Publicación del Reglamento sobre normas armonizadas para un acceso justo a los datos y su utilización

Por Alicia Bermejo

El 22 de diciembre del 2023 publicaba el Diario Oficial de la Unión Europea (en adelante, “DOUE”) el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva 2020/1828 (en adelante, el “Reglamento de Datos” o la “Data Act”).

Con el Reglamento de Datos, se da un nuevo paso regulatorio en la estrategia europea de datos, que pretende poner a las personas en primer lugar en el desarrollo de la tecnología y en la defensa y promoción de los valores y derechos europeos en el mundo digital. De esta forma, se pretende contribuir de manera significativa al objetivo de transformación digital que se ha marcado la Unión Europea.

El Reglamento de Datos complementa el Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (en adelante, el “Reglamento de Gobernanza de Datos”) propuesto en noviembre de 2020. Este último crea los procesos y estructuras para facilitar los datos, esto es, la puesta a disposición de mayor cantidad de datos y el intercambio de los mismos. Por su parte, la Data Act aclara quién puede crear valor a partir de los datos y bajo qué condiciones.

Desde la Unión Europea se ha entendido que debe responderse a las necesidades de la economía digital, eliminando los obstáculos al buen funcionamiento del mercado interior de datos y, para ello, establecer un marco armonizado que especifique quién tiene derecho a utilizar los datos del producto conectado o los datos del servicio relacionado, en qué condiciones y sobre qué base.

A efectos de la Data Act, datos son cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual. Este concepto no se identifica ni se limite a los datos personales en el sentido en el que se definen en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el “Reglamento General de Protección de Datos”).

Un producto conectado es un bien que obtiene, genera, o recoge datos relativos a su uso o entorno y que puede comunicar datos del producto a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo y cuya función primaria no es el almacenamiento, el tratamiento ni la transmisión de datos en nombre de alquiler que no sea el usuario (artículo 2.5).

Por su parte, un servicio relacionado es un servicio digital, distinto de un servicio de comunicaciones electrónicas, incluido el software, que está conectado con el producto en el momento de la compraventa, el alquiler o el arrendamiento, de tal manera que su ausencia impediría al producto conectado realizar una o varias de sus funciones, o que el fabricante o un tercero conecta posteriormente al producto para añadir, actualizar o adaptar las funciones del producto conectado (artículo 2.6).

El Reglamento de Datos se encuentra dividido en 50 artículos, estructurados en 11 capítulos.

En estos términos, el Reglamento de Datos establece nuevas obligaciones sobre la puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto conectado o servicio relacionado, así como la puesta a disposición de datos por parte de los titulares de datos en favor de los destinatarios de datos. De igual forma, establece nuevas obligaciones en la puesta a disposición de datos por parte de los titulares de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión, siempre que exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público.

Además de estos tres primeros puntos, el Reglamento de Datos establece obligaciones relativas a la facilitación del cambio entre servicios de tratamiento de datos, la introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales y, finalmente, el desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos.

Todo lo anterior, supondrá en la práctica, la creación de medidas que aumenten la seguridad jurídica de las empresas y los consumidores que generan datos, pues conocerán quién puede utilizar qué dato y en qué condiciones. Además, se implantarán medidas para evitar el abuso de los desequilibrios contractuales, que dificultan el intercambio justo e igualitario de datos.

De igual forma, se establecerán medios para que los organismos del sector público accedan y utilicen los datos en poder del sector privado que sean necesarios para fines específicos de interés público.

Finalmente, el Reglamento marcará unas condiciones marco adecuadas para que los clientes puedan cambiar de manera efectiva entre diferentes proveedores de servicios de procesamiento de datos para desbloquear el mercado de la nube de la Unión Europea.

Este Reglamento será aplicable a partir del 12 de septiembre de 2025, aunque existen determinadas obligaciones con aplicabilidad diferente a la mencionada.

Así, la obligación derivada del artículo 3, apartado 1, será aplicable a los productos conectados y a los servicios relacionados con ellos introducidos en el mercado después del 12 de septiembre de 2026.

El Capítulo III será aplicable en relación con las obligaciones de puesta a disposición de los datos en virtud de disposiciones del Derecho de la Unión o de normativa nacional adaptada de conformidad con el Derecho de la Unión que entren en vigor después del 12 de septiembre de 2025.

El Capítulo IV será aplicable a los contratos celebrados después del 12 de septiembre de 2025.

El Capítulo IV será aplicable a partir del 12 de septiembre de 2027 a los contratos celebrados el 12 de septiembre de 2025 o con anterioridad, siempre que (i) sean de duración indefinida, o (ii) expiren al menos diez años a partir del 11 de enero de 2024.

En definitiva, el Reglamento supone, sin duda, un punto clave en el camino hacia un mercado único de datos, garantizando su intercambio, almacenamiento y tratamiento en el respeto de las normas europeas.