Una visión general completa de la Ley de datos, incluidos sus objetivos y cómo funciona en la práctica.
¿Por qué la Ley de Datos?
La Ley de datos es una ley diseñada para mejorar la economía de los datos de la UE y fomentar un mercado de datos competitivo haciendo que los datos (en particular los datos industriales) sean más accesibles y utilizables, fomentando la innovación basada en datos y aumentando la disponibilidad de datos. Para lograrlo, la Ley de Datos garantiza la equidad en la asignación del valor de los datos entre los actores de la economía de los datos. Aclara quién puede utilizar qué datos y bajo qué condiciones.
En los últimos años, ha habido un rápido crecimiento en la disponibilidad de productos conectados a Internet («productos conectados») en el mercado europeo. Estos productos, que en conjunto componen una red conocida como Internet de las cosas (IoT), aumentan significativamente el volumen de datos disponibles para su reutilización en la UE. Esto representa un enorme potencial para la innovación y la competitividad en la UE.
La Ley de Datos otorga a los usuarios de productos conectados (empresas o individuos que poseen, alquilan o alquilan tal producto) un mayor control sobre los datos que generan, al tiempo que mantienen incentivos para aquellos que invierten en tecnologías de datos. Además, establece condiciones generales para las situaciones en las que una empresa tiene la obligación legal de compartir datos con otra empresa.
La Ley de datos también incluye medidas para aumentar la equidad y la competencia en el mercado europeo de la nube, así como para proteger a las empresas de las cláusulas contractuales desleales relacionadas con el intercambio de datos impuestas por agentes más fuertes. También establece un mecanismo a través del cual los organismos del sector público pueden solicitar datos a una empresa en la que existe una necesidad excepcional, por ejemplo en situaciones de emergencia pública, y establece normas claras sobre cómo deben presentarse dichas solicitudes. Además, introduce salvaguardias para evitar que los organismos gubernamentales de terceros países puedan acceder a datos no personales cuando ello iría en contra de la legislación de la UE o nacional. Por último, la Ley de datos define los requisitos esenciales en materia de interoperabilidad para garantizar que los datos puedan fluir sin problemas entre los sectores y los Estados miembros, facilitados por los espacios comunes europeos de datos, así como entre los proveedores de servicios de tratamiento de datos.
La Ley de datos se publicó en el Diario Oficial de la UE el 22 de diciembre de 2023 y será aplicable el 12 de septiembre de 2025.
La Ley de Datos complementa la Ley de Gobernanza de Datos, que es el primer resultado de la estrategia europea de datos. La Ley de Gobernanza de Datos entró en vigor en septiembre de 2023. Si bien la Ley de Gobernanza de Datos aumenta la confianza en los mecanismos voluntarios de intercambio de datos, la Ley de datos proporciona claridad jurídica con respecto al acceso y el uso de los datos.
Junto con otras medidas políticas y oportunidades de financiación, estos dos reglamentos contribuirán a la creación de un mercado único de datos de la UE, convirtiendo a Europa en líder en la economía de los datos aprovechando el potencial de las cantidades cada vez mayores de datos, en particular datos industriales, en beneficio de la economía y la sociedad europeas.
Cuestiones abordadas
De conformidad con las disposiciones generales (capítulo I) que establecen el ámbito de aplicación del Reglamento y definen términos clave, la Ley de datos se estructura en seis capítulos principales:
Capítulo II sobre el intercambio de datos entre empresas y entre empresas y consumidores en el contexto de la IoT: los usuarios de objetos IoT pueden acceder, usar y transportar datos que cogeneran a través del uso de un producto conectado.
Capítulo III sobre el intercambio de datos entre empresas: esto aclara las condiciones de intercambio de datos dondequiera que una empresa esté obligada por ley, incluso a través de la Ley de Datos, a compartir datos con otra empresa.
Capítulo IV sobre las cláusulas contractuales abusivas: estas disposiciones protegen a todas las empresas, en particular a las PYME, contra las cláusulas contractuales abusivas que se les imponen.
Capítulo V sobre el intercambio de datos entre empresas y gobiernos: los organismos del sector público podrán tomar decisiones más basadas en pruebas en determinadas situaciones de necesidad excepcional mediante medidas para acceder a determinados datos en poder del sector privado.
