo o los organismos de la Unión. Para garantizar la transparencia,
las solicitudes de datos realizadas por la Comisión, el Banco Central Europeo o
los organismos de la Unión deben hacerse públicas sin demora indebida por la
entidad solicitante. El Banco Central Europeo y los organismos de la Unión
deben informar a la Comisión de sus solicitudes. Si la solicitud de datos ha
sido realizada por un organismo del sector público, este también debe
notificarlo al coordinador de datos del Estado miembro donde esté establecido
el organismo. Debe garantizarse la disponibilidad pública en línea de todas las
solicitudes. Tras recibir la notificación de una solicitud de datos, la
autoridad competente puede decidir evaluar la legalidad de la solicitud y
ejercer sus funciones en relación con el cumplimiento y la aplicación del
presente Reglamento. El coordinador de datos debe garantizar la disponibilidad
pública en línea de todas las solicitudes realizadas por organismos del sector
público.
(70) El objetivo de la obligación de
proporcionar los datos es garantizar que los organismos del sector público, la
Comisión, el Banco Central Europeo o los organismos de la Unión tengan los
conocimientos necesarios para responder, prevenir o recuperarse de emergencias
públicas o para mantener la capacidad de cumplir tareas específicas
explícitamente previstas por la ley. Los datos obtenidos por dichas entidades
pueden ser comercialmente sensibles. Por lo tanto, ni el Reglamento (UE)
2022/868 ni la Directiva (UE) 2019/1024 del Parlamento Europeo y del
Consejo ( 28 ) deben
aplicarse a los datos puestos a disposición en virtud del presente Reglamento y
no deben considerarse datos abiertos disponibles para su reutilización por
terceros. Sin embargo, esto no debe afectar a la aplicabilidad de la Directiva
(UE) 2019/1024 a la reutilización de estadísticas oficiales para cuya
producción se utilizaron datos obtenidos de conformidad con el presente
Reglamento, siempre que la reutilización no incluya los datos subyacentes.
Además, siempre que se cumplan las condiciones establecidas en el presente
Reglamento, no debe verse afectada la posibilidad de compartir los datos para
realizar investigaciones o para el desarrollo, la producción y la difusión de
estadísticas oficiales. Los organismos del sector público también deben poder intercambiar
datos obtenidos de conformidad con el presente Reglamento con otros organismos
del sector público, la Comisión, el Banco Central Europeo u organismos de la
Unión con el fin de abordar las necesidades excepcionales para las que se han
solicitado los datos.
(71) Los titulares de datos deben tener la
posibilidad de rechazar una solicitud presentada por un organismo del sector
público, la Comisión, el Banco Central Europeo o un organismo de la Unión, o
solicitar su modificación sin demora indebida y, en cualquier caso, a más
tardar en un plazo de cinco o treinta días hábiles, dependiendo de la
naturaleza de la necesidad excepcional invocada en la solicitud. Cuando
proceda, el titular de datos debe tener esta posibilidad cuando no tenga
control sobre los datos solicitados, es decir, cuando no tenga acceso inmediato
a ellos y no pueda determinar su disponibilidad. Debe existir una razón válida
para no facilitar los datos si se puede demostrar que la solicitud es similar a
una solicitud presentada previamente con el mismo fin por otro organismo del
sector público o por la Comisión, el Banco Central Europeo o un organismo de la
Unión, y el titular de datos no ha sido notificado de la supresión de los datos
de conformidad con el presente Reglamento. El titular de datos que rechace la
solicitud o solicite su modificación debe comunicar la justificación subyacente
al organismo del sector público, la Comisión, el Banco Central Europeo o un
organismo de la Unión que solicite los datos. Cuando los derechos sui
generis sobre bases de datos en virtud de la Directiva 96/9/CE del
Parlamento Europeo y del Consejo ( 29 ) se
apliquen en relación con los conjuntos de datos solicitados, los titulares de
los datos deben ejercer sus derechos de tal manera que no impidan que el
organismo del sector público, la Comisión, el Banco Central Europeo o el
organismo de la Unión obtengan los datos o los compartan, de conformidad con el
presente Reglamento.
(72) En caso de una necesidad excepcional
relacionada con la respuesta a una emergencia pública, los organismos del
sector público deben utilizar datos no personales siempre que sea posible. En
el caso de solicitudes basadas en una necesidad excepcional no relacionada con
una emergencia pública, no se pueden solicitar datos personales. Cuando los
datos personales estén dentro del alcance de la solicitud, el titular de los
datos debe anonimizarlos. Cuando sea estrictamente necesario incluir datos personales
en los datos que se pongan a disposición de un organismo del sector público, la
Comisión, el Banco Central Europeo o un organismo de la Unión, o cuando la
anonimización resulte imposible, la entidad que solicita los datos debe
demostrar la estricta necesidad y los fines específicos y limitados del
tratamiento. Deben cumplirse las normas aplicables en materia de protección de
datos personales. La puesta a disposición de los datos y su posterior
utilización deben ir acompañados de garantías para los derechos e intereses de
las personas afectadas por dichos datos.
(73) Los datos facilitados a organismos del
sector público, la Comisión, el Banco Central Europeo o los organismos de la
Unión por razones excepcionales deben utilizarse únicamente para los fines para
los que fueron solicitados, a menos que el titular de los datos que los
facilitó haya consentido expresamente que se utilicen para otros fines. Los
datos deben suprimirse cuando ya no sean necesarios para los fines indicados en
la solicitud, salvo acuerdo en contrario, y debe informarse de ello al titular
de los datos. El presente Reglamento se basa en los regímenes de acceso
vigentes en la Unión y los Estados miembros y no modifica la legislación
nacional sobre el acceso público a los documentos en el contexto de las
obligaciones de transparencia. Los datos deben suprimirse cuando ya no sean
necesarios para cumplir dichas obligaciones de transparencia.
(74) Al reutilizar los datos proporcionados por
los titulares de los datos, los organismos del sector público, la Comisión, el
Banco Central Europeo o los organismos de la Unión deben respetar tanto la
legislación vigente de la Unión o nacional aplicable como las obligaciones
contractuales a las que esté sujeto el titular de los datos. Deben abstenerse
de desarrollar o mejorar un producto conexo o un servicio relacionado que
compita con el producto conexo o el servicio relacionado del titular de los
datos, así como de compartir los datos con terceros para dichos fines.
Asimismo, deben proporcionar reconocimiento público a los titulares de los
datos cuando estos lo soliciten y deben ser responsables de mantener la
seguridad de los datos recibidos. Cuando la divulgación de secretos comerciales
del titular de los datos a organismos del sector público, la Comisión, el Banco
Central Europeo o los organismos de la Unión sea estrictamente necesaria para
cumplir la finalidad para la que se han solicitado los datos, debe garantizarse
la confidencialidad de dicha divulgación antes de la divulgación de los datos.
(75) Cuando esté en juego la salvaguardia de un
bien público importante, como la respuesta a emergencias públicas, no debe
esperarse que el organismo del sector público, la Comisión, el Banco Central
Europeo o el organismo de la Unión en cuestión compensen a las empresas por los
datos obtenidos. Las emergencias públicas son eventos poco frecuentes y no
todas requieren el uso de datos en poder de las empresas. Al mismo tiempo, la
obligación de proporcionar datos puede constituir una carga considerable para
las microempresas y las pequeñas empresas. Por lo tanto, debe permitírseles
reclamar una compensación incluso en el contexto de una respuesta a una
emergencia pública. Por lo tanto, no es probable que las actividades
comerciales de los titulares de los datos se vean afectadas negativamente como
consecuencia de que los organismos del sector público, la Comisión, el Banco
Central Europeo o los organismos de la Unión recurran al presente Reglamento.
No obstante, dado que los casos de necesidad excepcional, distintos de los de
respuesta a emergencias públicas, pueden ser más frecuentes, los titulares de
los datos deben tener derecho, en tales casos, a una compensación razonable que
no supere los costes técnicos y organizativos en que se haya incurrido para
atender la solicitud ni el margen razonable necesario para poner los datos a
disposición del organismo del sector público, la Comisión, el Banco Central
Europeo o el organismo de la Unión. La compensación no debe entenderse como un
pago por los datos en sí ni como algo obligatorio. Los titulares de datos no
deben poder reclamar compensación cuando la legislación nacional impida a los
institutos nacionales de estadística u otras autoridades nacionales
responsables de la elaboración de estadísticas compensar a los titulares de
datos por facilitarlos. El organismo del sector público, la Comisión, el Banco
Central Europeo o el organismo de la Unión afectado deben poder impugnar el
nivel de compensación solicitado por el titular de datos, presentando el asunto
ante la autoridad competente del Estado miembro donde esté establecido.
(76) Un organismo del sector público, la
Comisión, el Banco Central Europeo o un organismo de la Unión deben tener
derecho a compartir los datos que hayan obtenido en virtud de la solicitud con
otras entidades o personas cuando sea necesario para llevar a cabo actividades
de investigación científica o actividades analíticas que no puedan realizar por
sí mismos, siempre que dichas actividades sean compatibles con la finalidad
para la que se solicitaron los datos. Deben informar oportunamente al titular
de los datos de dicha compartición. Dichos datos también podrán compartirse, en
las mismas circunstancias, con los institutos nacionales de estadística y
Eurostat para el desarrollo, la elaboración y la difusión de estadísticas
oficiales. No obstante, dichas actividades de investigación deben ser
compatibles con la finalidad para la que se solicitaron los datos y el titular
de los datos debe ser informado sobre la posterior compartición de los datos
que haya proporcionado. Las personas que realicen investigaciones o las
organizaciones de investigación con las que puedan compartirse dichos datos
deben actuar sin ánimo de lucro o en el contexto de una misión de interés
público reconocida por el Estado. Las organizaciones sobre las que las empresas
comerciales ejerzan una influencia significativa, lo que les permite ejercer
control debido a situaciones estructurales que podrían dar lugar a un acceso
preferente a los resultados de la investigación, no deben considerarse
organizaciones de investigación a efectos del presente Reglamento.
(77) Para gestionar una emergencia pública
transfronteriza u otra necesidad excepcional, las solicitudes de datos podrán
dirigirse a titulares de datos en Estados miembros distintos del del organismo
del sector público solicitante. En tal caso, el organismo del sector público
solicitante deberá notificar a la autoridad competente del Estado miembro en el
que esté establecido el titular de los datos para que esta pueda examinar la
solicitud con arreglo a los criterios establecidos en el presente Reglamento.
Lo mismo deberá aplicarse a las solicitudes presentadas por la Comisión, el
Banco Central Europeo o un organismo de la Unión. Cuando se soliciten datos
personales, el organismo del sector público deberá notificar a la autoridad de
control responsable de supervisar la aplicación del Reglamento (UE) 2016/679 en
el Estado miembro en el que esté establecido el organismo del sector público.
La autoridad competente en cuestión deberá estar facultada para asesorar al
organismo del sector público, a la Comisión, al Banco Central Europeo o al
organismo de la Unión para que cooperen con los organismos del sector público
del Estado miembro en el que esté establecido el titular de los datos sobre la
necesidad de garantizar una carga administrativa mínima para este. Cuando la
autoridad competente haya fundamentado objeciones en cuanto a la conformidad de
la solicitud con el presente Reglamento, deberá rechazar la solicitud del
organismo del sector público, la Comisión, el Banco Central Europeo o el organismo
de la Unión, que deberá tener en cuenta dichas objeciones antes de adoptar
cualquier otra medida, incluida la nueva presentación de la solicitud.
(78) La capacidad de los clientes de servicios
de tratamiento de datos, incluidos los servicios en la nube y en el borde, de
cambiar de un servicio de tratamiento de datos a otro manteniendo una
funcionalidad mínima y sin interrupciones, o de utilizar los servicios de
varios proveedores simultáneamente sin obstáculos indebidos ni costes de
transferencia de datos, es fundamental para un mercado más competitivo con
menores barreras de entrada para nuevos proveedores de servicios de tratamiento
de datos y para garantizar una mayor resiliencia a los usuarios de dichos
servicios. Los clientes que se benefician de ofertas gratuitas también deben
beneficiarse de las disposiciones sobre cambio establecidas en el presente
Reglamento, de modo que dichas ofertas no los conviertan en un cliente
dependiente.
(79) El Reglamento (UE) 2018/1807 del Parlamento
Europeo y del Consejo ( 30 ) anima
a los proveedores de servicios de tratamiento de datos a desarrollar e
implementar eficazmente códigos de conducta autorreguladores que incluyan las
mejores prácticas para, entre otras cosas, facilitar el cambio de proveedor de
servicios de tratamiento de datos y la portabilidad de datos. Dada la limitada
adopción de los marcos autorreguladores desarrollados en respuesta a esta
situación y la falta general de estándares e interfaces abiertos, es necesario
adoptar un conjunto de obligaciones regulatorias mínimas para los proveedores
de servicios de tratamiento de datos con el fin de eliminar los obstáculos
precomerciales, comerciales, técnicos, contractuales y organizativos, que no se
limitan a la reducción de la velocidad de transferencia de datos a la salida
del cliente, que dificultan el cambio efectivo entre servicios de tratamiento
de datos.
(80) Los servicios de procesamiento de datos
deben abarcar servicios que permitan el acceso ubicuo y bajo demanda a la red a
un conjunto compartido, configurable, escalable y elástico de recursos
informáticos distribuidos. Estos recursos informáticos incluyen recursos como
redes, servidores u otra infraestructura virtual o física, software (incluidas
las herramientas de desarrollo de software), almacenamiento, aplicaciones y
servicios. La capacidad del cliente del servicio de procesamiento de datos para
autoabastecerse unilateralmente de capacidades informáticas, como tiempo de
servidor o almacenamiento en red, sin interacción humana por parte del proveedor
de servicios de procesamiento de datos, podría describirse como una capacidad
mínima de gestión y una interacción mínima entre el proveedor y el cliente. El
término «ubicuo» se utiliza para describir las capacidades informáticas
proporcionadas a través de la red y a las que se accede mediante mecanismos que
promueven el uso de plataformas heterogéneas de cliente ligero o pesado (desde
navegadores web hasta dispositivos móviles y estaciones de trabajo). El término
«escalable» se refiere a los recursos informáticos que el proveedor de
servicios de procesamiento de datos asigna de forma flexible,
independientemente de su ubicación geográfica, para gestionar las fluctuaciones
de la demanda. El término "elástico" se utiliza para describir los
recursos informáticos que se aprovisionan y liberan según la demanda para
aumentar o disminuir rápidamente los recursos disponibles según la carga de
trabajo. El término "pool compartido" se utiliza para describir los
recursos informáticos que se proporcionan a múltiples usuarios que comparten un
acceso común al servicio, pero donde el procesamiento se realiza por separado
para cada usuario, aunque el servicio se presta desde el mismo equipo
electrónico. El término "distribuido" se utiliza para describir los
recursos informáticos que se encuentran en diferentes ordenadores o
dispositivos en red y que se comunican y coordinan entre sí mediante el paso de
mensajes. El término "altamente distribuido" se utiliza para
describir los servicios de procesamiento de datos que implican el procesamiento
de datos más cerca de donde se generan o recopilan los datos, por ejemplo, en
un dispositivo de procesamiento de datos conectado. Se espera que la
computación de borde, que es una forma de este procesamiento de datos altamente
distribuido, genere nuevos modelos de negocio y modelos de prestación de
servicios en la nube, que deberían ser abiertos e interoperables desde el
principio.
(81) El concepto genérico de «servicios de
procesamiento de datos» abarca un número considerable de servicios con una
amplia gama de propósitos, funcionalidades y configuraciones técnicas. Tal como
lo entienden comúnmente proveedores y usuarios, y de acuerdo con estándares
ampliamente utilizados, los servicios de procesamiento de datos se enmarcan en
uno o más de los tres modelos de prestación de servicios de procesamiento de
datos siguientes: Infraestructura como Servicio (IaaS), Plataforma como
Servicio (PaaS) y Software como Servicio (SaaS). Estos modelos de prestación de
servicios representan una combinación específica y preconfigurada de recursos
TIC ofrecidos por un proveedor de servicios de procesamiento de datos. Estos
tres modelos fundamentales de prestación de servicios de procesamiento de datos
se complementan con variantes emergentes, cada una compuesta por una
combinación distinta de recursos TIC, como el Almacenamiento como Servicio y la
Base de Datos como Servicio. Los servicios de procesamiento de datos pueden
categorizarse de forma más granular y dividirse en una lista no exhaustiva de
conjuntos de servicios de procesamiento de datos que comparten el mismo
objetivo principal y las mismas funcionalidades principales, así como el mismo
tipo de modelo de procesamiento de datos, que no están relacionados con las
características operativas del servicio (mismo tipo de servicio). Los servicios
del mismo tipo pueden compartir el mismo modelo de procesamiento de datos. Sin
embargo, dos bases de datos podrían parecer compartir el mismo objetivo
principal. Sin embargo, tras considerar su modelo de procesamiento de datos, su
modelo de distribución y los casos de uso a los que se dirigen, podrían
clasificarse en una subcategoría más granular de servicios similares. Los
servicios del mismo tipo pueden tener características diferentes y
contrapuestas, como rendimiento, seguridad, resiliencia y calidad del servicio.
(82) Dificultar la extracción de los datos
exportables que pertenecen al cliente del proveedor de origen de servicios de
procesamiento de datos puede impedir la restauración de las funcionalidades del
servicio en la infraestructura del proveedor de destino de servicios de
procesamiento de datos. Para facilitar la estrategia de salida del cliente, evitar
tareas innecesarias y engorrosas, y garantizar que el cliente no pierda ninguno
de sus datos como consecuencia del proceso de cambio, el proveedor de origen de
servicios de procesamiento de datos debe informar al cliente con antelación
sobre el alcance de los datos que pueden exportarse una vez que el cliente
decida cambiar a un servicio diferente proporcionado por un proveedor diferente
de servicios de procesamiento de datos o migrar a una infraestructura de TIC
local. El alcance de los datos exportables debe incluir, como mínimo, los datos
de entrada y salida, incluidos los metadatos, generados directa o
indirectamente, o cogenerados, por el uso del servicio de procesamiento de
datos por parte del cliente, excluyendo cualquier activo o dato del proveedor
de servicios de procesamiento de datos o de un tercero. Los datos exportables
deben excluir cualquier activo o dato del proveedor de servicios de
procesamiento de datos o del tercero que esté protegido por derechos de
propiedad intelectual o constituya secreto comercial de dicho proveedor o del
tercero, así como los datos relacionados con la integridad y seguridad del
servicio, cuya exportación exponga a los proveedores de servicios de
procesamiento de datos a vulnerabilidades de ciberseguridad. Estas exenciones
no deben impedir ni retrasar el proceso de cambio.
(83) Los activos digitales se refieren a
elementos en formato digital sobre los cuales el cliente tiene derecho de uso,
incluyendo aplicaciones y metadatos relacionados con la configuración de
ajustes, seguridad y gestión de derechos de acceso y control, así como otros
elementos como las manifestaciones de tecnologías de virtualización, como
máquinas virtuales y contenedores. Los activos digitales pueden transferirse
cuando el cliente tiene derecho de uso independientemente de la relación
contractual con el servicio de procesamiento de datos del que pretende cambiar.
Estos otros elementos son esenciales para el uso eficaz de los datos y
aplicaciones del cliente en el entorno del proveedor de destino de los
servicios de procesamiento de datos.
(84) El presente Reglamento tiene por objeto
facilitar el cambio entre servicios de tratamiento de datos, lo que abarca las
condiciones y acciones necesarias para que un cliente rescinda un contrato de
servicio de tratamiento de datos, celebre uno o más contratos nuevos con
diferentes proveedores de servicios de tratamiento de datos, transfiera sus
datos exportables y activos digitales y, en su caso, se beneficie de la
equivalencia funcional.
(85) El cambio de proveedor es una operación
impulsada por el cliente que consta de varias etapas, entre ellas la extracción
de datos, que se refiere a la descarga de datos del ecosistema del proveedor de
origen de los servicios de tratamiento de datos; la transformación, donde los
datos se estructuran de una manera que no coincide con el esquema de la
ubicación de destino; y la carga de los datos en una nueva ubicación de
destino. En una situación específica descrita en el presente Reglamento, la
desagregación de un servicio particular del contrato y su traslado a un proveedor
diferente también debe considerarse cambio de proveedor. El proceso de cambio
es gestionado en ocasiones en nombre del cliente por una entidad externa. En
consecuencia, todos los derechos y obligaciones del cliente establecidos en el
presente Reglamento, incluida la obligación de cooperar de buena fe, deben
entenderse aplicables a dicha entidad externa en dichas circunstancias. Los
proveedores de servicios de tratamiento de datos y los clientes tienen
diferentes niveles de responsabilidad, dependiendo de las etapas del proceso en
cuestión. Por ejemplo, el proveedor de origen de los servicios de tratamiento
de datos es responsable de extraer los datos a un formato legible por máquina,
pero son el cliente y el proveedor de destino quienes deben cargar los datos al
nuevo entorno, a menos que se haya contratado un servicio de transición
profesional específico. Un cliente que desee ejercer los derechos relacionados
con el cambio, previstos en el presente Reglamento, debe informar al proveedor
de origen de los servicios de tratamiento de datos de su decisión de cambiar a
otro proveedor de servicios de tratamiento de datos, de cambiar a una
infraestructura de TIC local o de eliminar los activos de dicho cliente y sus
datos exportables.
(86) La equivalencia funcional implica
restablecer, a partir de los datos exportables y los activos digitales del
cliente, un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de
tratamiento de datos del mismo tipo tras el cambio, siempre que el servicio de
tratamiento de datos de destino ofrezca un resultado sustancialmente comparable
en respuesta a la misma información para las características compartidas
proporcionadas al cliente en virtud del contrato. Solo se puede esperar que los
proveedores de servicios de tratamiento de datos faciliten la equivalencia
funcional para las características que ofrecen independientemente los servicios
de origen y destino. El presente Reglamento no obliga a facilitar la
equivalencia funcional a los proveedores de servicios de tratamiento de datos
que no sean los que ofrecen servicios del modelo de prestación IaaS.
(87) Los servicios de tratamiento de datos se
utilizan en distintos sectores y varían en complejidad y tipo de servicio. Esto
es importante en relación con el proceso de portabilidad y los plazos. No
obstante, solo en casos debidamente justificados se podrá solicitar una
prórroga del periodo transitorio por imposibilidad técnica de finalizar el
proceso de transferencia dentro del plazo establecido. La carga de la prueba a
este respecto recaerá íntegramente en el proveedor del servicio de tratamiento
de datos en cuestión. Esto se entiende sin perjuicio del derecho exclusivo del
cliente a prorrogar el periodo transitorio una sola vez por el período que
considere más adecuado para sus propios fines. El cliente podrá solicitar una
prórroga antes o durante el periodo transitorio, teniendo en cuenta que el
contrato seguirá siendo aplicable durante dicho periodo.
(88) Las tarifas de cambio son cargos que los
proveedores de servicios de tratamiento de datos imponen a los clientes por
dicho proceso. Normalmente, estas tarifas tienen por objeto repercutir los
costes en los que el proveedor de origen pueda incurrir debido al proceso de
cambio al cliente que desee hacerlo. Ejemplos comunes de tarifas de cambio son
los costes relacionados con la transferencia de datos de un proveedor de
servicios de tratamiento de datos a otro o a una infraestructura de TIC local
(tarifas de salida de datos), o los costes incurridos por acciones de soporte
específicas durante el proceso de cambio. Las tarifas de salida de datos
innecesariamente elevadas y otras tarifas injustificadas no relacionadas con
los costes reales de cambio impiden que los clientes cambien, restringen la
libre circulación de datos, pueden limitar la competencia y causar un efecto de
dependencia para los clientes al reducir los incentivos para elegir un
proveedor de servicios diferente o adicional. Por lo tanto, las tarifas de
cambio deben suprimirse tres años después de la fecha de entrada en vigor del
presente Reglamento. Los proveedores de servicios de tratamiento de datos deben
poder imponer tarifas de cambio reducidas hasta esa fecha.
(89) Un proveedor de servicios de tratamiento de
datos debe poder externalizar determinadas tareas y compensar a terceras
entidades para cumplir con las obligaciones establecidas en el presente
Reglamento. El cliente no debe asumir los costes derivados de la externalización
de servicios contratados por el proveedor de servicios de tratamiento de datos
durante el proceso de cambio, y dichos costes deben considerarse injustificados
a menos que cubran el trabajo realizado por el proveedor de servicios de
tratamiento de datos a petición del cliente para obtener apoyo adicional en el
proceso de cambio que exceda las obligaciones de cambio del proveedor
expresamente establecidas en el presente Reglamento. Nada de lo dispuesto en el
presente Reglamento impide que un cliente compense a terceras entidades por el
apoyo en el proceso de migración, ni que las partes acuerden contratos de
servicios de tratamiento de datos de duración determinada, incluidas
penalizaciones proporcionales por rescisión anticipada para cubrir la rescisión
anticipada de dichos contratos, de conformidad con el Derecho de la Unión o
nacional. Para fomentar la competencia, la supresión gradual de los cargos
asociados al cambio entre diferentes proveedores de servicios de tratamiento de
datos debe incluir específicamente los cargos por salida de datos impuestos por
un proveedor de servicios de tratamiento de datos al cliente. Las tarifas
estándar por la prestación de los servicios de tratamiento de datos no
constituyen en sí mismas cargos por cambio. Estas tarifas estándar por
servicios no están sujetas a rescisión y siguen vigentes hasta que el contrato
de prestación de los servicios correspondientes deje de ser aplicable. El
presente Reglamento permite al cliente solicitar la prestación de servicios adicionales
que vayan más allá de las obligaciones del proveedor en virtud del mismo. El
proveedor puede prestar y cobrar dichos servicios adicionales cuando se presten
a petición del cliente y este acepte el precio de dichos servicios por
adelantado.
(90) Se necesita un enfoque regulatorio
ambicioso e innovador para la interoperabilidad a fin de superar la dependencia
de un proveedor, que socava la competencia y el desarrollo de nuevos servicios.
