O imagine de ansamblu cuprinzătoare a Legii privind datele, inclusiv a obiectivelor acesteia și a modului în care aceasta funcționează în practică.
De ce legea datelor?
Legea privind datele este o lege menită să consolideze economia UE a datelor și să promoveze o piață competitivă a datelor, făcând datele (în special datele industriale) mai accesibile și utilizabile, încurajând inovarea bazată pe date și crescând disponibilitatea datelor. Pentru a realiza acest lucru, Legea privind datele asigură echitatea în alocarea valorii datelor între actorii din economia datelor. Acesta clarifică cine poate utiliza ce date și în ce condiții.
În ultimii ani, pe piața europeană s-a înregistrat o creștere rapidă a disponibilității produselor conectate la internet („produse conectate”). Aceste produse, care alcătuiesc împreună o rețea cunoscută sub numele de Internet-of-things (IoT), cresc semnificativ volumul de date disponibile pentru reutilizare în UE. Acest lucru reprezintă un potențial imens de inovare și competitivitate în UE.
Legea privind datele oferă utilizatorilor de produse conectate (întreprinderi sau persoane fizice care dețin, închiriază sau închiriază un astfel de produs) un control mai mare asupra datelor pe care le generează, menținând în același timp stimulente pentru cei care investesc în tehnologii de date. În plus, acesta stabilește condițiile generale pentru situațiile în care o întreprindere are obligația legală de a partaja date cu o altă întreprindere.
Legea privind datele include, de asemenea, măsuri de creștere a echității și a concurenței pe piața europeană a cloud-ului, precum și de protejare a întreprinderilor împotriva clauzelor contractuale abuzive legate de schimbul de date impuse de actori mai puternici. Acesta stabilește, de asemenea, un mecanism prin care organismele din sectorul public pot solicita date de la o întreprindere în care există o nevoie excepțională, de exemplu în situații de urgență publică, și prevede norme clare cu privire la modul în care ar trebui formulate astfel de cereri. În plus, acesta introduce garanții pentru a evita ca organismele guvernamentale din țări terțe să poată accesa date fără caracter personal în cazul în care acest lucru ar încălca legislația UE sau legislația națională. În cele din urmă, Legea privind datele definește cerințele esențiale privind interoperabilitatea pentru a se asigura că datele pot circula fără probleme între sectoare și statele membre, facilitate de spațiile europene comune ale datelor, precum și între furnizorii de servicii de prelucrare a datelor.
Legea privind datele a fost publicată în Jurnalul Oficial al UE la 22 decembrie 2023 și va deveni aplicabilă la 12 septembrie 2025.
Legea privind datele completează Legea privind guvernanța datelor, primul rezultat care poate fi realizat în cadrul strategiei europene privind datele. Legea privind guvernanța datelor a devenit aplicabilă în septembrie 2023. Deși Legea privind guvernanța datelor sporește încrederea în mecanismele voluntare de partajare a datelor, Legea privind datele oferă claritate juridică în ceea ce privește accesul la date și utilizarea acestora.
Împreună cu alte măsuri de politică și oportunități de finanțare, aceste două regulamente vor contribui la crearea unei piețe unice a datelor la nivelul UE, transformând Europa într-un lider în economia bazată pe date prin valorificarea potențialului cantităților din ce în ce mai mari de date, în special de date industriale, în beneficiul economiei și al societății europene.
Chestiuni abordate
În conformitate cu dispozițiile generale (capitolul I) care stabilesc domeniul de aplicare al regulamentului și definesc termenii-cheie, Legea privind datele este structurată în șase capitole principale:
Capitolul II privind schimbul de date între întreprinderi și între întreprinderi și consumatori în contextul internetului obiectelor: utilizatorii obiectelor IoT pot accesa, utiliza și porta datele pe care le generează în comun prin utilizarea unui produs conectat.
Capitolul III privind schimbul de date între întreprinderi: acest lucru clarifică condițiile de partajare a datelor ori de câte ori o întreprindere este obligată prin lege, inclusiv prin Legea privind datele, să partajeze date cu o altă întreprindere.
Capitolul IV privind clauzele contractuale abuzive: aceste dispoziții protejează toate întreprinderile, în special IMM-urile, împotriva clauzelor contractuale abuzive care le sunt impuse.
Capitolul V privind schimbul de date între întreprinderi și administrații: organismele din sectorul public vor putea lua decizii bazate mai mult pe dovezi în anumite situații de nevoie excepțională prin măsuri de acces la anumite date deținute de sectorul privat.