Capítulo VI sobre el cambio entre servicios de tratamiento de datos: los proveedores de servicios de computación en la nube y edge deben cumplir los requisitos mínimos para facilitar la interoperabilidad y permitir el cambio.
Capítulo VII sobre el acceso ilegal de los gobiernos de terceros países a los datos: los datos no personales almacenados en la UE están protegidos contra solicitudes ilegales de acceso de gobiernos extranjeros.
Capítulo VIII sobre interoperabilidad: los participantes en los espacios de datos deben cumplir criterios para permitir que los datos fluyan dentro de los espacios de datos y entre ellos. Un repositorio de la UE establecerá las normas y especificaciones pertinentes para la interoperabilidad en la nube.
Capítulo IX, relativo a la ejecución: Los Estados miembros deben designar una o varias autoridades competentes para supervisar y hacer cumplir la Ley de datos. Cuando se designe a más de una autoridad, deberá designarse un «coordinador de datos» para que actúe como punto de contacto único a nivel nacional.
Capítulo II: Intercambio de datos entre empresas y entre empresas y consumidores en el contexto del mercado de IoT
¿Por qué?
Un objetivo clave de la Ley de Datos es crear equidad en la economía de los datos y capacitar a los usuarios para obtener valor de los datos que generan utilizando los productos conectados que poseen, alquilan o alquilan.
La Ley de datos permite a los usuarios de productos conectados (por ejemplo, automóviles conectados, dispositivos médicos y de fitness, maquinaria industrial o agrícola) y servicios relacionados (es decir, cualquier cosa que haga que un producto conectado se comporte de una manera específica, como una aplicación para ajustar el brillo de las luces, o para regular la temperatura de un refrigerador) acceder a los datos que co-crean utilizando los productos conectados/servicios relacionados.
La disponibilidad de estos datos tendrá un impacto significativo en la economía. Por ejemplo, los datos generados por productos conectados y servicios relacionados pueden utilizarse para impulsar los servicios de posventa y auxiliares, así como para crear servicios completamente nuevos, beneficiando tanto a las empresas como a los consumidores.
Ejemplos de productos conectados: productos de consumo (por ejemplo, automóviles conectados, dispositivos de vigilancia sanitaria, dispositivos inteligentes para el hogar), otros productos (por ejemplo, aviones, robots, máquinas industriales).
Ejemplo de un servicio relacionado: un usuario compra una lavadora e instala una aplicación que le permite medir el impacto ambiental del ciclo de lavado en base a los datos de los diferentes sensores dentro de la máquina y ajusta el ciclo en consecuencia. Esta aplicación se consideraría un servicio relacionado.
Ejemplos de servicios de posventa y servicios auxiliares: servicios de reparación y mantenimiento, seguros basados en datos.
Tipos de datos incluidos en el ámbito de aplicación
El capítulo II de la Ley de datos sobre el intercambio de datos entre empresas y entre empresas y consumidores se aplica a todos los datos brutos y preprocesados generados a partir del uso de un producto conectado o de un servicio relacionado que esté fácilmente disponible para el titular de los datos (por ejemplo, el fabricante de un producto conectado/proveedor de un servicio relacionado), es decir, los datos a los que se puede acceder fácilmente sin un esfuerzo desproporcionado, yendo más allá de una operación simple. Esto se aplica tanto a los datos personales como a los no personales, incluidos los metadatos pertinentes.
Estos datos incluyen los datos recopilados de un único sensor o de un grupo conectado de sensores, como temperatura, presión, caudal, audio, valor de pH, nivel de líquido, posición, aceleración o velocidad.
Los datos y contenidos inferidos o derivados (por ejemplo, datos altamente enriquecidos, material audiovisual) están fuera de alcance. Además, la Ley de Datos se entiende sin perjuicio de las leyes relativas a la protección de los derechos de propiedad intelectual.
Por ejemplo, si un usuario ve una película en su televisor conectado, la película en sí no está dentro del alcance, pero los datos sobre el brillo de la pantalla están dentro del alcance.
