Desglosando el Reglamento de Datos Europeo. Implicaciones y perspectivas
El pasado diciembre de 2023, se publicó en el Diario Oficial de la Unión Europea la versión final del Reglamento de Datos (Data Act), estableciendo condiciones para la relación entre titulares de datos y usuarios.
La Ley de Datos establece normas armonizadas para la gestión y el intercambio de datos en la Unión Europea. Entre los aspectos clave que aborda este reglamento se encuentran:
- La disponibilidad de datos de productos y servicios para los usuarios.
- El intercambio de datos entre titulares y destinatarios de datos.
- La facilitación de la portabilidad.
- La introducción de salvaguardias contra el acceso ilícito de terceros a los datos.
- El desarrollo de normas de interoperabilidad.
El ámbito de aplicación del Reglamemento de Datos incluye a fabricantes de productos conectados, proveedores de servicios relacionados, usuarios de la Unión, titulares y destinatarios de datos, organismos del sector público y proveedores de servicios de tratamiento de datos, entre otros. Se establece que este reglamento se aplicará sin perjuicio del Derecho de la Unión y del Derecho nacional en materia de protección de datos personales.
No obstante, es importante destacar que la European Data Act no se aplica a acuerdos voluntarios para el intercambio de datos entre entidades privadas y públicas.
Principales implicaciones
Este texto legal entró en vigor el 11 de enero de 2024 y tiene como objetivo principal crear equidad en la economía de datos y empoderar a los usuarios para que obtengan valor de los datos que generan mediante productos conectados.
La Ley/Reglamento de Datos Europea permite a los usuarios de productos conectados y servicios relacionados acceder a los datos que generan mediante su uso, lo que impactará significativamente en la economía al impulsar servicios adicionales y crear nuevas oportunidades comerciales.
- Se incluyen datos tanto personales como no personales generados por el uso de productos conectados o servicios relacionados, como temperatura, presión, etc. Se excluyen datos derivados o inferidos, así como material audiovisual.
- Los datos obtenidos no pueden utilizarse para desarrollar otros productos conectados, pero no se prohíbe su uso para servicios posventa. Además, no hay obligación de compartir datos con terceros fuera de la UE.
- Los usuarios pueden impugnar decisiones de titulares de datos que se nieguen a compartir datos ante la autoridad competente.
Por otro lado, establece normas para situaciones donde una empresa (el ‘titular de datos’) tiene la obligación legal de compartir datos con otra empresa (el ‘receptor de datos’), asegurando que los términos sean justos y no discriminatorios.
- Los titulares de datos pueden solicitar una compensación razonable por compartir datos, con límites para evitar cargos excesivos a microempresas y pymes.
- Se incluyen medidas para proteger a los titulares de datos de accesos o usos ilegales de datos, permitiéndoles tomar acciones correctivas y buscar compensación en caso de infracciones.
Del mismo modo, esta Ley tiene como objetivo proteger a las empresas europeas contra cláusulas contractuales injustas a través de medidas para intervenir en situaciones donde una de las empresas tiene una posición de negociación más fuerte e impone términos no negociables relacionados con el acceso y uso de datos.
- Se establece una lista no exhaustiva de términos que siempre se consideran injustos y de otros que se presumen injustos.
La Ley de Datos también permite que los organismos del sector público accedan a datos mantenidos por entidades privadas, bajo ciertas condiciones, cuando hay una necesidad excepcional, como emergencias públicas o situaciones no urgentes que requieren datos para tareas de interés público.
- Las empresas pueden solicitar remuneración razonable por proporcionar datos, con ciertos límites según el tamaño de la empresa.
- Las solicitudes deben cumplir con principios estrictos de transparencia y proporcionalidad, y los datos deben eliminarse cuando ya no sean necesarios.
- Para minimizar la carga sobre las empresas, los datos no pueden solicitarse más de una vez por diferentes organismos del sector público.
También se busca eliminar barreras para que los clientes cambien de proveedor de servicios de procesamiento de datos de manera gratuita, rápida y fluida.
- Los clientes, tanto del sector público como privado, se beneficiarán de una mayor transparencia contractual, lo que equilibrará el poder entre proveedores y clientes.
- A partir del 12 de enero de 2027, los proveedores ya no podrán cobrar a los clientes por el cambio o la transferencia de datos.
Asimismo, se abordan las solicitudes de acceso y transferencia de datos no personales por parte de países fuera de la UE.
- Establece reglas para prevenir el acceso y la transferencia ilegal de datos a terceros países que podrían entrar en conflicto con las leyes y garantías de la UE.
- Establece requisitos y salvaguardias para las solicitudes de acceso de organismos públicos extranjeros a datos no personales en la UE.
- Requiere que los proveedores de servicios de procesamiento de datos tomen medidas razonables para prevenir el acceso no autorizado a los sistemas donde se almacenan los datos no personales.
Otro de sus objetivos es garantizar la interoperabilidad entre servicios de procesamiento de datos. Se prepara el terreno para aumentar la interoperabilidad de los servicios de procesamiento de datos mediante estándares armonizados y especificaciones de interoperabilidad abiertas.
Finalmente, los Estados miembros designarán autoridades competentes para implementar la Ley de Datos, con un coordinador designado para simplificar el proceso. La Comisión mantendrá un registro público de estas autoridades. Además, el Consejo Europeo de Innovación de Datos facilitará la coordinación entre estas autoridades y establecerá sanciones efectivas por infracciones.
Perspectivas de futuro
A partir del 11 de septiembre de 2025, la legislación entrará en plena vigencia, lo que significa que todas sus disposiciones y regulaciones serán efectivas y aplicables en su totalidad.
Para las empresas, la implementación de este reglamento requerirá una revisión exhaustiva de sus prácticas de gestión de datos. Se espera que las organizaciones adopten medidas proactivas para garantizar el cumplimiento de las nuevas obligaciones.
Además, las empresas que ofrecen productos y servicios conectados deberán ajustarse al requisito de acceso establecido por el reglamento, lo que implicará proporcionar a los usuarios finales un mayor control sobre sus datos y su privacidad.
Para los individuos, la entrada en vigor del Reglamento de Datos significará una mayor transparencia y control sobre el uso de sus datos personales. Los usuarios finales tendrán la capacidad legal de acceder, rectificar, transferir y eliminar sus datos de manera más efectiva, lo que les permitirá tomar decisiones informadas sobre cómo se utilizan sus datos en línea y proteger su privacidad de manera más efectiva.
Para las autoridades públicas, esta fecha también marcará el inicio de un nuevo marco regulatorio en lo que respecta a la gestión de datos. Se espera que las autoridades designadas trabajen en estrecha colaboración para garantizar una implementación coherente y efectiva de la ley en todos los Estados miembros. Además, se establecerán mecanismos de supervisión y aplicación para garantizar el cumplimiento de la ley y abordar cualquier infracción de manera oportuna y adecuada.
La Estrategia Europea de Datos busca convertir a la Unión Europea en líder de la economía de datos mediante la creación de un mercado único europeo para el flujo seguro de datos entre sectores y países miembros.
La European Data Act es un pilar clave de esta estrategia al asegurar la equidad en la distribución del valor de los datos. En un plazo de 3 años, se realizará una evaluación del impacto de la ley, con la posibilidad de enmiendas si es necesario.
En general, la entrada en vigor del Reglamento de Datos en 2025 representa un paso importante hacia una mayor protección de la privacidad y los derechos de los individuos en el entorno digital. Si bien impone nuevas responsabilidades a las empresas, también ofrece a los usuarios finales un mayor control y transparencia sobre sus datos personales.