La interoperabilidad entre servicios de procesamiento de datos implica
múltiples interfaces y capas de infraestructura y software, y rara vez se
limita a una prueba binaria de su viabilidad. En cambio, el desarrollo de dicha
interoperabilidad está sujeto a un análisis coste-beneficio necesario para
determinar si vale la pena buscar resultados razonablemente predecibles. La
norma ISO/IEC 19941:2017 es una importante norma internacional que constituye
una referencia para el logro de los objetivos de este Reglamento, ya que
contiene consideraciones técnicas que aclaran la complejidad de dicho proceso.
(91) Cuando los proveedores de servicios de
tratamiento de datos sean a su vez clientes de servicios de tratamiento de
datos prestados por un proveedor tercero, se beneficiarán de un cambio más
efectivo y, al mismo tiempo, permanecerán sujetos a las obligaciones del
presente Reglamento respecto de sus propias ofertas de servicios.
(92) Los proveedores de servicios de tratamiento
de datos deben estar obligados a ofrecer toda la asistencia y el apoyo
necesarios, dentro de su capacidad y proporcionales a sus respectivas
obligaciones, para que el proceso de transición a un servicio de otro proveedor
de servicios de tratamiento de datos sea exitoso, eficaz y seguro. El presente
Reglamento no exige a los proveedores de servicios de tratamiento de datos que
desarrollen nuevas categorías de servicios de tratamiento de datos, incluso
dentro de la infraestructura de TIC de diferentes proveedores, o basándose en
ella, para garantizar la equivalencia funcional en un entorno distinto al de
sus propios sistemas. Un proveedor de origen de servicios de tratamiento de
datos no tiene acceso ni conocimiento del entorno del proveedor de destino. La
equivalencia funcional no debe entenderse como la obligación del proveedor de
origen de servicios de tratamiento de datos de reconstruir el servicio en
cuestión dentro de la infraestructura del proveedor de destino. En su lugar, el
proveedor de origen de servicios de tratamiento de datos debe adoptar todas las
medidas razonables a su alcance para facilitar el proceso de consecución de la
equivalencia funcional mediante la provisión de capacidades, información
adecuada, documentación, apoyo técnico y, en su caso, las herramientas
necesarias.
(93) Los proveedores de servicios de tratamiento
de datos también deben estar obligados a eliminar los obstáculos existentes y
no imponer nuevos, incluso para los clientes que deseen migrar a una
infraestructura de TIC local. Los obstáculos pueden ser, entre otros, de
naturaleza precomercial, comercial, técnica, contractual u organizativa. Los
proveedores de servicios de tratamiento de datos también deben estar obligados
a eliminar los obstáculos para la desagregación de un servicio específico de
otros servicios de tratamiento de datos prestados en virtud de un contrato y a
facilitar el servicio pertinente para la migración, siempre que no existan
obstáculos técnicos importantes y demostrados que impidan dicha desagregación.
(94) Durante todo el proceso de cambio, debe
mantenerse un alto nivel de seguridad. Esto significa que el proveedor de
origen de los servicios de tratamiento de datos debe extender el nivel de
seguridad al que se comprometió para el servicio a todos los aspectos técnicos
de los que dicho proveedor es responsable durante el proceso de cambio, como
las conexiones de red o los dispositivos físicos. Los derechos existentes en
materia de rescisión de contratos, incluidos los introducidos por el Reglamento
(UE) 2016/679 y la Directiva (UE) 2019/770 del Parlamento Europeo y del
Consejo ( 31 ) ,
no deben verse afectados. El presente Reglamento no debe interpretarse como un
impedimento para que un proveedor de servicios de tratamiento de datos ofrezca
a sus clientes servicios, características y funcionalidades nuevos y mejorados,
ni para que compita con otros proveedores de servicios de tratamiento de datos
sobre esa base.
(95) La información que los proveedores de
servicios de tratamiento de datos deben proporcionar al cliente podría
respaldar su estrategia de salida. Dicha información debe incluir los
procedimientos para iniciar el cambio de proveedor del servicio de tratamiento
de datos; los formatos de datos legibles por máquina a los que se pueden
exportar los datos del usuario; las herramientas para exportar datos, incluidas
las interfaces abiertas, así como información sobre la compatibilidad con
normas armonizadas o especificaciones comunes basadas en especificaciones
abiertas de interoperabilidad; información sobre las restricciones y
limitaciones técnicas conocidas que podrían afectar al proceso de cambio; y el
tiempo estimado necesario para completarlo.
(96) Para facilitar la interoperabilidad y la
transición entre servicios de tratamiento de datos, los usuarios y proveedores
de estos servicios deben considerar el uso de herramientas de implementación y
cumplimiento, en particular las publicadas por la Comisión en forma de un
Manual de la UE sobre la Nube y una Guía sobre la contratación pública de
servicios de tratamiento de datos. En particular, las cláusulas contractuales
tipo son beneficiosas porque aumentan la confianza en los servicios de
tratamiento de datos, crean una relación más equilibrada entre usuarios y
proveedores de servicios de tratamiento de datos y mejoran la seguridad
jurídica con respecto a las condiciones aplicables para el cambio a otros
servicios de tratamiento de datos. En ese contexto, los usuarios y proveedores
de servicios de tratamiento de datos deben considerar el uso de cláusulas
contractuales tipo u otras herramientas de autorregulación y cumplimiento,
siempre que cumplan plenamente con el presente Reglamento, desarrolladas por los
organismos o grupos de expertos pertinentes establecidos en virtud del Derecho
de la Unión.
(97) Para facilitar el cambio entre servicios de
procesamiento de datos, todas las partes involucradas, incluidos los
proveedores de servicios de procesamiento de datos de origen y destino, deben
cooperar de buena fe para que el proceso de cambio sea efectivo, permitir la
transferencia segura y oportuna de los datos necesarios en un formato
comúnmente utilizado y legible por máquina, y por medio de interfaces abiertas,
evitando al mismo tiempo las interrupciones del servicio y manteniendo la
continuidad del mismo.
(98) Los servicios de tratamiento de datos que
se refieren a servicios cuyas características principales se han diseñado a
medida para responder a las demandas específicas de un cliente individual o en
los que todos los componentes se han desarrollado para los fines de un cliente
individual deben quedar exentos de algunas de las obligaciones aplicables al
cambio de servicio de tratamiento de datos. Esto no debe incluir los servicios
que el proveedor de servicios de tratamiento de datos ofrece a gran escala comercial
a través de su catálogo de servicios. Entre las obligaciones del proveedor de
servicios de tratamiento de datos se encuentra informar debidamente a los
clientes potenciales de dichos servicios, antes de la celebración de un
contrato, de las obligaciones establecidas en el presente Reglamento que no se
aplican a los servicios en cuestión. Nada impide que el proveedor de servicios
de tratamiento de datos pueda desplegar dichos servicios a gran escala, en cuyo
caso dicho proveedor deberá cumplir con todas las obligaciones de cambio
establecidas en el presente Reglamento.
(99) En consonancia con el requisito mínimo que
permite el cambio entre proveedores de servicios de tratamiento de datos, el
presente Reglamento también pretende mejorar la interoperabilidad para el uso
en paralelo de múltiples servicios de tratamiento de datos con funcionalidades
complementarias. Esto se refiere a situaciones en las que los clientes no
rescinden un contrato para cambiar de proveedor de servicios de tratamiento de
datos, sino que utilizan múltiples servicios de distintos proveedores en
paralelo, de forma interoperable, para beneficiarse de las funcionalidades
complementarias de los distintos servicios en la configuración del sistema del
cliente. No obstante, se reconoce que la salida de datos de un proveedor de
servicios de tratamiento de datos a otro para facilitar el uso en paralelo de
los servicios puede ser una actividad continua, a diferencia de la salida
puntual requerida como parte del proceso de cambio. Por lo tanto, los
proveedores de servicios de tratamiento de datos deben seguir pudiendo imponer
cargos por salida de datos, que no superen los costes incurridos, a efectos del
uso en paralelo después de tres años desde la fecha de entrada en vigor del
presente Reglamento. Esto es importante, entre otras cosas, para el éxito de la
implementación de estrategias multicloud, que permiten a los clientes
implementar estrategias de TIC con visión de futuro y reducen la dependencia de
proveedores individuales de servicios de procesamiento de datos. Facilitar un
enfoque multicloud para los clientes de servicios de procesamiento de datos
también puede contribuir a aumentar su resiliencia operativa digital, como se
reconoce para las entidades de servicios financieros en el Reglamento (UE)
2022/2554 del Parlamento Europeo y del Consejo ( 32 ) .
(100) Se espera que las especificaciones y
estándares abiertos de interoperabilidad desarrollados de conformidad con el
anexo II del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del
Consejo ( 33 ) en
el ámbito de la interoperabilidad y la portabilidad permitan un entorno de nube
de múltiples proveedores, que es un requisito clave para la innovación abierta
en la economía de datos europea. Dado que la adopción por el mercado de los
estándares identificados en el marco de la iniciativa de coordinación de la
normalización de la nube (CSC) concluida en 2016 ha sido limitada, también es
necesario que la Comisión confíe en las partes del mercado para desarrollar
especificaciones abiertas de interoperabilidad pertinentes para mantenerse al
día con el rápido ritmo de desarrollo tecnológico en este sector. Dichas especificaciones
abiertas de interoperabilidad pueden ser adoptadas por la Comisión en forma de
especificaciones comunes. Además, cuando los procesos impulsados por el
mercado no hayan demostrado la capacidad de establecer especificaciones o
normas comunes que faciliten la interoperabilidad efectiva en la nube a nivel
de PaaS y SaaS, la Comisión debe poder, sobre la base del presente Reglamento y
de conformidad con el Reglamento (UE) n.º 1025/2012, solicitar a los organismos
europeos de normalización que desarrollen dichas normas para tipos de servicios
específicos cuando aún no existan. Además, la Comisión animará a las partes
interesadas del mercado a desarrollar especificaciones abiertas de
interoperabilidad pertinentes. Tras consultar a las partes interesadas, la
Comisión, mediante actos de ejecución, debe poder exigir el uso de normas
armonizadas de interoperabilidad o especificaciones comunes para tipos de
servicios específicos mediante una referencia en un repositorio central de
normas de la Unión para la interoperabilidad de los servicios de tratamiento de
datos. Los proveedores de servicios de tratamiento de datos deben garantizar la
compatibilidad con dichas normas armonizadas y especificaciones comunes basadas
en especificaciones abiertas de interoperabilidad, lo que no debe tener un
impacto negativo en la seguridad ni la integridad de los datos. Las normas
armonizadas para la interoperabilidad de los servicios de tratamiento de datos
y las especificaciones comunes basadas en especificaciones abiertas de
interoperabilidad solo se referenciarán si cumplen los criterios especificados
en el presente Reglamento, que tienen el mismo significado que los requisitos
del anexo II del Reglamento (UE) n.º 1025/2012 y las facetas de
interoperabilidad definidas en la norma internacional ISO/IEC 19941:2017.
Además, la normalización debe tener en cuenta las necesidades de las pymes.
(101) Los terceros países podrán adoptar leyes,
reglamentos y otros actos jurídicos destinados a transferir directamente o
facilitar el acceso gubernamental a datos no personales ubicados fuera de sus
fronteras, incluida la Unión. Las sentencias de tribunales o decisiones de
otras autoridades judiciales o administrativas, incluidas las autoridades
policiales de terceros países, que exijan dicha transferencia o acceso a datos
no personales deben ser ejecutables cuando se basen en un acuerdo
internacional, como un tratado de asistencia jurídica mutua, vigente entre el
tercer país solicitante y la Unión o un Estado miembro. En otros casos, pueden
surgir situaciones en las que una solicitud de transferencia o acceso a datos
no personales derivada del Derecho de un tercer país entre en conflicto con la
obligación de proteger dichos datos en virtud del Derecho de la Unión o del
Derecho nacional del Estado miembro pertinente, en particular en lo que
respecta a la protección de los derechos fundamentales de las personas, como el
derecho a la seguridad y el derecho a la tutela judicial efectiva, o los
intereses fundamentales de un Estado miembro relacionados con la seguridad o la
defensa nacionales, así como la protección de datos comercialmente sensibles,
incluida la protección de secretos comerciales, y la protección de los derechos
de propiedad intelectual, incluidos sus compromisos contractuales en materia de
confidencialidad de conformidad con dicho Derecho. En ausencia de acuerdos
internacionales que regulen estas cuestiones, la transferencia o el acceso a
datos no personales solo debe permitirse si se ha verificado que el
ordenamiento jurídico del tercer país exige que se expongan los motivos y la
proporcionalidad de la decisión, que la orden judicial o la decisión es de
carácter específico y que la objeción motivada del destinatario está sujeta a
revisión por un órgano jurisdiccional competente del tercer país, facultado
para tener debidamente en cuenta los intereses jurídicos pertinentes del
proveedor de dichos datos. Siempre que sea posible, según los términos de la
solicitud de acceso a los datos de la autoridad del tercer país, el proveedor
de servicios de tratamiento de datos debe poder informar al cliente cuyos datos
se solicitan antes de conceder el acceso a ellos, a fin de verificar la
existencia de un posible conflicto de dicho acceso con el Derecho de la Unión o
nacional, como el relativo a la protección de datos comercialmente sensibles,
incluida la protección de secretos comerciales y derechos de propiedad intelectual,
y los compromisos contractuales en materia de confidencialidad.
(102) Para fomentar una mayor confianza en los
datos, es importante que se implementen, en la medida de lo posible, las
salvaguardias necesarias para garantizar el control de sus datos por parte de
los ciudadanos de la Unión, los organismos del sector público y las empresas.
Además, deben respetarse el Derecho, los valores y las normas de la Unión en
materia de seguridad, protección de datos, privacidad y protección del consumidor,
entre otros aspectos. Para evitar el acceso ilícito de las autoridades
gubernamentales a datos no personales por parte de autoridades de terceros
países, los proveedores de servicios de tratamiento de datos sujetos al
presente Reglamento, como los servicios en la nube y en el perímetro, deben
adoptar todas las medidas razonables para impedir el acceso a los sistemas que
almacenan datos no personales, incluyendo, cuando proceda, el cifrado de datos,
la presentación frecuente a auditorías, la verificación del cumplimiento de los
sistemas de certificación de garantía de seguridad pertinentes y la
modificación de las políticas corporativas.
(103) La normalización y la interoperabilidad
semántica deben desempeñar un papel fundamental para proporcionar soluciones
técnicas que garanticen la interoperabilidad dentro y entre los espacios
comunes europeos de datos, que son marcos interoperables específicos para un
propósito o sector, o intersectoriales, para normas y prácticas comunes
destinadas a compartir o procesar conjuntamente datos para, entre otros fines,
el desarrollo de nuevos productos y servicios, la investigación científica o
las iniciativas de la sociedad civil. El presente Reglamento establece
determinados requisitos esenciales de interoperabilidad. Los participantes en
espacios de datos que ofrecen datos o servicios de datos a otros participantes,
que son entidades que facilitan o participan en el intercambio de datos dentro
de los espacios comunes europeos de datos, incluidos los titulares de datos,
deben cumplir dichos requisitos en la medida en que afecten a los elementos
bajo su control. El cumplimiento de dichas normas puede garantizarse mediante
la adhesión a los requisitos esenciales establecidos en el presente Reglamento,
o presumirse mediante el cumplimiento de las normas armonizadas o las
especificaciones comunes mediante una presunción de conformidad. Para facilitar
la conformidad con los requisitos de interoperabilidad, es necesario prever una
presunción de conformidad de las soluciones de interoperabilidad que cumplan
las normas armonizadas o partes de ellas, de conformidad con el Reglamento (UE)
n.º 1025/2012, que constituye el marco por defecto para elaborar normas que
contemplen dichas presunciones. La Comisión debe evaluar los obstáculos a la
interoperabilidad y priorizar las necesidades de normalización, sobre cuya base
podrá solicitar a una o más organizaciones europeas de normalización, de
conformidad con el Reglamento (UE) n.º 1025/2012, que elaboren normas
armonizadas que satisfagan los requisitos esenciales establecidos en el
presente Reglamento. Cuando dichas solicitudes no den lugar a normas
armonizadas o estas sean insuficientes para garantizar la conformidad con los
requisitos esenciales del presente Reglamento, la Comisión debe poder adoptar
especificaciones comunes en dichos ámbitos, siempre que al hacerlo respete
debidamente el papel y las funciones de las organizaciones de normalización.
Las especificaciones comunes solo deben adoptarse como una solución excepcional
de emergencia para facilitar el cumplimiento de los requisitos esenciales del
presente Reglamento, o cuando el proceso de normalización esté bloqueado, o cuando
se produzcan retrasos en el establecimiento de normas armonizadas adecuadas.
Cuando un retraso se deba a la complejidad técnica de la norma en cuestión, la
Comisión deberá considerarlo antes de contemplar el establecimiento de
especificaciones comunes. Las especificaciones comunes deben elaborarse de
forma abierta e inclusiva y tener en cuenta, cuando proceda, el asesoramiento
del Comité Europeo de Innovación en Datos (EDIB), establecido por el Reglamento
(UE) 2022/868. Además, podrían adoptarse especificaciones comunes en diferentes
sectores, de conformidad con el Derecho de la Unión o nacional, en función de
las necesidades específicas de dichos sectores.La Comisión debería poder
encargar el desarrollo de normas armonizadas para la interoperabilidad de los
servicios de procesamiento de datos.
(104) Para promover la interoperabilidad de las
herramientas para la ejecución automatizada de acuerdos de intercambio de
datos, es necesario establecer requisitos esenciales para los contratos
inteligentes que los profesionales crean para otros o integran en aplicaciones
que respaldan la implementación de dichos acuerdos. Para facilitar la
conformidad de dichos contratos inteligentes con dichos requisitos esenciales,
es necesario establecer una presunción de conformidad para los contratos
inteligentes que cumplen normas armonizadas o partes de ellas, de conformidad
con el Reglamento (UE) n.º 1025/2012. El concepto de «contrato inteligente» en
este Reglamento es tecnológicamente neutro. Los contratos inteligentes pueden,
por ejemplo, conectarse a un libro de contabilidad electrónico. Los requisitos
esenciales deben aplicarse únicamente a los proveedores de contratos
inteligentes, pero no a aquellos que los desarrollan internamente para uso
exclusivamente interno. El requisito esencial para garantizar que los contratos
inteligentes puedan interrumpirse y rescindirse implica el consentimiento mutuo
de las partes del acuerdo de intercambio de datos. La aplicabilidad de las
normas pertinentes del derecho civil, contractual y de protección del
consumidor a los acuerdos de intercambio de datos se mantiene o no debe verse
afectada por el uso de contratos inteligentes para la ejecución automatizada de
dichos acuerdos.
(105) Para demostrar el cumplimiento de los
requisitos esenciales del presente Reglamento, el proveedor de un contrato
inteligente o, en su defecto, la persona cuya actividad comercial, empresarial
o profesional implique la implementación de contratos inteligentes para
terceros en el contexto de la ejecución de un acuerdo o parte del mismo, con el
fin de facilitar datos en el contexto del presente Reglamento, deberá realizar
una evaluación de conformidad y emitir una declaración UE de conformidad. Dicha
evaluación de conformidad deberá estar sujeta a los principios generales
establecidos en el Reglamento (CE) n.o 765/2008 del Parlamento Europeo y del
Consejo ( 34 ) y
la Decisión n.o 768/2008/CE del Parlamento Europeo y del Consejo ( 35 ) .
(106) Además de la obligación de los
desarrolladores profesionales de contratos inteligentes de cumplir con los
requisitos esenciales, también es importante alentar a los participantes dentro
de los espacios de datos que ofrecen datos o servicios basados en datos a
otros participantes dentro y a través de espacios de datos europeos comunes a
que respalden la interoperabilidad de las herramientas para compartir datos,
incluidos los contratos inteligentes.
(107) Para garantizar la aplicación y el cumplimiento
del presente Reglamento, los Estados miembros deben designar una o más
autoridades competentes. Si un Estado miembro designa más de una autoridad
competente, también debe designar entre ellas a un coordinador de datos. Las
autoridades competentes deben cooperar entre sí. Mediante el ejercicio de sus
poderes de investigación de conformidad con los procedimientos nacionales
aplicables, las autoridades competentes deben poder buscar y obtener
información, en particular en relación con las actividades de las entidades
dentro de su competencia y, también en el contexto de las investigaciones
conjuntas, teniendo debidamente en cuenta que las medidas de supervisión y
ejecución relativas a una entidad bajo la competencia de otro Estado miembro
deben ser adoptadas por la autoridad competente de ese otro Estado miembro,
cuando proceda, de conformidad con los procedimientos relativos a la
cooperación transfronteriza. Las autoridades competentes deben prestarse
asistencia mutua de manera oportuna, en particular cuando una autoridad
competente de un Estado miembro posea información pertinente para una
investigación realizada por las autoridades competentes de otros Estados
miembros, o pueda recopilar información a la que las autoridades competentes
del Estado miembro donde esté establecida la entidad no tengan acceso. Las
autoridades competentes y los coordinadores de datos deben figurar en un
registro público mantenido por la Comisión. El coordinador de datos podría ser
un medio adicional para facilitar la cooperación en situaciones
transfronterizas, como cuando una autoridad competente de un Estado miembro
determinado desconoce a qué autoridad debe dirigirse en el Estado miembro del
coordinador de datos, por ejemplo, cuando el caso afecta a más de una autoridad
competente o sector. El coordinador de datos debe actuar, entre otras cosas,
como punto de contacto único para todas las cuestiones relacionadas con la
aplicación del presente Reglamento. Cuando no se haya designado un coordinador
de datos, la autoridad competente debe asumir las tareas que se le asignan en
virtud del presente Reglamento. Las autoridades responsables de la supervisión
del cumplimiento de la legislación en materia de protección de datos y las
autoridades competentes designadas en virtud del Derecho de la Unión o nacional
deben ser responsables de la aplicación del presente Reglamento en sus ámbitos
de competencia. Para evitar conflictos de intereses, las autoridades
competentes responsables de la aplicación y el cumplimiento del presente
Reglamento en el ámbito de la puesta a disposición de datos tras una solicitud
basada en una necesidad excepcional no deben beneficiarse del derecho a
presentar dicha solicitud.
(108) Para hacer valer sus derechos en virtud del
presente Reglamento, las personas físicas y jurídicas deben tener derecho a
solicitar reparación por las vulneraciones de sus derechos en virtud del
presente Reglamento mediante la presentación de reclamaciones. El coordinador
de datos debe, previa solicitud, proporcionar toda la información necesaria a
las personas físicas y jurídicas para la presentación de sus reclamaciones ante
la autoridad competente correspondiente. Dichas autoridades deben estar
obligadas a cooperar para garantizar que una reclamación se tramite
adecuadamente y se resuelva de manera eficaz y oportuna. Para utilizar el
mecanismo de la red de cooperación en materia de protección de los consumidores
y permitir las acciones de representación, el presente Reglamento modifica los
anexos del Reglamento (UE) 2017/2394 del Parlamento Europeo y del
Consejo ( 36 ) y
la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo ( 37 ) .
(109) Las autoridades competentes deben garantizar
que las infracciones de las obligaciones establecidas en el presente Reglamento
estén sujetas a sanciones. Dichas sanciones pueden incluir sanciones
económicas, advertencias, amonestaciones u órdenes para que las prácticas
comerciales se ajusten a las obligaciones impuestas por el presente Reglamento.
Las sanciones establecidas por los Estados miembros deben ser efectivas,
proporcionadas y disuasorias, y deben tener en cuenta las recomendaciones del
BEID, contribuyendo así a lograr el mayor nivel posible de coherencia en su
establecimiento y aplicación. Cuando proceda, las autoridades competentes deben
recurrir a medidas provisionales para limitar los efectos de una presunta
infracción mientras esté en curso la investigación de dicha infracción. Al
hacerlo, deben tener en cuenta, entre otros aspectos, la naturaleza, la
gravedad, la escala y la duración de la infracción, habida cuenta del interés
público en juego, el alcance y el tipo de actividades realizadas, y la
capacidad económica de la parte infractora. También deben tener en cuenta si la
parte infractora incumple sistemática o recurrentemente sus obligaciones en
virtud del presente Reglamento. Para garantizar el respeto del principio ne
bis in idem y, en particular, para evitar que la misma infracción de
las obligaciones establecidas en el presente Reglamento se sancione más de una
vez, un Estado miembro que pretenda ejercer su competencia en relación con una
parte infractora que no esté establecida y no haya designado un representante
legal en la Unión debe informar, sin demora indebida, a todos los coordinadores
de datos, así como a la Comisión.
(110) El Banco Europeo de Inversiones (BEID) debe
asesorar y asistir a la Comisión en la coordinación de las prácticas y
políticas nacionales sobre los temas contemplados en el presente Reglamento,
así como en el cumplimiento de sus objetivos en materia de normalización
técnica para mejorar la interoperabilidad. También debe desempeñar un papel
clave a la hora de facilitar debates exhaustivos entre las autoridades
competentes sobre la aplicación y el cumplimiento del presente Reglamento. Este
intercambio de información está diseñado para aumentar el acceso efectivo a la
justicia, así como la cooperación judicial y en materia de cumplimiento de la
normativa en toda la Unión. Entre otras funciones, las autoridades competentes
deben utilizar el BEID como plataforma para evaluar, coordinar y adoptar
recomendaciones sobre el establecimiento de sanciones por infracciones del
presente Reglamento. Debe permitir que las autoridades competentes, con la
asistencia de la Comisión, coordinen el enfoque óptimo para determinar e
imponer dichas sanciones. Este enfoque evita la fragmentación, al tiempo que
permite la flexibilidad de los Estados miembros y debe dar lugar a
recomendaciones eficaces que respalden la aplicación coherente del presente
Reglamento. El Banco Europeo de Inversiones Digitales (BEID) también debe
desempeñar una función consultiva en los procesos de normalización y la
adopción de especificaciones comunes mediante actos de ejecución, así como en
la adopción de actos delegados para establecer un mecanismo de supervisión de
las tarifas por cambio de proveedor impuestas por los proveedores de servicios
de tratamiento de datos y para especificar con más detalle los requisitos
esenciales para la interoperabilidad de los datos, de los mecanismos y
servicios de intercambio de datos, así como de los espacios comunes europeos de
datos. Asimismo, debe asesorar y asistir a la Comisión en la adopción de las
directrices que establecen las especificaciones de interoperabilidad para el
funcionamiento de los espacios comunes europeos de datos.
