REGLAMENTO EUROPEO SOBRE LOS DATOS (LEY DE DATOS) - CNIL

  Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

cferreyros@ferreyros-ferreyros.com

RESUMEN

La Ley de Datos establece un marco horizontal para organizar el acceso, el intercambio y el uso de los datos generados por productos y servicios conectados, con el fin de fortalecer los derechos de los usuarios y apoyar la economía europea de datos. Esta Ley complementa el RGPD centrándose en los usos económicos (quién puede usar qué datos y bajo qué condiciones), al mismo tiempo que establece el rol de la autoridad del RGPD en caso de conflicto sobre los datos personales,

La Ley apunta a dos objetivos principales:

• Fomentar una economía de datos más abierta y competitiva mediante la imposición de condiciones justas, razonables y no discriminatorias para el acceso a los datos, en particular a los datos industriales y del IoT (Internet de las cosas).
• Otorgar a las personas y empresas un mayor control sobre los datos generados por los objetos digitales, las máquinas (industriales, vehiculos, relojes inteligentes...) y los servicios que poseen, alquilan o utilizan, ya sean personales o no personales.

Contempla igualmente los Derechos de los usuarios en los dispositivos conectados o de los servicios asociados; y las Obligaciones de los fabricantes, proveedores de servicios y titulares o detentores de datos en la concepción y servicios asociados de forma que los datos que generan sean directamente accesibles para el usuario o a través de una interfaz. Incluyendo, facilitar la portabilidad de datos y el intercambio entre proveedores de servicios de procesamiento de datos o en la nube, en particular limitando las tasas de salida y exigiendo una mayor interoperabilidad técnica.

Finalmente, la Ley establece un calendario de implementación y las funciones de las Autoridades de Protección de Datos Personales Europeas, y en particular el de la CNIL, como garantes de la armonización de la Ley de Protección de Datos con el RGPD, particularmente, respecto al tratamiento de datos personales, y la asistencia a las partes interesadas en el cumplimiento contractual, técnico y organizativo.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas interesadas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@ferreyros-ferreyros.com

_____________________________________________

El Reglamento sobre los Datos (Ley de Datos): un nuevo marco europeo para el intercambio y uso de datos

22 de diciembre de 2025

---

El Reglamento sobre los Datos establece un marco europeo para organizar el intercambio y el uso de datos de los dispositivos conectados. Refuerza los derechos de los usuarios y crea nuevas obligaciones para las partes interesadas. La CNIL (Comisión Nacional de Informática y Libertades) presenta su rol y las nuevas reglas aplicables.

Facilitar el intercambio de datos desde objetos conectados

Un nuevo marco para un mejor acceso a los datos generados por objetos conectados

El reglamento europeo sobre los datos (Data Act) debe permitir el desarrollo de una economía de datos más abierta y competitiva. Para ello, establece normas justas para el acceso y el uso de los datos personales y no personales generados por dispositivos conectados. El reglamento detalla quién puede usar qué datos y cómo.

Concretamente, el reglamento de datos permite a cualquier persona que posea o utilice un dispositivo conectado acceder a los datos generados por dicho dispositivo. También facilita compartir estos datos con terceros, en particular al prohibir las cláusulas contractuales abusivas.

La aplicación de este reglamento debe coordinarse con el RGPD. En particular, estipula que, en caso de conflicto entre ambos textos, prevalecerá el RGPD cuando se trate de datos personales.

De manera similar, se debe considerar el reglamento sobre la gobernanza de datos (DGA), que ha establecido nuevos intermediarios de confianza para fomentar el intercambio voluntario de datos.

Un reglamento aplicable progresivamente    

La mayoría de las disposiciones del reglamento sobre los datos son aplicables desde el 12 de septiembre de 2025. Otras obligaciones entrarán en vigor en una fecha posterior.

• Septiembre de 2026: Los fabricantes y proveedores deberán concebir los objetos conectados y sus servicios de forma que los datos que generan sean directamente accesibles.
• Enero de 2027: los beneficiarios de servicios de computación en la nube deberán poder cambiar de proveedor de forma gratuita.
• Septiembre de 2027: La prohibición de cláusulas abusivas se aplicará a los contratos celebrados antes del 12 de septiembre de 2025.

