Una visión general de la Ley de Datos, incluidos sus objetivos y cómo funciona en la práctica.
¿Por qué la Ley de Datos?
La Ley de Datos es una ley diseñada para mejorar la economía de los datos de la UE y fomentar un mercado de datos competitivo haciendo que los datos (en particular los datos industriales) sean más accesibles y utilizables, fomentando la innovación basada en datos y aumentando la disponibilidad de datos. Para lograrlo, la Ley de Datos garantiza la equidad en la asignación del valor de los datos entre los agentes de la economía de los datos. Aclara quién puede usar qué datos y en qué condiciones. Para obtener información más detallada, sírvase examinar las preguntas frecuentes sobre la Ley de Datos.».
En los últimos años, se ha producido un rápido crecimiento de la disponibilidad de productos conectados a internet («productos conectados») en el mercado europeo. Estos productos, que en conjunto componen una red conocida como Internet de las cosas (IoT), aumentan significativamente el volumen de datos disponibles para su reutilización en la UE. Esto representa un enorme potencial para la innovación y la competitividad en la UE.
La Ley de Datos otorga a los usuarios de productos conectados (empresas o individuos que poseen, alquilan o alquilan dicho producto) un mayor control sobre los datos que generan, al tiempo que mantiene los incentivos para aquellos que invierten en tecnologías de datos. Además, establece condiciones generales para situaciones en las que una empresa tiene la obligación legal de compartir datos con otra empresa.
La Ley de Datos también incluye medidas para aumentar la equidad y la competencia en el mercado europeo de la nube, así como para proteger a las empresas de las cláusulas contractuales abusivas relacionadas con el intercambio de datos impuestas por actores más fuertes. También establece un mecanismo a través del cual los organismos del sector público pueden solicitar datos a una empresa cuando exista una necesidad excepcional, por ejemplo en situaciones de emergencia pública, y establece normas claras sobre cómo deben presentarse dichas solicitudes. Además, introduce salvaguardias para evitar que los organismos gubernamentales de terceros países puedan acceder a datos no personales cuando ello vaya en contra de la legislación nacional o de la UE. Por último, la Ley de Datos define requisitos esenciales en materia de interoperabilidad para garantizar que los datos puedan fluir sin problemas entre los sectores y los Estados miembros, facilitados por los espacios comunes europeos de datos, así como entre los proveedores de servicios de tratamiento de datos.
La Ley de Datos se publicó en el Diario Oficial de la UE el 22 de diciembre de 2023 y será aplicable el 12 de septiembre de 2025.
La Ley de Datos complementa la Ley de Gobernanza de Datos, el primer resultado de la Estrategia Europea de Datos. La Ley de Gobernanza de Datos entró en vigor en septiembre de 2023. Si bien la Ley de Gobernanza de Datos aumenta la confianza en los mecanismos voluntarios de intercambio de datos, la Ley de Datos proporciona claridad jurídica en relación con el acceso a los datos y su uso.
Junto con otras medidas políticas y oportunidades de financiación, estos dos Reglamentos contribuirán al establecimiento de un mercado único de datos de la UE, convirtiendo a Europa en líder en la economía de los datos aprovechando el potencial de las cantidades cada vez mayores de datos, en particular los datos industriales, en beneficio de la economía y la sociedad europeas.
Cuestiones abordadas
Siguiendo las disposiciones generales (capítulo I) que establecen el ámbito de aplicación del Reglamento y definen los términos clave, la Ley de Datos se estructura en seis capítulos principales:
Capítulo II sobre el intercambio de datos entre empresas y entre empresas y consumidores en el contexto de la IO: Los usuarios de objetos IoT pueden acceder, usar y portar datos que cogeneran mediante el uso de un producto conectado.
Capítulo III sobre el intercambio de datos entre empresas: esto aclara las condiciones de intercambio de datos siempre que una empresa esté obligada por ley, incluso a través de la Ley de Datos, a compartir datos con otra empresa.
Capítulo IV sobre cláusulas contractuales abusivas: estas disposiciones protegen a todas las empresas, en particular a las pymes, contra las cláusulas contractuales abusivas que se les impongan.