Capitolul VI privind trecerea de la un serviciu de prelucrare a datelor la altul: furnizorii de servicii de cloud computing și de calcul de margine trebuie să îndeplinească cerințele minime pentru a facilita interoperabilitatea și pentru a permite schimbarea furnizorului.
Capitolul VII privind accesul ilegal al guvernelor țărilor terțe la date: datele fără caracter personal stocate în UE sunt protejate împotriva cererilor ilegale de acces ale guvernului străin.
Capitolul VIII privind interoperabilitatea: participanții la spațiile de date trebuie să îndeplinească criteriile pentru a permite ca datele să circule în interiorul și între spațiile de date. Un registru al UE va stabili standarde și specificații relevante pentru interoperabilitatea în cloud.
Capitolul IX privind executarea: Statele membre trebuie să desemneze una sau mai multe autorități competente care să monitorizeze și să asigure respectarea Legii privind datele. În cazul în care sunt desemnate mai multe autorități, trebuie numit un „coordonator de date” pentru a acționa ca punct unic de contact la nivel național.
Capitolul II: Schimbul de date între întreprinderi și între întreprinderi și consumatori în contextul pieței IoT
De ce?
Un obiectiv-cheie al Legii privind datele este de a crea echitate în economia datelor și de a le permite utilizatorilor să culeagă valoare din datele pe care le generează utilizând produsele conectate pe care le dețin, le închiriază sau le închiriază.
Legea privind datele permite utilizatorilor de produse conectate (de exemplu, autoturisme conectate, dispozitive medicale și de fitness, mașini industriale sau agricole) și servicii conexe (adică orice ar face ca un produs conectat să se comporte într-un mod specific, cum ar fi o aplicație pentru a ajusta luminozitatea luminilor sau pentru a regla temperatura unui frigider) să acceseze datele pe care le creează în comun prin utilizarea produselor conectate/serviciilor conexe.
Disponibilitatea acestor date va avea un impact semnificativ asupra economiei. De exemplu, datele generate de produsele conectate și de serviciile conexe pot fi utilizate pentru a stimula serviciile postvânzare și serviciile auxiliare, precum și pentru a crea servicii complet noi, în beneficiul atât al întreprinderilor, cât și al consumatorilor.
Exemple de produse conectate: produse de consum (de exemplu, autoturisme conectate, dispozitive de monitorizare a sănătății, dispozitive pentru locuințe inteligente), alte produse (de exemplu, avioane, roboți, mașini industriale).
Exemplu de serviciu conex: un utilizator cumpără o mașină de spălat și instalează o aplicație care le permite să măsoare impactul asupra mediului al ciclului de spălare pe baza datelor de la diferiți senzori din interiorul mașinii și reglează ciclul în consecință. Această cerere ar fi considerată un serviciu conex.
Exemple de servicii postvânzare și servicii auxiliare: servicii de reparare și întreținere, asigurare bazată pe date.
Tipuri de date care intră în domeniul de aplicare
Capitolul II din Legea privind datele privind schimbul de date între întreprinderi și între întreprinderi și consumatori se aplică tuturor datelor brute și preprelucrate generate de utilizarea unui produs conectat sau a unui serviciu conex care sunt ușor accesibile deținătorului de date (de exemplu, producătorul unui produs/furnizor conectat al unui serviciu conex), cu alte cuvinte date care pot fi accesate cu ușurință fără efort disproporționat, depășind o simplă operațiune. Acest lucru se aplică atât datelor cu caracter personal, cât și datelor fără caracter personal, inclusiv metadatelor relevante.
Astfel de date includ datele colectate de la un singur senzor sau de la un grup conectat de senzori, cum ar fi temperatura, presiunea, debitul, sunetul, valoarea pH-ului, nivelul lichidului, poziția, accelerația sau viteza.
Datele și conținutul deduse sau derivate (de exemplu, date foarte îmbogățite, materiale audiovizuale) nu intră în domeniul de aplicare. În plus, Legea privind datele nu aduce atingere legilor privind protecția drepturilor de proprietate intelectuală.
De exemplu, dacă un utilizator urmărește un film pe televizorul conectat, filmul în sine nu se încadrează în domeniul de aplicare, dar datele privind luminozitatea ecranului se încadrează în domeniul de aplicare.