Nota: El 19 de noviembre de 2025, la Comisión Europea presentó una propuesta de reglamento que podría modificar el reglamento de datos con el fin de mejorar la coordinación entre las legislaciones europeas (en particular con la DGA).

Cubrir todos los datos generados por el uso de objetos conectados

El reglamento de datos se aplica a todos los datos producidos por el uso de objetos conectados y de los servicios asociados a ellos, sean personales o no .

• Los objetos en cuestión son todos aquellos que comunican datos a través de Internet u otra red pública como, por ejemplo, un vehículo conectado, un reloj o una pulsera de salud conectados, un termostato inteligente o una máquina industrial equipada con sensores.
• Los servicios asociados son aquellos necesarios para el funcionamiento de estos objetos. Entre ellos se incluyen, por ejemplo, los siguientes: la aplicación movil que permite ajustar un termostato conectado, la plataforma online donde se muestran los datos de un sensor, un servicio de gestión de flotas comerciales vinculado a la caja telemática instalada en los vehículos, o incluso un asistente inteligente integrado al producto.

Cuando estén en juego los datos personales, su tratamiento deberá ser conforme con el RGPD.

Identificar los actores afectados por el reglamento sobre los datos

La regulación de datos se aplica a muchos actores, ya sean públicos o privados.

Fabricantes y titulares de datos

Los fabricantes son aquellos que conciben o fabrican un objeto conectado o el servicio asociado.

Los detentores de los datos son quienes generan o conservan los datos. Para ser considerados detentor de datos, es necesario ejercer un control genuino sobre ellos. En la práctica, los fabricantes suelen ser detentores de datos, pero no siempre es así.

Ejemplo

Un fabricante de relojes inteligentes recopila datos generados durante el uso para proveer funcionalidades de seguimiento deportivo en la aplicación asociada. En este caso, el fabricante también es propietario de los datos.

Si el fabricante confía el diseño y la gestión de la aplicación móvil a una empresa externa, y dicha empresa recopila datos para prestar el servicio, entonces se convierte en detentor de los datos.

Usuarios de dispositivos conectados o servicios asociados

Los usuarios son todas las personas (individuos, empresas, etc.) que poseen o utilizan, incluso temporalmente, un objeto conectado o un servicio asociado.

Estas personas podrán ejercer los derechos previstos en el reglamento de datos, incluido el derecho a solicitar acceso a los datos generados por el uso del objeto conectado o de los servicios relacionados.

Ejemplos

Para un mismo dispositivo conectado, pueden coexistir varios usuarios, dependiendo de los usos y situaciones: 

• El propietario de un vehículo conectado (un individuo, una empresa de alquiler o una empresa que posee vehículos de empresa para sus empleados) es un usuario.
• También es usuario la persona que alquila este vehículo a una empresa de alquiler o lo utiliza con fines laborales (coche de empresa). 
• Una persona que utiliza un servicio conectado ofrecido en el vehículo, incluso si no es el propietario, es un usuario.

Los destinatarios

Los destinatarios son personas u organizaciones, distintas de los usuarios, que reciben datos del responsable o detentor del tratamiento para llevar a cabo una actividad económica. Esta transferencia puede producirse, en particular, tras la solicitud del usuario de transmitir sus datos a un tercero. Esta solicitud debe dirigirse al responsable del tratamiento.

Los otros actores

El reglamento sobre los datos también se aplica a las siguientes entidades:

• Organismos, instituciones, agencias u órganos del sector público de la Unión Europea. En determinados casos, estos organismos podrían requerir el acceso a determinados datos para responder a situaciones urgentes o llevar a cabo misiones de interés público.
• Proveedores de servicios de tratamiento de datos (por ejemplo, un servicio de computación en la nube) ofrecidos en la Unión Europea.
• Participantes en espacios de datos y proveedores de aplicaciones que utilizan contratos inteligentes, es decir, actores que conciben o utilizan contratos automatizados en sus servicios.

Respetar las principales obligaciones para facilitar el intercambio de datos

El reglamento incluye varias obligaciones para facilitar el intercambio de datos.

Hacer accesibles los datos para los usuarios desde la etapa del diseño o concepción

Los fabricantes deben facilitar a los usuarios, tanto particulares como empresas, el acceso a los datos que generan. Estos datos deben ser directamente accesibles, siempre que sea técnicamente posible, de forma gratuita, segura y en un formato claro y reutilizable.

