Data Act 2023/2854 ES

1)	« datos»: cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual;

2)	«meta datos»: una descripción estructurada del contenido o de la utilización de los datos que facilita la búsqueda o la utilización de esos datos;

3)	« datos personales»: los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

4)	« datos no personales»: aquellos que no sean datos personales;

« producto_conectado»: un bien que obtiene, genera, o recoge datos relativos a su uso o entorno y que puede comunicar datos del producto a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo y cuya función primaria no es el almacenamiento, el tratamiento ni la transmisión de datos en nombre de alguien que no sea el usuario;

« servicio_relacionado»: un servicio digital, distinto de un servicio de comunicaciones electrónicas, incluido el software, que está conectado con el producto en el momento de la compraventa, el alquiler o el arrendamiento, de tal manera que su ausencia impediría al producto_conectado realizar una o varias de sus funciones, o que el fabricante o un tercero conecta posteriormente al producto para añadir, actualizar o adaptar las funciones del producto_conectado;

« tratamiento»: toda operación o conjunto de operaciones realizadas sobre datos o conjuntos de datos, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, divulgación por transmisión, difusión o cualquier otro medio de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción;

«servicio de tratamiento de datos»: servicio digital que se presta a un cliente y que permite un acceso de red ubicuo y bajo demanda a un conjunto compartido de recursos informáticos configurables, modulables y elásticos de carácter centralizado, distribuido o muy distribuido, que puede movilizarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios;

9)	« mismo_tipo_de_servicio»: un conjunto de servicios de tratamiento de datos que comparten el mismo objetivo primario, modelo de servicio de tratamiento de datos y funcionalidades principales;

10)	«servicio de intermediación de datos»: un servicio de intermediación de datos tal como se define en el artículo 2, punto 11, del Reglamento (UE) 2022/868;

11)	« interesado»: el interesado tal como se indica en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

12)	« usuario»: una persona física o jurídica que posee un producto_conectado o a la que se le han transferido por contrato derechos temporales de uso de dicho producto_conectado, o que recibe servicios relacionados;

13)

«titular de datos»: una persona física o jurídica que tiene el derecho o la obligación, con arreglo al presente Reglamento, al Derecho de la Unión aplicable o a la normativa nacional adoptada de conformidad con el Derecho de la Unión, de utilizar y poner a disposición datos, incluidos, cuando se haya pactado contractualmente, los datos del producto o los datos de servicios relacionados que haya extraído o generado durante la prestación de un servicio_relacionado;

14)

«destinatario de datos»: una persona física o jurídica que actúa con un propósito relacionado con su actividad comercial, empresa, oficio o profesión, distinta del usuario de un producto_conectado o servicio_relacionado, a disposición de la cual el titular de datos pone los datos, incluso un tercero previa solicitud del usuario al titular de datos o de conformidad con una obligación legal en virtud del Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión;

15)

« datos del producto»: datos generados por el uso de un producto_conectado que el fabricante ha diseñado para que puedan ser extraídos, a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo, por un usuario, un titular de los datos o un tercero, incluido, cuando proceda, el fabricante;

16)

« datos de servicios relacionados»: datos que representan la digitalización de acciones del usuario o de eventos relacionados con el producto_conectado, registrados intencionadamente por el usuario o generados como subproducto de la acción del usuario durante la prestación de un servicio_relacionado por el proveedor;

17)	« datos fácilmente disponibles»: datos del producto y datos del servicio_relacionado que un titular de datos obtiene o puede obtener lícitamente del producto_conectado o servicio_relacionado, sin un esfuerzo desproporcionado que vaya más allá de una operación simple;

18)	« secreto_comercial»: un secreto_comercial tal como se define en el artículo 2, punto 1, de la Directiva (UE) 2016/943;

19)	«poseedor de un secreto_comercial»: poseedor de un secreto_comercial tal como se define en el artículo 2, punto 2, de la Directiva (UE) 2016/943;

20)	« elaboración_de_perfiles»: la elaboración_de_perfiles tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679;

21)	« comercialización»: todo suministro de un producto_conectado para su distribución, consumo o utilización en el mercado de la Unión en el transcurso de una actividad comercial, ya sea a cambio de pago o a título gratuito;

22)	« introducción_en_el_mercado»: la primera comercialización de un producto_conectado en el mercado de la Unión;

23)	« consumidor»: toda persona física que actúe con fines ajenos a su propia actividad comercial, negocio, oficio o profesión;

24)	« empresa»: una persona física o jurídica que, en relación con los contratos y prácticas contemplados por el presente Reglamento, actúa con fines relacionados con su actividad comercial, empresa, oficio o profesión;

25)	«pequeña empresa»: una pequeña empresa tal como se define en el artículo 2, apartado 2, del anexo de la Recomendación 2003/361/CE;

26)	«micro empresa»: una micro empresa tal como se define en el artículo 2, apartado 3, del anexo de la Recomendación 2003/361/CE;

27)	« organismos_de_la_Unión»: los órganos y organismos_de_la_Unión establecidos en virtud de actos adoptados sobre la base del Tratado de la Unión Europea, del TFUE o del Tratado constitutivo de la Comunidad Europea de la Energía Atómica;

28)	« organismo_del_sector_público»: las autoridades nacionales, regionales o locales de los Estados miembros y las entidades de derecho público de los Estados miembros, o las asociaciones constituidas por una o más de dichas autoridades o por una o más de dichas entidades;

29)

« emergencia_pública»: una situación excepcional, limitada en el tiempo, como una emergencia de salud pública, una emergencia derivada de catástrofes naturales, una catástrofe grave provocada por el hombre, incluido un incidente grave de ciberseguridad, que afecta negativamente a la población de la Unión, del conjunto o de partes de un Estado miembro, que entraña un riesgo de repercusiones graves y duraderas para las condiciones de vida o la estabilidad económica, la estabilidad financiera o la degradación sustancial e inmediata de los activos económicos de la Unión o del Estado miembro en cuestión, y que se determina o declara oficialmente de conformidad con los procedimientos correspondientes en virtud del Derecho de la Unión o nacional;

30)	« cliente»: una persona física o jurídica que ha establecido una relación contractual con un proveedor de servicios de tratamiento de datos con el objetivo de utilizar uno o varios servicios de tratamiento de datos;

31)

« asistentes_virtuales»: software que puede procesar peticiones, tareas o preguntas, incluidas las basadas en material de audio, material escrito, gestos o movimientos, y que, basándose en dichas peticiones, tareas o preguntas, proporciona acceso a otros servicios o controla las funciones de productos conectados;

32)	« activos_digitales»: elementos en forma digital, incluidas las aplicaciones, para los que el cliente tiene derecho de uso, independientemente de la relación contractual establecida con el servicio de tratamiento de datos del que el cliente se pretende cambiar;

33)	« infraestructura_de_TIC_local»: la infraestructura de TIC y de los recursos informáticos propiedad del cliente, alquilados o arrendados por el cliente, situados en el centro de datos del propio cliente y gestionados por el cliente o por un tercero;

34)

« cambio»: el proceso en el que intervienen un proveedor de servicios de tratamiento de datos de origen, un cliente de un servicio de tratamiento de datos y, en su caso, un proveedor de servicios de tratamiento de datos de destino, en el que el cliente de un servicio de tratamiento de datos pasa de utilizar un servicio de tratamiento de datos a otro servicio de tratamiento de datos del mismo_tipo_de_servicio, u otro servicio, ofrecido por un proveedor de servicios de tratamiento de datos diferente, o a una infraestructura_de_TIC_local, incluido mediante la extracción, transformación y carga de datos;

35)	«costes de salida de datos»: los costes de transferencia de datos cobrados a los clientes por extraer sus datos a través de la red de la infraestructura de las TIC de un proveedor de servicios de tratamiento de datos a los sistemas de un proveedor diferente o a una infraestructura de TIC local;

36)

«costes por cambio»: los costes, excluidos los costes de servicio estándar o la sanciones por resolución anticipada, impuestas por un proveedor de servicios de tratamiento de datos a un cliente por las acciones que le exige el presente Reglamento para cambiar al sistema de un proveedor diferente o a una infraestructura de TIC local, incluidos los costes de salida de datos;

37)

« equivalencia_funcional»: restablecer, sobre la base de los datos exportables y activos_digitales del cliente, un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de tratamiento de datos, del mismo_tipo_de_servicio, después del proceso de cambio, cuando el servicio de tratamiento de datos de destino proporcione un resultado materialmente comparable en respuesta a la misma entrada para características compartidas suministrada al cliente en virtud del contrato;

