Conoce Atico34 - Solicita presupuesto
ComplianceNuevas tecnologias

Ley de Datos ¿Qué es esta nueva normativa europea?

La Ley de Datos es una nueva regulación europea para garantizar un uso más equitativo y justo de los datos personales y no personales generados por los dispositivos conectados y el llamado internet de las cosas (IoT). En las siguientes líneas explicamos en qué consiste y cuáles son los objetivos de Ley de Datos o Data Act.

¿Qué es el Data Act?

El Data Act es el Reglamento europeo que regula normas armonizadas para el acceso, intercambio y uso equitativo de los datos generados por el uso de productos o servicios relacionados con el internet de las cosas (IoT). Estos productos y servicios pueden ser vehículos, electrodomésticos, bienes de consumo, wearables, dispositivos médicos y sanitarios, maquinaria industrial o agrícola; básicamente cualquier producto o servicio que funcione a través de internet.

El Reglamento (UE) 2023/2854, sobre normas armonizadas para un acceso justo a los datos y su utilización, viene a complementar el Reglamento sobre la Gobernanza de Datos, en vigor desde septiembre de 2023, estableciendo quién puede crear valor a partir de los datos y bajo qué condiciones.

A diferencia de la Ley Orgánica de Protección de Datos, el Data Act o Ley de datos se aplica a datos personales y datos no personales, siempre que hayan sido generados en el contexto de uso de dispositivos IoT o servicios relacionados con los mismos. Es decir, que son datos tanto generados por personas como por empresas.

¿A quién se aplica la Ley de Datos?

La Ley de Datos se aplica a los denominados «titulares de los datos», entendidos estos como la persona física o jurídica responsable del producto o servicio que ha generado los datos durante su uso o prestación. Por ejemplo, Meta sería un titular de los datos que generan los usuarios al utilizar sus productos (Facebook, WhatsApp, Instagram), como lo es Apple de aquellos datos que genera el uso de sus iPhones, iPads o sus Apple Watches.

Así mismo, el artículo 3 de la Ley de Datos, establece su aplicación a los siguientes sujetos:

  • Fabricantes y proveedores de productos y servicios conectados comercializados en la UE.
  • Usuarios de los productos conectados y servicios relacionados (tanto personas físicas como jurídicas).
  • El titular de los datos que los pone a disposición de destinatarios de los datos en la UE.
  • Destinatarios de datos en la UE que pueden usarlos.
  • Organismos públicos en general, Comisión Europea, Banco Central Europeo y organismos de la UE.
  • Proveedores de servicios de procesamiento de datos ofrecidos en la UE.
  • Participantes en espacios de datos y proveedores de aplicaciones que utilicen smart contracts (contratos inteligentes).

tarifas compliance

Objetivos de la Ley europea de Datos

El objetivo principal de la Ley europea de Datos es permitir una distribución equitativa del valor de los datos, estableciendo normas claras y justas para el acceso y utilización de los datos generados por los dispositivos del internet de las cosas. Así mismo, este Reglamento también tiene como objetivo que los productos y servicios conectados se diseñen y fabriquen de forma que los usuarios puedan acceder, utilizar y compartir de forma fácil y segura los datos generados.

Otros objetivos clave de la Ley de Datos son:

  • Aumentar la seguridad jurídica en relación con el derecho de acceso y uso de los datos en un entorno cada vez más interconectado.
  • Acabar con los desequilibrios de poder en las relaciones contractuales entre empresas titulares de datos dominantes y pymes.
  • Establecer las condiciones para la cesión de datos a organismos públicos por los titulares de los datos privados en situaciones excepcionales.
  • Promover la interoperabilidad de los datos desde una perspectiva interseccional.
  • Establecer las garantías mínimas para los usuarios de servicios de tratamiento de datos cuando decidan cambiar de proveedor.

Así mismo, la Ley de Datos también contempla la designación por cada Estado miembro de una autoridad competente responsable de la aplicación y cumplimiento del Reglamento.

¿Qué regula la Ley de Datos?

Cómo ya hemos visto en la descripción de los objetivos, la Ley de Datos regula la forma en que se puede dar valor a los datos generados por los dispositivos IoT, facilitar su uso y acceso por diversos actores y dar un mayor control sobre los mismos a los usuarios, así como establecer un marco que promueva la interoperabilidad para la reutilización de los datos.

No podemos olvidar que los dispositivos IoT generan grandes volúmenes de datos que, sin embargo, no están disponibles en su totalidad para los usuarios, y que controlan sus titulares, obteniendo diferentes beneficios de ellos. Ya no se trata solo de una cuestión de privacidad, sino de «democratizar» el uso de los datos generados por productos y servicios conectados. Así, la Ley regula la forma en que usuarios, administraciones públicas y otros actores pueden acceder a esos datos y usarlos de forma justa y equitativa (puede que te interese saber si los dispositivos IoT atenta contra la privacidad de las personas).

ley de datos

Acceso y uso de los datos

La Ley de europea de Datos obliga a los titulares de los datos a compartir, en las condiciones adecuadas, los datos que generan sus productos y servicios conectados cuando los usan sus usuarios con los propios usuarios y terceros, con el objetivo de facilitar que los usuarios puedan buscar y utilizar ya no solo los servicios posventa o de mantenimiento del titular, sino cualquier otro de su elección.

Por ejemplo, si tienes una smart TV, la Ley permite que puedas solicitar al fabricante los datos generados por el uso del dispositivo y que puedas compartir estos con un servicio de reparación de tu elección. De esta forma se favorece una mayor libertad para los usuarios a la hora buscar alternativas más económicas para la reparación de sus dispositivos y se espera que se abaraten los costes de reparación y mantenimiento en general.