(111) Para ayudar a las empresas a redactar y
negociar contratos, la Comisión debe elaborar y recomendar cláusulas
contractuales modelo no vinculantes para los contratos de intercambio de datos
entre empresas, teniendo en cuenta, cuando sea necesario, las condiciones de
sectores específicos y las prácticas existentes con mecanismos voluntarios de
intercambio de datos. Estas cláusulas contractuales modelo deben ser,
principalmente, una herramienta práctica para ayudar, en particular, a las
pymes a celebrar un contrato. Su uso amplio e integral también debe influir
positivamente en el diseño de los contratos relativos al acceso y uso de los
datos y, por lo tanto, contribuir de forma más amplia a unas relaciones
contractuales más justas en el acceso y el intercambio de datos.
(112) Para eliminar el riesgo de que los titulares
de datos en bases de datos obtenidas o generadas mediante componentes físicos,
como sensores, de un producto conectado y un servicio relacionado u otros datos
generados por máquina, invoquen el derecho sui generis previsto
en el artículo 7 de la Directiva 96/9/CE y, al hacerlo, obstaculicen, en
particular, el ejercicio efectivo del derecho de los usuarios a acceder y
utilizar los datos, así como el derecho a compartirlos con terceros, en virtud
del presente Reglamento, debe aclararse que el derecho sui generis no
se aplica a dichas bases de datos. Esto no afecta a la posible aplicación del
derecho sui generis previsto en el artículo 7 de la Directiva
96/9/CE a bases de datos que contengan datos que no estén incluidos en el
ámbito de aplicación del presente Reglamento, siempre que se cumplan los
requisitos de protección establecidos en el apartado 1 de dicho artículo.
(113) A fin de tener en cuenta los aspectos
técnicos de los servicios de tratamiento de datos, deben delegarse en la
Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE
por lo que respecta a completar el presente Reglamento con el fin de establecer
un mecanismo de seguimiento de las tarifas por cambio de proveedor impuestas
por los proveedores de servicios de tratamiento de datos en el mercado, y para
especificar con más detalle los requisitos esenciales en materia de
interoperabilidad para los participantes en espacios de datos que ofrecen datos
o servicios de datos a otros participantes. Reviste especial importancia que la
Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en
particular con expertos, y que dichas consultas se realicen de conformidad con
los principios establecidos en el Acuerdo interinstitucional de 13 de abril de
2016 sobre la mejora de la legislación ( 38 ) .
En particular, a fin de garantizar una participación equitativa en la
preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben
toda la documentación al mismo tiempo que los expertos de los Estados miembros,
y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de
expertos de la Comisión que se ocupan de la preparación de actos delegados.
(114) A fin de garantizar condiciones uniformes de
ejecución del presente Reglamento, deben conferirse a la Comisión competencias
de ejecución en lo que respecta a la adopción de especificaciones comunes para
garantizar la interoperabilidad de los datos, de los mecanismos y servicios de
intercambio de datos, así como de espacios europeos comunes de datos,
especificaciones comunes sobre la interoperabilidad de los servicios de
tratamiento de datos y especificaciones comunes sobre la interoperabilidad de
los contratos inteligentes. También deben conferirse a la Comisión competencias
de ejecución para publicar las referencias de las normas armonizadas y las
especificaciones comunes para la interoperabilidad de los servicios de
tratamiento de datos en un repositorio central de normas de la Unión para la
interoperabilidad de los servicios de tratamiento de datos. Dichas competencias
deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del
Parlamento Europeo y del Consejo ( 39 ) .
(115) El presente Reglamento debe entenderse sin
perjuicio de las normas que aborden las necesidades específicas de cada sector
o área de interés público. Dichas normas podrán incluir requisitos adicionales
sobre los aspectos técnicos del acceso a los datos, como las interfaces para el
acceso a los datos, o sobre cómo se podría proporcionar dicho acceso, por
ejemplo, directamente desde el producto o a través de servicios de intermediación
de datos. Dichas normas también podrán incluir limitaciones a los derechos de
los titulares de datos a acceder o utilizar los datos de los usuarios, u otros
aspectos más allá del acceso y el uso de los datos, como los aspectos de
gobernanza o los requisitos de seguridad, incluidos los de ciberseguridad. El
presente Reglamento también debe entenderse sin perjuicio de normas más
específicas en el contexto del desarrollo de espacios europeos comunes de datos
o, con sujeción a las excepciones previstas en el presente Reglamento, del
Derecho de la Unión y nacional que establezca el acceso a los datos y autorice
su uso con fines de investigación científica.
(116) El presente Reglamento no debe afectar a la
aplicación de las normas de competencia, en particular los artículos 101 y 102
del TFUE. Las medidas previstas en el presente Reglamento no deben utilizarse
para restringir la competencia de forma contraria al TFUE.
(117) Para permitir que los agentes incluidos en el
ámbito de aplicación del presente Reglamento se adapten a las nuevas normas
previstas en el mismo y adopten las disposiciones técnicas necesarias, dichas
normas deben aplicarse a partir del 12 de septiembre de 2025.
(118) El Supervisor Europeo de Protección de Datos
y el Comité Europeo de Protección de Datos fueron consultados de conformidad
con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725 y emitieron
su dictamen el 4 de mayo de 2022.
(119) Dado que los objetivos del presente
Reglamento, a saber, garantizar la equidad en la asignación del valor de los
datos entre los agentes de la economía de los datos y fomentar el acceso
equitativo a los datos y su uso para contribuir al establecimiento de un
auténtico mercado interior de datos, no pueden ser alcanzados de manera
suficiente por los Estados miembros, sino que, debido a la escala o los efectos
de la acción y al uso transfronterizo de los datos, pueden lograrse mejor a
escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de
subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De
conformidad con el principio de proporcionalidad establecido en dicho artículo,
el presente Reglamento no excede de lo necesario para alcanzar dichos
objetivos.
HAN ADOPTADO EL PRESENTE REGLAMENTO:
CAPÍTULO I
DISPOSICIONES
GENERALES
Artículo 1
Objeto y alcance
1. El presente Reglamento establece normas armonizadas, entre otras cosas,
sobre:
(a) la puesta a disposición de los datos del
producto y de los datos del servicio relacionado al usuario del producto
conectado o del servicio relacionado;
(b) la puesta a disposición de los datos por
parte de los titulares de los mismos a los destinatarios de los mismos;
(c) la puesta a disposición de datos por parte
de los titulares de los mismos a organismos del sector público, a la Comisión,
al Banco Central Europeo y a los organismos de la Unión, cuando exista una
necesidad excepcional de dichos datos para el desempeño de una tarea específica
llevada a cabo en interés público;
(d) facilitar el cambio entre servicios de
procesamiento de datos;
(mi) introducir salvaguardas contra el acceso ilegal
de terceros a datos no personales; y
(f) el desarrollo de estándares de
interoperabilidad para el acceso, la transferencia y el uso de los datos.
2. El presente Reglamento se aplica a los datos personales y no personales,
incluidos los siguientes tipos de datos, en los siguientes contextos:
(a) El capítulo II se aplica a los datos, con
excepción del contenido, relativos al rendimiento, uso y entorno de los
productos conectados y servicios relacionados;
(b) El Capítulo III se aplica a cualquier
dato del sector privado que esté sujeto a obligaciones legales de intercambio
de datos;
(c) El capítulo IV se aplica a cualquier dato
del sector privado al que se acceda y utilice sobre la base de un contrato entre
empresas;
(d) El Capítulo V se aplica a cualquier dato
del sector privado, centrándose en los datos no personales;
(e) El Capítulo VI se aplica a todos los datos
y servicios procesados por proveedores de servicios de procesamiento de
datos;
(f) El capítulo VII se aplica a todos los
datos no personales conservados en la Unión por proveedores de servicios de
tratamiento de datos.
3. El presente Reglamento se aplicará a:
(a) los fabricantes de productos conectados
comercializados en la Unión y los proveedores de servicios relacionados,
independientemente del lugar de establecimiento de dichos fabricantes y
proveedores;
(b) usuarios en la Unión de productos
conectados o servicios relacionados a que se refiere la letra a);
(c) los titulares de datos, independientemente
de su lugar de establecimiento, que pongan datos a disposición de destinatarios
de datos en la Unión;
(d) destinatarios de los datos en la Unión a
quienes se ponen a disposición los datos;
(e) organismos del sector público, la Comisión,
el Banco Central Europeo y los organismos de la Unión que soliciten a los
titulares de datos que faciliten datos cuando exista una necesidad excepcional
de dichos datos para el desempeño de una tarea específica llevada a cabo en
interés público y a los titulares de datos que faciliten dichos datos en
respuesta a dicha solicitud;
(f) proveedores de servicios de tratamiento
de datos, independientemente de su lugar de establecimiento, que presten dichos
servicios a clientes en la Unión;
(gramo) participantes en espacios de datos y
proveedores de aplicaciones que utilizan contratos inteligentes y personas cuyo
comercio, negocio o profesión implica la implementación de contratos
inteligentes para otros en el contexto de la ejecución de un acuerdo.
4. Cuando el presente Reglamento se refiera a productos conectados o
servicios relacionados, se entenderá que dichas referencias también incluyen a
los asistentes virtuales en la medida en que interactúen con un producto
conectado o un servicio relacionado.
5. El presente Reglamento se entiende sin perjuicio de la legislación de la
Unión y nacional en materia de protección de datos personales, privacidad y
confidencialidad de las comunicaciones e integridad de los equipos terminales,
que se aplicará a los datos personales tratados en relación con los derechos y
obligaciones aquí establecidos, en particular los Reglamentos (UE) 2016/679 y
(UE) 2018/1725 y la Directiva 2002/58/CE, incluidos los poderes y competencias
de las autoridades de control y los derechos de los interesados. En la medida
en que los usuarios sean interesados, los derechos establecidos en el capítulo
II del presente Reglamento complementarán los derechos de acceso de los
interesados y los derechos a la portabilidad de los datos en virtud de los
artículos 15 y 20 del Reglamento (UE) 2016/679. En caso de conflicto entre el
presente Reglamento y la legislación de la Unión en materia de protección de
datos personales o de la privacidad, o la legislación nacional adoptada de
conformidad con dicha legislación de la Unión, prevalecerá la legislación
pertinente de la Unión o nacional en materia de protección de datos personales
o de la privacidad.
6. El presente Reglamento no se aplica ni prejuzga los acuerdos voluntarios
para el intercambio de datos entre entidades privadas y públicas, en particular
los acuerdos voluntarios para la puesta en común de datos.
El presente Reglamento no afecta a los actos jurídicos de la Unión o
nacionales que establecen la puesta en común, el acceso y la utilización de
datos con fines de prevención, investigación, detección o enjuiciamiento de
infracciones penales o para la ejecución de sanciones penales, o con fines
aduaneros y fiscales, en particular los Reglamentos (UE) 2021/784, (UE)
2022/2065 y (UE) 2023/1543 y la Directiva (UE) 2023/1544, ni a la cooperación
internacional en dicho ámbito. El presente Reglamento no se aplica a la
recopilación, la puesta en común, el acceso ni la utilización de datos con
arreglo al Reglamento (UE) 2015/847 y la Directiva (UE) 2015/849. El presente
Reglamento no se aplica a ámbitos que quedan fuera del ámbito de aplicación del
Derecho de la Unión y, en cualquier caso, no afecta a las competencias de los
Estados miembros en materia de seguridad pública, defensa o seguridad nacional,
independientemente del tipo de entidad a la que los Estados miembros hayan
encomendado el desempeño de tareas relacionadas con dichas competencias, ni a
su facultad para salvaguardar otras funciones esenciales del Estado, como
garantizar la integridad territorial del Estado y el mantenimiento del orden
público. El presente Reglamento no afecta a las competencias de los Estados
miembros en materia de administración aduanera y tributaria ni a la salud y la
seguridad de los ciudadanos.
7. El presente Reglamento complementa el enfoque de autorregulación del
Reglamento (UE) 2018/1807 añadiendo obligaciones de aplicación general sobre la
conmutación a la nube.
8. El presente Reglamento se entiende sin perjuicio de los actos jurídicos
nacionales y de la Unión que establecen la protección de los derechos de
propiedad intelectual, en particular las Directivas 2001/29/CE, 2004/48/CE y
(UE) 2019/790.
9. El presente Reglamento complementa y se entiende sin perjuicio del
Derecho de la Unión destinado a promover los intereses de los consumidores y
garantizar un alto nivel de protección de los mismos, así como a proteger su
salud, seguridad e intereses económicos, en particular las Directivas
93/13/CEE, 2005/29/CE y 2011/83/UE.
10. El presente Reglamento no impide la celebración de contratos
voluntarios y lícitos de intercambio de datos, incluidos los contratos
celebrados sobre una base recíproca, que cumplan los requisitos establecidos en
el presente Reglamento.
Artículo 2
Definiciones
A los efectos del presente Reglamento, se aplicarán las siguientes
definiciones:
(1) «datos» significa cualquier
representación digital de actos, hechos o información y cualquier compilación
de dichos actos, hechos o información, incluso en forma de grabación sonora,
visual o audiovisual;
(2) «metadatos» significa una descripción
estructurada del contenido o del uso de los datos que facilita el
descubrimiento o el uso de dichos datos;
(3) «datos personales»: datos personales tal
como se definen en el artículo 4, punto (1), del Reglamento (UE) 2016/679;
(4) «datos no personales» significa datos distintos
de los datos personales;
(5) «producto conectado» significa un
artículo que obtiene, genera o recopila datos sobre su uso o entorno y que es
capaz de comunicar datos del producto a través de un servicio de comunicaciones
electrónicas, conexión física o acceso en el dispositivo, y cuya función
principal no es el almacenamiento, procesamiento o transmisión de datos en
nombre de ninguna parte que no sea el usuario;
(6) «servicio relacionado»: un servicio
digital, distinto de un servicio de comunicaciones electrónicas, incluido el software,
que está conectado con el producto en el momento de la compra, el alquiler o el
arrendamiento de tal manera que su ausencia impediría que el producto conectado
realizara una o más de sus funciones, o que es conectado posteriormente al
producto por el fabricante o un tercero para agregar, actualizar o adaptar las
funciones del producto conectado;
(7) «tratamiento»: cualquier operación o
conjunto de operaciones realizadas sobre datos o conjuntos de datos, ya sea por
procedimientos automatizados o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión u otro medio de
habilitación para el acceso, cotejo o interconexión, limitación, supresión o
destrucción;
(8) «servicio de procesamiento de datos»
significa un servicio digital que se proporciona a un cliente y que permite un
acceso ubicuo y bajo demanda a una red compartida de recursos informáticos
configurables, escalables y elásticos de naturaleza centralizada, distribuida o
altamente distribuida que pueden aprovisionarse y liberarse rápidamente con un
mínimo esfuerzo de gestión o interacción con el proveedor de servicios;
(9) «mismo tipo de servicio» significa un
conjunto de servicios de procesamiento de datos que comparten el mismo objetivo
principal, modelo de servicio de procesamiento de datos y funcionalidades
principales;
(10) «servicio de intermediación de datos»:
servicio de intermediación de datos tal como se define en el artículo 2, punto
11, del Reglamento (UE) 2022/868;
(11) «interesado»: el interesado a que se
refiere el artículo 4, punto 1, del Reglamento (UE) 2016/679;
(12) «usuario» significa una persona física o
jurídica que posee un producto conectado o a quien se le han transferido
contractualmente derechos temporales para usar ese producto conectado, o que
recibe servicios relacionados;
(13) «titular de los datos»: una persona física
o jurídica que tiene el derecho o la obligación, de conformidad con el presente
Reglamento, el Derecho de la Unión aplicable o la legislación nacional adoptada
de conformidad con el Derecho de la Unión, de utilizar y poner a disposición
datos, incluidos, cuando se haya acordado contractualmente, datos de productos
o datos de servicios relacionados que haya recuperado o generado durante la
prestación de un servicio relacionado;
(14) «destinatario de los datos»: una persona
física o jurídica que actúe con fines relacionados con su actividad comercial,
negocio, oficio o profesión, distinta del usuario de un producto o servicio
relacionado, a quien el titular de los datos ponga los datos a disposición,
incluido un tercero, a raíz de una solicitud del usuario al titular de los
datos o de conformidad con una obligación legal en virtud del Derecho de la
Unión o de la legislación nacional adoptada de conformidad con el Derecho de la
Unión;
(15) «datos de producto»: datos generados por el
uso de un producto conectado que el fabricante diseñó para que un usuario, un
titular de datos o un tercero, incluido, cuando corresponda, el fabricante,
puedan recuperarlos mediante un servicio de comunicaciones electrónicas, una
conexión física o un acceso desde el dispositivo;
(16) «datos de servicio relacionados»: datos que
representan la digitalización de acciones del usuario o de eventos relacionados
con el producto conectado, registrados intencionalmente por el usuario o
generados como subproducto de la acción del usuario durante la prestación de un
servicio relacionado por parte del proveedor;
(17) «datos fácilmente disponibles» significa
datos de productos y datos de servicios relacionados que el titular de los
datos obtiene legalmente o puede obtener legalmente del producto conectado o
del servicio relacionado, sin un esfuerzo desproporcionado que vaya más allá de
una simple operación;
(18) «secreto comercial»: el secreto comercial
tal como se define en el artículo 2, punto (1), de la Directiva (UE) 2016/943;
(19) «titular de un secreto comercial»: el
titular de un secreto comercial tal como se define en el artículo 2, punto 2,
de la Directiva (UE) 2016/943;
(20) «elaboración de perfiles»: la elaboración
de perfiles tal como se define en el artículo 4, punto (4), del Reglamento (UE)
2016/679;
(21) «comercialización»: cualquier suministro de
un producto conexo para su distribución, consumo o utilización en el mercado de
la Unión en el curso de una actividad comercial, ya sea a cambio de un pago o
de forma gratuita;
(22) «comercialización»: la primera
comercialización de un producto conectado en el mercado de la Unión;
(23) «consumidor»: toda persona física que actúe
con un propósito ajeno a su actividad comercial, negocio, oficio o profesión;
(24) «empresa»: una persona física o jurídica
que, en relación con los contratos y prácticas contemplados en el presente
Reglamento, actúa con fines relacionados con su actividad comercial, negocio,
oficio o profesión;
(25) «pequeña empresa»: una pequeña empresa tal
como se define en el artículo 2, apartado 2, del anexo de la Recomendación
2003/361/CE;
(26) «microempresa»: una microempresa tal como
se define en el artículo 2, apartado 3, del anexo de la Recomendación
2003/361/CE;
(27) «organismos de la Unión»: los organismos,
oficinas y agencias de la Unión creados por o en virtud de actos adoptados
sobre la base del Tratado de la Unión Europea, el TFUE o el Tratado
constitutivo de la Comunidad Europea de la Energía Atómica;
(28) «organismo del sector público»: las
autoridades nacionales, regionales o locales de los Estados miembros y los
organismos de Derecho público de los Estados miembros, o las asociaciones
constituidas por una o más de dichas autoridades o uno o más de dichos organismos;
(29) «emergencia pública»: una situación
excepcional, limitada en el tiempo, como una emergencia de salud pública, una
emergencia resultante de catástrofes naturales, una catástrofe importante de
origen humano, incluido un incidente importante de ciberseguridad, que afecte
negativamente a la población de la Unión o de la totalidad o parte de un Estado
miembro, con riesgo de repercusiones graves y duraderas para las condiciones de
vida o la estabilidad económica, la estabilidad financiera o la degradación
sustancial e inmediata de los activos económicos de la Unión o del Estado
miembro pertinente, y que se determine o declare oficialmente de conformidad
con los procedimientos pertinentes del Derecho de la Unión o nacional;
(30) «cliente» significa una persona física o
jurídica que ha establecido una relación contractual con un proveedor de
servicios de tratamiento de datos con el objetivo de utilizar uno o más
servicios de tratamiento de datos;
(31) «asistentes virtuales» significa software
que puede procesar demandas, tareas o preguntas, incluidas aquellas basadas en
audio, entrada escrita, gestos o movimientos, y que, en función de esas
demandas, tareas o preguntas, proporciona acceso a otros servicios o controla
las funciones de productos conectados;
(32) «activos digitales»: elementos en formato
digital, incluidas las aplicaciones, para los que el cliente tiene derecho de
uso, independientemente de la relación contractual con el servicio de
tratamiento de datos del que pretende cambiar;
(33) «infraestructura de TIC local» significa la
infraestructura de TIC y los recursos informáticos propiedad del cliente,
alquilados o arrendados por él, ubicados en el centro de datos del propio
cliente y operados por el cliente o por un tercero;
(34) «cambio» significa el proceso en el que
participan un proveedor de origen de servicios de procesamiento de datos, un
cliente de un servicio de procesamiento de datos y, cuando corresponda, un
proveedor de destino de servicios de procesamiento de datos, mediante el cual
el cliente de un servicio de procesamiento de datos cambia de utilizar un
servicio de procesamiento de datos a utilizar otro servicio de procesamiento de
datos del mismo tipo de servicio, u otro servicio, ofrecido por un proveedor
diferente de servicios de procesamiento de datos, o a una infraestructura de
TIC local, incluso mediante la extracción, transformación y carga de los datos;
(35) «cargos por salida de datos» significa las
tarifas de transferencia de datos cobradas a los clientes por extraer sus datos
a través de la red desde la infraestructura de TIC de un proveedor de servicios
de procesamiento de datos al sistema de un proveedor diferente o a la
infraestructura de TIC local;
(36) «cargos por cambio»: los cargos, distintos
de las tarifas de servicio estándar o las penalizaciones por terminación
anticipada, impuestos por un proveedor de servicios de procesamiento de datos a
un cliente por las acciones exigidas por el presente Reglamento para cambiar al
sistema de un proveedor diferente o a una infraestructura de TIC local,
incluidos los cargos por salida de datos;
(37) «equivalencia funcional» significa
restablecer, sobre la base de los datos exportables y los activos digitales del
cliente, un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de
procesamiento de datos del mismo tipo de servicio después del proceso de
cambio, cuando el servicio de procesamiento de datos de destino ofrece un
resultado materialmente comparable en respuesta a la misma entrada para las
características compartidas suministradas al cliente en virtud del contrato;
(38) «datos exportables», a los efectos de los
artículos 23 a 31 y del artículo 35, significa los datos de entrada y salida,
incluidos los metadatos, generados directa o indirectamente, o cogenerados, por
el uso por parte del cliente del servicio de procesamiento de datos, excluyendo
cualquier activo o dato protegido por derechos de propiedad intelectual, o que
constituya un secreto comercial, de proveedores de servicios de procesamiento
de datos o de terceros;
(39) «contrato inteligente»: un programa informático
utilizado para la ejecución automatizada de un contrato o parte del mismo,
utilizando una secuencia de registros de datos electrónicos y garantizando su
integridad y la exactitud de su orden cronológico;
(40) «interoperabilidad» significa la capacidad
de dos o más espacios de datos o redes de comunicación, sistemas, productos
conectados, aplicaciones, servicios de procesamiento de datos o componentes de
intercambiar y utilizar datos para realizar sus funciones;
(41) «especificación de interoperabilidad
abierta»: una especificación técnica en el campo de las tecnologías de la
información y la comunicación que está orientada al rendimiento para lograr la
interoperabilidad entre servicios de procesamiento de datos;
(42) «especificaciones comunes»: un documento,
distinto de una norma, que contiene soluciones técnicas que proporcionan un
medio para cumplir determinados requisitos y obligaciones establecidos en el
presente Reglamento;
(43) «norma armonizada»: una norma armonizada
tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) n.º
1025/2012.
CAPÍTULO II
INTERCAMBIO DE DATOS
ENTRE EMPRESAS Y ENTRE CONSUMIDORES
Artículo 3
Obligación de hacer
accesibles al usuario los datos de los productos y de los servicios
relacionados
1. Los productos conectados se diseñarán y fabricarán, y los servicios
relacionados se diseñarán y prestarán, de tal manera que los datos de los
productos y los datos de los servicios relacionados, incluidos los metadatos
pertinentes necesarios para interpretarlos y utilizarlos, sean, por defecto,
fáciles, seguros, gratuitos, en un formato completo, estructurado, de uso común
y legible por máquina y, cuando sea pertinente y técnicamente viable, directamente
accesibles para el usuario.
2. Antes de celebrar un contrato de compraventa, alquiler o arrendamiento
de un producto conectado, el vendedor, arrendador o arrendador, que podrá ser
el fabricante, deberá proporcionar al usuario, de forma clara y comprensible,
al menos la siguiente información:
(a) el tipo, formato y volumen estimado de
datos de producto que el producto conectado es capaz de generar;
(b) si el producto conectado es capaz de generar
datos de forma continua y en tiempo real;
(c) si el producto conectado es capaz de
almacenar datos en el dispositivo o en un servidor remoto, incluida, cuando
corresponda, la duración prevista de la retención;
(d) cómo el usuario puede acceder, recuperar
o, en su caso, borrar los datos, incluidos los medios técnicos para hacerlo,
así como sus condiciones de uso y la calidad del servicio.