În practică
Capitolul II din Legea privind datele le permite utilizatorilor (adică oricărei persoane fizice sau juridice care deține, închiriază sau închiriază un produs conectat) să acceseze datele pe care le generează prin utilizarea produsului conectat sau a serviciului conex. În cazul în care utilizatorul dorește să partajeze aceste date cu o altă entitate sau persoană fizică („parte terță”), acesta poate face acest lucru în mod direct sau poate solicita deținătorului de date să le partajeze cu o parte terță la alegerea sa (excluzând gatekeeperii în temeiul Actului legislativ privind piețele digitale). Deținătorul de date este, de obicei, societatea care produce produsul conectat sau care furnizează un serviciu conex. Un deținător de date trebuie să aibă un contract cu utilizatorul (de exemplu, contract de vânzare, contract de închiriere, contract de servicii conexe etc.) care să definească drepturile privind accesul, utilizarea și partajarea datelor generate de produsul conectat sau de serviciul conex. Este important de reținut că deținătorul de date nu poate utiliza date fără caracter personal generate de produs fără acordul utilizatorului.
Cu titlu de exemplu și ținând seama de faptul că contractul relevant determină rolurile exacte:
-
O companie operează un buldozer: deținătorul de date ar fi de obicei producătorul buldozerului, iar utilizatorul ar fi compania care operează buldozerul.
-
Dacă cineva cumpără un frigider conectat și descarcă o aplicație care îi ajută să regleze temperatura optimă pentru conținutul frigiderului, ar putea exista doi deținători de date, și anume entitatea care a introdus frigiderul pe piață și entitatea care oferă serviciul aferent (aplicația) și singurul utilizator (proprietarul frigiderului).
Legea privind datele introduce mai multe mecanisme pentru a facilita utilizarea acestor dispoziții de către utilizatori: deținătorii de date trebuie să furnizeze utilizatorului informații privind tipul de date pe care le vor genera atunci când utilizează produsul conectat sau serviciul conex (inclusiv volumul, frecvența colectării etc.); utilizatorii ar trebui să poată solicita accesul la date printr-un proces simplu și deținătorii de date trebuie să pună datele la dispoziția utilizatorilor în mod gratuit.
Limitări privind utilizarea datelor
Pentru a nu descuraja întreprinderile să investească în produse generatoare de date, datele obținute nu pot fi utilizate pentru a dezvolta un produs conectat concurent. Legea privind datele nu interzice concurența în serviciile conexe sau aftermarket. În plus, nu există nicio obligație în temeiul Legii privind datele ca un deținător de date să partajeze date cu terți cu sediul în afara UE.
Legea privind datele respectă pe deplin normele privind protecția datelor, în special RGPD. În cazul în care utilizatorul nu este persoana vizată ale cărei date sunt solicitate, datele cu caracter personal pot fi puse la dispoziție numai dacă există un temei juridic valabil (de exemplu, consimțământul). Acesta este un aspect important, deoarece datele generate în comun conțin adesea atât date cu caracter personal, cât și date fără caracter personal, care pot fi dificil de separat.
Aceasta stimulează dezvoltarea de produse și servicii conectate bazate pe noi fluxuri de date, care sunt deosebit de valoroase pentru întreprinderile mai mici. În plus, microîntreprinderile și întreprinderile mici, în calitate de producători sau furnizori de servicii conexe, nu sunt supuse acelorași obligații ca întreprinderile mai mari.
Pentru a proteja secretele comerciale fără a submina obiectivul Legii privind datele de a pune la dispoziție mai multe date, deținătorul datelor și utilizatorul/terțul pot conveni asupra anumitor măsuri de păstrare a confidențialității secretelor comerciale. În cazul în care aceste măsuri nu sunt respectate, deținătorul de date poate refuza sau suspenda schimbul de date. Deținătorul datelor poate refuza să facă schimb de date numai în cazul în care poate demonstra că este foarte probabil să sufere prejudicii economice grave ca urmare a divulgării secretelor comerciale.
Deținătorul de date și utilizatorul pot conveni să limiteze schimbul de date în cazul în care există riscul ca cerințele de securitate ale produsului conectat să fie subminate, având ca rezultat efecte negative grave asupra sănătății, siguranței sau securității persoanelor. Astfel de cerințe trebuie stabilite în legislația UE sau în legislația națională.