En la práctica
El capítulo II de la Ley de Datos permite a los usuarios (es decir, cualquier persona física o jurídica que posee, alquila o alquila un producto conectado) acceder a los datos que generan a través de su uso del producto conectado o servicio relacionado. Si el usuario desea compartir estos datos con otra entidad o individuo («tercero»), puede hacerlo directamente o puede pedir al titular de los datos que los comparta con un tercero de su elección (excluyendo los guardianes de acceso en virtud de la Ley de Mercados Digitales). El titular de los datos es típicamente la empresa que fabrica el producto conectado o que proporciona un servicio relacionado. El titular de los datos debe tener un contrato con el usuario (por ejemplo, contrato de venta, contrato de alquiler, contrato de servicio relacionado, etc.) que defina los derechos relativos al acceso, uso y uso compartido de los datos generados por el producto o servicio relacionado conectado. Es importante tener en cuenta que el titular de los datos no puede utilizar ningún dato no personal generado por el producto sin el consentimiento del usuario.
A modo de ejemplo, y teniendo en cuenta que el contrato pertinente determina las funciones exactas:
-
Una empresa opera una excavadora: el titular de los datos normalmente sería el fabricante de la excavadora, y el usuario sería la empresa que opera la excavadora.
-
Si alguien compra una nevera conectada y descarga una aplicación que le ayuda a regular la temperatura óptima para el contenido de la nevera, potencialmente habría dos titulares de datos, a saber, la entidad que puso la nevera en el mercado y la entidad que ofrece el servicio relacionado (la aplicación), y solo el usuario (el propietario del refrigerador).
La Ley de Datos incluye varios mecanismos para facilitar a los usuarios la posibilidad de hacer uso de estas disposiciones: los titulares de datos deben proporcionar al usuario información sobre el tipo de datos que generarán al utilizar el producto conectado o el servicio relacionado (incluido el volumen, la frecuencia de recogida, etc.); los usuarios deben poder solicitar acceso a los datos a través de un proceso simple, y los titulares de datos deben poner los datos a disposición de los usuarios de forma gratuita.
Limitaciones en el uso de los datos
Para no disuadir a las empresas de invertir en productos generadores de datos, los datos obtenidos no pueden utilizarse para desarrollar un producto conectado competidor. La Ley de Datos no prohíbe la competencia en servicios relacionados o de posventa. Además, la Ley de Datos no obliga a un titular de datos a compartir datos con terceros con sede fuera de la UE.
La Ley de Datos cumple plenamente las normas de protección de datos, en particular el RGPD. Si el usuario no es el interesado cuyos datos se solicitan, los datos personales solo pueden ponerse a disposición si existe una base jurídica válida (por ejemplo, consentimiento). Esta es una consideración importante, ya que los datos cogenerados a menudo contienen datos personales y no personales, que pueden ser difíciles de separar.
Incentiva el desarrollo de productos y servicios conectados basados en nuevos flujos de datos, que tienen un valor particular para las empresas más pequeñas. Además, las microempresas y las pequeñas empresas, como fabricantes o proveedores de servicios relacionados, no están sujetas a las mismas obligaciones que las empresas más grandes.
Para proteger los secretos comerciales sin socavar el objetivo de la Ley de datos de poner a disposición más datos, el titular de los datos y el usuario/tercero pueden acordar ciertas medidas para preservar la confidencialidad de los secretos comerciales. Cuando no se respeten estas medidas, el titular de los datos podrá retener o suspender el intercambio de datos. El titular de los datos solo podrá negarse a compartir datos cuando pueda demostrar que es muy probable que sufra un grave perjuicio económico por la divulgación de secretos comerciales.
El titular de los datos y el usuario podrán acordar limitar el intercambio de datos si existe el riesgo de que se socaven los requisitos de seguridad del producto conectado, lo que tendrá graves efectos adversos para la salud, la seguridad o la protección de las personas. Tales requisitos deben establecerse en la legislación de la UE o nacional.