3. Antes de celebrar un contrato para la prestación de un servicio
relacionado, el proveedor del mismo deberá proporcionar al usuario, de forma
clara y comprensible, al menos la siguiente información:
(a) la naturaleza, el volumen estimado y la
frecuencia de recopilación de datos de productos que se espera que obtenga el
posible titular de los datos y, cuando corresponda, las disposiciones para que
el usuario acceda o recupere dichos datos, incluidas las disposiciones de
almacenamiento de datos del posible titular de los datos y la duración de la
retención;
(b) la naturaleza y el volumen estimado de
los datos de servicios relacionados que se generarán, así como los acuerdos
para que el usuario acceda o recupere dichos datos, incluidos los acuerdos de
almacenamiento de datos del posible titular de los datos y la duración de la
retención;
(c) si el posible titular de los datos espera
utilizar los datos fácilmente disponibles y los fines para los cuales se
utilizarán esos datos, y si tiene la intención de permitir que uno o más
terceros utilicen los datos para los fines acordados con el usuario;
(d) la identidad del posible titular de los
datos, como su nombre comercial y la dirección geográfica en la que está
establecido y, en su caso, de otros responsables del tratamiento de datos;
(e) los medios de comunicación que permitan
contactar rápidamente con el posible titular de los datos y comunicarse con él
de forma eficiente;
(f) cómo el usuario puede solicitar que los
datos se compartan con un tercero y, en su caso, finalizar el intercambio de
datos;
(g) el derecho del usuario a presentar
una reclamación alegando una infracción de cualquiera de las disposiciones de
este Capítulo ante la autoridad competente designada de conformidad con el
artículo 37;
(h) si un posible titular de datos es el
titular de secretos comerciales contenidos en los datos a los que se puede
acceder desde el producto conectado o generados durante la prestación de un
servicio relacionado y, cuando el posible titular de datos no sea el titular
del secreto comercial, la identidad del titular del secreto comercial;
(i) la duración del contrato entre el
usuario y el futuro titular de los datos, así como las modalidades de
terminación de dicho contrato.
Artículo 4
Los derechos y
obligaciones de los usuarios y titulares de datos con respecto al acceso, uso y
puesta a disposición de los datos de productos y datos de servicios
relacionados
1. Cuando el usuario no pueda acceder directamente a los datos desde el
producto conectado o el servicio relacionado, los titulares de los datos
pondrán a su disposición, sin demora indebida, los datos, así como los
metadatos necesarios para su interpretación y uso, de la misma calidad que los
que estén a disposición del titular, de forma sencilla, segura y gratuita, en
un formato completo, estructurado, de uso común y legible por máquina y, cuando
sea pertinente y técnicamente viable, de forma continua y en tiempo real. Esto
se realizará mediante una simple solicitud por medios electrónicos, siempre que
sea técnicamente viable.
2. Los usuarios y titulares de datos podrán restringir o prohibir
contractualmente el acceso, el uso o la ulterior compartición de datos si dicho
tratamiento pudiera menoscabar los requisitos de seguridad del producto
conectado, establecidos por el Derecho de la Unión o nacional, y causar un
efecto adverso grave para la salud, la seguridad o la protección de las
personas físicas. Las autoridades sectoriales podrán proporcionar a los
usuarios y titulares de datos asesoramiento técnico en este contexto. Si el
titular de datos se niega a compartir datos con arreglo al presente artículo,
lo notificará a la autoridad competente designada con arreglo al artículo 37.
3. Sin perjuicio del derecho del usuario a solicitar reparación en
cualquier etapa ante un tribunal de un Estado miembro, el usuario podrá, en
relación con cualquier litigio con el titular de los datos relativo a las
restricciones o prohibiciones contractuales a que se refiere el apartado 2:
(a) presentar, de conformidad con el artículo
37, apartado 5, letra b), una reclamación ante la autoridad competente; o
(b) acordar con el titular de los datos
remitir el asunto a un órgano de resolución de controversias de conformidad con
el artículo 10(1).
4. Los titulares de datos no dificultarán indebidamente el ejercicio de las
opciones o derechos previstos en el presente artículo por el usuario, incluso
ofreciendo opciones al usuario de manera no neutral o subvirtiendo o
perjudicando la autonomía, la toma de decisiones o las opciones del usuario
mediante la estructura, el diseño, la función o la forma de funcionamiento de
una interfaz digital de usuario o de una parte de ella.
5. A efectos de verificar si una persona física o jurídica cumple los
requisitos para ser considerada usuario a efectos del apartado 1, el titular de
los datos no le exigirá que proporcione más información de la necesaria. El
titular de los datos no conservará información, en particular datos de
registro, sobre el acceso del usuario a los datos solicitados, más allá de lo
necesario para la correcta ejecución de su solicitud de acceso y para la
seguridad y el mantenimiento de la infraestructura de datos.
6. Los secretos comerciales se preservarán y divulgarán únicamente si el
titular de los datos y el usuario adoptan todas las medidas necesarias antes de
la divulgación para preservar su confidencialidad, en particular respecto a
terceros. El titular de los datos o, en caso de ser personas distintas, el
titular del secreto comercial identificará los datos protegidos como secretos
comerciales, incluso en los metadatos pertinentes, y acordará con el usuario
las medidas técnicas y organizativas proporcionadas necesarias para preservar
la confidencialidad de los datos compartidos, en particular respecto a
terceros, como condiciones contractuales tipo, acuerdos de confidencialidad,
protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de
conducta.
7. En caso de que no se llegue a un acuerdo sobre las medidas necesarias a
que se refiere el apartado 6, o si el usuario no aplica las medidas acordadas
en virtud del apartado 6 o menoscaba la confidencialidad de los secretos
comerciales, el titular de los datos podrá denegar o, en su caso, suspender la
cesión de los datos identificados como secretos comerciales. La decisión del
titular de los datos deberá estar debidamente motivada y notificarse por
escrito al usuario sin demora indebida. En tales casos, el titular de los datos
notificará a la autoridad competente designada de conformidad con el artículo
37 que ha denegado o suspendido la cesión de datos e identificará las medidas
que no se han acordado o aplicado y, en su caso, los secretos comerciales cuya
confidencialidad se ha menoscabado.
8. En circunstancias excepcionales, si el titular de los datos que sea
titular de un secreto comercial puede demostrar que es muy probable que sufra
un perjuicio económico grave por la divulgación de secretos comerciales, a
pesar de las medidas técnicas y organizativas adoptadas por el usuario de
conformidad con el apartado 6 del presente artículo, dicho titular podrá
denegar, caso por caso, una solicitud de acceso a los datos específicos en
cuestión. Dicha demostración deberá estar debidamente justificada con elementos
objetivos, en particular la aplicabilidad de la protección de los secretos
comerciales en terceros países, la naturaleza y el nivel de confidencialidad de
los datos solicitados, y la singularidad y novedad del producto conectado, y
deberá proporcionarse por escrito al usuario sin demora indebida. Si el titular
de los datos se niega a compartir los datos de conformidad con el presente
apartado, lo notificará a la autoridad competente designada de conformidad con
el artículo 37.
9. Sin perjuicio del derecho del usuario a solicitar reparación en
cualquier etapa ante un tribunal de un Estado miembro, el usuario que desee
impugnar la decisión del titular de los datos de denegar, retener o suspender
la compartición de datos de conformidad con los apartados 7 y 8 podrá:
(a) presentar, de conformidad con el artículo
37, apartado 5, letra b), una reclamación ante la autoridad competente, que
decidirá, sin demora indebida, si debe iniciarse o reanudarse el intercambio de
datos y en qué condiciones; o
(b) acordar con el titular de los datos
remitir el asunto a un órgano de resolución de controversias de conformidad con
el artículo 10(1).
10. El usuario no utilizará los datos obtenidos en virtud de una solicitud
a que se refiere el apartado 1 para desarrollar un producto conectado que
compita con el producto conectado del que proceden los datos, ni compartirá los
datos con un tercero con ese fin, ni utilizará dichos datos para obtener
información sobre la situación económica, los activos y los métodos de producción
del fabricante o, en su caso, del titular de los datos.
11. El usuario no deberá utilizar medios coercitivos ni abusar de las
lagunas en la infraestructura técnica del titular de los datos diseñada para
proteger los datos con el fin de obtener acceso a los mismos.
12. Cuando el usuario no sea el interesado cuyos datos personales se
solicitan, el titular de los datos pondrá a disposición del usuario los datos
personales generados por el uso de un producto conectado o un servicio
relacionado únicamente cuando exista una base jurídica válida para el
tratamiento de conformidad con el artículo 6 del Reglamento (UE) 2016/679 y, en
su caso, se cumplan las condiciones del artículo 9 de dicho Reglamento y del
artículo 5, apartado 3, de la Directiva 2002/58/CE.
13. El titular de los datos solo utilizará los datos fácilmente disponibles
que no sean personales sobre la base de un contrato con el usuario. No
utilizará dichos datos para obtener información sobre la situación económica,
los activos y los métodos de producción del usuario, ni para su uso por parte
de este, de ninguna otra manera que pueda perjudicar su posición comercial en
los mercados en los que opera.
14. Los titulares de datos no cederán datos no personales de productos a
terceros con fines comerciales o no comerciales, salvo para el cumplimiento de
su contrato con el usuario. Cuando corresponda, los titulares de datos se
obligarán contractualmente a no compartir los datos recibidos de ellos.
Artículo 5
Derecho del usuario a
compartir datos con terceros
1. A petición de un usuario, o de quien actúe en su nombre, el titular de
los datos pondrá a disposición de un tercero, sin demora indebida, los datos
fácilmente disponibles, así como los metadatos necesarios para su
interpretación y utilización, de la misma calidad que los que tenga a su
disposición, de forma sencilla, segura y gratuita para el usuario, en un
formato completo, estructurado, de uso común y legible por máquina y, cuando
sea pertinente y técnicamente viable, de forma continua y en tiempo real. El
titular de los datos pondrá a disposición del tercero los datos de conformidad
con los artículos 8 y 9.
2. El apartado 1 no se aplicará a los datos fácilmente disponibles en el
contexto de las pruebas de nuevos productos, sustancias o procesos relacionados
que aún no se hayan comercializado, a menos que su uso por un tercero esté
permitido contractualmente.
3. Ninguna empresa designada como guardián de acceso, de conformidad con el
artículo 3 del Reglamento (UE) 2022/1925, será un tercero elegible en virtud
del presente artículo y, por lo tanto, no podrá:
(a) solicitar o incentivar comercialmente a
un usuario de cualquier manera, incluso proporcionando compensación monetaria o
de cualquier otro tipo, para que ponga a disposición de uno de sus servicios
datos que el usuario haya obtenido de conformidad con una solicitud conforme al
Artículo 4(1);
(b) solicitar o incentivar comercialmente a
un usuario para que solicite al titular de los datos que ponga los datos a
disposición de uno de sus servicios de conformidad con el párrafo 1 de este
artículo;
(c) recibir datos de un usuario que este haya
obtenido de conformidad con una solicitud de conformidad con el artículo 4(1).
4. Para verificar si una persona física o jurídica cumple los requisitos de
usuario o de tercero a los efectos del apartado 1, ni el usuario ni el tercero
estarán obligados a proporcionar más información de la necesaria. Los titulares
de los datos no conservarán información sobre el acceso del tercero a los datos
solicitados más allá de la necesaria para la correcta ejecución de su solicitud
de acceso y para la seguridad y el mantenimiento de la infraestructura de
datos.
5. El tercero no utilizará medios coercitivos ni abusará de las lagunas en
la infraestructura técnica del titular de los datos diseñada para proteger los
datos con el fin de obtener acceso a los mismos.
6. El titular de los datos no utilizará ningún dato fácilmente disponible
para obtener información sobre la situación económica, los activos y los
métodos de producción de un tercero, ni para su uso por parte de este de
cualquier otra manera que pueda perjudicar su posición comercial en los
mercados en los que opera, a menos que este haya dado su autorización para
dicho uso y tenga la posibilidad técnica de revocarla fácilmente en cualquier
momento.
7. Cuando el usuario no sea el interesado cuyos datos personales se
solicitan, el titular de los datos pondrá a disposición del tercero los datos
personales generados por el uso de un producto conectado o un servicio
relacionado únicamente cuando exista una base jurídica válida para el
tratamiento de conformidad con el artículo 6 del Reglamento (UE) 2016/679 y, en
su caso, se cumplan las condiciones del artículo 9 de dicho Reglamento y del
artículo 5, apartado 3, de la Directiva 2002/58/CE.
8. El hecho de que el titular de los datos y el tercero no lleguen a un
acuerdo sobre las modalidades de transmisión de los datos no obstaculizará,
impedirá ni interferirá en el ejercicio de los derechos del interesado en
virtud del Reglamento (UE) 2016/679 y, en particular, en el derecho a la
portabilidad de los datos en virtud del artículo 20 de dicho Reglamento.
9. Los secretos comerciales se preservarán y se divulgarán a terceros solo
en la medida en que dicha divulgación sea estrictamente necesaria para cumplir
la finalidad acordada entre el usuario y el tercero. El titular de los datos o,
en caso de ser personas distintas, el titular del secreto comercial
identificará los datos protegidos como secretos comerciales, incluidos los
metadatos pertinentes, y acordará con el tercero todas las medidas técnicas y
organizativas proporcionadas necesarias para preservar la confidencialidad de
los datos compartidos, como condiciones contractuales tipo, acuerdos de
confidencialidad, protocolos de acceso estrictos, normas técnicas y la
aplicación de códigos de conducta.
10. En caso de que no se llegue a un acuerdo sobre las medidas necesarias a
que se refiere el apartado 9 del presente artículo, o si el tercero no aplica
las medidas acordadas en virtud del apartado 9 del presente artículo o
menoscaba la confidencialidad de los secretos comerciales, el titular de los
datos podrá denegar o, en su caso, suspender la cesión de los datos
identificados como secretos comerciales. La decisión del titular de los datos
deberá estar debidamente motivada y notificarse por escrito al tercero sin
demora indebida. En tales casos, el titular de los datos notificará a la
autoridad competente designada de conformidad con el artículo 37 que ha
denegado o suspendido la cesión de datos e identificará las medidas que no se han
acordado o aplicado y, en su caso, los secretos comerciales cuya
confidencialidad se ha menoscabado.
11. En circunstancias excepcionales, si el titular de los datos que sea
titular de un secreto comercial puede demostrar que es muy probable que sufra
un perjuicio económico grave por la divulgación de secretos comerciales, a
pesar de las medidas técnicas y organizativas adoptadas por el tercero de
conformidad con el apartado 9 del presente artículo, dicho titular podrá
denegar, caso por caso, una solicitud de acceso a los datos específicos en
cuestión. Dicha demostración deberá estar debidamente justificada con elementos
objetivos, en particular la aplicabilidad de la protección de los secretos
comerciales en terceros países, la naturaleza y el nivel de confidencialidad de
los datos solicitados, y la singularidad y novedad del producto relacionado, y
deberá proporcionarse por escrito al tercero sin demora indebida. Si el titular
de los datos se niega a compartir los datos de conformidad con el presente
apartado, lo notificará a la autoridad competente designada de conformidad con
el artículo 37.
12. Sin perjuicio del derecho del tercero a solicitar reparación en
cualquier etapa ante un órgano jurisdiccional de un Estado miembro, un tercero
que desee impugnar la decisión del titular de los datos de denegar, retener o
suspender la compartición de datos de conformidad con los apartados 10 y 11
podrá:
(a) presentar, de conformidad con el artículo
37, apartado 5, letra b), una reclamación ante la autoridad competente, que
decidirá, sin demora indebida, si debe iniciarse o reanudarse el intercambio de
datos y en qué condiciones; o
(b) acordar con el titular de los datos
remitir el asunto a un órgano de resolución de controversias de conformidad con
el artículo 10(1).
13. El derecho a que se refiere el apartado 1 no afectará negativamente a
los derechos de los interesados con arreglo a la legislación de la Unión y
nacional aplicable en materia de protección de datos personales.
Artículo 6
Obligaciones de los
terceros que reciben datos a petición del usuario
1. Un tercero tratará los datos que se le faciliten de conformidad con el
artículo 5 únicamente para los fines y en las condiciones acordados con el
usuario y con sujeción a la legislación de la Unión y nacional en materia de
protección de datos personales, incluidos los derechos del interesado en lo que
respecta a los datos personales. El tercero suprimirá los datos cuando ya no
sean necesarios para la finalidad acordada, salvo acuerdo en contrario con el
usuario en relación con los datos no personales.
2. El tercero no podrá:
(a) dificultar indebidamente el ejercicio de
las opciones o derechos previstos en el artículo 5 y en el presente artículo
por parte del usuario, incluso ofreciendo opciones al usuario de manera no
neutral, o coaccionándolo, engañándolo o manipulándolo, o subvirtiendo o
menoscabando su autonomía, su capacidad de decisión o sus opciones, incluso por
medio de una interfaz digital de usuario o de una parte de ella;
(b) no obstante lo dispuesto en el artículo
22, apartado 2, letras a) y c), del Reglamento (UE) 2016/679, utilizar los
datos que reciba para la elaboración de perfiles, a menos que sea necesario
para prestar el servicio solicitado por el usuario;
(c) poner a disposición de otro tercero los
datos que recibe, a menos que los datos se pongan a disposición sobre la base
de un contrato con el usuario, y siempre que el otro tercero adopte todas las
medidas necesarias acordadas entre el titular de los datos y el tercero para
preservar la confidencialidad de los secretos comerciales;
(d) poner los datos que recibe a disposición
de una empresa designada como guardián de acceso de conformidad con el artículo
3 del Reglamento (UE) 2022/1925;
(d) utilizar los datos que recibe para
desarrollar un producto que compita con el producto conectado del que se
originan los datos a los que se accede o compartir los datos con otro tercero
para ese fin; los terceros tampoco utilizarán ningún dato de producto no
personal o datos de servicios relacionados que se pongan a su disposición para
obtener información sobre la situación económica, los activos y los métodos de
producción o el uso por parte del titular de los datos;
(e) utilizar los datos que recibe de una
manera que tenga un impacto adverso en la seguridad del producto conectado o
del servicio relacionado;
(g) ignorar las medidas específicas
acordadas con el titular de los datos o con el titular de los secretos
comerciales de conformidad con el artículo 5(9) y menoscabar la
confidencialidad de los secretos comerciales;
(h) impedir que el usuario que sea
consumidor, incluso sobre la base de un contrato, ponga a disposición de otras
partes los datos que recibe.
Artículo 7
Alcance de las
obligaciones de intercambio de datos entre empresas y consumidores y entre
empresas
1. Las obligaciones del presente capítulo no se aplicarán a los datos
generados mediante el uso de productos conexos fabricados o diseñados o
servicios conexos prestados por una microempresa o una pequeña empresa, siempre
que dicha empresa no tenga una empresa asociada o una empresa vinculada en el
sentido del artículo 3 del anexo de la Recomendación 2003/361/CE que no se
considere una microempresa o una pequeña empresa y que la microempresa o la
pequeña empresa no esté subcontratada para fabricar o diseñar un producto
conexo o para prestar un servicio conexo.
Lo mismo se aplicará a los datos generados mediante el uso de productos
conexos fabricados o servicios relacionados prestados por una empresa que haya
sido calificada como empresa de tamaño mediano con arreglo al artículo 2 del
anexo de la Recomendación 2003/361/CE durante menos de un año, y a los
productos conexos durante un año después de la fecha en la que fueron
introducidos en el mercado por una empresa de tamaño mediano.
2. Cualquier cláusula contractual que, en detrimento del usuario, excluya
la aplicación, derogue o varíe el efecto de los derechos del usuario en virtud
del presente Capítulo no será vinculante para el usuario.
CAPÍTULO III
OBLIGACIONES DE LOS
TITULARES DE DATOS OBLIGADOS A FACILITAR LOS DATOS DE CONFORMIDAD CON EL
DERECHO DE LA UNIÓN
Artículo 8
Condiciones en las que
los titulares de datos ponen los datos a disposición de los destinatarios de
los mismos
1. Cuando, en las relaciones entre empresas, un titular de datos esté
obligado a poner datos a disposición de un destinatario de datos en virtud del
artículo 5 o de otra legislación aplicable de la Unión o de la legislación
nacional adoptada de conformidad con el Derecho de la Unión, acordará con el
destinatario de datos las modalidades de puesta a disposición de los datos y lo
hará en términos y condiciones justos, razonables y no discriminatorios y de
manera transparente, de conformidad con el presente capítulo y el capítulo IV.
2. Una cláusula contractual relativa al acceso y uso de datos, o a la
responsabilidad y los recursos por el incumplimiento o la terminación de las
obligaciones relacionadas con los datos, no será vinculante si constituye una
cláusula contractual abusiva en el sentido del artículo 13 o si, en detrimento
del usuario, excluye la aplicación, deroga o modifica el efecto de los derechos
del usuario en virtud del capítulo II.
3. El titular de los datos no discriminará en lo que respecta a las
modalidades de puesta a disposición de los datos entre categorías comparables
de destinatarios, incluidas las empresas asociadas o vinculadas al titular, al
poner a disposición los datos. Si el destinatario considera que las condiciones
en las que se le han puesto a disposición son discriminatorias, el titular de
los datos le proporcionará, sin demora indebida, previa solicitud motivada,
información que demuestre que no ha habido discriminación.
4. El titular de datos no pondrá los datos a disposición de un destinatario
de datos, incluso de forma exclusiva, a menos que el usuario lo solicite de
conformidad con el Capítulo II.
5. Los titulares y destinatarios de los datos no estarán obligados a
facilitar más información de la necesaria para verificar el cumplimiento de las
condiciones contractuales acordadas para la puesta a disposición de los datos o
de sus obligaciones en virtud del presente Reglamento u otra legislación
aplicable de la Unión o la legislación nacional adoptada de conformidad con el
Derecho de la Unión.
6. Salvo que se disponga lo contrario en el Derecho de la Unión, incluidos
el artículo 4, apartado 6, y el artículo 5, apartado 9, del presente
Reglamento, o en la legislación nacional adoptada de conformidad con el Derecho
de la Unión, la obligación de poner los datos a disposición de un destinatario
de datos no obligará a la divulgación de secretos comerciales.
Artículo 9
Compensación por poner
a disposición los datos
1. Cualquier compensación acordada entre un titular de datos y un receptor
de datos por poner los datos a disposición en relaciones entre empresas será no
discriminatoria y razonable y podrá incluir un margen.
2. Al acordar cualquier compensación, el titular y el destinatario de los
datos tendrán en cuenta en particular:
(a) los costes ocasionados por la puesta a
disposición de los datos, incluidos, en particular, los costes necesarios para
el formateo de los datos, su difusión por medios electrónicos y su
almacenamiento;
(b) inversiones en la recopilación y producción
de datos, cuando corresponda, teniendo en cuenta si otras partes contribuyeron
a la obtención, generación o recopilación de los datos en cuestión.
3. La compensación a que se refiere el apartado 1 podrá depender también
del volumen, el formato y la naturaleza de los datos.
4. Cuando el destinatario de los datos sea una PYME o una organización de
investigación sin ánimo de lucro y dicho destinatario no tenga empresas
asociadas o vinculadas que no cumplan los requisitos de PYME, la compensación
acordada no superará los costes a que se refiere el apartado 2, letra a).
5. La Comisión adoptará directrices sobre el cálculo de una compensación
razonable, teniendo en cuenta el asesoramiento del Comité Europeo de Innovación
en Datos (CEID) a que se refiere el artículo 42.
6. El presente artículo no impedirá que otras disposiciones del Derecho de
la Unión o la legislación nacional adoptada de conformidad con el Derecho de la
Unión excluyan la compensación por la puesta a disposición de datos o prevean
una compensación inferior.
7. El titular de los datos deberá proporcionar al destinatario de los datos
información que establezca la base para el cálculo de la compensación con
suficiente detalle para que el destinatario de los datos pueda evaluar si se
cumplen los requisitos de los apartados 1 a 4.
Artículo 10
Solución de
controversias
1. Los usuarios, titulares de datos y destinatarios de datos tendrán acceso
a un organismo de resolución de controversias, certificado de conformidad con
el apartado 5 del presente artículo, para resolver las controversias con
arreglo al artículo 4, apartados 3 y 9, y al artículo 5, apartado 12, así como
las controversias relativas a las condiciones justas, razonables y no
discriminatorias y a la forma transparente de poner a disposición los datos de
conformidad con el presente capítulo y el capítulo IV.
2. Los órganos de solución de diferencias pondrán en conocimiento de las
partes interesadas las tasas o los mecanismos utilizados para determinarlas
antes de que éstas soliciten una decisión.
3. En el caso de litigios remitidos a un organismo de resolución de
litigios de conformidad con el artículo 4, apartados 3 y 9, y el artículo 5, apartado
12, cuando dicho organismo resuelva a favor del usuario o del destinatario de
los datos, el titular de los datos asumirá la totalidad de las tasas cobradas
por dicho organismo y reembolsará al usuario o destinatario de los datos
cualquier otro gasto razonable en que haya incurrido en relación con la
resolución del litigio. Si el organismo de resolución de litigios resuelve a
favor del titular de los datos, este no estará obligado a reembolsar las tasas
ni otros gastos que el titular de los datos haya pagado o deba pagar en
relación con la resolución del litigio, a menos que el organismo de resolución
de litigios determine que el usuario o el destinatario de los datos actuó
manifiestamente de mala fe.
4. Los clientes y proveedores de servicios de tratamiento de datos tendrán
acceso a un organismo de resolución de litigios, certificado de conformidad con
el apartado 5 del presente artículo, para resolver los litigios relacionados
con infracciones de los derechos de los clientes y de las obligaciones de los
proveedores de servicios de tratamiento de datos, de conformidad con los
artículos 23 a 31.
5. El Estado miembro en el que esté establecido el organismo de resolución
de litigios lo certificará, a petición de dicho organismo, cuando haya
demostrado que cumple todas las condiciones siguientes:
(a) es imparcial e independiente y debe
emitir sus decisiones de conformidad con reglas de procedimiento claras, no
discriminatorias y justas;
(b) cuenta con la experiencia necesaria, en
particular en relación con términos y condiciones justos, razonables y no
discriminatorios, incluida la compensación, y en la puesta a disposición de
datos de manera transparente, lo que permite al organismo determinar
efectivamente dichos términos y condiciones;
(c) es fácilmente accesible a través de la
tecnología de comunicación electrónica;
(d) es capaz de adoptar sus decisiones de
forma rápida, eficiente y rentable en al menos una lengua oficial de la Unión.
6. Los Estados miembros notificarán a la Comisión los organismos de
resolución de litigios certificados de conformidad con el apartado 5. La
Comisión publicará una lista de dichos organismos en un sitio web específico y
la mantendrá actualizada.
7. Un órgano de resolución de litigios se negará a tramitar una solicitud
de resolución de un litigio que ya se haya planteado ante otro órgano de resolución
de litigios o ante un órgano jurisdiccional de un Estado miembro.