La Ley también prevé mantener incentivos para que los fabricantes sigan invirtiendo en productos y servicios conectados y la protección de sus secretos comerciales.

Por otro lado, el Reglamento establece medidas específicas para reforzar la seguridad jurídica de los usuarios de los dispositivos y servicios conectados durante su período de utilización. En ese sentido, se refuerza el derecho de información previa a la adquisición, teniendo que informar a los usuarios de:

  • La naturaleza y volumen de los datos que se prevé generar durante el uso y disfrute de productos y servicios.
  • Cómo se puede acceder a los datos generados.
  • Cómo se generarán los datos.
  • Quién utilizará los datos.
  • Cómo solicitar que los datos se compartan con terceros.

Así mismo, el titular de los datos debe garantizar a los usuarios el acceso a los datos generados, sin necesidad de exigir más información adicional que la estrictamente necesaria para verificar su condición de usuario.

Evitar las cláusulas abusivas

El Data Act quiere acabar con las cláusulas abusivas en los contratos entre grandes empresas o empresas en una posición dominante en el mercado y las pymes en lo relativo al acceso y utilización de los datos que generan unas y otras.

La Ley concreta los supuestos en los que una cláusula será considerada abusiva para microempresas y pymes (por ejemplo, existen cláusulas que prohíben a estas empresas más pequeñas copiar los datos que ellas misma han generado).

También se especifica en qué circunstancias se consideran indebidas las condiciones impuestas en los contratos de manera unilateral. En este caso, será la empresa que propuso la cláusula la que debe probar que esta no fue impuesta.

La Comisión, para ayudar a las partes en la elaboración y negociación de los contratos con derechos y obligaciones contractuales justas y razonables, elaborará y recomendará cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización, incluidas aquellas relativas a la compensación razonables y la protección de secretos comerciales, así como cláusulas contractuales estándar no vinculantes para contratos de cloud computing.

Así mismo, la Ley prohíbe ignorar estas normas, incluso si ambas empresas lo acuerdan así.

Acceso a los datos por entidades públicas

La Ley de Datos regula la obligación de los titulares de los datos de poner estos a disposición de las administraciones y organismos públicos para afrontar necesidades excepcionales vinculadas a emergencias o cuando exista un interés público justificado.

Esta medida no se aplicará a las pymes y cuenta con una serie de límites y condiciones:

  • Se debe demostrar y justificar la existencia de una necesidad excepcional para solicitar los datos a los titulares, y se debe concretar la finalidad del uso y la duración.
  • A los datos facilitados por sus titulares, no se les aplicará la normativa sobre datos abiertos y reutilización de la información del sector público.
  • Si los datos puestos a disposición de entidades públicas son de carácter personal, se deberán seudonimizar, siempre que esto no sea incompatible con la finalidad perseguida.
  • Si la puesta a disposición de los datos se debe a cumplir una tarea o misión de interés público, debe existir una previsión legal que lo legitime y la imposibilidad de obtener los datos por otra vía, incluida la compra en el mercado.

Cabe señalar que esta regulación no afecta a la puesta a disposición de los datos por parte de las empresas dentro del marco del cumplimiento de aquellas obligaciones legales derivadas del ejercicio de sus funciones de vigilancia o comprobación (por ejemplo, sería el caso de las inspecciones por autoridades públicas).

Así mismo, la Ley también  incluye salvaguardias contra las solicitudes de datos ilegales de autoridades de terceros países, tanto para transferir como para acceder a datos no personales conservados en la UE.

Interoperabilidad

La Ley de Datos establece la obligación para los operadores de espacios de datos de cumplir con una serie de requisitos mínimos para facilitar y promover la interoperabilidad, es decir, asegurar que exista una auténtica interconexión entre los datos de diferentes productos y servicios conectados.

En concreto, el Reglamento incide en la concreción de condiciones técnicas y jurídicas que permitan el tratamiento automatizado de los datos.

También establece las condiciones específicas para los contratos inteligentes en lo que respecta a la puesta a disposición de los datos. En ese sentido, se contempla la creación de un sistema de declaración de conformidad europeo, así como criterios de normalización.

Garantías frente al cambio de proveedor

La Ley también reconoce unos derechos mínimos a los usuarios de productos y servicios conectados para el cambio de proveedor, para que puedan seguir disponiendo de sus datos, aplicaciones y otros activos digitales sin restricciones injustificadas.

Para ello, se fijan unos contenidos mínimos que deben figurar en el contrato con los proveedores:

  • La obligación de facilitar y colaborar activamente en el proceso de migración.
  • La identificación de las categorías de datos y aplicaciones exportables.
  • La fijación de un período mínimo para la recuperación de datos una vez finalizado el contrato.

Sanciones

El Reglamento establece que serán los Estados miembros quienes deben desarrollar un régimen sancionador aplicable a cualquier infracción del mismo y adoptar las medidas necesarias para garantizar su ejecución. Las sanciones deben ser efectivas, proporcionadas y disuasorias.

¿Cuándo entró en vigor la Ley de Datos?

La Ley de Datos entró en vigor el 11 de enero de 2024, siendo aplicable a partir del 11 de septiembre de 2025. Aunque el artículo 3.1 referente a los requisitos para simplificar el acceso a los datos de los nuevos productos y servicios conectados será de aplicación después del 11 de septiembre de 2026.