Capítulo V sobre el intercambio de datos entre empresas y administraciones públicas: los organismos del sector público podrán tomar decisiones más basadas en pruebas en determinadas situaciones de necesidad excepcional a través de medidas para acceder a determinados datos en poder del sector privado.
Capítulo VI sobre el cambio entre servicios de tratamiento de datos: los proveedores de servicios de computación en la nube y en el borde deben cumplir unos requisitos mínimos para facilitar la interoperabilidad y permitir la conmutación.
Capítulo VII sobre el acceso ilícito de las administraciones públicas de terceros países a los datos: los datos no personales almacenados en la UE están protegidos contra las solicitudes ilegales de acceso de gobiernos extranjeros.
Capítulo VIII sobre interoperabilidad: los participantes en espacios de datos deben cumplir los criterios para permitir que los datos fluyan dentro de los espacios de datos y entre ellos. Un repositorio de la UE establecerá las normas y especificaciones pertinentes para la interoperabilidad de la nube.
Capítulo IX sobre la ejecución: Los Estados miembros deben designar una o varias autoridades competentes para supervisar y hacer cumplir la Ley de Datos. Cuando se designe más de una autoridad, deberá designarse un «coordinador de datos» que actúe como punto de contacto único a escala nacional.
Capítulo II: Intercambio de datos entre empresas y entre empresas y consumidores en el contexto del mercado de la IoT
¿Por qué?
Un objetivo clave de la Ley de Datos es crear equidad en la economía de los datos y capacitar a los usuarios para obtener valor de los datos que generan utilizando los productos conectados que poseen, alquilan o alquilan.
La Ley de Datos permite a los usuarios de productos conectados (por ejemplo, automóviles conectados, dispositivos médicos y de fitness, maquinaria industrial o agrícola) y servicios relacionados (es decir, cualquier cosa que haga que un producto conectado se comporte de una manera específica, como una aplicación para ajustar el brillo de las luces o para regular la temperatura de un refrigerador) acceder a los datos que cocrean utilizando los productos / servicios relacionados conectados.
La disponibilidad de estos datos tendrá un impacto significativo en la economía. Por ejemplo, los datos generados por productos conectados y servicios relacionados pueden utilizarse para impulsar el mercado de accesorios y servicios auxiliares, así como para crear servicios completamente nuevos, beneficiando tanto a las empresas como a los consumidores.
Ejemplos de productos conectados: productos de consumo (por ejemplo, automóviles conectados, dispositivos de control de la salud, dispositivos para el hogar inteligente), otros productos (por ejemplo, aviones, robots, máquinas industriales).
Ejemplo de un servicio relacionado: un usuario compra una lavadora e instala una aplicación que le permite medir el impacto ambiental del ciclo de lavado en función de los datos de los diferentes sensores dentro de la máquina y ajusta el ciclo en consecuencia. Esta aplicación se consideraría un servicio relacionado.
Ejemplos de servicios posventa y auxiliares: servicios de reparación y mantenimiento, seguros basados en datos.
Tipos de datos incluidos en el ámbito de aplicación
El capítulo II de la Ley de Datos sobre el intercambio de datos entre empresas y entre empresas y consumidores se aplica a todos los datos brutos y pretratados generados por el uso de un producto conectado o un servicio relacionado que estén fácilmente disponibles para el titular de datos (por ejemplo, el fabricante de un producto conectado o el proveedor de un servicio relacionado), es decir, datos a los que se pueda acceder fácilmente sin un esfuerzo desproporcionado, y que vayan más allá de una simple operación. Esto se aplica tanto a los datos personales como a los no personales, incluidos los metadatos pertinentes.
Estos datos incluyen los datos recogidos de un único sensor o de un grupo de sensores conectados, como la temperatura, la presión, el caudal, el audio, el valor del pH, el nivel de líquido, la posición, la aceleración o la velocidad.
Los datos y contenidos inferidos o derivados (por ejemplo, datos muy enriquecidos, material audiovisual) están fuera del ámbito de aplicación. Además, la Ley de Datos se entiende sin perjuicio de las leyes sobre la protección de los derechos de propiedad intelectual.
Por ejemplo, si un usuario ve una película en su televisor conectado, la película en sí no está dentro del alcance, pero los datos sobre el brillo de la pantalla están dentro del alcance.