8. Un órgano de solución de diferencias otorgará a las partes la
posibilidad, dentro de un plazo razonable, de expresar sus puntos de vista
sobre los asuntos que hayan sometido a dicho órgano. En ese contexto, cada
parte en una controversia recibirá las alegaciones de la otra parte en la
controversia y las declaraciones de los expertos. Las partes tendrán la
posibilidad de formular observaciones sobre dichas alegaciones y declaraciones.
9. Un órgano de solución de diferencias adoptará su decisión sobre un
asunto que se le haya sometido dentro de los 90 días siguientes a la recepción
de una solicitud de conformidad con los párrafos 1 y 4. Esa decisión se hará
por escrito o en un soporte duradero y estará justificada.
10. Los órganos de resolución de controversias elaborarán y publicarán
informes anuales de actividad. Dichos informes anuales incluirán, en
particular, la siguiente información general:
(a) una agregación de los resultados de las
disputas;
(b) el tiempo promedio que toma resolver las
disputas;
(c) Las razones más comunes de disputas.
11. A fin de facilitar el intercambio de información y mejores prácticas,
un órgano de solución de diferencias podrá decidir incluir en el informe a que
se refiere el párrafo 10 recomendaciones sobre cómo pueden evitarse o
resolverse los problemas.
12. La decisión de un órgano de solución de controversias será vinculante
para las partes únicamente si éstas han consentido explícitamente en su
carácter vinculante antes del inicio del procedimiento de solución de
controversias.
13. El presente artículo no afecta al derecho de las partes a buscar un
recurso efectivo ante un tribunal de un Estado miembro.
Artículo 11
Medidas técnicas de
protección contra el uso o la divulgación no autorizados de datos
1. El titular de datos podrá aplicar medidas técnicas de protección
adecuadas, como contratos inteligentes y cifrado, para evitar el acceso no
autorizado a los datos, incluidos los metadatos, y garantizar el cumplimiento
de los artículos 4, 5, 6, 8 y 9, así como de las condiciones contractuales
acordadas para la puesta a disposición de los datos. Dichas medidas técnicas de
protección no discriminarán entre los destinatarios de los datos ni
obstaculizarán el derecho del usuario a obtener una copia, recuperar, utilizar
o acceder a los datos, ni a proporcionarlos a terceros de conformidad con el
artículo 5, ni ningún derecho de un tercero en virtud del Derecho de la Unión o
de la legislación nacional adoptada de conformidad con el Derecho de la Unión.
Los usuarios, terceros y destinatarios de datos no modificarán ni eliminarán
dichas medidas técnicas de protección a menos que lo autorice el titular de los
datos.
2. En las circunstancias a que se refiere el apartado 3, el tercero o el
destinatario de los datos deberá atender, sin dilación indebida, las
solicitudes del titular de los datos y, en su caso y cuando no sean la misma
persona, del titular del secreto comercial o del usuario:
(a) borrar los datos puestos a disposición
por el titular de los datos y cualquier copia de los mismos;
(b) poner fin a la producción, oferta o
comercialización o utilización de bienes, datos derivados o servicios
producidos sobre la base del conocimiento obtenido a través de dichos datos, o
la importación, exportación o almacenamiento de bienes infractores para esos
fines, y destruir cualquier producto infractor, cuando exista un riesgo grave
de que el uso ilícito de esos datos cause un daño significativo al titular de
los datos, al titular del secreto comercial o al usuario o cuando dicha medida
no sea desproporcionada a la luz de los intereses del titular de los datos, del
titular del secreto comercial o del usuario;
(c) informar al usuario del uso o divulgación
no autorizados de los datos y de las medidas adoptadas para poner fin a dicho
uso o divulgación no autorizados;
(d) para compensar a la parte que sufre el
mal uso o la divulgación de dichos datos a los que se ha accedido o utilizado
ilegalmente.
3. El apartado 2 se aplicará cuando un tercero o un destinatario de datos:
(a) con el fin de obtener datos, proporcionó
información falsa al titular de los datos, empleó medios engañosos o
coercitivos o abusó de lagunas en la infraestructura técnica del titular de los
datos diseñada para proteger los datos;
(b) utilizó los datos facilitados para fines
no autorizados, incluido el desarrollo de un producto conectado competidor en
el sentido del artículo 6, apartado 2, letra e);
(c) datos divulgados ilícitamente a otra
parte;
(d) no haya mantenido las medidas técnicas y
organizativas acordadas de conformidad con el artículo 5(9); o
(e) medidas técnicas de protección modificadas
o eliminadas aplicadas por el titular de los datos de conformidad con el
apartado 1 del presente artículo sin el consentimiento del titular de los
datos.
4. El apartado 2 también se aplicará cuando un usuario modifique o elimine
las medidas técnicas de protección aplicadas por el titular de los datos o no
mantenga las medidas técnicas y organizativas adoptadas por el usuario de
acuerdo con el titular de los datos o, si no son la misma persona, el titular
de los secretos comerciales, con el fin de preservar los secretos comerciales,
así como respecto de cualquier otra parte que reciba los datos del usuario
mediante una infracción del presente Reglamento.
5. Cuando el destinatario de los datos infrinja el artículo 6, apartado 2,
letras a) o b), los usuarios tendrán los mismos derechos que los titulares de
los datos en virtud del apartado 2 del presente artículo.
Artículo 12
Alcance de las
obligaciones de los titulares de datos obligados por el Derecho de la Unión a
poner los datos a disposición
1. El presente capítulo se aplicará cuando, en las relaciones entre
empresas, el titular de datos esté obligado en virtud del artículo 5 o de la
legislación aplicable de la Unión o de la legislación nacional adoptada de
conformidad con el Derecho de la Unión, a poner los datos a disposición de un
destinatario de datos.
2. Una cláusula contractual en un acuerdo de intercambio de datos que, en
detrimento de una de las partes o, en su caso, en detrimento del usuario,
excluya la aplicación de este Capítulo, lo derogue o varíe sus efectos, no será
vinculante para esa parte.
CAPÍTULO IV
Cláusulas
contractuales injustas relacionadas con el acceso y uso de datos entre empresas
Artículo 13
Cláusulas
contractuales injustas impuestas unilateralmente a otra empresa
1. Una cláusula contractual relativa al acceso y uso de datos o a la
responsabilidad y los recursos por el incumplimiento o la terminación de
obligaciones relacionadas con los datos, que haya sido impuesta unilateralmente
por una empresa a otra empresa, no será vinculante para esta última empresa si
es abusiva.
2. No se considerará abusiva una cláusula contractual que refleje
disposiciones imperativas del Derecho de la Unión o disposiciones del Derecho
de la Unión que se aplicarían si las cláusulas contractuales no regularan la
materia.
3. Una cláusula contractual es abusiva si es de tal naturaleza que su uso
se desvía groseramente de las buenas prácticas comerciales en el acceso y uso
de datos, en contra de la buena fe y el trato justo.
4. En particular, una cláusula contractual será abusiva a los efectos del
apartado 3, si su objeto o efecto es:
(a) excluir o limitar la responsabilidad de
la parte que impuso unilateralmente el plazo por actos intencionales o
negligencia grave;
(b) excluir los recursos disponibles para la
parte a la que se le ha impuesto unilateralmente el plazo en caso de incumplimiento
de las obligaciones contractuales, o la responsabilidad de la parte que impuso
unilateralmente el plazo en caso de incumplimiento de esas obligaciones;
(c) otorgar a la parte que impuso
unilateralmente el término el derecho exclusivo de determinar si los datos
suministrados son conformes con el contrato o de interpretar cualquier término
contractual.
5. Se presumirá que una cláusula contractual es abusiva a los efectos del
apartado 3 si su objeto o efecto es:
(a) limitar inapropiadamente los recursos en
caso de incumplimiento de las obligaciones contractuales o la responsabilidad
en caso de incumplimiento de esas obligaciones, o ampliar la responsabilidad de
la empresa a la que se ha impuesto unilateralmente el plazo;
(b) permitir a la parte que impuso
unilateralmente el plazo acceder y utilizar los datos de la otra parte
contratante de una manera que sea significativamente perjudicial para los
intereses legítimos de la otra parte contratante, en particular cuando dichos
datos contengan datos comercialmente sensibles o estén protegidos por secretos
comerciales o por derechos de propiedad intelectual;
(c) impedir que la parte a la que se ha
impuesto unilateralmente el plazo utilice los datos proporcionados o generados
por esa parte durante la duración del contrato, o limitar el uso de dichos
datos en la medida en que esa parte no tenga derecho a utilizar, capturar,
acceder o controlar dichos datos o explotar el valor de dichos datos de manera
adecuada;
(d) impedir que la parte a la que se le ha
impuesto unilateralmente el plazo rescinda el contrato dentro de un plazo
razonable;
(mi) impedir que la parte a la que se ha
impuesto unilateralmente el plazo obtenga una copia de los datos proporcionados
o generados por esa parte durante la vigencia del contrato o dentro de un plazo
razonable después de su terminación;
(f) permitir a la parte que impuso
unilateralmente el plazo rescindir el contrato con un preaviso irrazonablemente
breve, tomando en consideración cualquier posibilidad razonable de que la otra
parte contratante cambie a un servicio alternativo y comparable y el perjuicio
financiero causado por dicha rescisión, excepto cuando existan motivos graves
para hacerlo;
(g) permitir a la parte que impuso
unilateralmente el plazo cambiar sustancialmente el precio especificado en el
contrato o cualquier otra condición sustantiva relacionada con la naturaleza,
el formato, la calidad o la cantidad de los datos que se compartirán, cuando en
el contrato no se especifique ninguna razón válida ni ningún derecho de la otra
parte a rescindir el contrato en caso de tal cambio.
La letra g) del primer párrafo no afectará a las cláusulas mediante las
cuales la parte que impuso unilateralmente la cláusula se reserva el derecho de
cambiar unilateralmente las condiciones de un contrato de duración
indeterminada, siempre que el contrato especifique una razón válida para tales
cambios unilaterales, que la parte que impuso unilateralmente la cláusula esté
obligada a proporcionar a la otra parte contratante un aviso razonable de
cualquier cambio previsto, y que la otra parte contratante sea libre de
rescindir el contrato sin coste alguno en caso de cambio.
6. Se considerará que una cláusula contractual ha sido impuesta
unilateralmente, a efectos del presente artículo, si ha sido proporcionada por
una parte contratante y la otra parte contratante no ha podido influir en su
contenido a pesar de intentar negociarla. La parte contratante que proporcionó
la cláusula contractual tiene la carga de probar que dicha cláusula no ha sido
impuesta unilateralmente. La parte contratante que proporcionó la cláusula
contractual impugnada no podrá alegar que se trata de una cláusula abusiva.
7. Cuando la cláusula contractual abusiva sea separable de las restantes
cláusulas del contrato, éstas serán vinculantes.
8. El presente artículo no se aplica a las cláusulas contractuales que
definen el objeto principal del contrato ni a la adecuación del precio a los
datos suministrados a cambio.
9. Las partes de un contrato comprendido en el apartado 1 no podrán excluir
la aplicación de este artículo, establecer excepciones a él ni modificar sus
efectos.
CAPÍTULO V
PONER DATOS A DISPOSICIÓN
DE LOS ORGANISMOS DEL SECTOR PÚBLICO, LA COMISIÓN, EL BANCO CENTRAL EUROPEO Y
LOS ORGANISMOS DE LA UNIÓN EN CASO DE NECESIDAD EXCEPCIONAL
Artículo 14
Obligación de poner a
disposición los datos en base a una necesidad excepcional
Cuando un organismo del sector público, la Comisión, el Banco Central
Europeo o un organismo de la Unión demuestren una necesidad excepcional, como
se establece en el artículo 15, de utilizar determinados datos, incluidos los
metadatos pertinentes necesarios para interpretar y utilizar dichos datos, para
llevar a cabo sus obligaciones estatutarias en interés público, los titulares
de datos que sean personas jurídicas, distintas de los organismos del sector
público, que posean dichos datos los pondrán a disposición mediante una solicitud
debidamente motivada.
Artículo 15
Necesidad excepcional
de utilizar datos
1. La necesidad excepcional de utilizar determinados datos en el sentido
del presente Capítulo estará limitada en el tiempo y su alcance y se
considerará existente únicamente en cualquiera de las circunstancias
siguientes:
(a) cuando los datos solicitados sean
necesarios para responder a una emergencia pública y el organismo del sector
público, la Comisión, el Banco Central Europeo o el organismo de la Unión no
puedan obtener dichos datos por medios alternativos de manera oportuna y eficaz
en condiciones equivalentes;
(b) en
circunstancias no contempladas en la letra a) y solo en la medida en que se
trate de datos no personales, cuando:
(i) un organismo del sector público, la
Comisión, el Banco Central Europeo o un organismo de la Unión actúa sobre la
base del Derecho de la Unión o nacional y ha identificado datos específicos
cuya falta le impide cumplir una tarea específica llevada a cabo en interés
público, que ha sido explícitamente prevista por la ley, como la producción de
estadísticas oficiales o la mitigación o recuperación de una emergencia
pública; y
(ii) el organismo del sector público, la
Comisión, el Banco Central Europeo o el organismo de la Unión ha agotado todos
los demás medios a su disposición para obtener dichos datos, incluida la compra
de datos no personales en el mercado ofreciendo precios de mercado, o basándose
en obligaciones existentes de poner a disposición los datos o en la adopción de
nuevas medidas legislativas que puedan garantizar la disponibilidad oportuna de
los datos.
2. El apartado 1, letra b), no se aplicará a las microempresas ni a las
pequeñas empresas.
3. La obligación de demostrar que el organismo del sector público no pudo
obtener datos no personales comprándolos en el mercado no se aplicará cuando la
tarea específica realizada en interés público sea la producción de estadísticas
oficiales y cuando la compra de dichos datos no esté permitida por el Derecho
nacional.
Artículo 16
Relación con otras
obligaciones de puesta a disposición de los datos a los organismos del sector
público, la Comisión, el Banco Central Europeo y los organismos de la Unión
1. El presente capítulo no afectará a las obligaciones establecidas en el
Derecho de la Unión o nacional a efectos de notificación, cumplimiento de
solicitudes de acceso a la información o demostración o verificación del
cumplimiento de las obligaciones legales.
2. El presente capítulo no se aplicará a los organismos del sector público,
a la Comisión, al Banco Central Europeo ni a los organismos de la Unión que
realicen actividades de prevención, investigación, detección o enjuiciamiento
de infracciones penales o administrativas, o de ejecución de sanciones penales,
ni a la administración aduanera o tributaria. El presente capítulo no afecta al
Derecho de la Unión y nacional aplicable en materia de prevención,
investigación, detección o enjuiciamiento de infracciones penales o
administrativas, o de ejecución de sanciones penales o administrativas, ni a la
administración aduanera o tributaria.
Artículo 17
Solicitudes de puesta
a disposición de datos
1. Al solicitar datos de conformidad con el artículo 14, un organismo del
sector público, la Comisión, el Banco Central Europeo o un organismo de la
Unión deberán:
(a) especificar los datos necesarios,
incluidos los metadatos pertinentes necesarios para interpretar y utilizar
dichos datos;
(b) demostrar que se cumplen las condiciones
necesarias para la existencia de una necesidad excepcional a que se refiere el
artículo 15 para cuyo fin se solicitan los datos;
(c) explicar la finalidad de la solicitud, el
uso previsto de los datos solicitados, incluido, cuando corresponda, por un
tercero de conformidad con el apartado 4 del presente artículo, la duración de
dicho uso y, cuando corresponda, cómo el tratamiento de los datos personales
debe abordar la necesidad excepcional;
(d) especificar, si es posible, cuándo se
espera que los datos sean borrados por todas las partes que tienen acceso a
ellos;
(mi) justificar la elección del titular de los
datos al que se dirige la solicitud;
(f) especificar cualquier otro organismo del
sector público o los organismos de la Comisión, del Banco Central Europeo o de
la Unión y los terceros con los que se espera compartir los datos solicitados;
(g) cuando se soliciten datos personales,
especificar las medidas técnicas y organizativas necesarias y proporcionadas
para aplicar los principios de protección de datos y las garantías necesarias,
como la seudonimización, y si el titular de los datos puede aplicar la
anonimización antes de poner los datos a disposición;
(h) indicar la disposición legal que atribuye
al organismo del sector público solicitante, a la Comisión, al Banco Central
Europeo o al organismo de la Unión la tarea específica realizada en interés
público pertinente para solicitar los datos;
(i) especificar la fecha límite en la que
los datos deberán estar disponibles y la fecha límite a que se refiere el
artículo 18(2) en la que el titular de los datos puede rechazar o solicitar la
modificación de la solicitud;
(j) hacer todo lo posible para evitar que el
cumplimiento de la solicitud de datos dé lugar a la responsabilidad de los
titulares de los datos por infracción del Derecho de la Unión o nacional.
2. Una solicitud de datos realizada de conformidad con el apartado 1 del
presente artículo deberá:
(a) hacerse por escrito y expresarse en un
lenguaje claro, conciso y sencillo, comprensible para el titular de los datos;
(b) ser específicos respecto del tipo de
datos solicitados y corresponder a los datos sobre los cuales el titular de los
datos tiene control en el momento de la solicitud;
(c) ser proporcional a la necesidad excepcional
y debidamente justificada, en cuanto a la granularidad y volumen de los datos
solicitados y la frecuencia de acceso a los datos solicitados;
(d) respetar los fines legítimos del titular
de los datos, comprometiéndose a garantizar la protección de los secretos
comerciales de conformidad con el artículo 19(3), y el coste y el esfuerzo
necesarios para poner los datos a disposición;
(e) referirse a datos no personales, y solo si
se demuestra que esto es insuficiente para responder a la necesidad excepcional
de utilizar datos, de conformidad con el artículo 15, apartado 1, letra a),
solicitar datos personales en forma seudonimizada y establecer las medidas
técnicas y organizativas que deben adoptarse para proteger los datos;
(f) informar al titular de los datos de las
sanciones que se deberán imponer de conformidad con el artículo 40 por la
autoridad competente designada de conformidad con el artículo 37 en caso de
incumplimiento de la solicitud;
(g) cuando la solicitud la presente un
organismo del sector público, se transmitirá al coordinador de datos a que se
refiere el artículo 37 del Estado miembro en el que esté establecido el
organismo del sector público solicitante, quien hará pública la solicitud en
línea sin demora indebida, a menos que el coordinador de datos considere que
dicha publicación crearía un riesgo para la seguridad pública;
(h) cuando la solicitud la realice la
Comisión, el Banco Central Europeo o un organismo de la Unión, ponerse a
disposición en línea sin demora indebida;
(i) cuando se soliciten datos personales,
ser notificados sin dilación indebida a la autoridad de control encargada de
supervisar la aplicación del Reglamento (UE) 2016/679 en el Estado miembro en
el que esté establecido el organismo del sector público.
El Banco Central Europeo y los organismos de la Unión informarán a la
Comisión de sus solicitudes.
3. Ningún organismo del sector público, la Comisión, el Banco Central
Europeo ni ningún organismo de la Unión pondrá a disposición para su
reutilización los datos obtenidos en virtud del presente capítulo, tal como se
define en el artículo 2, punto 2, del Reglamento (UE) 2022/868 o en el artículo
2, punto 11, de la Directiva (UE) 2019/1024. El Reglamento (UE) 2022/868 y la
Directiva (UE) 2019/1024 no se aplicarán a los datos que obren en poder de
organismos del sector público obtenidos en virtud del presente capítulo.
4. El apartado 3 del presente artículo no impedirá que un organismo del
sector público, la Comisión, el Banco Central Europeo o un organismo de la
Unión intercambien datos obtenidos en virtud del presente capítulo con otro
organismo del sector público o con la Comisión, el Banco Central Europeo o un
organismo de la Unión con vistas a llevar a cabo las tareas a que se refiere el
artículo 15, según se especifique en la solicitud de conformidad con el
apartado 1, letra f), del presente artículo, ni que pongan los datos a
disposición de un tercero cuando hayan delegado, mediante un acuerdo público,
inspecciones técnicas u otras funciones en dicho tercero. Las obligaciones de
los organismos del sector público en virtud del artículo 19, en particular las
garantías para preservar la confidencialidad de los secretos comerciales, se
aplicarán también a dichos terceros. Cuando un organismo del sector público, la
Comisión, el Banco Central Europeo o un organismo de la Unión transmita o ponga
a disposición datos en virtud del presente apartado, lo notificará sin demora
indebida al titular de los datos del que los recibió.
5. Cuando el titular de los datos considere que sus derechos en virtud del
presente capítulo han sido vulnerados por la transmisión o puesta a disposición
de los datos, podrá presentar una reclamación ante la autoridad competente
designada de conformidad con el artículo 37 del Estado miembro en el que esté
establecido el titular de los datos.
6. La Comisión elaborará un modelo de plantilla para las solicitudes
presentadas de conformidad con el presente artículo.
Artículo 18
Cumplimiento de las
solicitudes de datos
1. El titular de datos que reciba una solicitud de puesta a disposición de
datos en virtud del presente capítulo pondrá los datos a disposición del
organismo del sector público solicitante, de la Comisión, del Banco Central
Europeo o de un organismo de la Unión sin demora indebida, teniendo en cuenta
las medidas técnicas, organizativas y jurídicas necesarias.
2. Sin perjuicio de las necesidades específicas relativas a la
disponibilidad de datos definidas en el Derecho de la Unión o nacional, el
titular de datos podrá denegar o solicitar la modificación de una solicitud de
puesta a disposición de datos en virtud del presente capítulo sin demora
indebida y, en cualquier caso, a más tardar cinco días hábiles después de la
recepción de una solicitud de los datos necesarios para responder a una
emergencia pública y sin demora indebida y, en cualquier caso, a más tardar 30
días hábiles después de la recepción de dicha solicitud en otros casos de
necesidad excepcional, por cualquiera de los motivos siguientes:
(a) el titular de los datos no tiene control sobre
los datos solicitados;
(b) otro organismo del sector público o la
Comisión, el Banco Central Europeo o un organismo de la Unión ha presentado
previamente una solicitud similar para el mismo fin y no se ha notificado al
titular de los datos la supresión de los mismos de conformidad con el artículo
19, apartado 1, letra c);
(c) la solicitud no cumple las condiciones
establecidas en el artículo 17(1) y (2).
3. Si el titular de los datos decide denegar la solicitud o solicitar su
modificación de conformidad con el apartado 2, letra b), deberá indicar la
identidad del organismo del sector público o de la Comisión, del Banco Central
Europeo o del organismo de la Unión que haya presentado previamente una
solicitud con el mismo fin.
4. Cuando los datos solicitados incluyan datos personales, el titular de
los datos los anonimizará adecuadamente, salvo que el cumplimiento de la
solicitud de puesta a disposición de los datos a un organismo del sector
público, la Comisión, el Banco Central Europeo o un organismo de la Unión
requiera la divulgación de datos personales. En tales casos, el titular de los
datos los seudonimizará.
5. Cuando el organismo del sector público, la Comisión, el Banco Central
Europeo o el organismo de la Unión deseen impugnar la negativa del titular de
los datos a proporcionar los datos solicitados, o cuando el titular de los
datos desee impugnar la solicitud y el asunto no pueda resolverse mediante una
modificación adecuada de la solicitud, el asunto se remitirá a la autoridad
competente designada de conformidad con el artículo 37 del Estado miembro en el
que esté establecido el titular de los datos.
Artículo 19
Obligaciones de los
organismos del sector público, la Comisión, el Banco Central Europeo y los
organismos de la Unión
1. Un organismo del sector público, la Comisión, el Banco Central Europeo o
un organismo de la Unión que reciba datos en virtud de una solicitud presentada
con arreglo al artículo 14 deberá:
(a) no utilizar los datos de forma
incompatible con la finalidad para la que fueron solicitados;
(b) han implementado medidas técnicas y
organizativas que preservan la confidencialidad e integridad de los datos
solicitados y la seguridad de las transferencias de datos, en particular los
datos personales, y salvaguardan los derechos y libertades de los interesados;
(c) borrar los datos tan pronto como ya no sean
necesarios para la finalidad indicada e informar al titular de los datos y a
las personas u organizaciones que recibieron los datos de conformidad con el
artículo 21(1) sin demora indebida de que los datos han sido borrados, a menos
que el archivo de los datos sea necesario de conformidad con la legislación de
la Unión o nacional sobre el acceso público a los documentos en el contexto de
las obligaciones de transparencia.
2. Un organismo del sector público, la Comisión, el Banco Central Europeo,
un organismo de la Unión o un tercero que reciba datos en virtud del presente
capítulo no podrán:
(a) utilizar los datos o conocimientos sobre
la situación económica, los activos y los métodos de producción u operación del
titular de los datos para desarrollar o mejorar un producto conectado o un
servicio relacionado que compita con el producto conectado o el servicio
relacionado del titular de los datos;
(b) compartir los datos con otro tercero para
cualquiera de los fines a que se refiere la letra a).
3. La divulgación de secretos comerciales a un organismo del sector
público, a la Comisión, al Banco Central Europeo o a un organismo de la Unión
solo se requerirá en la medida estrictamente necesaria para alcanzar el
objetivo de una solicitud con arreglo al artículo 15. En tal caso, el titular
de los datos o, si no son la misma persona, el titular del secreto comercial
identificará los datos protegidos como secretos comerciales, incluso en los
metadatos pertinentes. El organismo del sector público, la Comisión, el Banco
Central Europeo o el organismo de la Unión adoptará, antes de la divulgación de
secretos comerciales, todas las medidas técnicas y organizativas necesarias y
apropiadas para preservar la confidencialidad de los mismos, incluyendo, según
corresponda, el uso de cláusulas contractuales tipo, normas técnicas y la
aplicación de códigos de conducta.
4. Un organismo del sector público, la Comisión, el Banco Central Europeo o
un organismo de la Unión serán responsables de la seguridad de los datos que
reciban.
Artículo 20
Compensación en casos
de necesidad excepcional
1. Los titulares de datos que no sean microempresas ni pequeñas empresas
facilitarán gratuitamente los datos necesarios para responder a una emergencia
pública, de conformidad con el artículo 15, apartado 1, letra a). El organismo
del sector público, la Comisión, el Banco Central Europeo o el organismo de la
Unión que haya recibido los datos deberá proporcionar un acuse de recibo
público al titular de los datos si este lo solicita.