38)

« datos exportables»: a efectos de lo dispuesto en los artículos 23 a 31 y en el artículo 35, los datos de entrada y salida, incluidos los meta datos, directa o indirectamente generados o cogenerados por el uso por parte del cliente del servicio de tratamiento de datos, excluidos cualesquiera activos o datos protegidos por derechos de propiedad intelectual, o que constituyan secretos comerciales, de proveedores de servicios de tratamiento de datos o de terceros;

39)	« contrato_inteligente»: programa informático utilizado para la ejecución automatizada de un acuerdo o de parte de este, que utiliza una secuencia de registros electrónicos de datos y garantiza su integridad y la exactitud de su orden cronológico;

40)	« interoperabilidad»: la capacidad de dos o más espacios de datos o redes de comunicación, sistemas, productos conectados, aplicaciones, servicios de tratamiento de datos o componentes para intercambiar y utilizar datos con el fin de desempeñar sus funciones;

41)	«especificación de interoperabilidad abierta»: una especificación técnica en el ámbito de las tecnologías de la información y la comunicación, que está orientada a lograr la interoperabilidad entre servicios de tratamiento de datos;

42)	« especificaciones_comunes»: un documento, distinto de una norma, con soluciones técnicas que proponen una forma de cumplir determinados requisitos y obligaciones establecidos en el presente Reglamento;

43)	« norma_armonizada»: una norma_armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) n.o 1025/2012.

CAPÍTULO II

INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA

Artículo 2

Definiciones

A los efectos del presente Reglamento, se entenderá por:

1)	« datos»: cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual;

2)	«meta datos»: una descripción estructurada del contenido o de la utilización de los datos que facilita la búsqueda o la utilización de esos datos;

3)	« datos personales»: los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

4)	« datos no personales»: aquellos que no sean datos personales;

9)	« mismo_tipo_de_servicio»: un conjunto de servicios de tratamiento de datos que comparten el mismo objetivo primario, modelo de servicio de tratamiento de datos y funcionalidades principales;

10)	«servicio de intermediación de datos»: un servicio de intermediación de datos tal como se define en el artículo 2, punto 11, del Reglamento (UE) 2022/868;

11)	« interesado»: el interesado tal como se indica en el artículo 4, punto 1, del Reglamento (UE) 2016/679;

12)	« usuario»: una persona física o jurídica que posee un producto_conectado o a la que se le han transferido por contrato derechos temporales de uso de dicho producto_conectado, o que recibe servicios relacionados;

13)

14)

15)

16)

17)	« datos fácilmente disponibles»: datos del producto y datos del servicio_relacionado que un titular de datos obtiene o puede obtener lícitamente del producto_conectado o servicio_relacionado, sin un esfuerzo desproporcionado que vaya más allá de una operación simple;

18)	« secreto_comercial»: un secreto_comercial tal como se define en el artículo 2, punto 1, de la Directiva (UE) 2016/943;

19)	«poseedor de un secreto_comercial»: poseedor de un secreto_comercial tal como se define en el artículo 2, punto 2, de la Directiva (UE) 2016/943;

20)	« elaboración_de_perfiles»: la elaboración_de_perfiles tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679;

21)	« comercialización»: todo suministro de un producto_conectado para su distribución, consumo o utilización en el mercado de la Unión en el transcurso de una actividad comercial, ya sea a cambio de pago o a título gratuito;

22)	« introducción_en_el_mercado»: la primera comercialización de un producto_conectado en el mercado de la Unión;

23)	« consumidor»: toda persona física que actúe con fines ajenos a su propia actividad comercial, negocio, oficio o profesión;

24)	« empresa»: una persona física o jurídica que, en relación con los contratos y prácticas contemplados por el presente Reglamento, actúa con fines relacionados con su actividad comercial, empresa, oficio o profesión;

25)	«pequeña empresa»: una pequeña empresa tal como se define en el artículo 2, apartado 2, del anexo de la Recomendación 2003/361/CE;

26)	«micro empresa»: una micro empresa tal como se define en el artículo 2, apartado 3, del anexo de la Recomendación 2003/361/CE;

27)	« organismos_de_la_Unión»: los órganos y organismos_de_la_Unión establecidos en virtud de actos adoptados sobre la base del Tratado de la Unión Europea, del TFUE o del Tratado constitutivo de la Comunidad Europea de la Energía Atómica;

28)	« organismo_del_sector_público»: las autoridades nacionales, regionales o locales de los Estados miembros y las entidades de derecho público de los Estados miembros, o las asociaciones constituidas por una o más de dichas autoridades o por una o más de dichas entidades;

29)

30)	« cliente»: una persona física o jurídica que ha establecido una relación contractual con un proveedor de servicios de tratamiento de datos con el objetivo de utilizar uno o varios servicios de tratamiento de datos;

31)

32)	« activos_digitales»: elementos en forma digital, incluidas las aplicaciones, para los que el cliente tiene derecho de uso, independientemente de la relación contractual establecida con el servicio de tratamiento de datos del que el cliente se pretende cambiar;

33)	« infraestructura_de_TIC_local»: la infraestructura de TIC y de los recursos informáticos propiedad del cliente, alquilados o arrendados por el cliente, situados en el centro de datos del propio cliente y gestionados por el cliente o por un tercero;

34)

35)	«costes de salida de datos»: los costes de transferencia de datos cobrados a los clientes por extraer sus datos a través de la red de la infraestructura de las TIC de un proveedor de servicios de tratamiento de datos a los sistemas de un proveedor diferente o a una infraestructura de TIC local;

36)

37)

38)

39)	« contrato_inteligente»: programa informático utilizado para la ejecución automatizada de un acuerdo o de parte de este, que utiliza una secuencia de registros electrónicos de datos y garantiza su integridad y la exactitud de su orden cronológico;

40)	« interoperabilidad»: la capacidad de dos o más espacios de datos o redes de comunicación, sistemas, productos conectados, aplicaciones, servicios de tratamiento de datos o componentes para intercambiar y utilizar datos con el fin de desempeñar sus funciones;

41)	«especificación de interoperabilidad abierta»: una especificación técnica en el ámbito de las tecnologías de la información y la comunicación, que está orientada a lograr la interoperabilidad entre servicios de tratamiento de datos;

42)	« especificaciones_comunes»: un documento, distinto de una norma, con soluciones técnicas que proponen una forma de cumplir determinados requisitos y obligaciones establecidos en el presente Reglamento;

43)	« norma_armonizada»: una norma_armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) n.o 1025/2012.

CAPÍTULO II

INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA

Artículo 3

Obligación de hacer accesibles para el usuario los datos de los productos y los datos de servicios relacionados

1. Los productos conectados se diseñarán y fabricarán, y los servicios relacionados se diseñarán y prestarán, de manera tal que los datos de los productos y los datos de servicios relacionados, incluidos los meta datos pertinentes necesarios para interpretar y utilizar dichos datos, sean, por defecto, accesibles con facilidad, con seguridad, gratuitamente, en un formato completo, estructurado, de utilización habitual y de lectura mecánica, y, cuando proceda y sea técnicamente viable, accesibles para el usuario directamente.

2. Antes de celebrar un contrato de compraventa, alquiler o arrendamiento de un producto_conectado, el vendedor o arrendador, que puede ser el fabricante, proporcionarán al usuario, como mínimo, la siguiente información, de manera clara y comprensible:

a)	el tipo, el formato y el volumen estimado de datos del producto que el producto_conectado es capaz de generar;

b)	si el producto_conectado es capaz de generar datos de forma continua y en tiempo real;

c)	si el producto_conectado es capaz de almacenar datos en el propio dispositivo o en un servidor remoto, incluido, cuando proceda, el período de conservación previsto;

d)	el modo en que el usuario puede acceder a los datos, extraerlos o, en su caso, suprimirlos, incluidos los medios técnicos para hacerlo, así como sus condiciones de utilización y calidad del servicio.