En la práctica
El capítulo II de la Ley de Datos permite a los usuarios (es decir, cualquier persona física o jurídica que posea, alquile o arriende un producto conectado) acceder a los datos que generan mediante el uso del producto conectado o servicio relacionado. Si el usuario desea compartir estos datos con otra entidad o persona física («tercero»),puede hacerlo directamente o puede solicitar al titular de datos que los comparta con un tercero de su elección (excluidos los guardianes de acceso en virtud de la Ley de Mercados Digitales). El titular de los datos suele ser la empresa que fabrica el producto conectado o que presta un servicio relacionado. El titular de datos debe tener un contrato con el usuario (por ejemplo, contrato de venta, contrato de alquiler, contrato de servicios relacionados, etc.) que defina los derechos relativos al acceso, uso y puesta en común de los datos generados por el producto o servicio relacionado. Es importante señalar que el titular de datos no puede utilizar ningún dato no personal generado por el producto sin el consentimiento del usuario.
A modo de ejemplo, y teniendo en cuenta que el contrato pertinente determina las funciones exactas:
-
Una empresa opera una excavadora: el titular de los datos sería normalmente el fabricante de la excavadora, y el usuario sería la empresa que explota la excavadora.
-
Si alguien compra un frigorífico conectado y descarga una aplicación que le ayuda a regular la temperatura óptima para el contenido del frigorífico, podría haber dos titulares de datos, a saber, la entidad que comercializó el frigorífico y la entidad que ofrece el servicio relacionado (la aplicación), y solo un usuario (el propietario del frigorífico).
La Ley de Datos incluye varios mecanismos para facilitar a los usuarios el uso de estas disposiciones: los titulares de datos deben facilitar al usuario información sobre el tipo de datos que generarán al utilizar el producto conectado o el servicio relacionado (incluido el volumen, la frecuencia de recogida, etc.); los usuarios deben poder solicitar el acceso a los datos mediante un proceso sencillo, y los titulares de datos deben poner los datos a disposición de los usuarios de forma gratuita.
Limitaciones en el uso de los datos
Para no disuadir a las empresas de invertir en productos generadores de datos, los datos obtenidos no pueden utilizarse para desarrollar un producto conectado competidor. La Ley de Datos no prohíbe la competencia en los servicios relacionados o posventa. Además, la Ley de Datos no obliga a los titulares de datos a compartir datos con terceros establecidos fuera de la UE.
La Ley de Datos cumple plenamente las normas de protección de datos, en particular el RGPD. Cuando el usuario no es el interesado cuyos datos se solicitan, los datos personales solo pueden ponerse a disposición si existe una base legal válida (por ejemplo, consentimiento). Esta es una consideración importante, ya que los datos cogenerados a menudo contienen datos personales y no personales, que pueden ser difíciles de separar.
Incentiva el desarrollo de productos y servicios conectados basados en nuevos flujos de datos, lo que es de particular valor para las empresas más pequeñas. Además, las microempresas y las pequeñas empresas, como fabricantes o proveedores de servicios relacionados, no están sujetas a las mismas obligaciones que las grandes empresas.
Para proteger los secretos comerciales sin socavar el objetivo de la Ley de Datos de poner a disposición más datos, el titular de los datos y el usuario/tercero pueden acordar determinadas medidas para preservar la confidencialidad de los secretos comerciales. Cuando no se respeten estas medidas, el titular de datos podrá retener o suspender el intercambio de datos. El titular de datos solo podrá negarse a compartir datos cuando pueda demostrar que es muy probable que sufra graves daños económicos como consecuencia de la divulgación de secretos comerciales.
El titular de datos y el usuario podrán acordar limitar el intercambio de datos si existe el riesgo de que se socaven los requisitos de seguridad del producto conectado, lo que tendría graves efectos adversos para la salud, la seguridad o la protección de las personas. Dichos requisitos deben establecerse en la legislación nacional o de la UE.
Si el titular de datos suspende, retiene o se niega a compartir datos por motivos de protección de secretos comerciales o requisitos de seguridad, deberá notificarlo a la autoridad nacional competente. Los usuarios pueden impugnar dicha decisión, ya sea ante el órgano jurisdiccional competente de un Estado miembro, a través de una reclamación ante la autoridad competente o previo acuerdo con el titular de datos ante un organismo de resolución de litigios.