2. El titular de los datos tendrá derecho a una compensación justa por la
puesta a disposición de los datos en cumplimiento de una solicitud presentada
de conformidad con el artículo 15, apartado 1, letra b). Dicha compensación
cubrirá los costes técnicos y organizativos en que se haya incurrido para dar
cumplimiento a la solicitud, incluidos, en su caso, los costes de
anonimización, seudonimización, agregación y adaptación técnica, así como un
margen razonable. A petición del organismo del sector público, la Comisión, el
Banco Central Europeo o el organismo de la Unión, el titular de los datos
facilitará información sobre la base del cálculo de los costes y el margen
razonable.
3. El apartado 2 se aplicará también cuando una microempresa o una pequeña
empresa solicite una compensación por poner a disposición datos.
4. Los titulares de datos no tendrán derecho a compensación por facilitar
datos en cumplimiento de una solicitud presentada con arreglo al artículo 15,
apartado 1, letra b), cuando la tarea específica realizada en interés público
sea la elaboración de estadísticas oficiales y la adquisición de datos no esté
permitida por la legislación nacional. Los Estados miembros notificarán a la
Comisión cuando la adquisición de datos para la elaboración de estadísticas
oficiales no esté permitida por la legislación nacional.
5. Cuando el organismo del sector público, la Comisión, el Banco Central
Europeo o el organismo de la Unión no estén de acuerdo con el nivel de
compensación solicitado por el titular de los datos, podrán presentar una
reclamación ante la autoridad competente designada de conformidad con el
artículo 37 del Estado miembro en el que esté establecido el titular de los
datos.
Artículo 21
Intercambio de datos
obtenidos en el contexto de una necesidad excepcional con organizaciones de
investigación u organismos estadísticos
1. Un organismo del sector público, la Comisión, el Banco Central Europeo o
un organismo de la Unión tendrán derecho a compartir los datos recibidos en
virtud del presente capítulo:
(a) con personas u organizaciones con vistas
a realizar investigaciones científicas o análisis compatibles con el propósito
para el que se solicitaron los datos; o
(b) con los institutos nacionales de
estadística y Eurostat para la producción de estadísticas oficiales.
2. Las personas u organizaciones que reciban los datos de conformidad con
el apartado 1 actuarán sin ánimo de lucro o en el contexto de una misión de
interés público reconocida por el Derecho de la Unión o nacional. No incluirán
organizaciones sobre las que empresas comerciales ejerzan una influencia
significativa que pueda dar lugar a un acceso preferente a los resultados de la
investigación.
3. Las personas u organizaciones que reciban los datos de conformidad con
el apartado 1 del presente artículo cumplirán las mismas obligaciones que son
aplicables a los organismos del sector público, la Comisión, el Banco Central
Europeo o los organismos de la Unión de conformidad con el artículo 17,
apartado 3, y el artículo 19.
4. No obstante lo dispuesto en el artículo 19, apartado 1, letra c), las
personas u organizaciones que reciban los datos con arreglo al apartado 1 del
presente artículo podrán conservar los datos recibidos para el fin para el que
se solicitaron hasta seis meses después de su supresión por parte de los
organismos del sector público, la Comisión, el Banco Central Europeo y los
organismos de la Unión.
5. Cuando un organismo del sector público, la Comisión, el Banco Central
Europeo o un organismo de la Unión se proponga transmitir o poner a disposición
datos con arreglo al apartado 1 del presente artículo, lo notificará sin demora
indebida al titular de los datos de quien los haya recibido, indicando la
identidad y los datos de contacto de la organización o persona que los reciba,
la finalidad de la transmisión o puesta a disposición, el plazo de utilización
y las medidas técnicas y organizativas de protección adoptadas, incluso cuando se
trate de datos personales o secretos comerciales. Si el titular de los datos no
está de acuerdo con la transmisión o puesta a disposición, podrá presentar una
reclamación ante la autoridad competente designada de conformidad con el
artículo 37 del Estado miembro donde esté establecido.
Artículo 22
Asistencia mutua y
cooperación transfronteriza
1. Los organismos del sector público, la Comisión, el Banco Central Europeo
y los organismos de la Unión cooperarán y se asistirán mutuamente para aplicar
el presente capítulo de manera coherente.
2. Los datos intercambiados en el contexto de la asistencia solicitada y
prestada de conformidad con el apartado 1 no se utilizarán de manera
incompatible con el fin para el que fueron solicitados.
3. Cuando un organismo del sector público tenga intención de solicitar
datos a un titular de datos establecido en otro Estado miembro, deberá
notificar previamente dicha intención a la autoridad competente designada de
conformidad con el artículo 37 en dicho Estado miembro. Este requisito también
se aplicará a las solicitudes de la Comisión, el Banco Central Europeo y los
organismos de la Unión. La solicitud será examinada por la autoridad competente
del Estado miembro donde esté establecido el titular de los datos.
4. Tras examinar la solicitud a la luz de los requisitos establecidos en el
artículo 17, la autoridad competente pertinente adoptará, sin demora indebida,
una de las medidas siguientes:
(a) transmitir la solicitud al titular de los
datos y, en su caso, informar al organismo del sector público solicitante, a la
Comisión, al Banco Central Europeo o al organismo de la Unión de la necesidad,
en su caso, de cooperar con los organismos del sector público del Estado
miembro en el que esté establecido el titular de los datos con el objetivo de
reducir la carga administrativa del titular de los datos en el cumplimiento de
la solicitud;
(b) rechazar la solicitud por motivos
debidamente fundamentados de conformidad con el presente Capítulo.
El organismo del sector público solicitante, la Comisión, el Banco Central
Europeo y el organismo de la Unión tendrán en cuenta el asesoramiento y los
motivos aportados por la autoridad competente pertinente de conformidad con el
párrafo primero antes de adoptar cualquier otra medida, como volver a presentar
la solicitud, si procede.
CAPÍTULO VI
CAMBIO ENTRE SERVICIOS
DE PROCESAMIENTO DE DATOS
Artículo 23
Eliminación de
obstáculos para una conmutación eficaz
Los proveedores de servicios de tratamiento de datos adoptarán las medidas
previstas en los artículos 25, 26, 27, 29 y 30 para que los clientes puedan
cambiar a un servicio de tratamiento de datos del mismo tipo prestado por otro
proveedor, o a una infraestructura de TIC local, o, cuando proceda, recurrir a
varios proveedores de servicios de tratamiento de datos simultáneamente. En
particular, los proveedores de servicios de tratamiento de datos no impondrán,
y eliminarán, obstáculos precomerciales, comerciales, técnicos, contractuales y
organizativos que impidan a los clientes:
(a) rescindir, transcurrido el plazo máximo
de preaviso y una vez finalizado con éxito el proceso de cambio, de conformidad
con el artículo 25, el contrato de prestación de servicios de tratamiento de
datos;
(b) celebrar nuevos contratos con un proveedor
diferente de servicios de procesamiento de datos que cubran el mismo tipo de
servicio;
(c) portar los datos exportables y los activos
digitales del cliente a un proveedor diferente de servicios de procesamiento de
datos o a una infraestructura de TIC local, incluso después de haberse
beneficiado de una oferta de nivel gratuito;
(d) de conformidad con el artículo 24, lograr
la equivalencia funcional en el uso del nuevo servicio de tratamiento de datos
en el entorno TIC de un proveedor diferente de servicios de tratamiento de
datos que cubra el mismo tipo de servicio;
(e) disociación, cuando sea técnicamente
posible, de los servicios de tratamiento de datos a que se refiere el artículo
30, apartado 1, de otros servicios de tratamiento de datos prestados por el
proveedor de servicios de tratamiento de datos.
Artículo 24
Alcance de las
obligaciones técnicas
Las responsabilidades de los proveedores de servicios de tratamiento de
datos establecidas en los artículos 23, 25, 29, 30 y 34 se aplicarán únicamente
a los servicios, contratos o prácticas comerciales prestados por el proveedor
de origen de los servicios de tratamiento de datos.
Artículo 25
Condiciones
contractuales relativas al cambio
1. Los derechos del cliente y las obligaciones del proveedor de servicios
de tratamiento de datos en relación con el cambio de proveedor de dichos
servicios o, en su caso, con el cambio a una infraestructura de TIC local, se
estipularán claramente en un contrato escrito. El proveedor de servicios de
tratamiento de datos pondrá dicho contrato a disposición del cliente antes de
su firma, de forma que este pueda almacenarlo y reproducirlo.
2. Sin perjuicio de lo dispuesto en la Directiva (UE) 2019/770, el contrato
a que se refiere el apartado 1 del presente artículo incluirá, como mínimo, lo
siguiente:
(a) cláusulas
que permitan al cliente, previa solicitud, cambiar a un servicio de
procesamiento de datos ofrecido por un proveedor diferente de servicios de
procesamiento de datos o portar todos los datos exportables y activos digitales
a una infraestructura de TIC local, sin demoras indebidas y, en cualquier caso,
no después del período transitorio máximo obligatorio de 30 días naturales, que
se iniciará después del período máximo de notificación mencionado en el punto
(d), durante el cual el contrato de servicio sigue siendo aplicable y durante
el cual el proveedor de servicios de procesamiento de datos deberá:
(i) proporcionar asistencia razonable al
cliente y a terceros autorizados por el cliente en el proceso de cambio;
(ii) actuar con el debido cuidado para
mantener la continuidad del negocio y continuar la prestación de las funciones
o servicios bajo el contrato;
(iii) proporcionar información clara sobre los
riesgos conocidos para la continuidad en la prestación de las funciones o
servicios por parte del proveedor de origen de los servicios de tratamiento de
datos;
(iv) garantizar que se mantenga un alto nivel
de seguridad durante todo el proceso de transferencia, en particular la
seguridad de los datos durante su transferencia y la seguridad continua de los
datos durante el período de recuperación especificado en la letra g), de
conformidad con el Derecho de la Unión o nacional aplicable;
(b) una obligación del proveedor de servicios
de procesamiento de datos de apoyar la estrategia de salida del cliente
relevante para los servicios contratados, incluso proporcionando toda la
información pertinente;
(c) una
cláusula que especifique que el contrato se considerará resuelto y se
notificará al cliente de la resolución, en uno de los siguientes casos:
(i) en su caso, una vez finalizado con éxito el
proceso de cambio;
(ii) al final del plazo máximo de preaviso a
que se refiere el apartado (d), cuando el cliente no desee cambiar sino borrar
sus datos exportables y activos digitales al finalizar el servicio;
(d) un plazo máximo de preaviso para el
inicio del proceso de cambio, que no podrá exceder de dos meses;
(mi) una especificación exhaustiva de todas las
categorías de datos y activos digitales que pueden transferirse durante el
proceso de conmutación, incluidos, como mínimo, todos los datos exportables;
(f) una especificación exhaustiva de las
categorías de datos específicos del funcionamiento interno del servicio de
tratamiento de datos del proveedor que deben quedar exentos de los datos
exportables con arreglo a la letra e) del presente apartado cuando exista un
riesgo de violación de los secretos comerciales del proveedor, siempre que
dichas exenciones no impidan ni retrasen el proceso de cambio previsto en el
artículo 23;
(g) un plazo mínimo de recuperación de
datos de al menos 30 días naturales, a contar desde la finalización del período
transitorio acordado entre el cliente y el proveedor de servicios de
tratamiento de datos, de conformidad con la letra a) de este apartado y el
apartado 4;
(h) una cláusula que garantice el borrado
completo de todos los datos exportables y activos digitales generados
directamente por el cliente, o relacionados directamente con el cliente,
después de la expiración del período de recuperación mencionado en la letra g)
o después de la expiración de un período alternativo acordado en una fecha
posterior a la fecha de expiración del período de recuperación mencionado en la
letra g), siempre que el proceso de cambio se haya completado con éxito;
(i) cargos por cambio de proveedor que
puedan imponer los proveedores de servicios de procesamiento de datos de
conformidad con el artículo 29.
3. El contrato a que se refiere el apartado 1 incluirá cláusulas que
prevean que el cliente podrá notificar al proveedor de servicios de tratamiento
de datos su decisión de realizar una o varias de las siguientes acciones una
vez finalizado el plazo máximo de preaviso a que se refiere el apartado 2,
letra d):
(a) cambiar a un proveedor diferente de
servicios de procesamiento de datos, en cuyo caso el cliente deberá
proporcionar los detalles necesarios de dicho proveedor;
(b) cambiar a una infraestructura de TIC local;
(c) borrar sus datos exportables y activos
digitales.
4. Cuando el período transitorio máximo obligatorio previsto en el apartado
2, letra a), sea técnicamente inviable, el proveedor de servicios de
tratamiento de datos lo notificará al cliente en un plazo de 14 días hábiles a
partir de la solicitud de cambio, justificará debidamente la inviabilidad
técnica e indicará un período transitorio alternativo, que no excederá de siete
meses. De conformidad con el apartado 1, se garantizará la continuidad del
servicio durante todo el período transitorio alternativo.
5. Sin perjuicio de lo dispuesto en el apartado 4, el contrato a que se
refiere el apartado 1 incluirá cláusulas que concedan al cliente el derecho a
prorrogar una vez el período transitorio por el período que considere más
adecuado para sus propios fines.
Artículo 26
Obligación de
información de los proveedores de servicios de tratamiento de datos
El proveedor de servicios de tratamiento de datos deberá proporcionar al
cliente:
(a) información sobre los procedimientos
disponibles para cambiar y portar al servicio de procesamiento de datos,
incluida información sobre los métodos y formatos de cambio y portación
disponibles, así como las restricciones y limitaciones técnicas que conoce el
proveedor de servicios de procesamiento de datos;
(b) una referencia a un registro en línea
actualizado alojado por el proveedor de servicios de tratamiento de datos, con
detalles de todas las estructuras y formatos de datos, así como las normas
pertinentes y las especificaciones abiertas de interoperabilidad, en el que
estén disponibles los datos exportables a que se refiere el artículo 25,
apartado 2, letra e).
Artículo 27
Obligación de buena fe
Todas las partes involucradas, incluidos los proveedores de destino de
servicios de procesamiento de datos, cooperarán de buena fe para que el proceso
de cambio sea efectivo, permita la transferencia oportuna de datos y mantenga
la continuidad del servicio de procesamiento de datos.
Artículo 28
Obligaciones de
transparencia contractual en materia de acceso y transferencia internacionales
1. Los proveedores de servicios de tratamiento de datos deberán publicar en
sus sitios web la siguiente información y mantenerla actualizada:
(a) la jurisdicción a la que está sujeta la
infraestructura de TIC desplegada para el procesamiento de datos de sus
servicios individuales;
(b) una descripción general de las medidas
técnicas, organizativas y contractuales adoptadas por el proveedor de servicios
de tratamiento de datos para impedir el acceso o la transferencia gubernamental
internacional de datos no personales conservados en la Unión cuando dicho
acceso o transferencia crearía un conflicto con el Derecho de la Unión o el
Derecho nacional del Estado miembro pertinente.
2. Los sitios web a que se refiere el apartado 1 deberán figurar en los
contratos de todos los servicios de tratamiento de datos ofrecidos por los
proveedores de servicios de tratamiento de datos.
Artículo 29
Retirada gradual de
las comisiones por cambio de proveedor
1. A partir del 12 de enero de 2027, los proveedores de servicios de
tratamiento de datos no impondrán al cliente ningún coste por el cambio de
proveedor.
2. Desde el 11 de enero de 2024 hasta el 12 de enero de 2027, los
proveedores de servicios de procesamiento de datos podrán imponer al cliente
tarifas reducidas por el proceso de cambio.
3. Los costes reducidos por cambio a que se refiere el apartado 2 no
superarán los costes en que incurra el proveedor de servicios de tratamiento de
datos que estén directamente relacionados con el proceso de cambio de que se
trate.
4. Antes de celebrar un contrato con un cliente, los proveedores de
servicios de tratamiento de datos proporcionarán al posible cliente información
clara sobre las tarifas estándar de los servicios y las penalizaciones por
rescisión anticipada que podrían imponerse, así como sobre los cargos reducidos
por cambio de proveedor que podrían imponerse durante el plazo mencionado en el
apartado 2.
5. Cuando sea pertinente, los proveedores de servicios de procesamiento de
datos proporcionarán información a los clientes sobre los servicios de
procesamiento de datos que impliquen un cambio altamente complejo o costoso o
para los cuales sea imposible cambiar sin una interferencia significativa en
los datos, los activos digitales o la arquitectura del servicio.
6. Cuando proceda, los proveedores de servicios de tratamiento de datos
pondrán a disposición del público la información a que se refieren los
apartados 4 y 5 a través de una sección específica de su sitio web o de
cualquier otra forma de fácil acceso.
7. La Comisión estará facultada para adoptar actos delegados de conformidad
con el artículo 45 a fin de completar el presente Reglamento estableciendo un
mecanismo de seguimiento para que la Comisión supervise las tarifas por cambio
de proveedor impuestas por los proveedores de servicios de tratamiento de datos
en el mercado, a fin de garantizar que la retirada y la reducción de las
tarifas por cambio de proveedor, de conformidad con los apartados 1 y 2 del
presente artículo, se alcancen de conformidad con los plazos establecidos en
dichos apartados.
Artículo 30
Aspectos técnicos de
la conmutación
1. Los proveedores de servicios de tratamiento de datos que se refieran a
recursos informáticos escalables y elásticos, limitados a elementos de
infraestructura como servidores, redes y los recursos virtuales necesarios para
el funcionamiento de la infraestructura, pero que no proporcionen acceso a los
servicios operativos, software y aplicaciones almacenados, procesados o
desplegados en dichos elementos de infraestructura, adoptarán, de conformidad
con el artículo 27, todas las medidas razonables a su alcance para facilitar
que el cliente, tras cambiar a un servicio que cubra el mismo tipo de servicio,
alcance la equivalencia funcional en el uso del servicio de tratamiento de
datos de destino. El proveedor de origen de los servicios de tratamiento de
datos facilitará el proceso de cambio proporcionando capacidades, información
adecuada, documentación, soporte técnico y, en su caso, las herramientas
necesarias.
2. Los proveedores de servicios de tratamiento de datos, distintos de los
mencionados en el apartado 1, pondrán a disposición de todos sus clientes y de
los proveedores de servicios de tratamiento de datos de destino
correspondientes, de forma gratuita y equitativa, interfaces abiertas para
facilitar el cambio de proveedor. Dichas interfaces incluirán información
suficiente sobre el servicio en cuestión para permitir el desarrollo de
software de comunicación con los servicios, a efectos de la portabilidad e
interoperabilidad de los datos.
3. En el caso de los servicios de tratamiento de datos distintos de los
mencionados en el apartado 1 del presente artículo, los proveedores de
servicios de tratamiento de datos garantizarán la compatibilidad con
especificaciones comunes basadas en especificaciones abiertas de
interoperabilidad o normas armonizadas de interoperabilidad al menos doce meses
después de que las referencias a dichas especificaciones comunes o normas
armonizadas de interoperabilidad de los servicios de tratamiento de datos se
hayan publicado en el repositorio central de normas de la Unión para la
interoperabilidad de los servicios de tratamiento de datos tras la publicación
de los actos de ejecución subyacentes en el Diario Oficial de la Unión
Europea de conformidad con el artículo 35, apartado 8.
4. Los proveedores de servicios de tratamiento de datos distintos de los
mencionados en el apartado 1 del presente artículo actualizarán el registro en
línea a que se refiere el artículo 26, letra b), de conformidad con sus
obligaciones en virtud del apartado 3 del presente artículo.
5. En caso de cambio entre servicios del mismo tipo de servicio, para los
cuales las especificaciones comunes o las normas armonizadas de
interoperabilidad a que se refiere el apartado 3 del presente artículo no se
hayan publicado en el repositorio central de normas de la Unión para la
interoperabilidad de los servicios de tratamiento de datos de conformidad con
el artículo 35, apartado 8, el proveedor de servicios de tratamiento de datos
deberá, a petición del cliente, exportar todos los datos exportables en un
formato estructurado, de uso común y legible por máquina.
6. Los proveedores de servicios de procesamiento de datos no estarán
obligados a desarrollar nuevas tecnologías o servicios, ni a divulgar o
transferir activos digitales que estén protegidos por derechos de propiedad
intelectual o que constituyan un secreto comercial, a un cliente o a un
proveedor diferente de servicios de procesamiento de datos, ni a comprometer la
seguridad e integridad del servicio del cliente o del proveedor.
Artículo 31
Régimen específico
para determinados servicios de tratamiento de datos
1. Las obligaciones establecidas en el artículo 23, letra d), el artículo
29 y el artículo 30, apartados 1 y 3, no se aplicarán a los servicios de
tratamiento de datos cuya mayoría de las características principales se hayan
diseñado a medida para satisfacer las necesidades específicas de un cliente
individual o en los que todos los componentes se hayan desarrollado para los
fines de un cliente individual, y cuando dichos servicios de tratamiento de
datos no se ofrezcan a gran escala comercial a través del catálogo de servicios
del proveedor de servicios de tratamiento de datos.
2. Las obligaciones establecidas en el presente capítulo no se aplicarán a
los servicios de tratamiento de datos prestados como versión no productiva con
fines de prueba y evaluación y por un período de tiempo limitado.
3. Antes de la celebración de un contrato de prestación de los servicios de
tratamiento de datos a que se refiere el presente artículo, el proveedor de
servicios de tratamiento de datos informará al posible cliente de las
obligaciones del presente capítulo que no le sean aplicables.
CAPÍTULO VII
ACCESO Y TRANSFERENCIA
GUBERNAMENTAL INTERNACIONAL ILEGAL DE DATOS NO PERSONALES
Artículo 32
Acceso y transferencia
gubernamental internacional
1. Los proveedores de servicios de tratamiento de datos adoptarán todas las
medidas técnicas, organizativas y jurídicas adecuadas, incluidos los contratos,
para impedir el acceso y la transferencia, por parte de gobiernos
internacionales y de terceros países, de datos no personales conservados en la
Unión cuando dicha transferencia o acceso genere un conflicto con el Derecho de
la Unión o con el Derecho nacional del Estado miembro de que se trate, sin
perjuicio de lo dispuesto en los apartados 2 o 3.
2. Toda decisión o sentencia de un tribunal de un tercer país y toda
decisión de una autoridad administrativa de un tercer país que exija a un
proveedor de servicios de tratamiento de datos que transfiera o dé acceso a
datos no personales incluidos en el ámbito de aplicación del presente
Reglamento conservados en la Unión solo serán reconocidas o ejecutables de
cualquier manera si se basan en un acuerdo internacional, como un tratado de
asistencia jurídica mutua, en vigor entre el tercer país solicitante y la
Unión, o en cualquier acuerdo de este tipo entre el tercer país solicitante y
un Estado miembro.
3. En ausencia del acuerdo internacional a que se refiere el apartado 2,
cuando un proveedor de servicios de tratamiento de datos sea el destinatario de
una decisión o sentencia de un órgano jurisdiccional de un tercer país o de una
decisión de una autoridad administrativa de un tercer país de transferir o dar
acceso a datos no personales incluidos en el ámbito de aplicación del presente
Reglamento conservados en la Unión, y el cumplimiento de dicha decisión pudiera
poner al destinatario en conflicto con el Derecho de la Unión o con el Derecho
nacional del Estado miembro pertinente, la transferencia a dichos datos o el
acceso a ellos por parte de dicha autoridad de un tercer país solo tendrá lugar
cuando:
(a) el sistema del tercer país exige que se
expongan los motivos y la proporcionalidad de dicha decisión o sentencia y que
dicha decisión o sentencia sea de carácter específico, por ejemplo
estableciendo un vínculo suficiente con determinadas personas sospechosas o
infracciones;
(b) la objeción motivada del destinatario
esté sujeta a revisión por un tribunal competente de un tercer país; y
(c) el órgano jurisdiccional competente del
tercer país que dicte la decisión o sentencia o revise la decisión de una
autoridad administrativa esté facultado, de conformidad con el Derecho de ese
tercer país, para tener debidamente en cuenta los intereses jurídicos
pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o
por el Derecho nacional del Estado miembro pertinente.
El destinatario de la decisión o sentencia podrá solicitar el dictamen del
organismo o autoridad nacional competente en materia de cooperación
internacional en materia jurídica para determinar si se cumplen las condiciones
establecidas en el párrafo primero, en particular cuando considere que la
decisión puede referirse a secretos comerciales y otros datos comercialmente
sensibles, así como a contenido protegido por derechos de propiedad
intelectual, o que la transferencia puede dar lugar a una reidentificación. El
organismo o autoridad nacional pertinente podrá consultar a la Comisión. Si el
destinatario considera que la decisión o sentencia puede afectar a los
intereses de seguridad nacional o defensa de la Unión o de sus Estados
miembros, solicitará el dictamen del organismo o autoridad nacional pertinente
para determinar si los datos solicitados se refieren a dichos intereses. Si el
destinatario no ha recibido respuesta en el plazo de un mes, o si el dictamen
de dicho organismo o autoridad concluye que no se cumplen las condiciones
establecidas en el párrafo primero, podrá rechazar la solicitud de
transferencia o acceso a datos no personales por dichos motivos.
El EDIB a que se refiere el artículo 42 asesorará y asistirá a la Comisión
en la elaboración de directrices sobre la evaluación de si se cumplen las
condiciones establecidas en el párrafo primero del presente apartado.
4. Si se cumplen las condiciones establecidas en los apartados 2 o 3, el
proveedor de servicios de tratamiento de datos facilitará la cantidad mínima de
datos admisible en respuesta a una solicitud, sobre la base de la
interpretación razonable de dicha solicitud por parte del proveedor o del
organismo o autoridad nacional pertinente a que se refiere el apartado 3,
párrafo segundo.
5. El proveedor de servicios de tratamiento de datos informará al cliente
de la existencia de una solicitud de una autoridad de un tercer país para
acceder a sus datos antes de dar curso a dicha solicitud, salvo que la
solicitud tenga fines de aplicación de la ley y durante el tiempo que sea
necesario para preservar la eficacia de la actividad de aplicación de la ley.