În cazul în care deținătorul de date suspendă, reține sau refuză să facă schimb de date din motive de protecție a secretelor comerciale sau de cerințe de securitate, acesta trebuie să notifice autoritatea națională competentă. Utilizatorii pot contesta o astfel de decizie, fie în fața instanței competente a unui stat membru, prin intermediul unei plângeri adresate autorității competente, fie cu acordul deținătorului de date în fața unui organism de soluționare a litigiilor.
Capitolul III: Norme privind schimbul obligatoriu de date între întreprinderi
De ce?
Legea privind datele introduce norme pentru situațiile în care o întreprindere („deținătorul de date”) are obligația legală în temeiul legislației UE sau naționale de a pune datele la dispoziția unei alte întreprinderi („destinatarul datelor”), inclusiv în contextul datelor IoT. În special, termenii și condițiile privind schimbul de date trebuie să fie echitabile, rezonabile și nediscriminatorii.
Ca stimulent pentru schimbul de date, deținătorii de date care sunt obligați să partajeze date pot solicita o „compensație rezonabilă” de la destinatarul datelor.
Tipuri de date care intră în domeniul de aplicare
Capitolul III din Legea privind datele se aplică tuturor datelor (atât cu caracter personal, cât și fără caracter personal) deținute de o întreprindere, inclusiv situațiile reglementate de capitolul II din Legea privind datele.
În practică
Deținătorii de date pot solicita o compensație rezonabilă pentru punerea datelor la dispoziția destinatarului datelor. Acestea ar putea include costurile suportate pentru punerea la dispoziție a datelor, precum și costurile tehnice legate de diseminare și stocare. Cu toate acestea, microîntreprinderile, IMM-urile și organizațiile de cercetare non-profit nu pot fi taxate mai mult decât costurile suportate pentru punerea la dispoziție a datelor.
Pentru a proteja deținătorii de date, Legea privind datele include o listă neexhaustivă de măsuri pentru remedierea situațiilor în care un terț sau un utilizator a accesat sau a utilizat în mod ilegal date. De exemplu, un deținător de date ar putea solicita ca o parte contravenientă să înceteze să mai producă produsul în cauză sau să distrugă datele pe care le-a obținut în mod ilegal sau ar putea solicita despăgubiri.
Orice obligații de partajare a datelor care preced Legea privind datele rămân neafectate. Obligațiile în legislația viitoare (sectorială) ar trebui aliniate la dispozițiile capitolului III din Legea privind datele.
Capitolul IV: Clauze contractuale abuzive
De ce?
Libertatea contractuală este esențială pentru relațiile dintre întreprinderi. Cu toate acestea, Legea privind datele urmărește să protejeze toate întreprinderile europene care doresc să obțină date, în special IMM-urile, împotriva clauzelor contractuale abuzive prin măsurile sale de intervenție în situații în care, de exemplu, una dintre întreprinderi se află într-o poziție de negociere mai puternică (de exemplu, din cauza dimensiunii sale de piață) și impune o clauză nenegociabilă („take-it-or-leave-it”) referitoare la accesul și utilizarea datelor pe de altă parte.
Tipuri de date care intră în domeniul de aplicare
Aceste norme se referă la toate datele, atât cu caracter personal, cât și fără caracter personal, deținute de o entitate privată care este accesată și utilizată pe baza unui contract între întreprinderi.
În practică
În cazul în care se referă la punerea la dispoziție a datelor, clauzele de tip „take-it-or-leave” impuse în mod unilateral pot face obiectul unui test privind caracterul abuziv.
Legea privind datele stabilește o listă neexhaustivă de clauze care sunt întotdeauna considerate abuzive (de exemplu, care ar exclude sau ar limita răspunderea părții care a impus unilateral clauza pentru fapte intenționate sau neglijență gravă) și a clauzelor care sunt prezumate a fi abuzive (de exemplu, care ar limita în mod inadecvat măsurile reparatorii în cazul neexecutării obligațiilor contractuale sau a răspunderii în cazul unei încălcări a acestor obligații sau ar extinde răspunderea întreprinderii căreia i-a fost impusă unilateral clauza). În cazul în care o clauză este considerată abuzivă, aceasta nu mai este valabilă – acolo unde este posibil, ea este pur și simplu separată de contact. În cazul în care se prezumă că este abuzivă, entitatea care a impus clauza poate încerca să demonstreze că clauza nu este abuzivă.
Capitolul V: Schimbul de date între întreprinderi și administrațiile publice
De ce?