Capítulo III: Normas sobre el intercambio obligatorio de datos entre empresas
¿Por qué?
La Ley de Datos introduce normas para situaciones en las que una empresa («titular de datos») tiene la obligación legal, en virtud del Derecho de la Unión o nacional, de poner los datos a disposición de otra empresa («destinatario de datos»), también en el contexto de los datos de la IO. En particular, las condiciones de puesta en común de datos deben ser justas, razonables y no discriminatorias.
Como incentivo para el intercambio de datos, los titulares de datos que estén obligados a compartir datos pueden solicitar una «compensación razonable» al destinatario de los datos.
Tipos de datos incluidos en el ámbito de aplicación
El capítulo III de la Ley de Datos se aplica a todos los datos (tanto personales como no personales) en poder de una empresa, incluidas las situaciones contempladas en el capítulo II de la Ley de Datos.
En la práctica
Los titulares de datos podrán solicitar una compensación razonable por poner los datos a disposición de un destinatario de datos. Esto podría incluir los costes derivados de la puesta a disposición de los datos, así como los costes técnicos relacionados con la difusión y el almacenamiento. Sin embargo, a las microempresas, las pymes y las organizaciones de investigación sin ánimo de lucro no se les puede cobrar más que los costes incurridos por la puesta a disposición de los datos.
Con el fin de proteger a los titulares de datos, la Ley de Datos incluye una lista no exhaustiva de medidas para remediar situaciones en las que un tercero o usuario haya accedido o utilizado ilegalmente datos. Por ejemplo, un titular de datos podría exigir que una parte infractora deje de producir el producto en cuestión o destruya los datos que ha obtenido ilegalmente, o podría solicitar una indemnización.
Cualquier obligación de intercambio de datos que preceda a la Ley de Datos no se verá afectada. Las obligaciones de la futura legislación (sectorial) deben ajustarse a las disposiciones del capítulo III de la Ley de Datos.
Capítulo IV: Cláusulas contractuales abusivas
¿Por qué?
La libertad contractual es fundamental para las relaciones entre empresas. Sin embargo, la Ley de Datos tiene por objeto proteger a todas las empresas europeas que deseen adquirir datos, en particular las pymes, contra las cláusulas contractuales abusivas a través de sus medidas para intervenir en situaciones en las que, por ejemplo, una de las empresas se encuentre en una posición negociadora más sólida (por ejemplo, debido a su tamaño de mercado) e impone una cláusula no negociable («take-it-or-leave-it») relacionada con el acceso a los datos y su uso, por el otro.
Tipos de datos incluidos en el ámbito de aplicación
Estas reglas cubren todos los datos, tanto personales como no personales, en poder de una entidad privada a la que se accede y se utiliza en base a un contrato entre empresas.
En la práctica
Las cláusulas de aceptación o abandono impuestas unilateralmente podrán ser objeto de una prueba de abusividad cuando se refieran a la puesta a disposición de datos.
La Ley de Datos establece una lista no exhaustiva de cláusulas que siempre se consideran abusivas (por ejemplo, que excluirían o limitarían la responsabilidad de la parte que impuso unilateralmente la cláusula por actos intencionales o negligencia grave) y de cláusulas que se presumen abusivas (por ejemplo, que limitarían indebidamente las vías de recurso en caso de incumplimiento de las obligaciones contractuales o la responsabilidad en caso de incumplimiento de esas obligaciones, o ampliarían la responsabilidad de la empresa a la que se ha impuesto unilateralmente la cláusula). Si una cláusula se considera abusiva, deja de ser válida; en la medida de lo posible, simplemente se separa del contacto. Si se presume que es abusiva, la entidad que impuso la cláusula puede intentar demostrar que la cláusula no es abusiva.
Capítulo V: Intercambio de datos entre empresas y administraciones públicas
¿Por qué?