CAPÍTULO VIII
INTEROPERABILIDAD
Artículo 33
Requisitos esenciales
relativos a la interoperabilidad de los datos, de los mecanismos y servicios de
intercambio de datos, así como de los espacios comunes europeos de datos
1. Los participantes en espacios de datos que ofrezcan datos o servicios de
datos a otros participantes deberán cumplir los siguientes requisitos
esenciales para facilitar la interoperabilidad de los datos, de los mecanismos
y servicios de intercambio de datos, así como de los espacios de datos europeos
comunes que sean marcos interoperables específicos de cada propósito o sector o
intersectoriales para normas y prácticas comunes destinadas a compartir o
procesar conjuntamente datos para, entre otros fines, el desarrollo de nuevos
productos y servicios, la investigación científica o iniciativas de la sociedad
civil:
(a) el contenido del conjunto de datos, las
restricciones de uso, las licencias, la metodología de recopilación de datos,
la calidad de los datos y la incertidumbre se describirán de forma suficiente,
cuando corresponda, en un formato legible por máquina, para permitir que el
destinatario encuentre, acceda y utilice los datos;
(b) las estructuras de datos, los formatos de
datos, los vocabularios, los esquemas de clasificación, las taxonomías y las
listas de códigos, cuando estén disponibles, se describirán de manera pública y
coherente;
(c) los medios técnicos para acceder a los
datos, como las interfaces de programación de aplicaciones, y sus condiciones
de uso y calidad del servicio se describirán de manera suficiente para permitir
el acceso y la transmisión automáticos de datos entre las partes, incluso de
forma continua, en descarga masiva o en tiempo real en un formato legible por
máquina, cuando ello sea técnicamente factible y no obstaculice el buen
funcionamiento del producto conectado;
(d) Cuando sea aplicable, se proporcionarán
los medios para permitir la interoperabilidad de herramientas para automatizar
la ejecución de acuerdos de intercambio de datos, como los contratos
inteligentes.
Los requisitos pueden tener un carácter genérico o referirse a sectores
específicos, teniendo plenamente en cuenta la interrelación con los requisitos
derivados de otras legislaciones de la Unión o nacionales.
2. La Comisión estará facultada para adoptar actos delegados, de
conformidad con el artículo 45 del presente Reglamento, a fin de completar el
presente Reglamento especificando con más detalle los requisitos esenciales
establecidos en el apartado 1 del presente artículo, en relación con aquellos
requisitos que, por su naturaleza, no puedan producir el efecto previsto a
menos que se especifiquen con más detalle en actos jurídicos vinculantes de la
Unión y con el fin de reflejar adecuadamente la evolución tecnológica y del
mercado.
Al adoptar actos delegados, la Comisión tendrá en cuenta el asesoramiento
del BEID de conformidad con el artículo 42, letra c), inciso iii).
3. Se presumirá que los participantes en espacios de datos que ofrezcan
datos o servicios de datos a otros participantes en espacios de datos que
cumplan las normas armonizadas o partes de las mismas, cuyas referencias se
publiquen en el Diario Oficial de la Unión Europea , cumplen
los requisitos esenciales establecidos en el apartado 1 en la medida en que
dichos requisitos estén cubiertos por dichas normas armonizadas o partes de las
mismas.
4. La Comisión, de conformidad con el artículo 10 del Reglamento (UE) n.º
1025/2012, solicitará a una o más organizaciones europeas de normalización que
elaboren normas armonizadas que satisfagan los requisitos esenciales
establecidos en el apartado 1 del presente artículo.
5. La Comisión podrá, mediante actos de ejecución, adoptar especificaciones
comunes que cubran alguno o todos los requisitos esenciales establecidos en el
apartado 1 cuando se cumplan las siguientes condiciones:
(a) La
Comisión ha solicitado, de conformidad con el artículo 10, apartado 1, del
Reglamento (UE) n.º 1025/2012, a una o más organizaciones europeas de
normalización que elaboren una norma armonizada que satisfaga los requisitos
esenciales establecidos en el apartado 1 del presente artículo y:
(i) la solicitud no ha sido aceptada;
(ii) las normas armonizadas que responden a
dicha solicitud no se entregan dentro del plazo establecido de conformidad con
el artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012; o
(iii) las normas armonizadas no se ajustan a la
solicitud; y
(b) No se ha publicado en el Diario
Oficial de la Unión Europea, de conformidad con el Reglamento (UE) n.º
1025/2012 , ninguna referencia a normas armonizadas que cubran los requisitos
esenciales pertinentes establecidos en el apartado 1 del presente artículo, ni
se espera que se publique dicha referencia en un plazo razonable.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento
de examen a que se refiere el artículo 46, apartado 2.
6. Antes de preparar un proyecto de acto de ejecución a que se refiere el
apartado 5 del presente artículo, la Comisión informará al comité a que se
refiere el artículo 22 del Reglamento (UE) n.º 1025/2012 de que considera que
se han cumplido las condiciones del apartado 5 del presente artículo.
7. Al preparar el proyecto de acto de ejecución a que se refiere el
apartado 5, la Comisión tendrá en cuenta el asesoramiento del BEID y las
opiniones de otros organismos o grupos de expertos pertinentes y consultará
debidamente a todas las partes interesadas pertinentes.
8. Se presumirá que los participantes en espacios de datos que ofrezcan
datos o servicios de datos a otros participantes en espacios de datos que cumplan
las especificaciones comunes establecidas por los actos de ejecución a que se
refiere el apartado 5 o partes de los mismos cumplen los requisitos esenciales
establecidos en el apartado 1 en la medida en que dichos requisitos estén
cubiertos por dichas especificaciones comunes o partes de las mismas.
9. Cuando una organización europea de normalización adopte una norma
armonizada y la proponga a la Comisión para su publicación en el Diario
Oficial de la Unión Europea , esta evaluará dicha norma de conformidad
con el Reglamento (UE) n.º 1025/2012. Cuando la referencia de una norma
armonizada se publique en el Diario Oficial de la Unión Europea ,
la Comisión derogará los actos de ejecución a que se refiere el apartado 5 del
presente artículo, o partes de los mismos, que abarquen los mismos requisitos
esenciales que los contemplados por dicha norma armonizada.
10. Cuando un Estado miembro considere que una especificación común no
cumple plenamente los requisitos esenciales establecidos en el apartado 1, informará
de ello a la Comisión presentando una explicación detallada. La Comisión
evaluará dicha explicación detallada y, si procede, podrá modificar el acto de
ejecución por el que se establece la especificación común en cuestión.
11. La Comisión podrá adoptar directrices teniendo en cuenta la propuesta
del BEID de conformidad con el artículo 30, letra h), del Reglamento (UE)
2022/868 por el que se establecen marcos interoperables de normas y prácticas
comunes para el funcionamiento de los espacios europeos comunes de datos.
Artículo 34
Interoperabilidad a
efectos de utilización paralela de servicios de tratamiento de datos
1. Los requisitos establecidos en el artículo 23, el artículo 24, el
artículo 25, apartado 2, letras a), incisos ii), iv), e) y f), y el artículo
30, apartados 2 a 5, se aplicarán también mutatis mutandis a
los proveedores de servicios de tratamiento de datos para facilitar la
interoperabilidad a efectos de utilización paralela de dichos servicios.
2. Cuando un servicio de tratamiento de datos se utilice en paralelo con
otro servicio de tratamiento de datos, los proveedores de servicios de
tratamiento de datos podrán imponer cargos por salida de datos, pero únicamente
con el fin de repercutir los costes de salida en que se haya incurrido, sin
exceder dichos costes.
Artículo 35
Interoperabilidad de
los servicios de procesamiento de datos
1. Las especificaciones abiertas de interoperabilidad y las normas
armonizadas para la interoperabilidad de los servicios de tratamiento de datos
deberán:
(a) lograr, cuando sea técnicamente factible,
la interoperabilidad entre diferentes servicios de procesamiento de datos que
cubran el mismo tipo de servicio;
(b) mejorar la portabilidad de los activos
digitales entre diferentes servicios de procesamiento de datos que cubren el
mismo tipo de servicio;
(c) facilitar, cuando sea técnicamente posible,
la equivalencia funcional entre los diferentes servicios de tratamiento de
datos a que se refiere el artículo 30, apartado 1, que cubran el mismo tipo de
servicio;
(d) no tener un impacto adverso en la seguridad
e integridad de los servicios de procesamiento de datos y de los datos;
(e) estar diseñados de tal manera que permitan
los avances técnicos y la inclusión de nuevas funciones e innovación en los
servicios de procesamiento de datos.
2. Las especificaciones abiertas de interoperabilidad y las normas
armonizadas para la interoperabilidad de los servicios de tratamiento de datos
abordarán adecuadamente:
(a) los aspectos de interoperabilidad en la
nube de la interoperabilidad del transporte, la interoperabilidad sintáctica,
la interoperabilidad de datos semánticos, la interoperabilidad del
comportamiento y la interoperabilidad de políticas;
(b) los aspectos de portabilidad de datos en
la nube de la portabilidad sintáctica de datos, la portabilidad semántica de
datos y la portabilidad de políticas de datos;
(c) Aspectos de aplicación en la nube de la
portabilidad sintáctica de la aplicación, la portabilidad de las instrucciones
de la aplicación, la portabilidad de los metadatos de la aplicación, la
portabilidad del comportamiento de la aplicación y la portabilidad de las
políticas de la aplicación.
3. Las especificaciones de interoperabilidad abiertas deberán cumplir lo
dispuesto en el anexo II del Reglamento (UE) n.º 1025/2012.
4. Tras tener en cuenta las normas internacionales y europeas pertinentes y
las iniciativas de autorregulación, la Comisión podrá, de conformidad con el
artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012, solicitar a una o
más organizaciones europeas de normalización que elaboren normas armonizadas
que satisfagan los requisitos esenciales establecidos en los apartados 1 y 2
del presente artículo.
5. La Comisión podrá, mediante actos de ejecución, adoptar especificaciones
comunes basadas en especificaciones abiertas de interoperabilidad que cubran
todos los requisitos esenciales establecidos en los apartados 1 y 2.
6. Al preparar el proyecto de acto de ejecución a que se refiere el
apartado 5 del presente artículo, la Comisión tendrá en cuenta las opiniones de
las autoridades competentes pertinentes a que se refiere el artículo 37,
apartado 5, letra h), y de otros organismos o grupos de expertos pertinentes, y
consultará debidamente a todas las partes interesadas pertinentes.
7. Cuando un Estado miembro considere que una especificación común no
cumple plenamente los requisitos esenciales establecidos en los apartados 1 y
2, informará de ello a la Comisión presentando una explicación detallada. La
Comisión evaluará dicha explicación detallada y, si procede, podrá modificar el
acto de ejecución por el que se establece la especificación común en cuestión.
8. A efectos del artículo 30, apartado 3, la Comisión, mediante actos de
ejecución, publicará las referencias de las normas armonizadas y las
especificaciones comunes para la interoperabilidad de los servicios de
tratamiento de datos en un repositorio central de normas de la Unión para la
interoperabilidad de los servicios de tratamiento de datos.
9. Los actos de ejecución a que se refiere el presente artículo se
adoptarán de conformidad con el procedimiento de examen a que se refiere el
artículo 46, apartado 2.
Artículo 36
Requisitos esenciales
relativos a los contratos inteligentes para la ejecución de acuerdos de
intercambio de datos
1. El proveedor de una aplicación que utilice contratos inteligentes o, en
su defecto, la persona cuyo oficio, negocio o profesión implique la
implementación de contratos inteligentes para terceros en el contexto de la
ejecución de un acuerdo o parte del mismo, para poner a disposición datos,
deberá garantizar que dichos contratos inteligentes cumplan los siguientes
requisitos esenciales:
(a) robustez y control de acceso, para
garantizar que el contrato inteligente ha sido diseñado para ofrecer mecanismos
de control de acceso y un grado muy alto de robustez para evitar errores
funcionales y soportar la manipulación por parte de terceros;
(b) terminación e interrupción seguras, para
garantizar que exista un mecanismo para terminar la ejecución continua de
transacciones y que el contrato inteligente incluya funciones internas que
puedan restablecer o instruir al contrato para que detenga o interrumpa la
operación, en particular para evitar futuras ejecuciones accidentales;
(c) archivo y continuidad de datos, para
garantizar que, en circunstancias en las que un contrato inteligente deba
rescindirse o desactivarse, exista la posibilidad de archivar los datos
transaccionales, la lógica y el código del contrato inteligente para mantener
el registro de las operaciones realizadas en los datos en el pasado
(auditabilidad);
(d) control de acceso, para garantizar que un
contrato inteligente esté protegido mediante mecanismos rigurosos de control de
acceso en las capas de gobernanza y contrato inteligente; y
(e) consistencia, para garantizar la coherencia
con los términos del acuerdo de intercambio de datos que ejecuta el contrato
inteligente.
2. El proveedor de un contrato inteligente o, en su defecto, la persona
cuyo oficio, negocio o profesión implique la implantación de contratos
inteligentes para otros en el contexto de la ejecución de un acuerdo o parte
del mismo, para poner a disposición datos, realizará una evaluación de la
conformidad con vistas al cumplimiento de los requisitos esenciales
establecidos en el apartado 1 y, una vez cumplidos dichos requisitos, emitirá
una declaración UE de conformidad.
3. Al elaborar la declaración UE de conformidad, el vendedor de una
aplicación que utilice contratos inteligentes o, en su defecto, la persona cuyo
oficio, negocio o profesión implique la implantación de contratos inteligentes
para otros en el contexto de la ejecución de un acuerdo o de parte del mismo,
para poner a disposición datos, será responsable del cumplimiento de los
requisitos esenciales establecidos en el apartado 1.
4. Se presumirá que un contrato inteligente que cumpla las normas
armonizadas o las partes pertinentes de las mismas, cuyas referencias se
publiquen en el Diario Oficial de la Unión Europea , es
conforme con los requisitos esenciales establecidos en el apartado 1 en la
medida en que dichos requisitos estén cubiertos por dichas normas armonizadas o
partes de las mismas.
5. La Comisión, de conformidad con el artículo 10 del Reglamento (UE) n.º
1025/2012, solicitará a una o más organizaciones europeas de normalización que
elaboren normas armonizadas que satisfagan los requisitos esenciales
establecidos en el apartado 1 del presente artículo.
6. La Comisión podrá, mediante actos de ejecución, adoptar especificaciones
comunes que cubran alguno o todos los requisitos esenciales establecidos en el
apartado 1 cuando se cumplan las siguientes condiciones:
(a) La
Comisión ha solicitado, de conformidad con el artículo 10, apartado 1, del
Reglamento (UE) n.º 1025/2012, a una o más organizaciones europeas de
normalización que elaboren una norma armonizada que satisfaga los requisitos
esenciales establecidos en el apartado 1 del presente artículo y:
(i) la solicitud no ha sido aceptada;
(ii) las normas armonizadas que responden a
dicha solicitud no se entregan dentro del plazo establecido de conformidad con
el artículo 10, apartado 1, del Reglamento (UE) n.º 1025/2012; o
(iii) las normas armonizadas no se ajustan a la
solicitud; y
(b) No se ha publicado en el Diario
Oficial de la Unión Europea, de conformidad con el Reglamento (UE) n.º
1025/2012 , ninguna referencia a normas armonizadas que cubran los requisitos
esenciales pertinentes establecidos en el apartado 1 del presente
artículo, ni se espera que se publique dicha referencia en un plazo razonable.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento
de examen a que se refiere el artículo 46, apartado 2.
7. Antes de preparar un proyecto de acto de ejecución a que se refiere el
apartado 6 del presente artículo, la Comisión informará al comité a que se
refiere el artículo 22 del Reglamento (UE) n.º 1025/2012 de que considera que
se han cumplido las condiciones del apartado 6 del presente artículo.
8. Al preparar el proyecto de acto de ejecución a que se refiere el apartado
6, la Comisión tendrá en cuenta el asesoramiento del BEID y las opiniones de
otros organismos o grupos de expertos pertinentes y consultará debidamente a
todas las partes interesadas pertinentes.
9. Se presumirá que el proveedor de un contrato inteligente o, en su
defecto, la persona cuyo oficio, negocio o profesión implique la implantación
de contratos inteligentes para terceros en el contexto de la ejecución de un
acuerdo o de parte del mismo, para poner a disposición datos que cumplan las
especificaciones comunes establecidas por los actos de ejecución a que se
refiere el apartado 6 o partes de los mismos, cumple los requisitos esenciales
establecidos en el apartado 1 en la medida en que dichos requisitos estén
cubiertos por dichas especificaciones comunes o partes de las mismas.
10. Cuando una organización europea de normalización adopte una norma
armonizada y la proponga a la Comisión para su publicación en el Diario
Oficial de la Unión Europea , esta evaluará dicha norma de conformidad
con el Reglamento (UE) n.º 1025/2012. Cuando la referencia de una norma
armonizada se publique en el Diario Oficial de la Unión Europea ,
la Comisión derogará los actos de ejecución a que se refiere el apartado 6 del
presente artículo, o partes de los mismos, que abarquen los mismos requisitos
esenciales que los contemplados por dicha norma armonizada.
11. Cuando un Estado miembro considere que una especificación común no
cumple plenamente los requisitos esenciales establecidos en el apartado 1,
informará de ello a la Comisión presentando una explicación detallada. La
Comisión evaluará dicha explicación detallada y, si procede, podrá modificar el
acto de ejecución por el que se establece la especificación común en cuestión.
CAPÍTULO IX
IMPLEMENTACIÓN Y
CUMPLIMIENTO
Artículo 37
Autoridades
competentes y coordinadores de datos
1. Cada Estado miembro designará una o más autoridades competentes
responsables de la aplicación y el cumplimiento del presente Reglamento («autoridades
competentes»). Los Estados miembros podrán establecer una o más autoridades
nuevas o recurrir a las autoridades existentes.
2. Cuando un Estado miembro designe más de una autoridad competente,
designará entre ellas a un coordinador de datos para facilitar la cooperación
entre ellas y asistir a las entidades comprendidas en el ámbito de aplicación
del presente Reglamento en todos los asuntos relacionados con su aplicación y
cumplimiento. Las autoridades competentes, en el ejercicio de las funciones y
competencias que les asigna el apartado 5, cooperarán entre sí.
3. Las autoridades de control responsables de supervisar la aplicación del
Reglamento (UE) 2016/679 serán responsables de supervisar la aplicación del
presente Reglamento en lo que respecta a la protección de datos personales. Los
capítulos VI y VII del Reglamento (UE) 2016/679 se aplicarán mutatis
mutandis .
El Supervisor Europeo de Protección de Datos será responsable de supervisar
la aplicación del presente Reglamento en lo que respecta a la Comisión, el
Banco Central Europeo o los organismos de la Unión. Cuando proceda, se
aplicará mutatis mutandis el artículo 62 del Reglamento (UE)
2018/1725 .
Las funciones y competencias de las autoridades de control a que se refiere
este apartado se ejercerán en relación con el tratamiento de datos personales.
4. Sin perjuicio de lo dispuesto en el apartado 1 del presente artículo:
(a) para cuestiones específicas de acceso y
utilización de datos sectoriales relacionados con la aplicación del presente
Reglamento, se respetará la competencia de las autoridades sectoriales;
(b) La autoridad competente responsable de la
aplicación y ejecución de los artículos 23 a 31 y de los artículos 34 y 35
deberá tener experiencia en el ámbito de los servicios de datos y
comunicaciones electrónicas.
5. Los Estados miembros garantizarán que las tareas y competencias de las
autoridades competentes estén claramente definidas e incluyan:
(a) promover la alfabetización en datos y la
concienciación entre los usuarios y las entidades incluidas en el ámbito de
aplicación del presente Reglamento sobre los derechos y obligaciones que le
confiere el presente Reglamento;
(b) tramitando las denuncias derivadas de
presuntas infracciones del presente Reglamento, incluidas las relativas a
secretos comerciales, e investigando, en la medida adecuada, el objeto de las
denuncias e informando periódicamente a los denunciantes, cuando proceda de
conformidad con el Derecho nacional, de la evolución y el resultado de la
investigación en un plazo razonable, en particular si es necesaria una mayor
investigación o la coordinación con otra autoridad competente;
(c) realizar investigaciones sobre asuntos que
afecten a la aplicación del presente Reglamento, incluso sobre la base de
información recibida de otra autoridad competente u otra autoridad pública;
(d) imponer sanciones económicas efectivas,
proporcionadas y disuasorias, que podrán incluir sanciones periódicas y
sanciones con efecto retroactivo, o iniciar procedimientos judiciales para la
imposición de multas;
(e) supervisar los avances tecnológicos y
comerciales relevantes para la puesta a disposición y el uso de los datos;
(f) cooperar con las autoridades competentes
de otros Estados miembros y, cuando proceda, con la Comisión o el BEID, para
garantizar la aplicación coherente y eficiente del presente Reglamento,
incluido el intercambio de toda la información pertinente por medios
electrónicos, sin demoras indebidas, incluso en relación con el apartado 10 del
presente artículo;
(g) cooperar con las autoridades
competentes pertinentes responsables de la aplicación de otros actos jurídicos
de la Unión o nacionales, incluidas las autoridades competentes en materia de
datos y servicios de comunicaciones electrónicas, con la autoridad de control
responsable de supervisar la aplicación del Reglamento (UE) 2016/679 o con las
autoridades sectoriales, para garantizar que el presente Reglamento se aplique
de conformidad con el resto del Derecho de la Unión y nacional;
(h) cooperar con las autoridades competentes
pertinentes para garantizar que los artículos 23 a 31 y los artículos 34 y 35
se apliquen de conformidad con el resto del Derecho de la Unión y la
autorregulación aplicable a los proveedores de servicios de tratamiento de
datos;
(i) garantizar que se retiren los cargos por
cambio de proveedor de conformidad con el artículo 29;
(j) examinar las solicitudes de datos realizadas de
conformidad con el Capítulo V.
Cuando sea designado, el coordinador de datos facilitará la cooperación a
que se refieren las letras f), g) y h) del párrafo primero y asistirá a las
autoridades competentes cuando estas lo soliciten.
6. El coordinador de datos, cuando se haya designado a dicha autoridad
competente, deberá:
(a) actuar como punto de contacto único para
todas las cuestiones relacionadas con la aplicación del presente Reglamento;
(b) garantizar la disponibilidad pública en
línea de las solicitudes de puesta a disposición de datos realizadas por
organismos del sector público en caso de necesidad excepcional en virtud del
Capítulo V y promover acuerdos voluntarios de intercambio de datos entre
organismos del sector público y titulares de datos;
(c) informar anualmente a la Comisión de las
denegaciones notificadas con arreglo al artículo 4, apartados 2 y 8, y al
artículo 5, apartado 11.
7. Los Estados miembros notificarán a la Comisión los nombres de las
autoridades competentes, sus funciones y competencias y, en su caso, el nombre
del coordinador de datos. La Comisión mantendrá un registro público de dichas
autoridades.
8. Al desempeñar sus funciones y ejercer sus poderes de conformidad con el
presente Reglamento, las autoridades competentes permanecerán imparciales y
libres de cualquier influencia externa, ya sea directa o indirecta, y no
solicitarán ni aceptarán instrucciones para casos individuales de ninguna otra
autoridad pública ni de ninguna parte privada.
9. Los Estados miembros garantizarán que las autoridades competentes
dispongan de suficientes recursos humanos y técnicos y de la experiencia
pertinente para llevar a cabo eficazmente sus tareas de conformidad con el
presente Reglamento.
10. Las entidades incluidas en el ámbito de aplicación del presente
Reglamento estarán sujetas a la competencia del Estado miembro en el que estén
establecidas. Cuando la entidad esté establecida en más de un Estado miembro,
se considerará competencia del Estado miembro en el que tenga su
establecimiento principal, es decir, donde tenga su sede social o domicilio
social, desde el que se ejerzan las principales funciones financieras y el
control operativo.
11. Toda entidad incluida en el ámbito de aplicación del presente
Reglamento que ponga a disposición productos conectados u ofrezca servicios en
la Unión y que no esté establecida en ella deberá designar un representante
legal en uno de los Estados miembros.
12. A efectos de garantizar el cumplimiento del presente Reglamento, las
entidades incluidas en su ámbito de aplicación que comercialicen productos
conectados u ofrezcan servicios en la Unión designarán a un representante legal
para que las autoridades competentes se dirijan a él, además de él o en su
lugar, en todas las cuestiones relacionadas con dicha entidad. Dicho
representante legal cooperará con las autoridades competentes, previa
solicitud, y les demostrará exhaustivamente las medidas adoptadas y las
disposiciones establecidas por la entidad incluida en su ámbito de aplicación
que comercialicen productos conectados u ofrezcan servicios en la Unión para
garantizar el cumplimiento del presente Reglamento.
13. Una entidad comprendida en el ámbito de aplicación del presente
Reglamento que ofrezca productos conectados u ofrezca servicios en la Unión se
considerará competencia del Estado miembro en el que esté situado su
representante legal. La designación de un representante legal por dicha entidad
se entenderá sin perjuicio de su responsabilidad y de cualquier acción legal
que pudiera interponerse contra ella. Hasta que una entidad designe un
representante legal de conformidad con el presente artículo, estará bajo la
competencia de todos los Estados miembros, cuando proceda, a efectos de
garantizar la aplicación y el cumplimiento del presente Reglamento. Cualquier
autoridad competente podrá ejercer su competencia, incluso imponiendo sanciones
efectivas, proporcionadas y disuasorias, siempre que la entidad no esté sujeta
a procedimientos de ejecución en virtud del presente Reglamento por los mismos
hechos por otra autoridad competente.
14. Las autoridades competentes estarán facultadas para solicitar a los
usuarios, titulares o destinatarios de datos, o a sus representantes legales,
que sean competencia de su Estado miembro, toda la información necesaria para
verificar el cumplimiento del presente Reglamento. Toda solicitud de
información será proporcional al desempeño de la tarea subyacente y estará
motivada.
15. Cuando una autoridad competente de un Estado miembro solicite
asistencia o medidas de ejecución a una autoridad competente de otro Estado
miembro, presentará una solicitud motivada. Al recibir dicha solicitud, la
autoridad competente proporcionará una respuesta, detallando las medidas
adoptadas o previstas, sin demora indebida.