Datele deținute de entități private pot fi esențiale pentru ca un organism din sectorul public să își asume o sarcină de interes public. Capitolul V din Legea privind datele permite organismelor din sectorul public să acceseze astfel de date, în anumite condiții, atunci când există o nevoie excepțională. Aceasta din urmă se referă la o situație imprevizibilă și limitată în timp, în care datele deținute de o entitate privată sunt necesare pentru îndeplinirea sarcinii de interes public, în special pentru a îmbunătăți procesul decizional bazat pe dovezi. Situațiile de necesitate excepțională includ atât urgențele publice (cum ar fi dezastrele naturale majore sau induse de om, pandemiile și incidentele de securitate cibernetică), cât și situațiile care nu sunt de urgență (de exemplu, ar putea fi utilizate date agregate și anonimizate din sistemele GPS ale conducătorilor auto pentru a contribui la optimizarea fluxurilor de trafic).
Legea privind datele va asigura faptul că autoritățile publice au acces la astfel de date în timp util și în mod fiabil, fără a impune o sarcină administrativă nejustificată asupra întreprinderilor.
Tipuri de date care intră în domeniul de aplicare
În conformitate cu capitolul V, toate datele intră în domeniul de aplicare, cu accent pe datele fără caracter personal.
Capitolul V din Legea privind datele privind schimbul de date între întreprinderi și administrațiile publice face distincție între două scenarii:
-
Pentru a răspunde unei urgențe publice, un organism din sectorul public ar trebui să solicite date fără caracter personal. Cu toate acestea, în cazul în care acest lucru este insuficient pentru a răspunde situației, pot fi solicitate date cu caracter personal. Dacă este posibil, aceste date ar trebui să fie anonimizate de către deținătorul de date.
-
În situații care nu sunt de urgență, organismele din sectorul public pot solicita numai date fără caracter personal.
Principalele părți interesate
Entitățile care au dreptul să solicite date includ organisme din sectorul public ale statelor membre, precum și anumite instituții, organisme și agenții ale UE. Aceste entități pot, de asemenea, să partajeze datele cu organizațiile care desfășoară activități de cercetare și finanțare, în anumite condiții.
În contextul cererilor între întreprinderi și guverne, deținătorii de date sunt de obicei entități private, dar pot include și întreprinderi publice.
În practică
Un organism din sectorul public poate, în anumite condiții, să oblige un deținător de date să pună la dispoziție anumite date fără întârzieri nejustificate pentru a răspunde unei urgențe publice. Legea privind datele definește o urgență publică; dar existența sa este determinată în conformitate cu procedurile sau legile naționale sau ale UE.
Pentru nevoi excepționale care nu sunt legate de o urgență publică, un organism din sectorul public poate solicita date fără caracter personal pentru a îndeplini o sarcină specifică care este de interes public și care a fost prevăzută de lege, în cazul în care organismul din sectorul public poate dovedi că nu a putut accesa datele prin alte mijloace.
În ambele cazuri (urgență și non-urgență), cererile trebuie să respecte o serie de principii și condiții stricte. De exemplu, cererile trebuie să fie specifice, transparente și proporționale, secretele comerciale trebuie protejate, iar datele trebuie șterse de îndată ce nu mai sunt necesare.
Tabelul de mai jos sintezele pe care întreprinderile le pot solicita pentru a furniza date unui organism din sectorul public în acest context.
Compensație pentru punerea la dispoziție a datelor în temeiul capitolului V din Legea privind datele
| Întreprinderile, altele decât microîntreprinderile și întreprinderile mici, pot solicita: | Microîntreprinderile și întreprinderile mici pot solicita: | |
| Urgență publică | Întreprinderile pot solicita ca contribuția lor la date să fie recunoscută și recunoscută public de către organismul din sectorul public destinatar | Remunerație rezonabilă care să nu depășească costurile tehnice și organizatorice suportate + confirmarea publică, la cerere |
| Situația de non-urgență | Remunerație rezonabilă care să nu depășească costurile tehnice și organizatorice suportate (cu excepția elaborării statisticilor oficiale) | N/A (scutire de la obligația de a furniza date) |
Pentru a reduce la minimum sarcina asupra întreprinderilor, aceleași date nu pot fi solicitate de mai multe ori („principiul o singură dată”) de mai multe organisme din sectorul public. Din acest motiv, toate cererile trebuie să fie puse la dispoziția publicului de către coordonatorul de date (cu excepția cazului în care există o problemă de securitate).
Capitolul VI: Comutarea între serviciile de prelucrare a datelor
De ce?