Los datos en poder de entidades privadas pueden ser esenciales para que un organismo del sector público lleve a cabo una tarea de interés público. El capítulo V de la Ley de Datos permite a los organismos del sector público acceder a dichos datos, en determinadas condiciones, cuando exista una necesidad excepcional. Este último se refiere a una situación imprevisible y limitada en el tiempo, en la que los datos en poder de una entidad privada son necesarios para el desempeño de la tarea de interés público, en particular para mejorar la toma de decisiones basada en pruebas. Las situaciones de necesidad excepcional incluyen tanto emergencias públicas (como catástrofes graves naturales o provocadas por el hombre, pandemias e incidentes de ciberseguridad) como situaciones no urgentes (por ejemplo, podrían utilizarse datos agregados y anonimizados de los sistemas GPS de los conductores para ayudar a optimizar los flujos de tráfico).
La Ley de Datos garantizará que las autoridades públicas tengan acceso a dichos datos de manera oportuna y fiable, sin imponer una carga administrativa indebida a las empresas.
Tipos de datos incluidos en el ámbito de aplicación
En virtud del capítulo V, todos los datos están incluidos en el ámbito de aplicación, centrándose en los datos no personales.
En el capítulo V de la Ley de datos sobre el intercambio de datos entre empresas y administraciones públicas se distinguen dos supuestos:
-
Para responder a una emergencia pública, un organismo del sector público debe solicitar datos no personales. Sin embargo, si esto es insuficiente para responder a la situación, se pueden solicitar datos personales. Cuando sea posible, estos datos deben ser anonimizados por el titular de los datos.
-
En situaciones que no sean de emergencia, los organismos del sector público solo podrán solicitar datos no personales.
Principales partes interesadas
Las entidades facultadas para solicitar datos incluyen los organismos del sector público de los Estados miembros, así como determinadas instituciones, organismos y agencias de la UE. Estas entidades también pueden compartir los datos con organizaciones de investigación y financiación en determinadas condiciones.
En el contexto de las solicitudes entre empresas y administraciones públicas, los titulares de datos suelen ser entidades privadas, pero también pueden incluir empresas públicas.
En la práctica
Un organismo del sector público podrá, en determinadas condiciones, obligar a un titular de datos a poner a disposición determinados datos sin demora indebida para responder a una emergencia pública. La Ley de Datos define una emergencia pública; pero su existencia se determina con arreglo a procedimientos o leyes nacionales o de la UE.
Para necesidades excepcionales que no estén relacionadas con una emergencia pública, un organismo del sector público podrá solicitar datos no personales para cumplir una tarea específica que sea de interés público y que haya sido prevista por la ley, si el organismo del sector público puede demostrar que no ha podido acceder a los datos por otros medios.
En ambos casos (emergencia y no emergencia), las solicitudes deben respetar una serie de principios y condiciones estrictos. Por ejemplo, las solicitudes deben ser específicas, transparentes y proporcionadas, los secretos comerciales deben protegerse y los datos deben suprimirse una vez que ya no sean necesarios.
El cuadro que figura a continuación resume lo que las empresas pueden solicitar para facilitar datos a un organismo del sector público en este contexto.
Compensación por la puesta a disposición de datos con arreglo al capítulo V de la Ley de Datos
| Las empresas distintas de las microempresas y las pequeñas empresas pueden solicitar: | Las microempresas y las pequeñas empresas pueden solicitar: | |
| Emergencia pública | Las empresas pueden solicitar que su contribución de datos sea reconocida y públicamente reconocida por el organismo del sector público receptor. | Remuneración razonable que no exceda de los costes técnicos y organizativos incurridos + acuse de recibo público, previa solicitud |
| Situación no urgente | Remuneración razonable que no exceda de los costes técnicos y organizativos incurridos (excepto para la elaboración de estadísticas oficiales) | N/A (exento de la obligación de facilitar datos) |
Para minimizar la carga para las empresas, más de un organismo del sector público no puede solicitar los mismos datos más de una vez («principio de «solo una vez»). Por esta razón, todas las solicitudes deben ser puestas a disposición del público por el coordinador de datos (a menos que exista un problema de seguridad).
Capítulo VI: Cambio entre servicios de tratamiento de datos
¿Por qué?