Si el titular de los datos suspende, retiene o se niega a compartir datos por motivos de protección o seguridad de secretos comerciales, deberá notificarlo a la autoridad nacional competente. Los usuarios podrán impugnar dicha decisión, ya sea ante el órgano jurisdiccional competente de un Estado miembro, a través de una reclamación ante la autoridad competente o previo acuerdo con el titular de los datos frente a un organismo de resolución de litigios.
Capítulo III: Normas sobre el intercambio obligatorio de datos entre empresas
¿Por qué?
La Ley de datos introduce normas para situaciones en las que una empresa («titular de datos») tiene la obligación legal en virtud de la legislación de la UE o nacional de poner los datos a disposición de otra empresa («receptor de datos»), incluso en el contexto de los datos de IoT. En particular, las condiciones de intercambio de datos deben ser justas, razonables y no discriminatorias.
Como incentivo para el intercambio de datos, los titulares de datos que están obligados a compartir datos pueden solicitar una «compensación razonable» del destinatario de los datos.
Tipos de datos incluidos en el ámbito de aplicación
El capítulo III de la Ley de datos se aplica a todos los datos (tanto personales como no personales) en poder de una empresa, incluidas las situaciones cubiertas por el capítulo II de la Ley de datos.
En la práctica
Los titulares de datos pueden solicitar una compensación razonable por poner los datos a disposición de un destinatario de datos. Esto podría incluir los costes incurridos por la puesta a disposición de los datos, así como los costes técnicos relacionados con la difusión y el almacenamiento. Sin embargo, las microempresas, las pymes y las organizaciones de investigación sin ánimo de lucro no pueden cobrar más que los costes incurridos por la puesta a disposición de los datos.
Con el fin de proteger a los titulares de datos, la Ley de Datos incluye una lista no exhaustiva de medidas para remediar situaciones en las que un tercero o usuario ha accedido o utilizado ilegalmente datos. Por ejemplo, un titular de datos podría exigir que una parte infractora deje de producir el producto en cuestión o que destruya los datos que ha obtenido ilegalmente, o podría solicitar una indemnización.
Las obligaciones de intercambio de datos que preceden a la Ley de Datos no se verán afectadas. Las obligaciones en la legislación futura (sectorial) deben ajustarse a las disposiciones del capítulo III de la Ley de datos.
Capítulo IV: Cláusulas contractuales abusivas
¿Por qué?
La libertad contractual es fundamental para las relaciones entre empresas. Sin embargo, la Ley de datos tiene por objeto proteger a todas las empresas europeas que deseen adquirir datos, en particular a las pymes, contra las cláusulas contractuales abusivas mediante sus medidas para intervenir en situaciones en las que, por ejemplo, una de las empresas se encuentra en una posición de negociación más sólida (por ejemplo, debido a su tamaño del mercado) e impone una cláusula no negociable («toma o licencia») relacionada con el acceso y el uso de los datos, por otra.
Tipos de datos incluidos en el ámbito de aplicación
Estas normas cubren todos los datos, tanto personales como no personales, en poder de una entidad privada a la que se accede y se utiliza en base a un contrato entre empresas.
En la práctica
Las cláusulas de aceptación o licencia impuestas unilateralmente podrán, cuando se refieran a la puesta a disposición de datos, estar sujetas a una prueba de carácter abusivo.
La Ley de datos establece una lista no exhaustiva de cláusulas que siempre se consideran abusivas (por ejemplo, que excluirían o limitarían la responsabilidad de la parte que impuso unilateralmente la cláusula por actos intencionales o negligencia grave) y de las cláusulas que se presumen abusivas (por ejemplo, que limitarían indebidamente los recursos en caso de incumplimiento de obligaciones contractuales o de responsabilidad en caso de incumplimiento de esas obligaciones, o ampliarían la responsabilidad de la empresa a la que se haya impuesto unilateralmente la cláusula). Si una cláusula se considera abusiva, ya no es válida; en la medida de lo posible, simplemente se separa del contacto. Si se presume que es abusiva, la entidad que impuso la cláusula puede intentar demostrar que la cláusula no es abusiva.
Capítulo V: Intercambio de datos entre empresas y gobiernos
¿Por qué?