Pentru a asigura o piață competitivă în UE, clienții serviciilor de prelucrare a datelor (inclusiv ai serviciilor de cloud și de margine) ar trebui să poată trece fără probleme de la un furnizor la altul. Cu toate acestea, clienții se confruntă în prezent cu o serie de obstacole în acest sens, inclusiv taxe ridicate asociate, de exemplu, ieșirii de date, procedurilor îndelungate și lipsei de interoperabilitate între furnizori, ceea ce poate duce la pierderea datelor și a aplicațiilor.
Legea datelor va face trecerea liberă, rapidă și fluidă. De acest lucru vor beneficia clienții, care pot alege în mod liber serviciile care răspund cel mai bine nevoilor lor, precum și furnizorii, care vor beneficia de un grup mai mare de clienți.
Domeniul de aplicare
Capitolul VI din Legea privind datele se aplică furnizorilor de servicii de prelucrare a datelor (și anume, servicii digitale care permit accesul la rețea omniprezent și la cerere, cum ar fi rețelele, serverele sau alte infrastructuri și programe informatice virtuale sau fizice). Datele esențiale pentru schimbarea furnizorului cuprind date de intrare și de ieșire, inclusiv metadate, generate de utilizarea de către client a serviciului, cu excepția datelor protejate de drepturile de proprietate intelectuală sau care constituie un secret comercial al prestatorului de servicii.
În practică
Pentru a depăși dezechilibrul de putere dintre furnizori și clienți de pe piața cloud, Legea privind datele stabilește cerințe minime pentru conținutul contractelor de cloud. În special, clienții din sectorul privat și public vor beneficia de o transparență contractuală mult mai mare.
Legea privind datele include măsuri pentru a se asigura că clienții pot trece rapid și fără probleme de la un furnizor de servicii de prelucrare a datelor („furnizor de surse”) la un alt furnizor („destinație”), fără a pierde date sau funcționalitatea aplicațiilor. De exemplu, furnizorii de Platformă și Software ca serviciu trebuie să pună la dispoziție interfețe deschise și, cel puțin, să exporte date într-un format utilizat în mod obișnuit și care poate fi citit automat. Furnizorii de infrastructură ca serviciu trebuie să ia măsuri pentru a facilita ca, în cazul în care un client trece la un serviciu de același tip, clientul să obțină rezultate comparabile din punct de vedere material ca răspuns la aceleași date de intrare pentru caracteristicile pe care ambele servicii le împart („echivalență funcțională”). Ca exemplu al unei astfel de măsuri, furnizorul de sursă poate fi nevoit să utilizeze instrumente pentru a transfera volumele de lucru de calcul de la o tehnologie de virtualizare la alta.
Toți furnizorii sunt obligați să elimine obstacolele cu care se pot confrunta clienții lor atunci când doresc să treacă la un alt furnizor sau să utilizeze mai multe servicii în același timp.
De asemenea, Legea privind datele va elimina integral taxele de schimbare a furnizorului, inclusiv taxele pentru ieșirea de date (de exemplu, taxele pentru tranzitul de date), începând cu 12 ianuarie 2027. Acest lucru înseamnă că furnizorii nu vor putea să-și taxeze clienții pentru operațiunile care sunt necesare pentru a facilita schimbarea furnizorului sau pentru ieșirea de date. Cu toate acestea, ca măsură tranzitorie în primii trei ani de la intrarea în vigoare a Legii privind datele (de la 11 ianuarie 2024 până la 12 ianuarie 2027), furnizorii își pot încărca clienții pentru costurile suportate în legătură cu schimbarea furnizorului și cu ieșirea datelor.
Capitolul VII: Accesul ilegal al guvernelor țărilor terțe
De ce?
Uneori, o decizie sau o hotărâre judecătorească emisă de o țară din afara UE („țară terță”) urmărește să permită accesul guvernului la datele fără caracter personal prelucrate și stocate pe teritoriul UE și transferul acestora. Cu toate acestea, în anumite cazuri, acordarea accesului la astfel de date sau transferul acestora poate fi efectiv ilegală, în special în cazul în care cererea contravine legislației UE și garantează protecția drepturilor fundamentale ale persoanelor fizice, a intereselor de securitate națională sau a datelor sensibile din punct de vedere comercial.