Con el fin de garantizar un mercado competitivo en la UE, los clientes de servicios de tratamiento de datos (incluidos los servicios en la nube y en el borde) deben poder cambiar sin problemas de un proveedor a otro. Sin embargo, los clientes se enfrentan actualmente a una serie de obstáculos, entre ellos los elevados costes asociados, por ejemplo, a la salida de datos, la lentitud de los procedimientos y la falta de interoperabilidad entre los proveedores, que pueden dar lugar a una pérdida de datos y aplicaciones.
La Ley de Datos hará que el cambio sea libre, rápido y fluido. Esto beneficiará a los clientes, que pueden elegir libremente los servicios que mejor satisfagan sus necesidades, así como a los proveedores, que se beneficiarán de un mayor grupo de clientes.
Ámbito de aplicación
El capítulo VI de la Ley de Datos se aplica a los proveedores de servicios de tratamiento de datos (es decir, servicios digitales que permiten el acceso a redes ubicuas y bajo demanda, como redes, servidores u otras infraestructuras y programas informáticos virtuales o físicos). Los datos clave para el cambio incluyen los datos de entrada y salida, incluidos los metadatos, generados por el uso del servicio por parte del cliente, excluidos los datos protegidos por derechos de propiedad intelectual o que constituyan un secreto comercial del proveedor del servicio.
En la práctica
Para superar el desequilibrio de poder entre proveedores y clientes en el mercado de la nube, la Ley de Datos establece requisitos mínimos para el contenido de los contratos en la nube. En particular, los clientes de los sectores público y privado se beneficiarán de una transparencia contractual mucho mayor.
La Ley de Datos incluye medidas para garantizar que los clientes puedan cambiar de un proveedor de servicios de tratamiento de datos («proveedor de origen») a otro («proveedor de destino») de forma rápida y fluida, y sin perder datos ni funcionalidad de las aplicaciones. Por ejemplo, los proveedores de Plataforma y Software como Servicio deben poner a disposición interfaces abiertas y, como mínimo, exportar datos en un formato de uso común y legible por máquina. Los proveedores de infraestructura como servicio deben adoptar medidas para facilitar que, cuando un cliente cambie a un servicio del mismo tipo, obtenga resultados materialmente comparables en respuesta a la misma entrada para las características que comparten ambos servicios («equivalencia funcional»). Como ejemplo de tal medida, el proveedor de origen puede tener que usar herramientas para cambiar las cargas de trabajo informáticas de una tecnología de virtualización a otra.
Todos los proveedores están obligados a eliminar los obstáculos que sus clientes pueden enfrentar cuando desean cambiar a otro proveedor o utilizar varios servicios al mismo tiempo.
La Ley de Datos también eliminará por completo los cargos por cambio de proveedor, incluidos los cargos por salida de datos (es decir, los cargos por tránsito de datos), a partir del 12 de enero de 2027. Esto significa que los proveedores no podrán cobrar a sus clientes por las operaciones necesarias para facilitar el cambio o la salida de datos. No obstante, como medida transitoria durante los tres primeros años posteriores a la entrada en vigor de la Ley de Datos (del 11 de enero de 2024 al 12 de enero de 2027), los proveedores pueden seguir cobrando a sus clientes los costes incurridos en relación con el cambio de proveedor y la salida de datos.
Capítulo VII: Acceso ilícito de las administraciones públicas de terceros países
¿Por qué?
A veces, una decisión o sentencia dictada por un país fuera de la UE («tercer país») tiene por objeto permitir el acceso y la transferencia por parte de los poderes públicos de datos no personales tratados y almacenados dentro de la UE. Sin embargo, en determinados casos, la concesión de acceso o la transferencia de dichos datos puede ser realmente ilegal, en particular cuando la solicitud entre en conflicto con la legislación y las garantías de la UE sobre la protección de los derechos fundamentales de las personas, los intereses de la seguridad nacional o los datos sensibles desde el punto de vista comercial.
La Ley de Datos se ajusta a la Ley de Gobernanza de Datos en lo que respecta a las disposiciones destinadas a impedir el acceso y la transferencia ilícitos por parte de los gobiernos de terceros países de datos no personales conservados en la UE. Estas disposiciones no repercuten en el intercambio regular de datos entre empresas. Aumentan la transparencia y la seguridad jurídica en relación con el proceso y las condiciones en las que los organismos gubernamentales no pertenecientes a la UE pueden acceder a los datos no personales o transferirlos a ellos.