3. Antes de celebrar un contrato de prestación de un servicio_relacionado, el proveedor de dicho servicio proporcionará al usuario, como mínimo, la siguiente información, de manera clara y comprensible:

el carácter, el volumen estimado y la frecuencia de recopilación de los datos del producto que se espera obtenga el posible titular de datos y, cuando proceda, las modalidades mediante las que el usuario puede acceder a estos datos o extraerlos, incluidas las medidas del posible titular de datos relativas al almacenamiento de los datos y la duración de conservación de estos;

el carácter y el volumen estimado de los datos del servicio_relacionado que vayan a generarse, así como las modalidades mediante las que el usuario puede acceder a estos datos o extraerlos, incluidas las medidas del posible titular de datos relativas al almacenamiento de los datos y la duración de conservación de estos;

c)	si el posible titular de datos prevé utilizar él mismo los datos fácilmente disponibles y los fines para los que se utilizarán dichos datos, y si tiene la intención de permitir que uno o varios terceros utilicen los datos para la finalidad acordada con el usuario;

d)	la identidad del posible titular de los datos, como su nombre comercial y la dirección geográfica en la que está establecido y, cuando proceda, de otras partes que efectúen tratamiento de datos;

e)	los medios de comunicación que permitan al usuario ponerse rápidamente en contacto con el posible titular de datos y comunicarse con él de manera eficiente;

f)	el modo en que el usuario puede solicitar que los datos se compartan con un tercero y, cuando proceda, dejar de compartir los datos;

g)	el derecho del usuario a presentar una reclamación relativa a cualquier infracción de las disposiciones del presente capítulo ante la autoridad competente designada con arreglo al artículo 37;

si un posible titular de datos es el poseedor de secretos comerciales contenidos en los datos a los que se pueda acceder desde el producto_conectado o generados durante la prestación de un servicio_relacionado y, cuando el posible titular de datos no sea el poseedor del secreto_comercial, la identidad del poseedor del secreto_comercial;

i)	la duración del contrato entre el usuario y el posible titular de datos, así como las cláusulas de resolución unilateral del contrato.

Artículo 4

Derechos y obligaciones de los usuarios y titulares de datos respecto del acceso, utilización y puesta a disposición de los datos de productos y de los datos de servicios relacionados

1. Cuando el usuario no pueda acceder directamente a los datos desde el producto_conectado, o del servicio_relacionado, los titulares de datos facilitarán al usuario el acceso sin demora indebida a los datos fácilmente disponibles, y los correspondientes meta datos necesarios para interpretar y utilizar dichos datos, con la misma calidad disponible para el titular de datos, con facilidad, con seguridad, gratuitamente y en un formato completo, estructurado, de utilización habitual y de lectura mecánica y, cuando proceda y sea técnicamente viable, de forma continua y en tiempo real. Esto se hará sobre la base de una simple solicitud por medios electrónicos cuando sea técnicamente viable.

2. Los usuarios y los titulares de datos podrán estipular contractualmente limitaciones o prohibiciones del acceso a los datos, de su utilización o su posterior inter cambio, si dicho tratamiento puede socavar los requisitos de seguridad del producto_conectado, según lo establecido en el Derecho de la Unión o nacional, dando lugar a un efecto adverso grave para la salud, la seguridad o la protección de las personas físicas. Las autoridades sectoriales podrán proporcionar a los usuarios y a los titulares de datos asesoramiento técnico en ese contexto. Cuando el titular de datos se niegue a compartir datos en virtud del presente artículo, lo notificará a la autoridad competente designada en cumplimiento del artículo 37.

3. Sin perjuicio del derecho del usuario a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, el usuario, en relación con cualquier litigio con el titular de datos relativo a las limitaciones o prohibiciones contractuales a que se refiere el apartado 2, podrá:

a)	presentar, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, o

b)	convenir con el titular de datos en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.

4. Los titulares de datos no dificultarán indebidamente el ejercicio de las opciones o los derechos de los usuarios a que se refiere este artículo, también ofreciendo opciones a los usuarios de manera no neutra o neutralizando o mermando la autonomía, la toma de decisiones o las opciones del usuario a través de la estructura, el diseño, la función o el modo de funcionamiento de la interfaz digital de usuario o de una parte de ella.

5. Para verificar si una persona física o jurídica puede tener la consideración de usuario a efectos del apartado 1, un titular de datos no exigirá a dicha persona que proporcione ninguna información más allá de lo necesario. Los titulares de datos no conservarán ninguna información, en particular datos de registro, sobre el acceso del usuario a los datos solicitados más allá de lo necesario para la correcta ejecución de la solicitud de acceso del usuario y para la seguridad y el mantenimiento de la infraestructura de datos.

6. Los secretos comerciales se preservarán y se revelarán solo cuando el titular de datos y el usuario adopten antes de la revelación todas las medidas necesarias para preservar su confidencialidad, en particular, con respecto a terceros. El titular de datos o, cuando no sean la misma persona, el poseedor de secretos comerciales, identificará los datos protegidos como secretos comerciales, incluso en los meta datos pertinentes, y acordará con el usuario las medidas técnicas y organizativas proporcionadas necesarias para preservar la confidencialidad de los datos compartidos, en particular en relación con terceros, tales como cláusulas contractuales tipo, acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta.

7. En los casos en que no exista un acuerdo sobre las medidas necesarias a que se refiere el apartado 6, o si el usuario no aplica las medidas acordadas en virtud del apartado 6 o vulnera la confidencialidad de los secretos comerciales, el titular de datos podrá retener o, en su caso, suspender el inter cambio de datos identificados como secretos comerciales. La decisión del titular de datos se justificará debidamente y se comunicará por escrito al usuario sin demora indebida. En tales casos, el titular de datos notificará a la autoridad competente designada en cumplimiento del artículo 37 que ha retenido o suspendido el inter cambio de datos e indicará qué medidas no se han acordado o aplicado y, en su caso, qué secretos comerciales han visto su confidencialidad comprometida.

8. En circunstancias excepcionales, cuando el titular de datos que sea poseedor de un secreto_comercial pueda demostrar que es muy probable que sufra un perjuicio económico grave como consecuencia de la revelación de secretos comerciales, a pesar de las medidas técnicas y organizativas adoptadas por el usuario en cumplimiento del apartado 6 del presente artículo, dicho titular de datos podrá rechazar, según el caso, una solicitud de acceso a los datos específicos en cuestión. Dicha demostración estará debidamente justificada sobre la base de elementos objetivos, en particular la aplicabilidad de la protección de los secretos comerciales en terceros países, la naturaleza y el nivel de confidencialidad de los datos solicitados, así como la singularidad y la novedad del producto_conectado, y se presentará por escrito al usuario sin demora indebida. Cuando el titular de datos se niegue a compartir datos con arreglo al presente apartado, lo notificará a la autoridad competente designada en cumplimiento del artículo 37.

9. Sin perjuicio del derecho del usuario a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, un usuario que desee impugnar la decisión del titular de datos de rechazar o de retener o suspender el inter cambio de datos de conformidad con los apartados 7 y 8, podrá:

a)	presentar, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, que decidirá, sin demora indebida, si se iniciará o reanudará el inter cambio de datos y en qué condiciones, o

b)	convenir con el titular de datos en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.

10. El usuario no utilizará los datos obtenidos con arreglo a una solicitud contemplada en el apartado 1 para desarrollar un producto_conectado que compita con el producto_conectado del que proceden los datos, ni compartirá los datos con un tercero con esa intención, ni utilizará dichos datos para obtener información sobre la situación económica, los activos y los métodos de producción del fabricante o, en su caso, del titular de datos.

11. El usuario no usará medios coercitivos ni abusará de las lagunas de la infraestructura técnica de un titular de datos destinada a proteger los datos, con el fin de obtener acceso a estos.

12. Cuando el usuario no sea el interesado cuyos datos personales se solicitan, el titular de datos pondrá a disposición del usuario los datos personales generados por el uso de un producto_conectado o servicio_relacionado solo cuando exista una base jurídica válida para el tratamiento con arreglo al artículo 6 del Reglamento (UE) 2016/679 y, en su caso, se cumplan las condiciones del artículo 9 de dicho Reglamento y del artículo 5, apartado 3, de la Directiva 2002/58/CE.

13. Un titular de datos solo utilizará cualquier dato fácilmente disponible que no sea personal sobre la base de un contrato con el usuario. Un titular de datos no utilizará dichos datos para obtener información sobre la situación económica, los activos y los métodos de producción del usuario, ni sobre el uso por parte de este de cualquier otra manera que pueda socavar la posición comercial de dicho usuario en los mercados en los que este opere.

14. Los titulares de datos no pondrán a disposición de terceros los datos no personales del producto, con fines comerciales o no comerciales distintos del cumplimiento de su contrato con el usuario. Cuando proceda, los titulares de datos obligarán contractualmente a los terceros a no compartir los datos recibidos de ellos.