Legea privind datele urmează Legii privind guvernanța datelor în ceea ce privește dispozițiile care vizează prevenirea accesului guvernamental ilegal din țări terțe și a transferului ilegal de date fără caracter personal deținute în UE. Astfel de dispoziții nu au niciun impact asupra schimbului regulat de date între întreprinderi. Acestea sporesc transparența și securitatea juridică în ceea ce privește procesul și condițiile în care datele fără caracter personal pot fi accesate sau transferate unor organisme guvernamentale din afara UE.
Tipuri de date care intră în domeniul de aplicare
Orice date fără caracter personal deținute în UE de către un furnizor al unui serviciu de prelucrare a datelor.
În practică
Legea privind datele nu interzice fluxurile transfrontaliere de date, ci asigură faptul că protecția acordată datelor în UE călătorește cu orice date transferate în afara UE.
În acest context, Legea privind datele stabilește norme și garanții pentru cererile de acces ale unui organism din sectorul public străin la datele fără caracter personal deținute în Uniune. Cooperarea internațională legitimă în ceea ce privește aplicarea legii nu este afectată de aceste dispoziții.
În cazul în care nu există un acord internațional care să reglementeze accesul unui guvern dintr-o țară terță la datele fără caracter personal situate în UE, datele pot fi transferate sau accesate numai în anumite condiții. Aceste condiții se referă la anumite garanții care protejează drepturile europene care trebuie îndeplinite de sistemul juridic al țării terțe, inclusiv o cerință de a prezenta motivele și de a evalua proporționalitatea în decizie. Furnizorul de servicii de prelucrare a datelor care face obiectul unei astfel de decizii poate contacta organismul național relevant pentru a evalua dacă sunt îndeplinite condițiile prevăzute în Legea privind datele. Pentru a evalua dacă aceste condiții au fost îndeplinite, Comisia Europeană va elabora orientări împreună cu Comitetul european pentru inovare în domeniul datelor (un grup de experți instituit în temeiul Legii privind guvernanța datelor pentru a facilita schimbul de bune practici și a acorda prioritate standardelor de interoperabilitate transsectorială).
Furnizorii de servicii de prelucrare a datelor ar trebui să ia toate măsurile rezonabile (de exemplu, criptarea, auditurile, respectarea sistemelor de certificare) pentru a împiedica accesul la sistemele în care stochează date fără caracter personal. Aceste măsuri ar trebui publicate pe site-urile lor web. În plus, ori de câte ori este posibil, aceștia ar trebui să își informeze clienții înainte de a acorda acces la datele lor.
Capitolul VIII: Interoperabilitate
De ce?
Standardele și interoperabilitatea sunt esențiale pentru a se asigura că datele din diferite surse pot fi utilizate în cadrul spațiilor europene comune de date și între acestea pentru a stimula cercetarea și pentru a dezvolta noi produse sau servicii. În acest scop, Actul privind datele stabilește anumite cerințe esențiale pe care participanții la spațiile de date trebuie să le respecte și care pot fi specificate în detaliu de Comisia Europeană prin intermediul unor acte delegate.
Aceasta urmărește, de asemenea, să asigure interoperabilitatea între serviciile de prelucrare a datelor; acest lucru este esențial pentru ca clienții să beneficieze de o schimbare mai ușoară.
Principalele părți interesate
Acest capitol vizează participanții la spațiile de date care oferă date sau servicii bazate pe date altor participanți și care facilitează sau se angajează în schimbul de date în spațiile de date.
De asemenea, se adresează furnizorilor de contracte inteligente, precum și furnizorilor de servicii de prelucrare a datelor.
În practică
Participanții la spațiul de date ar trebui să respecte mai multe cerințe esențiale pentru a permite datelor să circule în interiorul și între spațiile de date. De exemplu, o descriere a structurilor de date, a formatelor de date și a vocabularelor, dacă sunt disponibile, ar trebui să fie accesibilă publicului. În plus, ar trebui asigurate mijloace de asigurare a interoperabilității acordurilor privind schimbul de date, cum ar fi contractele inteligente.
Legea privind datele pregătește, de asemenea, terenul pentru creșterea interoperabilității serviciilor de prelucrare a datelor prin standarde armonizate și specificații de interoperabilitate deschise.
În plus, acesta stabilește cerințe pentru vânzătorii de contracte inteligente pentru executarea automată a acordurilor de partajare a datelor, de exemplu pentru a se asigura că aceștia respectă în mod corect dispozițiile acordului privind schimbul de date și că rezistă manipulării de către terți.