Concretamente:

• Un usuario de un reloj inteligente debe poder recuperar los datos generados por el uso de su reloj.
• Un conductor debe poder recuperar los datos generados por el uso de su vehículo conectado.

Poner los datos a disposición del usuario cuando lo solicite

Cuando el usuario, por razones técnicas, no pueda acceder directamente a los datos del objeto conectado o del servicio asociado, el titular de los datos deberá hacer que los datos sean fácilmente accesibles, sin demora, de forma gratuita, a simple solicitud del usuario.

Permitir compartir datos con terceros

El usuario puede solicitar al detentor de los datos que los comparta con un destinatario de su elección, con fines comerciales o no comerciales. Este intercambio deberá realizarse lo antes posible, de forma gratuita para el usuario, con la misma calidad que la del titular o detentor  y, siempre que sea técnicamente posible, de forma continua y en tiempo real.

Este derecho refuerza el derecho a la portabilidad de datos previsto por el RGPD, en particular extendiéndolo a todos los datos (personales o no personales).

El reglamento sobre los datos proporciona un marco para este intercambio al prohibir, en particular, el uso de estos datos para desarrollar un producto que compita con el producto conectado del que provienen los datos, o el uso de estos datos para perfilar al usuario, a menos que esto sea necesario para proporcionar el servicio solicitado.

Garantizar la transparencia de los datos generados por los objetos conectados

Los usuarios deben ser informados, antes de concluir cualquier contrato relativo a un objeto conectado o un servicio asociado (en particular antes de la compra o el alquiler):

•   del tipo de datos generados al usar ese objeto y el servicio asociado;  
• del uso de los datos por parte del fabricante/proveedor de servicios;
• de la identidad del titular o detentor de los datos;
• de los procedimientos para ejercer sus derechos.

Cuando se trata de datos personales, también se aplican los requisitos de transparencia e información establecidos en el RGPD .

Facilitar el cambio entre proveedores de servicios de computación en la nube

Adoptada en 2024, la ley destinada a asegurar y a regular lo digital comenzó a establecer un marco para los servicios de computación en la nube que facilita el cambio de proveedor. La regulación de datos fortalece y amplía este marco, profundizando en la movilidad e interoperabilidad de los servicios.

Los usuarios de servicios de computación en la nube ahora deben poder cambiar de proveedor o utilizar varios servicios simultáneamente sin dificultad. De este modo, el reglamento elimina los obstáculos para cambiar de servicio (costes, trámites largos, falta de interoperabilidad entre proveedores, etc.).

Reiterar la aplicación continua de los requisitos del RGPD a los datos personales

Siempre que se trate de datos personales, el RGPD seguirá siendo aplicable. Esto significa, en particular, que:

• Cada actor debe tener un rol definido según lo define el RGPD: responsable del tratamiento de datos, subcontratista  ;
• es necesaria una base legal para tratar o poner a disposición datos personales;
• Los interesados ​​conservan sus derechos : información, acceso, rectificación, oposición, supresión, portabilidad, etc.
• Los actores deben garantizar un tratamiento seguro.

La CNIL confirma su papel central en la protección de datos personales

El proyecto de ley que contiene diversas disposiciones de adaptación al Derecho de la Unión Europea en materia económica, financiera, medioambiental, energética, de información, de transportes, sanitaria, agrícola y pesquera (DADDUE), que se debatirá en el Parlamento en 2026, designa a la ARCEP como autoridad competente para orientar la regulación de los datos.

Las autoridades de protección de datos, incluida la CNIL en Francia, supervisan la aplicación de la normativa de datos en materia de protección de datos personales.

La CNIL y la Arcep trabajarán conjuntamente para garantizar una regulación eficaz y complementaria de sus acciones en la aplicación de este reglamento.

Texto de referencia

Para profundizar más

• DGA: la CNIL, Autoridad competente en materia de cesión de datos
• Objetos conectados
• Apertura y reutilización de datos
• Reglamento de Protección de Datos - EUR-Lex

• #LeyDeDatos
• #Datos personales
• #Intercambio
• #Objetos conectados