Los datos en poder de entidades privadas pueden ser esenciales para que un organismo del sector público lleve a cabo una tarea de interés público. El capítulo V de la Ley de datos permite a los organismos del sector público acceder a dichos datos, en determinados términos y condiciones, cuando exista una necesidad excepcional. Este último se refiere a una situación imprevisible y limitada en el tiempo, en la que los datos en poder de una entidad privada son necesarios para el desempeño de la misión de interés público, en particular para mejorar la toma de decisiones basada en pruebas. Las situaciones de necesidad excepcional incluyen tanto emergencias públicas (como catástrofes naturales graves o provocadas por el ser humano, pandemias e incidentes de ciberseguridad) como situaciones no de emergencia (por ejemplo, podrían utilizarse datos agregados y anonimizados de los sistemas GPS de los conductores para ayudar a optimizar los flujos de tráfico).
La Ley de datos garantizará que las autoridades públicas tengan acceso a dichos datos de manera oportuna y fiable, sin imponer una carga administrativa indebida a las empresas.
Tipos de datos incluidos en el ámbito de aplicación
En virtud del capítulo V, todos los datos están en el ámbito de aplicación, centrándose en los datos no personales.
El capítulo V de la Ley de datos sobre el intercambio de datos entre empresas y gobiernos diferencia entre dos escenarios:
-
Para responder a una emergencia pública, un organismo del sector público debe solicitar datos no personales. Sin embargo, si esto no es suficiente para responder a la situación, se pueden solicitar datos personales. Siempre que sea posible, estos datos deben ser anonimizados por el titular de los datos.
-
En situaciones que no sean de emergencia, los organismos del sector público solo podrán solicitar datos no personales.
Principales partes interesadas
Las entidades facultadas para solicitar datos incluyen organismos del sector público de los Estados miembros, así como determinadas instituciones, organismos y agencias de la UE. Estas entidades también pueden compartir los datos con organizaciones que realizan investigaciones y financian bajo ciertas condiciones.
En el contexto de las solicitudes entre empresas y gobiernos, los titulares de datos suelen ser entidades privadas, pero también pueden incluir empresas públicas.
En la práctica
Un organismo del sector público podrá, en determinadas condiciones, obligar a un titular de datos a poner a disposición determinados datos sin demora indebida para responder a una emergencia pública. La Ley de datos define una emergencia pública; pero su existencia se determina de acuerdo con los procedimientos o leyes nacionales o de la UE.
Para necesidades excepcionales que no estén relacionadas con una emergencia pública, un organismo del sector público podrá solicitar datos no personales para cumplir una tarea específica que sea de interés público y que haya sido prevista por la ley, si el organismo del sector público puede demostrar que no ha podido acceder a los datos por otros medios.
En ambos casos (emergencia y no emergencia), las solicitudes deben respetar una serie de principios y condiciones estrictos. Por ejemplo, las solicitudes deben ser específicas, transparentes y proporcionadas, los secretos comerciales deben protegerse y los datos deben eliminarse una vez que ya no sean necesarios.
El cuadro que figura a continuación resume lo que las empresas pueden solicitar para proporcionar datos a un organismo del sector público en este contexto.
Compensación por la puesta a disposición de datos con arreglo al capítulo V de la Ley de datos
| Las empresas que no sean micro y pequeñas empresas pueden pedir: | Las micro y pequeñas empresas pueden pedir: | |
| Emergencia pública | Las empresas pueden solicitar que su contribución a los datos sea reconocida y reconocida públicamente por el organismo del sector público receptor. | Remuneración razonable que no exceda de los costes técnicos y organizativos incurridos + acuse de recibo público, previa solicitud |
| Situación de no emergencia | Remuneración razonable que no exceda de los costes técnicos y organizativos soportados (excepto para la elaboración de estadísticas oficiales) | N/A (exento de la obligación de facilitar datos) |
Para minimizar la carga para las empresas, más de un organismo del sector público no puede solicitar los mismos datos más de una vez («principio solo una vez»). Por esta razón, todas las solicitudes deben ser puestas a disposición del público por el coordinador de datos (a menos que exista un problema de seguridad).
Capítulo VI: Cambio entre servicios de procesamiento de datos
¿Por qué?