16. Las autoridades competentes respetarán los principios de
confidencialidad y secreto profesional y comercial, y protegerán los datos
personales de conformidad con el Derecho de la Unión o nacional. Toda
información intercambiada en el contexto de una solicitud de asistencia y
facilitada de conformidad con el presente artículo se utilizará únicamente en
relación con el asunto para el que se solicitó.
Artículo 38
Derecho a presentar
una reclamación
1. Sin perjuicio de cualquier otro recurso administrativo o judicial, las
personas físicas y jurídicas tendrán derecho a presentar una reclamación,
individual o, en su caso, colectivamente, ante la autoridad competente del
Estado miembro de su residencia habitual, lugar de trabajo o establecimiento,
si consideran que se han vulnerado sus derechos en virtud del presente
Reglamento. El coordinador de datos facilitará, previa solicitud, toda la
información necesaria a las personas físicas y jurídicas para que puedan
presentar sus reclamaciones ante la autoridad competente correspondiente.
2. La autoridad competente ante la que se haya presentado la reclamación
informará al reclamante, de conformidad con el Derecho nacional, del desarrollo
del procedimiento y de la decisión adoptada.
3. Las autoridades competentes cooperarán para tramitar y resolver las
reclamaciones de forma eficaz y oportuna, incluido el intercambio de toda la
información pertinente por medios electrónicos, sin demoras indebidas. Esta
cooperación no afectará a los mecanismos de cooperación previstos en los
capítulos VI y VII del Reglamento (UE) 2016/679 y en el Reglamento (UE)
2017/2394.
Artículo 39
Derecho a un recurso
judicial efectivo
1. Sin perjuicio de cualquier recurso administrativo o de otro tipo no
judicial, toda persona física o jurídica afectada tendrá derecho a un recurso
judicial efectivo respecto de las decisiones jurídicamente vinculantes
adoptadas por las autoridades competentes.
2. Cuando una autoridad competente no dé curso a una reclamación, toda
persona física o jurídica afectada tendrá derecho, de conformidad con el
Derecho nacional, a un recurso judicial efectivo o a acceder a una revisión por
parte de un órgano imparcial con la experiencia adecuada.
3. Los procedimientos contemplados en el presente artículo se interpondrán
ante los órganos jurisdiccionales del Estado miembro de la autoridad competente
contra la que se interponga el recurso judicial, de forma individual o, en su
caso, colectivamente, por los representantes de una o varias personas físicas o
jurídicas.
Artículo 40
Sanciones
1. Los Estados miembros establecerán el régimen de sanciones aplicable a
las infracciones del presente Reglamento y adoptarán todas las medidas
necesarias para garantizar su aplicación. Las sanciones previstas serán
efectivas, proporcionadas y disuasorias.
2. Los Estados miembros notificarán a la Comisión dichas normas y medidas a
más tardar el 12 de septiembre de 2025, así como cualquier modificación
posterior que las afecte. La Comisión actualizará y mantendrá periódicamente un
registro público de dichas medidas, de fácil acceso.
3. Los Estados miembros tendrán en cuenta las recomendaciones del BEID y
los siguientes criterios no exhaustivos para la imposición de sanciones por
infracciones del presente Reglamento:
(a) la naturaleza, gravedad, escala y duración de
la infracción;
(b) cualquier acción adoptada por la parte
infractora para mitigar o remediar el daño causado por la infracción;
(c) cualquier infracción previa cometida por la
parte infractora;
(d) los beneficios financieros obtenidos o
las pérdidas evitadas por la parte infractora debido a la infracción, en la
medida en que dichos beneficios o pérdidas puedan establecerse de manera
fiable;
(e) cualquier otro factor agravante o atenuante
aplicable a las circunstancias del caso;
(f) el volumen de negocios anual de la parte
infractora durante el ejercicio anterior en la Unión.
4. Por el incumplimiento de las obligaciones establecidas en los capítulos
II, III y V del presente Reglamento, las autoridades de control encargadas de
supervisar la aplicación del Reglamento (UE) 2016/679 podrán, en el marco de su
competencia, imponer multas administrativas de conformidad con el artículo 83
del Reglamento (UE) 2016/679 y hasta el importe a que se refiere el artículo
83, apartado 5, de dicho Reglamento.
5. Por el incumplimiento de las obligaciones establecidas en el capítulo V
del presente Reglamento, el Supervisor Europeo de Protección de Datos podrá
imponer, dentro de su ámbito de competencias, multas administrativas de
conformidad con el artículo 66 del Reglamento (UE) 2018/1725, hasta el importe
a que se refiere el artículo 66, apartado 3, de dicho Reglamento.
Artículo 41
Condiciones
contractuales modelo y cláusulas contractuales estándar
La Comisión, antes del 12 de septiembre de 2025, elaborará y recomendará
condiciones contractuales modelo no vinculantes sobre el acceso y uso de datos,
incluidas condiciones sobre compensación razonable y protección de secretos
comerciales, y cláusulas contractuales tipo no vinculantes para contratos de
computación en la nube, con el fin de ayudar a las partes a redactar y negociar
contratos con derechos y obligaciones contractuales justos, razonables y no
discriminatorios.
Artículo 42
Papel del EDIB
El EDIB, establecido por la Comisión como grupo de expertos de conformidad
con el artículo 29 del Reglamento (UE) 2022/868, en el que estarán
representadas las autoridades competentes, apoyará la aplicación coherente del
presente Reglamento mediante:
(a) asesorar y asistir a la Comisión en lo
que respecta al desarrollo de prácticas consistentes de las autoridades
competentes en la aplicación de los Capítulos II, III, V y VII;
(b) facilitar la cooperación entre las
autoridades competentes mediante el desarrollo de capacidades y el intercambio
de información, en particular estableciendo métodos para el intercambio
eficiente de información relativa a la aplicación de los derechos y obligaciones
previstos en los capítulos II, III y V en casos transfronterizos, incluida la
coordinación en lo que respecta a la fijación de sanciones;
(c) asesorar
y asistir a la Comisión en relación con:
(i) si se debe solicitar la elaboración de
normas armonizadas a que se refieren el artículo 33, apartado 4, el artículo
35, apartado 4, y el artículo 36, apartado 5;
(ii) la preparación de los actos de ejecución
a que se refieren el artículo 33, apartado 5, el artículo 35, apartados 5 y 8,
y el artículo 36, apartado 6;
(iii) la preparación de los actos delegados a
que se refieren el artículo 29, apartado 7, y el artículo 33, apartado 2; y
(iv) la adopción de las directrices que
establecen marcos interoperables para normas y prácticas comunes para el
funcionamiento de los espacios comunes europeos de datos a que se refiere el
artículo 33, apartado 11.
CAPÍTULO X
DERECHO SUI GENERIS SEGÚN LA DIRECTIVA
96/9/CE
Artículo 43
Bases de datos que
contienen determinados datos
El derecho sui generis previsto en el artículo 7 de la
Directiva 96/9/CE no se aplicará cuando los datos se obtengan o se generen
mediante un producto conectado o un servicio relacionado que entre en el ámbito
de aplicación del presente Reglamento, en particular en relación con sus
artículos 4 y 5.
CAPÍTULO XI
DISPOSICIONES FINALES
Artículo 44
Otros actos jurídicos
de la Unión que regulan los derechos y obligaciones en materia de acceso y
utilización de datos
1. Las obligaciones específicas en materia de puesta a disposición de datos
entre empresas, entre empresas y consumidores y, con carácter excepcional,
entre empresas y organismos públicos, establecidas en los actos jurídicos de la
Unión que entraron en vigor el 11 de enero de 2024 o antes, y en los actos
delegados o de ejecución derivados de los mismos, no se verán afectadas.
2. El presente Reglamento se entiende sin perjuicio del Derecho de la Unión
que especifique, en función de las necesidades de un sector, de un espacio
común europeo de datos o de un área de interés público, requisitos adicionales,
en particular en relación con:
(a) aspectos técnicos del acceso a los datos;
(b) límites a los derechos de los titulares
de datos a acceder o utilizar determinados datos proporcionados por los
usuarios;
(c) aspectos que van más allá del acceso y uso
de los datos.
3. El presente Reglamento, con excepción del capítulo V, se entiende sin
perjuicio del Derecho de la Unión y nacional que establece el acceso a los
datos y autoriza su uso con fines de investigación científica.
Artículo 45
Ejercicio de la
delegación
1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las
condiciones establecidas en el presente artículo.
2. Los poderes para adoptar actos delegados a que se refieren el artículo
29, apartado 7, y el artículo 33, apartado 2, se otorgan a la Comisión por
tiempo indefinido a partir del 11 de enero de 2024.
3. La delegación de poderes a que se refieren el artículo 29, apartado 7, y
el artículo 33, apartado 2, podrá ser revocada en cualquier momento por el
Parlamento Europeo o por el Consejo. La decisión de revocación pondrá fin a la
delegación de los poderes que en ella se especifiquen. Surtirá efecto al día siguiente
de su publicación en el Diario Oficial de la Unión Europea o
en una fecha posterior que en ella se especifique. No afectará a la validez de
los actos delegados ya en vigor.
4. Antes de adoptar un acto delegado, la Comisión consultará a los expertos
designados por cada Estado miembro de conformidad con los principios
establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la
mejora de la legislación.
5. Tan pronto como la Comisión adopte un acto delegado lo notificará
simultáneamente al Parlamento Europeo y al Consejo.
6. Un acto delegado adoptado en virtud del artículo 29, apartado 7, o del
artículo 33, apartado 2, entrará en vigor únicamente si ni el Parlamento
Europeo ni el Consejo formulan objeciones en un plazo de tres meses desde su
notificación al Parlamento Europeo y al Consejo, o si, antes del vencimiento de
dicho plazo, tanto el Parlamento Europeo como el Consejo informan a la Comisión
de que no las formularán. Dicho plazo se prorrogará tres meses a iniciativa del
Parlamento Europeo o del Consejo.
Artículo 46
Procedimiento del
comité
1. La Comisión estará asistida por el Comité establecido por el Reglamento
(UE) 2022/868. Dicho comité será un comité en el sentido del Reglamento (UE)
n.º 182/2011.
2. Cuando se haga referencia al presente apartado, se aplicará el artículo
5 del Reglamento (UE) n.º 182/2011.
Artículo 47
Modificación del
Reglamento (UE) 2017/2394
En el anexo del Reglamento (UE) 2017/2394 se añade el punto siguiente:
'29. Reglamento (UE) 2023/2854 del Parlamento
Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas
relativas al acceso y uso equitativos de los datos y por el que se modifican el
Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Ley de Datos) ( DO L 2023/2854 de 22.12.2023, ELI:
http://data.europa.eu/eli/reg/2023/2854/oj ).
Artículo 48
Modificación de la
Directiva (UE) 2020/1828
En el anexo I de la Directiva (UE) 2020/1828 se añade el punto siguiente:
'68. Reglamento (UE) 2023/2854 del Parlamento
Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas
relativas al acceso y uso equitativos de los datos y por el que se modifican el
Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Ley de Datos) ( DO L 2023/2854 de 22.12.2023, ELI:
http://data.europa.eu/eli/reg/2023/2854/oj ).
Artículo 49
Evaluación y revisión
1. A más tardar el 12 de septiembre de 2028, la Comisión realizará una
evaluación del presente Reglamento y presentará un informe con sus principales
conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social
Europeo. Dicha evaluación examinará, en particular:
(a) situaciones que deben considerarse
situaciones de necesidad excepcional a efectos del artículo 15 del presente
Reglamento y la aplicación práctica del capítulo V del presente Reglamento, en
particular la experiencia en la aplicación del capítulo V del presente
Reglamento por parte de los organismos del sector público, la Comisión, el
Banco Central Europeo y los organismos de la Unión; el número y el resultado de
los procedimientos incoados ante la autoridad competente con arreglo al
artículo 18, apartado 5, sobre la aplicación del capítulo V del presente
Reglamento, según lo notificado por las autoridades competentes; el impacto de
otras obligaciones establecidas en el Derecho de la Unión o nacional a efectos
de dar cumplimiento a las solicitudes de acceso a la información; el impacto de
los mecanismos voluntarios de intercambio de datos, como los establecidos por
las organizaciones de gestión altruista de datos reconocidas en virtud del
Reglamento (UE) 2022/868, en el cumplimiento de los objetivos del capítulo V
del presente Reglamento, y el papel de los datos personales en el contexto del
artículo 15 del presente Reglamento, incluida la evolución de las tecnologías
de mejora de la privacidad;
(b) el impacto del presente Reglamento en el
uso de datos en la economía, incluida la innovación de datos, las prácticas de
monetización de datos y los servicios de intermediación de datos, así como en
el intercambio de datos en los espacios comunes europeos de datos;
(c) la accesibilidad y el uso de diferentes
categorías y tipos de datos;
(d) la exclusión de determinadas categorías
de empresas como beneficiarias en virtud del artículo 5;
(e) la ausencia de cualquier impacto sobre los
derechos de propiedad intelectual;
(f) el impacto en los secretos comerciales,
incluida la protección contra su adquisición, utilización y divulgación
ilícitas, así como el impacto del mecanismo que permite al titular de los datos
rechazar la solicitud del usuario de conformidad con el artículo 4(8) y el
artículo 5(11), teniendo en cuenta, en la medida de lo posible, cualquier
revisión de la Directiva (UE) 2016/943;
(g) si la lista de cláusulas
contractuales abusivas a que se refiere el artículo 13 está actualizada a la
luz de las nuevas prácticas comerciales y del rápido ritmo de innovación del
mercado;
(h) cambios en las prácticas contractuales de
los proveedores de servicios de procesamiento de datos y si esto resulta en un
cumplimiento suficiente del artículo 25;
(i) la disminución de los cargos impuestos
por los proveedores de servicios de procesamiento de datos para el proceso de
cambio, en consonancia con la retirada gradual de los cargos por cambio de
conformidad con el artículo 29;
(j) la interacción del presente Reglamento
con otros actos jurídicos de la Unión relevantes para la economía de los datos;
(k) la prevención del acceso ilegal por parte del
gobierno a datos no personales;
(l) la eficacia del régimen de ejecución exigido
en el artículo 37;
(m) el impacto del presente Reglamento
en las pymes en lo que respecta a su capacidad de innovación y a la
disponibilidad de servicios de tratamiento de datos para los usuarios de la
Unión y la carga que supone el cumplimiento de nuevas obligaciones.
2. A más tardar el 12 de septiembre de 2028, la Comisión realizará una
evaluación del presente Reglamento y presentará un informe con sus principales
conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social
Europeo. Dicha evaluación analizará el impacto de los artículos 23 a 31, 34 y
35, en particular en lo que respecta a los precios y a la diversidad de los
servicios de tratamiento de datos ofrecidos en la Unión, con especial atención
a las pymes proveedoras.
3. Los Estados miembros facilitarán a la Comisión la información necesaria
para la elaboración de los informes a que se refieren los apartados 1 y 2.
4. Sobre la base de los informes a que se refieren los apartados 1 y 2, la
Comisión podrá, cuando proceda, presentar una propuesta legislativa al
Parlamento Europeo y al Consejo para modificar el presente Reglamento.
Artículo 50
Entrada en vigor y
aplicación
El presente Reglamento entrará en vigor el vigésimo día siguiente al de su
publicación en el Diario Oficial de la Unión Europea .
Será aplicable a partir del 12 de septiembre de 2025.
La obligación resultante del artículo 3(1) se aplicará a los productos
conectados y a los servicios relacionados con ellos comercializados después del
12 de septiembre de 2026.
El capítulo III se aplicará en relación con las obligaciones de puesta a
disposición de los datos en virtud del Derecho de la Unión o de la legislación
nacional adoptada de conformidad con el Derecho de la Unión que entre en vigor
después del 12 de septiembre de 2025.
El capítulo IV se aplicará a los contratos celebrados después del 12 de
septiembre de 2025.
El capítulo IV se aplicará a partir del 12 de septiembre de 2027 a los
contratos celebrados el 12 de septiembre de 2025 o antes, siempre que:
(a) de duración indefinida; o
(b) que expirará al menos dentro de 10 años a
partir del 11 de enero de 2024.
El presente Reglamento será obligatorio en todos sus elementos y
directamente aplicable en cada Estado miembro.
Hecho en Estrasburgo, el 13 de diciembre de 2023.
Para el Parlamento
Europeo
El Presidente
R. METSOLA
Para el Consejo
El Presidente
P. NAVARRO RÍOS
( 1 ) DO C 402 de
19.10.2022, p. 5 .
( 2 ) DO C 365 de
23.9.2022, p. 18 .
( 3 ) DO C 375 de
30.9.2022, p. 112 .
( 4 ) Posición
del Parlamento Europeo de 9 de noviembre de 2023 (no publicada aún en el Diario
Oficial) y Decisión del Consejo de 27 de noviembre de 2023.
( 5 ) Recomendación
2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de
microempresas, pequeñas y medianas empresas ( DO L 124 de
20.5.2003, p. 36 ).
( 6 ) Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (Reglamento general de protección de
datos) ( DO L 119 de
4.5.2016, p. 1 ).
( 7 ) Reglamento
(UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018,
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales por las instituciones, órganos y organismos de
la Unión, y a la libre circulación de esos datos, y por el que se derogan el
Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE ( DO L 295 de
21.11.2018, p. 39 ).
( 8 ) Directiva
2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002,
relativa al tratamiento de los datos personales y a la protección de la
intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la
privacidad y las comunicaciones electrónicas) ( DO L 201 de
31.7.2002, p. 37 ).
( 9 ) Directiva
93/13/CEE del Consejo, de 5 de abril de 1993, sobre las cláusulas abusivas en
los contratos celebrados con consumidores ( DO L 95 de
21.4.1993, p. 29 ).
( 10 ) Directiva
2005/29/CE del Parlamento Europeo y del Consejo, de 11 de mayo de 2005,
relativa a las prácticas comerciales desleales de las empresas en sus
relaciones con los consumidores en el mercado interior, que modifica la
Directiva 84/450/CEE del Consejo, las Directivas 97/7/CE, 98/27/CE y 2002/65/CE
del Parlamento Europeo y del Consejo y el Reglamento (CE) no 2006/2004 del
Parlamento Europeo y del Consejo («Directiva sobre las prácticas comerciales
desleales») ( DO L 149 de
11.6.2005, p. 22 ).
( 11 ) Directiva
2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011,
sobre los derechos de los consumidores, por la que se modifican la Directiva
93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del
Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE
del Parlamento Europeo y del Consejo ( DO L 304 de
22.11.2011, p. 64 ).
( 12 ) Reglamento
(UE) 2021/784 del Parlamento Europeo y del Consejo, de 29 de abril de 2021,
sobre la lucha contra la difusión de contenidos terroristas en línea ( DO L 172 de
17.5.2021, p. 79 ).
( 13 ) Reglamento
(UE) 2022/2065 del Parlamento Europeo y del Consejo, de 19 de octubre de 2022,
relativo a un mercado único de servicios digitales y por el que se modifica la
Directiva 2000/31/CE (Ley de Servicios Digitales) ( DO L 277 de
27.10.2022, p. 1 ).
( 14 ) Reglamento
(UE) 2023/1543 del Parlamento Europeo y del Consejo, de 12 de julio de 2023,
relativo a las órdenes europeas de entrega y a las órdenes europeas de
conservación de pruebas electrónicas a efectos de procesos penales y para la
ejecución de penas privativas de libertad tras procesos penales ( DO L 191 de
28.7.2023, p. 118 ).
( 15 ) Directiva
(UE) 2023/1544 del Parlamento Europeo y del Consejo, de 12 de julio de 2023,
por la que se establecen normas armonizadas sobre la designación de
establecimientos designados y el nombramiento de representantes legales a
efectos de la recopilación de pruebas electrónicas en procesos penales ( DO L 191 de
28.7.2023, p. 181 ).
( 16 ) Reglamento
(UE) 2015/847 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015,
relativo a la información que acompaña a las transferencias de fondos y por el
que se deroga el Reglamento (CE) n.o 1781/2006 ( DO L 141 de
5.6.2015, p. 1 ).
( 17 ) Directiva
(UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015,
relativa a la prevención de la utilización del sistema financiero para el
blanqueo de capitales o la financiación del terrorismo, y por la que se
modifica el Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo,
y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la
Directiva 2006/70/CE de la Comisión ( DO L 141 de
5.6.2015, p. 73 ).
( 18 ) Directiva
(UE) 2019/882 del Parlamento Europeo y del Consejo, de 17 de abril de 2019,
sobre los requisitos de accesibilidad de los productos y servicios ( DO L 151 de
7.6.2019, p. 70 ).
( 19 ) Directiva
2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001,
relativa a la armonización de determinados aspectos de los derechos de autor y
derechos afines a los derechos de autor en la sociedad de la información
( DO L 167 de
22.6.2001, p. 10 ).
( 20 ) Directiva
2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004,
relativa al respeto de los derechos de propiedad intelectual ( DO L 157 de
30.4.2004, p. 45 ).
( 21 ) Directiva
(UE) 2019/790 del Parlamento Europeo y del Consejo, de 17 de abril de 2019,
sobre los derechos de autor y derechos afines en el mercado único digital y por
la que se modifican las Directivas 96/9/CE y 2001/29/CE ( DO L 130 de
17.5.2019, p. 92 ).
( 22 ) Reglamento
(UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022,
relativo a la gobernanza de datos europea y por el que se modifica el
Reglamento (UE) 2018/1724 (Ley de Gobernanza de Datos) ( DO L 152 de 3.6.2022,
p. 1 ).
( 23 ) Directiva
(UE) 2016/943 del Parlamento Europeo y del Consejo, de 8 de junio de 2016,
relativa a la protección de los conocimientos técnicos y la información
empresarial no divulgados (secretos comerciales) contra su obtención,
utilización y divulgación ilícitas ( DO L 157 de
15.6.2016, p. 1 ).
( 24 ) Directiva
98/6/CE del Parlamento Europeo y del Consejo, de 16 de febrero de 1998,
relativa a la protección de los consumidores en materia de indicación de los
precios de los productos ofrecidos a los consumidores ( DO L 80 de
18.3.1998, p. 27 ).
( 25 ) Directiva
2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000,
relativa a determinados aspectos jurídicos de los servicios de la sociedad de
la información, en particular el comercio electrónico en el mercado interior
(«Directiva sobre el comercio electrónico») ( DO L 178 de
17.7.2000, p. 1 ).
( 26 ) Reglamento
(UE) 2022/1925 del Parlamento Europeo y del Consejo, de 14 de septiembre de
2022, relativo a unos mercados disputables y equitativos en el sector digital y
por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Ley de
Mercados Digitales) ( DO L 265 de
12.10.2022, p. 1 ).
( 27 ) Reglamento
(CE) no 223/2009 del Parlamento Europeo y del Consejo, de 11 de marzo de 2009,
relativo a la estadística europea y por el que se deroga el Reglamento (CE,
Euratom) no 1101/2008 del Parlamento Europeo y del Consejo, relativo a la
transmisión a la Oficina Estadística de las Comunidades Europeas de las
información amparadas por el secreto estadístico, el Reglamento (CE) no 322/97
del Consejo, sobre la estadística comunitaria, y la Decisión 89/382/CEE,
Euratom del Consejo por la que se crea un Comité del programa estadístico de
las Comunidades Europeas ( DO L 87 de
31.3.2009, p. 164 ).
( 28 ) Directiva
(UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019,
relativa a los datos abiertos y la reutilización de la información del sector
público ( DO L 172 de
26.6.2019, p. 56 ).
( 29 ) Directiva
96/9/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 1996, sobre la
protección jurídica de las bases de datos ( DO L 77 de
27.3.1996, p. 20 ).
( 30 ) Reglamento
(UE) 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de
2018, relativo a un marco para la libre circulación de datos no personales en
la Unión Europea ( DO L 303 de
28.11.2018, p. 59 ).
( 31 ) Directiva
(UE) 2019/770 del Parlamento Europeo y del Consejo, de 20 de mayo de 2019,
sobre determinados aspectos de los contratos de suministro de contenidos y
servicios digitales ( DO L 136 de
22.5.2019, p. 1 ).
( 32 ) Reglamento
(UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de
2022, sobre la resiliencia operativa digital del sector financiero y por el que
se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o
600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 ( DO L 333 de
27.12.2022, p. 1 ).
( 33 ) Reglamento
(UE) n.o 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de
2012, sobre la normalización europea, por el que se modifican las Directivas
89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE,
95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE
del Parlamento Europeo y del Consejo y por el que se deroga la Decisión
87/95/CEE del Consejo y la Decisión n.o 1673/2006/CE del Parlamento Europeo y
del Consejo ( DO L 316 de
14.11.2012, p. 12 ).
( 34 ) Reglamento
(CE) n.o 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008,
por el que se establecen los requisitos de acreditación y se deroga el
Reglamento (CEE) n.o 339/93 ( DO L 218 de
13.8.2008, p. 30 ).
( 35 ) Decisión
no 768/2008/CE del Parlamento Europeo y del Consejo, de 9 de julio de 2008,
sobre un marco común para la comercialización de los productos y por la que se
deroga la Decisión 93/465/CEE del Consejo ( DO L 218 de
13.8.2008, p. 82 ).
( 36 ) Reglamento
(UE) 2017/2394 del Parlamento Europeo y del Consejo, de 12 de diciembre de
2017, sobre la cooperación entre las autoridades nacionales encargadas de la
aplicación de la legislación de protección de los consumidores y por el que se
deroga el Reglamento (CE) n.o 2006/2004 ( DO L 345 de
27.12.2017, p. 1 ).
( 37 ) Directiva
(UE) 2020/1828 del Parlamento Europeo y del Consejo, de 25 de noviembre de
2020, relativa a las acciones de representación para la protección de los
intereses colectivos de los consumidores y por la que se deroga la Directiva
2009/22/CE ( DO L 409 de
4.12.2020, p. 1 ).
( 38 ) DO L 123 de
12.5.2016, p. 1 .
( 39 ) Reglamento
(UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de
2011, por el que se establecen las normas y los principios generales relativos
a las modalidades de control por parte de los Estados miembros del ejercicio de
las competencias de ejecución por la Comisión ( DO L 55 de
28.2.2011, p. 13 ).
ELI: http://data.europa.eu/eli/reg/2023/2854/oj
ISSN 1977-0677 (edición electrónica)
No hay comentarios:
Publicar un comentario