Artículo 5

Derecho del usuario a compartir datos con terceros

1. A petición de un usuario o de una parte que actúe en nombre de un usuario, el titular de datos pondrá a disposición de un tercero los datos fácilmente disponibles, y los meta datos correspondientes necesarios para interpretar y utilizar dichos datos sin demora indebida, con la misma calidad que esté a disposición del titular de datos, con facilidad, con seguridad, gratuitamente para el usuario, en un formato completo, estructurado, de utilización habitual y de lectura mecánica, y, cuando proceda y sea técnicamente viable, de forma continua y en tiempo real. Los datos se pondrán a disposición por parte del titular de datos al tercero de conformidad con los artículos 8 y 9.

2. El apartado 1 no se aplicará a los datos fácilmente disponibles en el contexto de la experimentación de productos conectados, sustancias o procesos nuevos que aún no se hayan introducido en el mercado, a menos que se permita su uso por un tercero contractualmente.

3. Ninguna empresa designada como guardián de acceso, de conformidad con el artículo 3 del Reglamento (UE) 2022/1925, podrá ser un tercero admisible en virtud del presente artículo y, por tanto, no podrá:

a)	instar o incentivar comercialmente a un usuario de ninguna manera, incluso ofreciendo una compensación monetaria o de otro tipo, para que ponga a disposición de uno de sus servicios datos que el usuario haya obtenido en virtud de una solicitud con arreglo al artículo 4, apartado 1;

b)	instar o incentivar comercialmente a un usuario para que solicite al titular de datos que ponga a disposición de uno de sus servicios datos en virtud del apartado 1 del presente artículo;

c)	recibir datos de un usuario que este haya obtenido en virtud de una solicitud con arreglo al artículo 4, apartado 1.

4. Para verificar si una persona física o jurídica puede tener la consideración de usuario o de tercero a efectos del apartado 1, no se le exigirá al usuario ni al tercero que proporcione ninguna información más allá de lo necesario. Los titulares de datos no conservarán ninguna información sobre el acceso del tercero a los datos solicitados más allá de lo necesario para la correcta ejecución de la solicitud de acceso del tercero y para la seguridad y el mantenimiento de la infraestructura de datos.

5. El tercero no usará medios coercitivos ni abusará de las lagunas de la infraestructura técnica de un titular de datos diseñada para proteger los datos con el fin de obtener acceso a los datos.

6. El titular de datos no utilizará ningún dato fácilmente disponible con el fin de obtener información sobre la situación económica, los activos o los métodos de producción del tercero, ni sobre el uso por parte de este de cualquier otra manera que pueda socavar la posición comercial del tercero en los mercados en los que opera, a menos que el tercero haya dado permiso para tal uso y tenga la posibilidad técnica de retirar con facilidad dicho permiso en cualquier momento.

7. Cuando el usuario no sea el interesado cuyos datos personales se soliciten, los datos personales generados por el uso de un producto_conectado o servicio_relacionado se pondrán a disposición del tercero por parte del titular de datos solo cuando exista una base jurídica válida para el tratamiento con arreglo al artículo 6 del Reglamento (UE) 2016/679 y, en su caso, se cumplan las condiciones del artículo 9 de dicho Reglamento y del artículo 5, apartado 3, de la Directiva 2002/58/CE.

8. El hecho de que el titular de datos y el tercero no lleguen a un acuerdo sobre las modalidades de transmisión de los datos no obstaculizará, evitará ni interferirá en el ejercicio de los derechos del interesado en virtud del Reglamento (UE) 2016/679 y, en particular, en el derecho a la portabilidad de los datos con arreglo al artículo 20 de dicho Reglamento.

9. Los secretos comerciales se preservarán y se revelarán a terceros solo en la medida en que dicha revelación sea estrictamente necesaria para cumplir el objetivo convenido entre el usuario y el tercero. El titular de datos o, cuando no sean la misma persona, el poseedor de secretos comerciales, identificará los datos protegidos como secretos comerciales, incluso en los meta datos pertinentes, y acordará con el tercero todas las medidas técnicas y organizativas proporcionadas necesarias para preservar la confidencialidad de los datos compartidos, tales como cláusulas contractuales tipo, acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta.

10. En los casos en que no exista un acuerdo sobre las medidas necesarias a que se refiere el apartado 9 del presente artículo o si el tercero no aplica las medidas acordadas en virtud del apartado 9 del presente artículo o vulnera la confidencialidad de los secretos comerciales, el titular de datos podrá retener o, en su caso, suspender el inter cambio de datos identificados como secretos comerciales. La decisión del titular de datos se justificará debidamente y se comunicará por escrito al tercero sin demora indebida. En tales casos, el titular de datos notificará a la autoridad competente designada en cumplimiento del artículo 37 que ha retenido o suspendido el inter cambio de datos e indicará qué medidas no se han convenido o aplicado y, en su caso, qué secretos comerciales han visto su confidencialidad comprometida.

11. En circunstancias excepcionales, cuando el titular de datos que sea poseedor de un secreto_comercial pueda demostrar que es muy probable que sufra un perjuicio económico grave como consecuencia de la revelación de secretos comerciales, a pesar de las medidas técnicas y organizativas adoptadas por el tercero en cumplimiento del apartado 9 del presente artículo, dicho titular de datos podrá rechazar, según el caso, una solicitud de acceso a los datos específicos en cuestión. Dicha demostración estará debidamente justificada sobre la base de elementos objetivos, en particular la aplicabilidad de la protección de los secretos comerciales en terceros países, la naturaleza y el nivel de confidencialidad de los datos solicitados y la singularidad y la novedad del producto_conectado, y se presentará por escrito al tercero sin demora indebida. Cuando el titular de datos se niegue a compartir datos con arreglo al presente apartado, lo notificará a la autoridad competente designada en cumplimiento del artículo 37.

12. Sin perjuicio del derecho del tercero a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, un tercero que desee impugnar una decisión del titular de datos de rechazar o de retener o suspender el inter cambio de datos en virtud de los apartados 10 y 11, podrá:

a)	formular, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, que decidirá, sin demora indebida, si se debe iniciar o reanudar el inter cambio de datos y en qué condiciones, o

b)	convenir con el titular de datos en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.

13. El derecho a que se refiere el apartado 1 no afectará negativamente a los derechos de los interesados conforme al Derecho aplicable de la Unión y nacional en materia de protección de datos personales.

Artículo 6

Obligaciones de terceros que reciben datos a petición del usuario

1. Un tercero tratará los datos que se pongan a su disposición con arreglo al artículo 5 únicamente para la finalidad y en las condiciones acordados con el usuario y respetando el Derecho de la Unión y nacional en materia de protección de datos personales, incluidos los derechos del interesado en lo que respecta a los datos personales. El tercero suprimirá los datos cuando ya no sean necesarios para la finalidad acordada, a menos que acuerde otra cosa con el usuario en relación con los datos no personales.

2. El tercero no podrá:

dificultar indebidamente el ejercicio de las opciones o los derechos de los usuarios con arreglo al artículo 5 y al presente artículo, tampoco ofreciendo opciones a los usuarios de manera no neutra o coaccionándolos, engañándolos o manipulándolos, o neutralizando o mermando la autonomía, la toma de decisiones o las opciones de los usuarios, tampoco a través de una interfaz digital de usuario o de una parte de ella;

b)	no obstante lo dispuesto en el artículo 22, apartado 2, letras a) y c), del Reglamento (UE) 2016/679, utilizar los datos que reciba para la elaboración_de_perfiles, a menos que sea necesario para prestar el servicio solicitado por el usuario;

poner los datos que reciba a disposición de otro tercero, a menos que los datos se pongan a disposición sobre la base de un contrato con el usuario, y siempre que el otro tercero tome todas las medidas necesarias acordadas entre el titular de datos y el tercero para preservar la confidencialidad de los secretos comerciales;

d)	poner los datos que reciba a disposición de una empresa designada como guardián de acceso de conformidad con el artículo 3 del Reglamento (UE) 2022/1925;

utilizar los datos que reciba para desarrollar un producto que compita con el producto_conectado del que proceden los datos a los que ha accedido ni compartir los datos con otro tercero con tal finalidad; los terceros tampoco utilizarán datos no personales de los productos o datos no personales de los servicios relacionados que se pongan a su disposición para obtener información sobre la situación económica, los activos y los métodos de producción del titular de datos, ni sobre el uso por este;

f)	utilizar los datos que reciba de una manera que afecte negativamente a la seguridad del producto_conectado o del servicio_relacionado;

g)	ignorar las medidas específicas acordadas con un titular de datos o con el poseedor de los secretos comerciales de conformidad con el artículo 5, apartado 9, ni comprometer la confidencialidad de los secretos comerciales;

h)	impedir a aquellos usuarios que sean consumidores, entre otros, sobre la base de un contrato, poner los datos que reciba a disposición de otras partes.