Con el fin de garantizar un mercado competitivo en la UE, los clientes de servicios de tratamiento de datos (incluidos los servicios en la nube y los servicios de borde) deben poder pasar sin problemas de un proveedor a otro. Sin embargo, los clientes se enfrentan actualmente a una serie de obstáculos a esto, incluidos los altos cargos asociados, por ejemplo, a la salida de datos, los largos procedimientos y la falta de interoperabilidad entre proveedores que pueden resultar en una pérdida de datos y aplicaciones.
La Ley de Datos hará que el cambio sea gratuito, rápido y fluido. Esto beneficiará a los clientes, que pueden elegir libremente los servicios que mejor satisfagan sus necesidades, así como a los proveedores, que se beneficiarán de un grupo más grande de clientes.
Alcance
El capítulo VI de la Ley de datos se aplica a los proveedores de servicios de tratamiento de datos (es decir, servicios digitales que permiten el acceso a la red ubicuo y bajo demanda, como redes, servidores u otras infraestructuras y programas informáticos virtuales o físicos). Los datos clave para el cambio comprenden los datos de entrada y salida, incluidos los metadatos, generados por el uso del servicio por parte del cliente, excluyendo los datos protegidos por derechos de propiedad intelectual o que constituyan un secreto comercial del proveedor de servicios.
En la práctica
Para superar el desequilibrio de poder entre proveedores y clientes en el mercado de la nube, la Ley de Datos establece requisitos mínimos para el contenido de los contratos en la nube. En particular, los clientes del sector privado y público se beneficiarán de una transparencia contractual mucho mayor.
La Ley de datos incluye medidas para garantizar que los clientes puedan pasar de un proveedor de servicios de tratamiento de datos («proveedor de origen») a otro proveedor («destino») de forma rápida y fluida, y sin perder ningún dato ni la funcionalidad de las aplicaciones. Por ejemplo, los proveedores de Plataforma y Software como Servicio deben poner a disposición interfaces abiertas y, como mínimo, exportar datos en un formato de uso común y legible por máquina. Los proveedores de infraestructuras como servicio deben tomar medidas para facilitar que, cuando un cliente cambie a un servicio del mismo tipo, el cliente obtenga resultados materialmente comparables en respuesta a la misma información para las características que comparten ambos servicios («equivalencia funcional»). Como ejemplo de tal medida, el proveedor de origen puede tener que utilizar herramientas para cambiar las cargas de trabajo informáticas de una tecnología de virtualización a otra.
Todos los proveedores están obligados a eliminar los obstáculos que sus clientes pueden enfrentar cuando quieren cambiar a otro proveedor o utilizar varios servicios al mismo tiempo.
La Ley de datos también eliminará por completo los cargos de cambio, incluidos los cargos por salida de datos (es decir, cargos por tránsito de datos), a partir del 12 de enero de 2027. Esto significa que los proveedores no podrán cobrar a sus clientes por las operaciones necesarias para facilitar el cambio o la salida de datos. Sin embargo, como medida transitoria durante los tres primeros años posteriores a la entrada en vigor de la Ley de datos (del 11 de enero de 2024 al 12 de enero de 2027), los proveedores aún pueden cobrar a sus clientes los costes incurridos en relación con el cambio y la salida de datos.
Capítulo VII: Acceso ilegal del gobierno de terceros países
¿Por qué?
A veces, una decisión o sentencia dictada por un país no perteneciente a la UE («tercer país») tiene por objeto permitir al Gobierno el acceso y la transferencia de datos no personales tratados y almacenados dentro de la UE. No obstante, en determinados casos, la concesión de acceso a dichos datos o su transferencia puede ser en realidad ilegal, en particular cuando la solicitud entra en conflicto con la legislación de la UE y las garantías sobre la protección de los derechos fundamentales de las personas físicas, los intereses de seguridad nacional o los datos sensibles desde el punto de vista comercial.
La Ley de datos sigue la Ley de gobernanza de datos con respecto a las disposiciones destinadas a impedir el acceso ilegal de terceros países y la transferencia de datos no personales conservados en la UE. Estas disposiciones no repercuten en el intercambio regular de datos entre empresas. Aumentan la transparencia y la seguridad jurídica en relación con el proceso y las condiciones en que los organismos gubernamentales no pertenecientes a la UE pueden acceder a los datos no personales o transferirlos a ellos.