Comisia va evalua obstacolele din calea interoperabilității și va acorda prioritate nevoilor de standardizare, pe baza cărora ar putea solicita organizației (organizațiilor) europene de standardizare să elaboreze standarde armonizate care să respecte cerințele menționate mai sus.
În cazul în care cererea nu conduce la un standard armonizat sau dacă standardul este insuficient pentru a asigura conformitatea cu Legea privind datele, Comisia poate adopta specificații comune ca soluție alternativă. Acestea ar trebui dezvoltate într-un mod deschis și incluziv, având în vedere feedbackul din partea Comitetului european pentru inovare în domeniul datelor.
Capitolul IX: Punerea în aplicare și dispozițiile generale
Statele membre vor desemna una sau mai multe autorități competente (noi sau existente) pentru a asigura punerea în aplicare eficientă a Legii privind datele. Ori de câte ori există mai multe autorități competente, statele membre trebuie să desemneze una dintre ele drept „coordonator de date”. Coordonatorul de date va acționa ca un „ghișeu unic” pentru toate aspectele legate de punerea în aplicare a Legii privind datele la nivel național, facilitând aplicarea atât pentru întreprinderi, cât și pentru autoritățile publice. De exemplu, în cazul în care o întreprindere solicită despăgubiri pentru încălcarea drepturilor sale în temeiul Legii privind datele, coordonatorul de date ar trebui (la cerere) să furnizeze toate informațiile necesare pentru a-i ajuta să depună plângerea la autoritatea competentă corespunzătoare. Coordonatorul de date va facilita, de asemenea, colaborarea în situații transfrontaliere, cum ar fi atunci când o autoritate competentă dintr-un anumit stat membru nu știe ce autoritate ar trebui să se adreseze în statul membru al coordonatorului de date.
Comisia va ține un registru public al autorităților competente și al coordonatorilor de date.
Comitetul european pentru inovare în domeniul datelor va facilita discuțiile dintre autoritățile competente, de exemplu pentru a coordona și a adopta recomandări privind stabilirea de sancțiuni pentru încălcări ale Legii privind datele. Sancțiunile sunt stabilite de autoritățile competente și, în conformitate cu Legea privind datele, ar trebui să existe sancțiuni eficace, proporționale și disuasive.
Statele membre pot, dacă doresc, să înființeze organisme certificate de soluționare a litigiilor pentru a asista părțile care nu pot conveni asupra unor condiții echitabile, rezonabile și nediscriminatorii pentru punerea la dispoziție a datelor. Părțile sunt libere să se adreseze oricărui organism de soluționare a litigiilor – fie în statul membru în care sunt stabilite, fie în alt stat membru.
Mecanismele certificate de soluționare a litigiilor și autoritățile competente specializate vor facilita exercitarea de către întreprinderi, în special a întreprinderilor mici, a drepturilor care le revin în temeiul Legii privind datele, deoarece acestea oferă părților implicate o soluție simplă, rapidă și ieftină.
Ce urmează?
Strategia europeană privind datele stabilește calea pentru ca UE să devină lider în economia datelor. Acest lucru se va realiza prin crearea unei piețe unice europene a datelor, în care datele să poată circula între sectoare și statele membre într-un mod sigur și fiabil, în beneficiul economiei și al societății. Prin asigurarea unei repartizări echitabile a valorii datelor între părțile interesate, Legea privind datele este un element-cheie pentru realizarea acestei viziuni.
Legea privind datele va deveni aplicabilă la 12 septembrie 2025.
Pentru a ajuta întreprinderile să parcurgă aceste noi norme, Comisia va recomanda un set de clauze contractuale model pentru a ajuta întreprinderile să încheie contracte de partajare de date echitabile, rezonabile și nediscriminatorii (capitolele II și III din Legea privind datele). Acești termeni vor oferi, de asemenea, orientări privind compensațiile rezonabile și protecția secretelor comerciale. Comisia va recomanda, de asemenea, un set de clauze contractuale standard fără caracter obligatoriu pentru contractele de cloud computing între utilizatorii și furnizorii de servicii de cloud computing. A fost înființat un grup de experți pentru a ajuta Comisia să elaboreze astfel de termeni și clauze și intenționează să le recomande până în toamna anului 2025.
În termen de 3 ani de la intrarea sa în vigoare, Comisia va efectua o evaluare a impactului Legii privind datele. Pe această bază, dacă este necesar, Comisia poate propune o modificare a actului.
Aviz juridic
Acest document nu ar trebui considerat reprezentativ pentru poziția oficială a Comisiei Europene.