Tipos de datos incluidos en el ámbito de aplicación
Cualquier dato no personal conservado en la UE por un proveedor de un servicio de tratamiento de datos.
En la práctica
La Ley de Datos no prohíbe los flujos transfronterizos de datos, pero garantiza que la protección concedida a los datos en la UE viaje con cualquier dato transferido fuera de la UE.
En este contexto, la Ley de Datos establece normas y salvaguardias para las solicitudes de acceso de un organismo del sector público extranjero a datos no personales conservados en la Unión. Estas disposiciones no afectan a la cooperación internacional legítima en relación con la aplicación de la ley.
Si no existe un acuerdo internacional que regule el acceso de un gobierno de un tercer país a datos no personales ubicados dentro de la UE, los datos solo pueden transferirse o accederse en condiciones específicas. Estas condiciones se refieren a determinadas garantías que salvaguardan los derechos europeos que debe cumplir el ordenamiento jurídico del tercer país, incluido el requisito de exponer los motivos y evaluar la proporcionalidad en la decisión. El proveedor de servicios de tratamiento de datos al que se refiera dicha decisión podrá ponerse en contacto con el organismo nacional pertinente para ayudar a evaluar si se cumplen las condiciones establecidas en la Ley de Datos. Para ayudar a evaluar si se han cumplido estas condiciones, la Comisión Europea elaborará directrices junto con el Comité Europeo de Innovación en materia de Datos (un grupo de expertos creado en virtud de la Ley de Gobernanza de Datos para facilitar el intercambio de mejores prácticas y dar prioridad a las normas de interoperabilidad intersectoriales).
Los proveedores de servicios de tratamiento de datos deben adoptar todas las medidas razonables (por ejemplo, cifrado, auditorías, cumplimiento de regímenes de certificación) para impedir el acceso a los sistemas en los que almacenan datos no personales. Estas medidas deben publicarse en sus sitios web. Además, siempre que sea posible, deben informar a sus clientes antes de dar acceso a sus datos.
Capítulo VIII: Interoperabilidad
¿Por qué?
Las normas y la interoperabilidad son fundamentales para garantizar que los datos procedentes de diferentes fuentes puedan utilizarse dentro de los espacios comunes europeos de datos y entre ellos, a fin de fomentar la investigación y desarrollar nuevos productos o servicios. A tal fin, la Ley de Datos establece algunos requisitos esenciales que deben cumplir los participantes en los espacios de datos y que la Comisión Europea puede especificar en mayor medida mediante actos delegados.
También tiene por objeto garantizar la interoperabilidad entre los servicios de tratamiento de datos; esto es esencial para que los clientes se beneficien de un cambio más fácil.
Principales partes interesadas
Este capítulo se dirige a los participantes de espacios de datos que ofrecen datos o servicios basados en datos a otros participantes y que facilitan o participan en el intercambio de datos dentro de los espacios de datos.
También se dirige a los proveedores de contratos inteligentes, así como a los proveedores de servicios de procesamiento de datos.
En la práctica
Los participantes en el espacio de datos deben cumplir varios requisitos esenciales para permitir que los datos fluyan dentro de los espacios de datos y entre ellos. Por ejemplo, una descripción de las estructuras de datos, formatos de datos y vocabularios, cuando esté disponible, debe ser de acceso público. Además, deben garantizarse los medios para garantizar la interoperabilidad de los acuerdos de intercambio de datos, como los contratos inteligentes.
La Ley de Datos también prepara el terreno para aumentar la interoperabilidad de los servicios de tratamiento de datos mediante normas armonizadas y especificaciones de interoperabilidad abiertas.
Además, establece requisitos para los proveedores de contratos inteligentes para la ejecución automatizada de acuerdos de intercambio de datos, por ejemplo, para garantizar que cumplan correctamente las disposiciones del acuerdo de intercambio de datos y resistan la manipulación por parte de terceros.
La Comisión evaluará los obstáculos a la interoperabilidad y dará prioridad a las necesidades de normalización, en función de las cuales podrá solicitar a las organizaciones europeas de normalización que elaboren normas armonizadas que cumplan los requisitos antes mencionados.