Tipos de datos incluidos en el ámbito de aplicación
Cualquier dato no personal conservado en la UE por un proveedor de un servicio de tratamiento de datos.
En la práctica
La Ley de datos no prohíbe los flujos transfronterizos de datos, pero garantiza que la protección ofrecida a los datos en la UE viaje con cualquier dato transferido fuera de la UE.
En este contexto, la Ley de datos establece normas y salvaguardias para las solicitudes de acceso de un organismo del sector público extranjero a los datos no personales conservados en la Unión. La cooperación internacional legítima en relación con la aplicación de la ley no se ve afectada por estas disposiciones.
Si no existe un acuerdo internacional que regule el acceso de un gobierno de un tercer país a datos no personales ubicados en la UE, los datos solo pueden transferirse o accederse en condiciones específicas. Estas condiciones se refieren a determinadas garantías que salvaguardan los derechos europeos que debe cumplir el ordenamiento jurídico del tercer país, incluido el requisito de exponer las razones y evaluar la proporcionalidad en la decisión. El proveedor de servicios de tratamiento de datos al que se refiere dicha decisión podrá ponerse en contacto con el organismo nacional pertinente para ayudar a evaluar si se cumplen las condiciones establecidas en la Ley de datos. Para ayudar a evaluar si se han cumplido estas condiciones, la Comisión Europea elaborará directrices junto con el Consejo Europeo de Innovación de Datos (un grupo de expertos creado en virtud de la Ley de gobernanza de datos para facilitar el intercambio de mejores prácticas y dar prioridad a las normas de interoperabilidad intersectoriales).
Los proveedores de servicios de tratamiento de datos deben adoptar todas las medidas razonables (por ejemplo, encriptación, auditorías, adhesión a los sistemas de certificación) para impedir el acceso a los sistemas en los que almacenan datos no personales. Estas medidas deben publicarse en sus sitios web. Además, siempre que sea posible, deben informar a sus clientes antes de dar acceso a sus datos.
Capítulo VIII: Interoperabilidad
¿Por qué?
Las normas y la interoperabilidad son fundamentales para garantizar que los datos procedentes de diferentes fuentes puedan utilizarse dentro de los espacios europeos comunes de datos y entre ellos para fomentar la investigación y desarrollar nuevos productos o servicios. A tal fin, la Ley de Datos establece algunos requisitos esenciales que los participantes en los espacios de datos deben cumplir y que la Comisión Europea puede especificar en mayor medida mediante actos delegados.
También tiene por objeto garantizar la interoperabilidad entre los servicios de tratamiento de datos; esto es esencial para que los clientes se beneficien de un cambio más fácil.
Principales partes interesadas
Este capítulo se dirige a los participantes de espacios de datos que ofrecen datos o servicios basados en datos a otros participantes y que facilitan o participan en el intercambio de datos dentro de los espacios de datos.
También se dirige a proveedores de contratos inteligentes, así como a proveedores de servicios de procesamiento de datos.
En la práctica
Los participantes en el espacio de datos deben cumplir varios requisitos esenciales para permitir que los datos fluyan dentro de los espacios de datos y entre ellos. Por ejemplo, una descripción de las estructuras de datos, formatos de datos y vocabularios, cuando estén disponibles, debe ser de acceso público. Además, deben garantizarse los medios para garantizar la interoperabilidad de los acuerdos de intercambio de datos, como los contratos inteligentes.
La Ley de datos también prepara el terreno para aumentar la interoperabilidad de los servicios de tratamiento de datos mediante normas armonizadas y especificaciones de interoperabilidad abierta.
Además, establece requisitos para los proveedores de contratos inteligentes para la ejecución automatizada de acuerdos de intercambio de datos, por ejemplo, para garantizar que cumplen correctamente las disposiciones del acuerdo de intercambio de datos y resisten la manipulación por parte de terceros.
La Comisión evaluará los obstáculos a la interoperabilidad y dará prioridad a las necesidades de normalización, sobre la base de las cuales podrá pedir a las organizaciones europeas de normalización que elaboren normas armonizadas que cumplan los requisitos antes mencionados.