Artículo 8

Condiciones en las que los titulares de datos ponen datos a disposición de los destinatarios de datos

1. Cuando, en relaciones entre empresas, un titular de datos esté obligado a poner datos a disposición de un destinatario de datos en virtud del artículo 5 o de otras disposiciones aplicables de Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión, acordará con el destinatario de datos las modalidades de puesta a disposición de los datos y lo hará en condiciones justas, razonables y no discriminatorias y de manera transparente de conformidad con el presente capítulo y el capítulo IV.

2. Ninguna cláusula contractual sobre el acceso a los datos y su utilización o sobre la responsabilidad y las vías de recurso por incumplimiento o resolución unilateral de obligaciones relativas a datos será vinculante si constituye una cláusula contractual abusiva en el sentido del artículo 13 o si, en detrimento del usuario, excluye la aplicación, establece excepciones o modifica los derechos del usuario en virtud del capítulo II.

3. Los titulares de datos no discriminarán en lo que respecta a las modalidades de puesta a disposición de datos, entre categorías comparables de destinatarios de datos, incluidas las empresas asociadas o empresas vinculadas al titular de datos al poner a disposición los datos. Cuando un destinatario de datos considere que las condiciones en las que se han puesto a su disposición los datos son discriminatorias, el titular de los datos proporcionará sin demora indebida al destinatario de datos, previa solicitud motivada, información que demuestre que no ha habido discriminación.

4. El titular de los datos no pondrá los datos a disposición de un destinatario de datos, incluido con carácter exclusivo, a menos que así lo solicite el usuario con arreglo al capítulo II.

5. Los titulares de datos y los destinatarios de datos no estarán obligados a proporcionar ninguna información que vaya más allá de lo necesario para verificar el cumplimiento de las condiciones contractuales pactadas para la puesta a disposición de datos o de sus obligaciones en virtud del presente Reglamento o de otras disposiciones aplicables de Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión.

6. Salvo que se disponga otra cosa en el Derecho de la Unión, incluidos el artículo 4, apartado 6, y el artículo 5, apartado 9, del presente Reglamento, o en la normativa nacional adoptada de conformidad con el Derecho de la Unión, la obligación de poner los datos a disposición de un destinatario de datos no obligará a la revelación de secretos comerciales.

Artículo 9

Compensación por la puesta a disposición de datos

1. Toda compensación acordada entre un titular de datos y un destinatario de datos por la puesta a disposición de datos en relaciones entre empresas deberá ser no discriminatoria y razonable, y podrá incluir un margen.

2. A la hora de convenir la compensación, el titular de datos y el destinatario de datos tendrán en cuenta, en particular:

a)	los costes en que se haya incurrido para poner los datos a disposición, incluidos, en particular, los costes necesarios para el formateo de los datos, su difusión por medios electrónicos y su almacenamiento;

b)	las inversiones en la recogida y producción de datos, cuando proceda, teniendo en cuenta si otras partes han contribuido a la obtención, generación o recogida de los datos en cuestión.

3. La compensación a que se refiere el apartado 1 también puede depender del volumen, el formato y la naturaleza de los datos.

4. Cuando el destinatario de datos sea una pyme o una organización de investigación sin ánimo de lucro, y cuando dicho destinatario de datos no tenga empresas asociadas o empresas vinculadas, que no se consideren pymes, ninguna compensación acordada podrá superar los costes a que se refiere el apartado 2, letra a).

5. La Comisión adoptará directrices sobre el cálculo de la compensación razonable, teniendo en cuenta el asesoramiento del Comité Europeo de Innovación en materia de Datos (CEID) a que se refiere el artículo 42.

6. El presente artículo no será óbice para que otras disposiciones de Derecho de la Unión de normativa nacional adoptada con arreglo al Derecho de la Unión excluyan la compensación por la puesta a disposición de datos o prevean una compensación inferior.

7. El titular de datos proporcionará al destinatario de datos información que contenga la base para el cálculo de la compensación con el suficiente detalle para que el destinatario de datos pueda evaluar si se cumplen los requisitos de los apartados 1 a 4.

Artículo 10

Resolución de litigios

1. Los usuarios, los titulares de datos y los destinatarios de datos tendrán acceso a algún órgano de resolución de litigios, certificado de conformidad con el apartado 5 del presente artículo, para resolver todo litigio con arreglo al artículo 4, apartados 3 y 9, y al artículo 5, apartado 12, así como los litigios relacionados con las condiciones justas, razonables y no discriminatorias para poner los datos a disposición y la forma transparente de hacerlo, de conformidad con el presente capítulo y el capítulo IV.

2. Los órganos de resolución de litigios darán a conocer los costes, o los mecanismos utilizados para determinar los costes, a las partes afectadas antes de que estas soliciten una decisión.

3. En el caso de los litigios remitidos a un órgano de resolución de litigios en virtud del artículo 4, apartados 3 y 9, y del artículo 5, apartado 12, cuando el órgano de resolución de litigios resuelva un litigio en favor del usuario o del destinatario de datos, el titular de datos soportará todas las tasas cobradas por el órgano de resolución de litigios y reembolsará a dicho usuario o dicho destinatario de datos cualquier otro gasto razonable en que haya incurrido en relación con la resolución de litigios. Si el órgano de resolución de litigios resuelve un litigio en favor del titular de datos, el usuario o el destinatario de datos no estará obligado a reembolsar las tasas u otros gastos que el titular de datos haya pagado o deba pagar en relación con la resolución de litigios, a menos que el órgano de resolución de litigios considere que el usuario o el destinatario de los datos actuó manifiestamente de mala fe.

4. Los clientes y los proveedores de servicios de tratamiento de datos tendrán acceso a algún órgano de resolución de litigios, certificado de conformidad con el apartado 5 del presente artículo, para resolver litigios en relación con vulneraciones de los derechos de los clientes e incumplimientos de las obligaciones del proveedor de un servicio de tratamiento de datos de conformidad con los artículos 23 a 31.

5. A petición del órgano de resolución de litigios, el Estado miembro en el que esté establecido dicho órgano lo certificará, siempre que este haya demostrado que cumple todas las condiciones siguientes:

a)	es imparcial e independiente, y debe dictar sus resoluciones con arreglo a unas normas de procedimiento claras, no discriminatorias y justas;

dispone de los conocimientos técnicos necesarios, en particular, en relación con las condiciones justas, razonables y no discriminatorias, incluida la compensación, relativos a la puesta a disposición de datos de manera transparente, que permitan que el órgano pueda determinar efectivamente dichas condiciones;

c)	es fácilmente accesible a través de tecnologías de comunicación electrónicas;

d)	es capaz de adoptar sus decisiones de manera rápida, eficiente y rentable al menos en una de las lenguas oficiales de la Unión.

6. Los Estados miembros notificarán a la Comisión los órganos de resolución de litigios certificados de conformidad con el apartado 5. La Comisión publicará la lista de dichos órganos en un sitio web específico y la mantendrá actualizada.

7. Los órganos de resolución de litigios rechazarán tratar cualquier solicitud de resolución de un litigio que ya se haya presentado ante otro órgano de resolución de litigios o ante un órgano jurisdiccional de un Estado miembro.

8. Los órganos de resolución de litigios brindarán a las partes la posibilidad de expresar, en un plazo razonable, sus puntos de vista sobre los asuntos que esas partes hayan sometido a dichos órganos. En ese contexto, se proporcionará a cada una de las partes litigantes las observaciones de la otra parte y cualquier declaración realizada por peritos. Se brindará a las partes la posibilidad de formular comentarios sobre dichas observaciones y declaraciones.

9. Los órganos de resolución de litigios adoptarán su decisión sobre los asuntos que les sean planteados en un plazo de noventa días a partir de la recepción de la solicitud con arreglo a los apartados 1 y 4. Dicha decisión se formulará por escrito o en un soporte duradero e irá justificada por una exposición de motivos.

10. Los órganos de resolución de litigios elaborarán y harán públicos los informes anuales de actividad. Dichos informes anuales incluirán, en particular, la siguiente información general:

a)	una agregación de los resultados de los litigios;

b)	la duración media de la resolución de los litigios;

c)	los motivos más comunes de los litigios.