Si la solicitud no da lugar a una norma armonizada o si la norma es insuficiente para garantizar la conformidad con la Ley de Datos, la Comisión puede adoptar especificaciones comunes como solución alternativa. Estos deben desarrollarse de manera abierta e inclusiva, teniendo en cuenta las observaciones del Comité Europeo de Innovación en materia de Datos.
Capítulo IX: Aplicación y disposiciones generales
Los Estados miembros designarán una o varias autoridades competentes (nuevas o existentes) para garantizar la aplicación eficiente de la Ley de Datos. Siempre que haya varias autoridades competentes, los Estados miembros deben designar a una de ellas como «coordinadora de datos». El coordinador de datos actuará como «ventanilla única» para todas las cuestiones relacionadas con la aplicación de la Ley de Datos a nivel nacional, facilitando su aplicación tanto para las empresas como para las autoridades públicas. Por ejemplo, si una empresa solicita reparación por la infracción de sus derechos en virtud de la Ley de Datos, el coordinador de datos debe (previa solicitud) proporcionar toda la información necesaria para ayudarles a presentar su reclamación ante la autoridad competente correspondiente. El coordinador de datos también facilitará la colaboración en situaciones transfronterizas, como cuando una autoridad competente de un Estado miembro determinado no sepa a qué autoridad debe dirigirse en el Estado miembro del coordinador de datos.
La Comisión mantendrá un registro público de autoridades competentes y coordinadores de datos.
El Comité Europeo de Innovación en materia de Datos facilitará los debates entre las autoridades competentes, por ejemplo para coordinar y adoptar recomendaciones sobre el establecimiento de sanciones en caso de infracción de la Ley de Datos. Las sanciones son establecidas por las autoridades competentes y, de conformidad con la Ley de Datos, deben existir sanciones efectivas, proporcionadas y disuasorias.
Los Estados miembros podrán, si lo desean, crear organismos certificados de resolución de litigios para ayudar a las partes que no puedan ponerse de acuerdo sobre unas condiciones justas, razonables y no discriminatorias para la puesta a disposición de los datos. Las partes son libres de dirigirse a cualquier organismo de resolución de litigios, ya sea en el Estado miembro en el que estén establecidas o en otro.
Los mecanismos certificados de resolución de litigios y las autoridades competentes especializadas facilitarán a las empresas, en particular a las pequeñas empresas, el ejercicio de sus derechos en virtud de la Ley de Datos, ya que ofrecen una solución sencilla, rápida y de bajo coste a las partes implicadas.
¿Qué sigue?
La estrategia europea de datos establece el camino para que la UE se convierta en líder en la economía de los datos. Esto se logrará mediante la creación de un mercado único europeo de datos en el que los datos puedan fluir entre sectores y Estados miembros de manera segura y fiable en beneficio de la economía y la sociedad. Al garantizar la equidad en la asignación del valor de los datos entre las partes interesadas, la Ley de Datos es un elemento clave para lograr esta visión.
La Ley de Datos entrará en vigor el 12 de septiembre de 2025.
Para ayudar a las empresas a navegar por estas nuevas normas, la Comisión recomendará un conjunto de cláusulas contractuales modelo para ayudar a las empresas a celebrar contratos de intercambio de datos que sean justos, razonables y no discriminatorios (capítulos II y III de la Ley de Datos). Estos términos también proporcionarán orientación sobre la compensación razonable y la protección de los secretos comerciales. La Comisión también recomendará un conjunto de cláusulas contractuales tipo no vinculantes para los contratos de computación en nube entre usuarios y proveedores de servicios en la nube. Se ha creado un grupo de expertos para ayudar a la Comisión a redactar dichos términos y cláusulas y tiene previsto recomendarlos para el otoño de 2025.
En el plazo de tres años a partir de su entrada en vigor, la Comisión llevará a cabo una evaluación del impacto de la Ley de Datos. Sobre esta base, en caso necesario, la Comisión podrá proponer una modificación de la Ley.
Aviso legal
Este documento no debe considerarse representativo de la posición oficial de la Comisión Europea.