Si la solicitud no da lugar a una norma armonizada o si la norma es insuficiente para garantizar la conformidad con la Ley de datos, la Comisión puede adoptar especificaciones comunes como solución alternativa. Estos deben desarrollarse de manera abierta e inclusiva, teniendo en cuenta los comentarios del Consejo Europeo de Innovación de Datos.
Capítulo IX: Disposiciones de aplicación y generales
Los Estados miembros designarán una o varias autoridades competentes (nuevas o existentes) para garantizar la aplicación eficaz de la Ley de datos. Cuando existan múltiples autoridades competentes, los Estados miembros deberán designar a una de ellas como «coordinadora de datos». El coordinador de datos actuará como una «ventanilla única» para todas las cuestiones relacionadas con la aplicación de la Ley de datos a nivel nacional, facilitando la aplicación tanto para las empresas como para las autoridades públicas. Por ejemplo, si una empresa solicita reparación por la violación de sus derechos en virtud de la Ley de datos, el coordinador de datos debe proporcionar (previa solicitud) toda la información necesaria para ayudarles a presentar su reclamación ante la autoridad competente correspondiente. El coordinador de datos también facilitará la colaboración en situaciones transfronterizas, por ejemplo, cuando una autoridad competente de un Estado miembro determinado no sepa a qué autoridad debe dirigirse en el Estado miembro del coordinador de datos.
La Comisión mantendrá un registro público de autoridades competentes y coordinadores de datos.
El Comité Europeo de Innovación de Datos facilitará los debates entre las autoridades competentes, por ejemplo, para coordinar y adoptar recomendaciones sobre la fijación de sanciones por infracciones de la Ley de datos. Las sanciones son establecidas por las autoridades competentes, y de acuerdo con la Ley de datos deben haber sanciones efectivas, proporcionadas y disuasorias.
Los Estados miembros podrán, si así lo desean, crear organismos certificados de solución de diferencias para ayudar a las partes que no puedan llegar a un acuerdo sobre condiciones justas, razonables y no discriminatorias para la puesta a disposición de los datos. Las partes son libres de dirigirse a cualquier órgano de solución de diferencias, ya sea en el Estado miembro en el que estén establecidos o en otro.
Los mecanismos certificados de solución de diferencias y las autoridades competentes especializadas facilitarán a las empresas, en particular a las pequeñas empresas, hacer valer sus derechos en virtud de la Ley de Datos, ya que ofrecen una solución simple, rápida y de bajo costo a las partes involucradas.
¿Qué sigue?
La estrategia europea de datos establece el camino para que la UE se convierta en líder en la economía de los datos. Esto se logrará mediante la creación de un mercado único europeo de datos en el que los datos puedan fluir entre los sectores y los Estados miembros de manera segura y fiable en beneficio de la economía y la sociedad. Al garantizar la equidad en la asignación del valor de los datos entre las partes interesadas, la Ley de Datos es un elemento clave para lograr esta visión.
La Ley de Datos será aplicable el 12 de septiembre de 2025.
Para ayudar a las empresas a navegar por estas nuevas normas, la Comisión recomendará un conjunto de condiciones contractuales modelo para ayudar a las empresas a celebrar contratos de intercambio de datos que sean justos, razonables y no discriminatorios (capítulos II y III de la Ley de datos). Estos términos también proporcionarán orientación sobre la compensación razonable y la protección de los secretos comerciales. La Comisión también recomendará una serie de cláusulas contractuales estándar no vinculantes para los contratos de computación en nube entre usuarios y proveedores de servicios en la nube. Se ha creado un grupo de expertos para ayudar a la Comisión a redactar dichos términos y cláusulas y tiene previsto recomendarlos para el otoño de 2025.
En un plazo de tres años a partir de su entrada en vigor, la Comisión llevará a cabo una evaluación del impacto de la Ley de datos. Sobre esta base, en caso necesario, la Comisión podrá proponer una modificación de la Ley.
Aviso legal
Este documento no debe considerarse representativo de la posición oficial de la Comisión Europea.