11. Con el fin de facilitar el inter cambio de información y las mejores prácticas, los órganos de resolución de litigios podrán decidir la inclusión de recomendaciones en el informe mencionado en el apartado 10 sobre cómo evitar o resolver problemas.

12. La decisión de los órganos de resolución de litigios será vinculante para las partes solo si estas han dado su consentimiento expreso a su carácter vinculante antes del inicio del procedimiento de resolución de litigios.

13. El presente artículo no afectará al derecho de las partes a interponer un recurso efectivo ante los órganos jurisdiccionales de los Estados miembros.

Artículo 11

Medidas técnicas de protección sobre la utilización o divulgación no autorizadas de datos

1. El titular de datos podrá aplicar medidas técnicas de protección adecuadas, incluidos contratos inteligentes y cifrado, para impedir el acceso no autorizado a los datos, incluidos los meta datos, y garantizar el cumplimiento de los artículos 4, 5, 6, 8 y 9, así como de las condiciones contractuales acordadas para la puesta a disposición de los datos. Dichas medidas técnicas de protección no discriminarán entre destinatarios de datos ni obstaculizarán el derecho de un usuario a obtener una copia, extraer, utilizar o acceder a los datos o a proporcionar datos a terceros de conformidad con el artículo 5 ni ningún derecho de un tercero en virtud del Derecho de la Unión o de normativa nacional adoptada de conformidad con el Derecho de la Unión. Los usuarios, los terceros y los destinatarios de datos no modificarán ni suprimirán dichas medidas técnicas de protección a menos que el titular de datos acepte.

2. En las circunstancias a que se refiere el apartado 3, el tercero o el destinatario de datos atenderá, sin demora indebida, las solicitudes del titular de datos y, en su caso, del poseedor de un secreto_comercial cuando no sea la misma persona, o del usuario para:

a)	suprimir los datos puestos a disposición por el titular de datos y cualquier copia de los datos;

poner fin a la producción, oferta o comercialización o utilización de bienes, datos derivados o servicios producidos sobre la base de conocimientos obtenidos a través de dichos datos, o la importación, exportación o almacenamiento de mercancías infractoras con esos fines, y destruir cualquier mercancía infractora, cuando exista un riesgo grave de que la utilización ilícita de dichos datos cause un perjuicio significativo al titular de datos, al poseedor de un secreto_comercial o al usuario, o cuando dicha medida no fuese desproporcionada a la luz de los intereses del titular de datos, del poseedor de un secreto_comercial o del usuario;

c)	informar al usuario de la utilización o divulgación no autorizadas de los datos y de las medidas adoptadas para poner fin a la utilización o divulgación no autorizadas de los datos;

d)	compensar a la parte que sufra la utilización indebida o la divulgación de dichos datos a los que se haya accedido o utilizado de forma ilícita.

3. El apartado 2 se aplicará cuando un tercero o un destinatario de datos:

a)	con el fin de obtener datos haya proporcionado a un titular de datos información falsa, haya utilizado medios engañosos o coercitivos o haya abusado de las lagunas en la infraestructura técnica del titular de datos destinada a proteger los datos;

b)	haya utilizado los datos puestos a disposición con fines no autorizados, incluido el desarrollo de un producto_conectado competidor en el sentido del artículo 6, apartado 2, letra e);

c)	haya divulgado ilícitamente datos a otro tercero;

d)	no haya mantenido las medidas técnicas y organizativas acordadas en virtud del artículo 5, apartado 9, o

e)	haya modificado o eliminado medidas técnicas de protección aplicadas por el titular de datos en virtud del apartado 1 del presente artículo sin el consentimiento del titular de datos.

4. El apartado 2 también será aplicable cuando el usuario altere o elimine las medidas técnicas de protección aplicadas por el titular de datos o no mantenga las medidas técnicas y organizativas adoptadas por el usuario de acuerdo con el titular de datos o, cuando no sean la misma persona, el poseedor de un secreto_comercial, con el fin de preservar secretos comerciales, así como respecto de cualquier otra persona que reciba los datos por parte del usuario en infracción del presente Reglamento.

5. Cuando el destinatario de los datos infrinja el artículo 6, apartado 2, letras a) o b), los usuarios tendrán los mismos derechos que los titulares de datos en virtud del apartado 2 del presente artículo.

Artículo 12

Ámbito de aplicación de las obligaciones de los titulares de datos obligados por el Derecho de la Unión a poner los datos a disposición

1. El presente capítulo se aplicará cuando, en las relaciones entre empresas, el titular de datos esté obligado, en virtud del artículo 5 o en virtud del Derecho de la Unión aplicable o de normativa nacional adoptada de conformidad con el Derecho de la Unión, a poner los datos a disposición de un destinatario de datos.

2. Ninguna cláusula contractual de un acuerdo de inter cambio de datos que, en detrimento de una de las partes o, en su caso, en detrimento del usuario, excluya la aplicación del presente capítulo, establezca excepciones a este o modifique sus efectos, será vinculante para esa parte.

CAPÍTULO IV

CLÁUSULAS CONTRACTUALES ABUSIVAS ENTRE EMPRESAS EN RELACIÓN CON EL ACCESO A LOS DATOS Y SU UTILIZACIÓN

Artículo 17

Solicitudes de puesta a disposición de datos

1. Cuando un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión solicite datos con arreglo al artículo 14, deberá:

a)	especificar qué datos son necesarios, incluidos los meta datos pertinentes necesarios para interpretarlos y utilizarlos;

b)	demostrar que se cumplen las condiciones necesarias para la existencia de una necesidad excepcional a que se refiere el artículo 15 para la que se solicitan los datos;

explicar la finalidad de la solicitud, la utilización prevista de los datos solicitados, incluso, cuando proceda, por un tercero de conformidad con el apartado 4 del presente artículo, la duración de dicha utilización y, en su caso, la forma en que el tratamiento de los datos personales responde a la necesidad excepcional;

d)	especificar, siempre que sea posible, cuándo se prevé que los datos sean suprimidos por todas las partes que tengan acceso a ellos;

e)	justificar la elección del titular de datos al que se dirige la solicitud;

f)	especificar todos los demás organismos del sector público o la Comisión, el Banco Central Europeo o los organismos_de_la_Unión y los terceros con los que se prevea compartir los datos solicitados;

cuando se soliciten datos personales, especificar cualquier medida técnica y organizativa necesaria y proporcionada para aplicar los principios de protección de datos y las garantías necesarias, como la seudonimización, y si el titular de los datos puede aplicar la anonimización antes de poner los datos a disposición;

h)	indicar la disposición legal por la que se asigna al organismo_del_sector_público solicitante, a la Comisión, al Banco Central Europeo o a los organismos_de_la_Unión la tarea específica desempeñada en interés público pertinente para solicitar los datos;

i)	especificar el plazo en que deben ponerse los datos a disposición y el plazo a que se refiere el artículo 18, apartado 2, en que el titular de datos puede denegar o pedir la modificación de la solicitud;

j)	hacer todo lo posible por evitar que el cumplimiento de la solicitud de datos dé lugar a la responsabilidad de los titulares de datos por infracción del Derecho de la Unión o nacional.

2. Toda solicitud de datos presentada con arreglo al apartado 1 del presente artículo deberá:

a)	expresarse por escrito y en un lenguaje claro, conciso y sencillo comprensible para el titular de datos;

b)	ser específica por lo que respecta al tipo de datos solicitados y corresponder a datos que el titular de datos controle en el momento de la solicitud;

c)	guardar proporción con la necesidad excepcional y estar debidamente motivada, por lo que respecta a la granularidad y el volumen de los datos solicitados y la frecuencia de acceso a los datos solicitados;

d)	respetar los objetivos legítimos del titular de datos, con el compromiso de garantizar la protección de los secretos comerciales de conformidad con el artículo 19, apartado 3, y habida cuenta del coste y el esfuerzo necesarios para poner los datos a disposición;

referirse a datos no personales y, sólo si se demuestra que ello es insuficiente para responder a la necesidad excepcional de utilizar datos, de conformidad con el artículo 15, apartado 1, letra a), solicitar datos personales en forma seudonimizada y establecer las medidas técnicas y organizativas que se vayan a adoptar para proteger los datos;

f)	informar al titular de datos de las sanciones que impondrá de conformidad con el artículo 40 la autoridad competente designada en cumplimiento del artículo 37 en caso de que no se atienda la solicitud;

cuando la solicitud proceda de un organismo_del_sector_público, transmitirse al coordinador de datos a que se refiere el artículo 37 del Estado miembro en el que esté establecido el organismo_del_sector_público solicitante, que la hará pública en línea sin demora indebida, a menos que el coordinador de datos considere que dicha publicación podría crear un riesgo para la seguridad pública;

h)	cuando la solicitud proceda de la Comisión, el Banco Central Europeo o los organismos_de_la_Unión, ponerse a disposición en línea sin demora indebida;

i)	cuando se soliciten datos personales, notificarse sin demora indebida a la autoridad de control responsable de supervisar la aplicación del Reglamento (UE) 2016/679 en el Estado miembro en el que esté establecido el organismo_del_sector_público.

El Banco Central Europeo y los organismos_de_la_Unión informarán a la Comisión de sus solicitudes.

3. Un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión no pondrá los datos obtenidos de conformidad con el presente capítulo a disposición para su reutilización tal como se define en el artículo 2, punto 2, del Reglamento (UE) 2022/868 o en el artículo 2, punto 11, de la Directiva (UE) 2019/1024. El Reglamento (UE) 2022/868 y la Directiva (UE) 2019/1024 no se aplicarán a aquellos datos en poder de organismos del sector público que se obtengan de conformidad con el presente capítulo.

4. Lo dispuesto en el apartado 3 del presente artículo no impedirá a un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión intercambiar los datos obtenidos con arreglo al presente capítulo con otro organismo_del_sector_público o la Comisión, el Banco Central Europeo o un organismo de la Unión con el fin de completar las tareas a que se refiere el artículo 15, tal como se especifica en la solicitud con arreglo al apartado 1, letra f), del presente artículo, ni poner los datos a disposición de un tercero en los casos en que se haya delegado en ese tercero, mediante un acuerdo disponible al público, la realización de inspecciones técnicas u otras funciones. Las obligaciones de los organismos del sector público con arreglo al artículo 19, en particular, las garantías para preservar la confidencialidad de los secretos comerciales, se aplicarán también a dichos terceros. Cuando un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión transmita o ponga a disposición datos en aplicación del presente apartado, lo notificará al titular de datos del que haya recibido los datos sin demora indebida.

5. Cuando el titular de datos considere que sus derechos en virtud del presente capítulo han sido vulnerados por la transmisión o puesta a disposición de datos, podrá presentar una reclamación ante la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.

6. La Comisión elaborará un modelo para las solicitudes con arreglo al presente artículo.

Artículo 18

Cumplimiento de las solicitudes de datos

1. Cuando un titular de datos reciba una solicitud de puesta a disposición de datos con arreglo al presente capítulo, pondrá los datos a disposición del organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión solicitante sin demora indebida, teniendo en cuenta las medidas técnicas, organizativas y jurídicas necesarias.

2. Sin perjuicio de las necesidades específicas relativas a la disponibilidad de datos definidas en el Derecho de la Unión o nacional, el titular de datos podrá denegar o solicitar la modificación de una solicitud de poner a disposición los datos con arreglo al presente capítulo sin demora indebida y, en cualquier caso, a más tardar cinco días hábiles después de la recepción de una solicitud de los datos necesarios para responder a una emergencia_pública y sin demora indebida y, en cualquier caso, a más tardar treinta días hábiles después de la recepción de dicha solicitud en otros casos de necesidad excepcional, por cualquiera de los motivos siguientes:

a)	que el titular de datos no tenga control sobre los datos solicitados;

que otro organismo_del_sector_público o la Comisión, el Banco Central Europeo o un organismo de la Unión haya presentado previamente una solicitud similar para el mismo fin y no se haya notificado la supresión de los datos al titular de los datos de conformidad con el artículo 19, apartado 1, letra c);

c)	que la solicitud no reúna las condiciones establecidas en el artículo 17, apartados 1 y 2.

3. En caso de que el titular de datos decida denegar la solicitud o pedir su modificación de conformidad con el apartado 2, letra b), indicará la identidad del organismo_del_sector_público o la Comisión, el Banco Central Europeo o el organismo de la Unión que haya presentado previamente una solicitud con la misma finalidad.

4. Cuando los datos solicitados incluyan datos personales, el titular de datos anonimizará adecuadamente los datos, a menos que el cumplimiento de la solicitud de poner datos a disposición de un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión exija la divulgación de datos personales. En tales casos, el titular de datos seudonimizará los datos.

5. Cuando el organismo_del_sector_público, la Comisión, el Banco Central Europeo o el organismo de la Unión desee impugnar la negativa de un titular de datos a proporcionar los datos solicitados, o cuando el titular de datos desee impugnar la solicitud y el asunto no pueda resolverse mediante una modificación adecuada de la solicitud, el asunto se someterá a la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.

Artículo 19

Obligaciones de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos_de_la_Unión

1. Un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión que reciba datos de conformidad con una solicitud presentada con arreglo al artículo 14:

a)	no podrá utilizar los datos de manera incompatible con la finalidad para la que hayan sido solicitados;

b)	habrá aplicado medidas técnicas y organizativas que preserven la confidencialidad y la integridad de los datos solicitados y la seguridad de las transferencias de datos, en particular los datos personales, y garanticen los derechos y libertades de los interesados;

suprimirá los datos en cuanto dejen de ser necesarios para la finalidad declarada e informará sin demora indebida al titular de datos y a las personas u organizaciones que hayan recibido los datos de conformidad con el artículo 21, apartado 1, de que los datos han sido suprimidos, a menos que el archivo de los datos sea necesario de conformidad con el Derecho de la Unión o nacional sobre acceso público a los documentos en el contexto de las obligaciones de transparencia.

2. El organismo_del_sector_público, la Comisión, el Banco Central Europeo, el organismo de la Unión o el tercero que reciba datos con arreglo al presente capítulo no podrá:

a)	utilizar los datos o las ideas sobre la situación económica, los activos y los métodos de producción o funcionamiento del titular de datos para desarrollar o mejorar un producto_conectado o servicio_relacionado que compita con el producto_conectado o servicio_relacionado del titular de datos;

b)	compartir los datos con otro tercero para cualquiera de los fines a que se refiere la letra a).

3. La revelación de secretos comerciales a un organismo_del_sector_público, a la Comisión, al Banco Central Europeo o a un organismo de la Unión se exigirá solo en la medida en que sea estrictamente necesario para cumplir la finalidad de una solicitud en virtud del artículo 15. En tal caso, el titular de datos o, si no se trata de la misma persona, el poseedor del secreto_comercial, identificará los datos protegidos como secretos comerciales, también en los meta datos pertinentes. El organismo_del_sector_público, la Comisión, el Banco Central Europeo o el organismo de la Unión adoptarán, antes de la revelación de los secretos comerciales, todas las medidas técnicas y organizativas necesarias y adecuadas para preservar la confidencialidad de los secretos comerciales, incluido, en su caso, el uso de cláusulas contractuales tipo, normas técnicas y la aplicación de códigos de conducta.

4. Un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión será responsable de la seguridad de los datos que reciba.

Artículo 20

Compensación en caso de necesidad excepcional

1. Los titulares de datos distintos de las micro empresas y pequeñas empresas pondrán a disposición de forma gratuita los datos necesarios para responder a una emergencia_pública con arreglo al artículo 15, apartado 1, letra a). El organismo_del_sector_público, la Comisión, el Banco Central Europeo o el organismo de la Unión que haya recibido los datos dará reconocimiento público al titular de datos si este así lo solicita.

2. El titular de datos tendrá derecho a una compensación justa por poner a disposición datos en cumplimiento de una solicitud presentada con arreglo al artículo 15, apartado 1, letra b). Tal compensación cubrirá los costes técnicos y organizativos soportados para dar cumplimiento a la solicitud, incluidos, en su caso, los costes de anonimización, seudonimización, agregación y de adaptación técnica, más un margen razonable. A petición del organismo_del_sector_público, la Comisión, el Banco Central Europeo o el organismo de la Unión, el titular de datos proporcionará información sobre la base de cálculo de los costes y del margen razonable.

3. El apartado 2 también será de aplicación cuando una micro empresa y pequeña empresa exija una compensación por poner a disposición los datos.

4. Los titulares de datos no tendrán derecho a una compensación por la puesta de datos a disposición en cumplimiento de una solicitud realizada con arreglo al artículo 15, apartado 1, letra b), cuando la tarea específica desempeñada en interés público sea la elaboración de estadísticas oficiales y el Derecho nacional no permita la compra de datos. Los Estados miembros notificarán a la Comisión los casos en que el Derecho nacional no permita la compra de datos para la elaboración de estadísticas oficiales.

5. Cuando el organismo_del_sector_público, la Comisión, el Banco Central Europeo o el organismo de la Unión no acepte el nivel de compensación solicitado por el titular de datos, podrá presentar una reclamación ante la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.

Artículo 21

Inter cambio de datos con organizaciones de investigación u organismos estadísticos, obtenidos en el contexto de alguna necesidad excepcional

1. Un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión tendrá derecho a compartir datos recibidos en virtud del presente capítulo:

a)	con personas u organizaciones con miras a la realización de investigaciones científicas o análisis compatibles con el fin para el que se solicitaron los datos, o

b)	con los institutos nacionales de estadística y Eurostat para la elaboración de estadísticas oficiales.

2. Las personas físicas u organizaciones que reciban los datos con arreglo al apartado 1 actuarán sin fines lucrativos o en el contexto de una misión de interés público reconocida en el Derecho de la Unión o nacional. Quedarán excluidas las organizaciones sujetas a una influencia importante de empresas comerciales que es probable que resulte en un acceso preferente a los resultados de la investigación.

3. Las personas físicas u organizaciones que reciban los datos con arreglo al apartado 1 del presente artículo cumplirán las mismas obligaciones que se aplican a los organismos del sector público, a la Comisión, al Banco Central Europeo o a los organismos_de_la_Unión con arreglo al artículo 17, apartado 3, y al artículo 19.

4. No obstante lo dispuesto en el artículo 19, apartado 1, letra c), las personas físicas u organizaciones que reciban los datos con arreglo al apartado 1 del presente artículo podrán conservar los datos recibidos para el fin para el que se solicitaron los datos hasta seis meses desde la supresión de los datos por los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos_de_la_Unión.

5. Cuando un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión se proponga transmitir o poner datos a disposición con arreglo al apartado 1 del presente artículo, lo notificará sin demora indebida al titular de datos del que se hayan recibido los datos, indicando la identidad y los datos de contacto de la organización o persona física que reciba los datos, la finalidad de la transmisión o puesta a disposición de los datos, el plazo durante el cual se utilizarán los datos y las medidas técnicas y organizativas de protección adoptadas, también cuando se trate de datos personales o secretos comerciales. Cuando el titular de datos no acepte la transmisión o puesta a disposición de datos, podrá presentar una reclamación ante la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.

Artículo 22

Asistencia mutua y cooperación transfronteriza

1. Los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos_de_la_Unión cooperarán y se asistirán mutuamente con el fin de aplicar el presente capítulo de manera coherente.

2. Los datos compartidos en el contexto de la petición y prestación de asistencia con arreglo al apartado 1 no podrán utilizarse de manera incompatible con la finalidad prevista en la petición.

3. Cuando un organismo_del_sector_público prevea solicitar datos a un titular de datos establecido en otro Estado miembro, notificará previamente su intención a la autoridad competente designada en cumplimiento del artículo 37 en dicho Estado miembro. Este requisito se aplicará también a las solicitudes de la Comisión, el Banco Central Europeo y los organismos_de_la_Unión. La solicitud será examinada por la autoridad competente del Estado miembro en el que esté establecido el titular de los datos.

4. Tras haber examinado la solicitud a la luz de los requisitos establecidos en el artículo 17, la autoridad competente pertinente adoptará, sin demora indebida, una de las siguientes medidas:

transmitirá la solicitud al titular de datos y, en su caso, asesorará al organismo_del_sector_público solicitante, a la Comisión, al Banco Central Europeo o al organismo de la Unión sobre la necesidad, en su caso, de cooperar con los organismos del sector público del Estado miembro en el que esté establecido el titular de datos con el fin de reducir la carga administrativa que pesa sobre el titular de datos en el cumplimiento de la solicitud;

b)	rechazará la solicitud por razones debidamente motivadas, de conformidad con el presente capítulo.

El organismo_del_sector_público solicitante, la Comisión, el Banco Central Europeo y el organismo de la Unión tendrán en cuenta el asesoramiento y los motivos de la autoridad competente pertinente de conformidad con el párrafo primero antes de iniciar cualquier acción adicional, como volver a enviar la solicitud, en su caso.

CAPÍTULO VI

CAMBIO ENTRE SERVICIOS DE TRATAMIENTO DE DATOS

Artículo 49

Evaluación y revisión

1. A más tardar el 12 de septiembre de 2028, la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo y al Consejo, y al Comité Económico y Social Europeo. En la evaluación se analizarán, en particular:

situaciones que hayan de considerarse situaciones de necesidad excepcional a efectos del artículo 15 del presente Reglamento y de la aplicación del capítulo V del presente Reglamento en la práctica, en particular, la experiencia adquirida con la aplicación del capítulo V del presente Reglamento por parte de organismos del sector público, la Comisión, el Banco Central Europeo y los organismos_de_la_Unión; el número y el resultado de los recursos iniciados ante la autoridad competente con arreglo al artículo 18, apartado 5, sobre la aplicación del capítulo V del presente Reglamento, comunicados por las autoridades competentes; el impacto de otras obligaciones establecidas en el Derecho de la Unión o nacional a efectos del cumplimiento de las solicitudes de acceso a información; el impacto de los mecanismos voluntarios de inter cambio de datos, como los establecidos por organizaciones de gestión de datos con fines altruistas reconocidas en virtud del Reglamento (UE) 2022/868, en el cumplimiento de los objetivos del capítulo V del presente Reglamento, y la función de los datos personales en el contexto del artículo 15 del presente Reglamento, incluida la evolución de tecnologías que protejan mejor la intimidad;

las repercusiones del presente Reglamento en la utilización de datos en la economía, incluyendo la innovación en materia de datos, las prácticas de monetización de los datos y los servicios de intermediación de datos, así como en el inter cambio de datos dentro de los espacios comunes europeos de datos;

c)	la accesibilidad a diferentes categorías y tipos de datos y su utilización;

d)	la exclusión de determinadas categorías de empresas como beneficiarias al amparo del artículo 5;

e)	la ausencia de cualquier impacto en los derechos de propiedad intelectual;

el impacto en los secretos comerciales, incluida la protección contra su obtención, utilización y revelación ilícitas, así como el impacto del mecanismo que permite al titular de datos denegar la solicitud del usuario con arreglo al artículo 4, apartado 8, y al artículo 5, apartado 11, teniendo en cuenta, en la medida de lo posible, cualquier revisión de la Directiva (UE) 2016/943;

g)	si la lista de cláusulas contractuales abusivas a que se refiere el artículo 13 está actualizada a la luz de las nuevas prácticas comerciales y del rápido ritmo de innovación del mercado;

h)	las variaciones en las prácticas contractuales de los proveedores de servicios de tratamiento de datos y si esas variaciones se traducen en un cumplimiento suficiente del artículo 25;

i)	la reducción de los costes añadidos aplicados por los proveedores de servicios de tratamiento de datos por el proceso de cambio, en consonancia con la supresión gradual de esos costes de conformidad con el artículo 29;

j)	la interacción del presente Reglamento con otros actos jurídicos de la Unión pertinentes para la economía de los datos;

k)	la prevención del acceso ilícito a datos no personales por parte de administraciones públicas;

l)	la eficacia del régimen de ejecución exigido en virtud del artículo 37;

m)	las repercusiones del presente Reglamento en las pymes, por lo que respecta a su capacidad para innovar y a la disponibilidad de servicios de tratamiento de datos para los usuarios en la Unión y la carga del cumplimiento de las nuevas obligaciones.

2. A más tardar el 12 de septiembre de 2028, la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo, al Consejo y al Comité Económico y Social Europeo. Dicha evaluación valorará el impacto de los artículos 23 a 31 y de los artículos 34 y 35, en particular, en lo que respecta a la fijación de precios y la diversidad de los servicios de tratamiento de datos ofrecidos en la Unión, prestando especial atención a las pymes proveedoras.

3. Los Estados miembros proporcionarán a la Comisión la información necesaria para la preparación de los informes a que se refieren los apartados 1 y 2.

4. Sobre la base de los informes a que se refieren los apartados 1 y 2, la Comisión podrá presentar, en su caso, una propuesta legislativa al Parlamento Europeo y al Consejo para modificar el presente Reglamento.

whereas

keyboard_tab Data Act 2023/2854 ES

Data Act 2023/2854 ES