keyboard_tab Data Act 2023/2854 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artículo 1 Objeto y ámbito de aplicación
- 4 Artículo 2 Definiciones
- 1 Artículo 10 Resolución de litigios
- 1 Artículo 16 Relación con otras obligaciones de poner datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión
- 1 Artículo 25 Cláusulas contractuales relativas al cambio
- 1 Artículo 32 Acceso y transferencia internacionales por parte de administraciones públicas
- 4 Artículo 36 Requisitos esenciales relativos a los contratos inteligentes para la ejecución de acuerdos de intercambio de datos
CAPÍTULO I
DISPOSICIONES GENERALES
CAPÍTULO II
INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA
CAPÍTULO III
OBLIGACIONES DE LOS TITULARES DE DATOS OBLIGADOS A PONER LOS DATOS A DISPOSICIÓN EN VIRTUD DEL DERECHO DE LA UNIÓN
CAPÍTULO IV
CLÁUSULAS CONTRACTUALES ABUSIVAS ENTRE EMPRESAS EN RELACIÓN CON EL ACCESO A LOS DATOS Y SU UTILIZACIÓN
CAPÍTULO V
PONER DATOS A DISPOSICIÓN DE LOS ORGANISMOS DEL SECTOR PÚBLICO, LA COMISIÓN, EL BANCO CENTRAL EUROPEO Y LOS ORGANISMOS DE LA UNIÓN EN RAZÓN DE NECESIDADES EXCEPCIONALES
CAPÍTULO VI
CAMBIO ENTRE SERVICIOS DE TRATAMIENTO DE DATOS
CAPÍTULO VII
ACCESO Y TRANSFERENCIA INTERNACIONALES ILÍCITOS DE DATOS NO PERSONALES POR PARTE DE ADMINISTRACIONES PÚBLICAS
CAPÍTULO VIII
INTEROPERABILIDAD
CAPÍTULO IX
APLICACIÓN Y EJECUCIÓN
CAPÍTULO X
DERECHO SUI GENERIS CON ARREGLO A LA DIRECTIVA 96/9/CE
CAPÍTULO XI
DISPOSICIONES FINALES
- datos
- metadatos
- datos personales
- datos no personales
- producto conectado
- servicio relacionado
- tratamiento
- servicio de tratamiento de datos
- mismo tipo de servicio
- servicio de intermediación de datos
- interesado
- usuario
- titular de datos
- destinatario de datos
- datos del producto
- datos de servicios relacionados
- datos fácilmente disponibles
- secreto comercial
- poseedor de un secreto comercial
- elaboración de perfiles
- comercialización
- introducción en el mercado
- consumidor
- empresa
- pequeña empresa
- microempresa
- organismos de la Unión
- organismo del sector público
- emergencia pública
- cliente
- asistentes virtuales
- activos digitales
- infraestructura de TIC local
- cambio
- costes de salida de datos
- costes por cambio
- equivalencia funcional
- datos exportables
- contrato inteligente
- interoperabilidad
- especificación de interoperabilidad abierta
- especificaciones comunes
- norma armonizada
- datos 163
- servicios 47
- tratamiento 46
- para 44
- presente 42
- unión 41
- reglamento 39
- proveedor 36
- apartado 35
- resolución 32
- cliente 31
- artículo 29
- derecho 28
- litigios 27
- cambio 25
- acceso 24
- servicio 24
- conformidad 22
- nacional 19
- comisión 18
- ejecución 18
- como 18
- ue / 18
- refiere 17
- requisitos 17
- disposición 17
- órgano 15
- el 15
- contratos 15
- cuando 14
- partes 14
- establecidos 14
- personales 14
- cualquier 14
- solicitud 14
- haya 13
- sobre 13
- órganos 13
- período 12
- tercer 12
- dichos 12
- producto_conectado 12
- contrato 12
- condiciones 11
- relacionados 11
- plazo 11
- usuario 11
- esenciales 11
- relación 11
- estado 11
Artículo 1
Objeto y ámbito de aplicación
1. El presente Reglamento establece normas armonizadas sobre lo siguiente, entre otros:
| a) | la puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto_conectado o servicio_relacionado; |
| b) | la puesta a disposición de datos por parte de los titulares de datos en favor de los destinatarios de datos; |
| c) | la puesta a disposición de datos por parte de los titulares de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos_de_la_Unión, cuando exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público; |
| d) | la facilitación del cambio entre servicios de tratamiento de datos; |
| e) | la introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales, y |
| f) | el desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos. |
2. El presente Reglamento es aplicable a los datos personales y no personales, incluidos los siguientes tipos de datos, en los contextos siguientes:
| a) | el capítulo II se aplica a los datos, excepto el contenido, relativos al rendimiento, uso y entorno de los productos conectados y los servicios relacionados; |
| b) | el capítulo III se aplica a cualquier dato del sector privado que sea objeto de obligaciones legales de inter cambio de datos; |
| c) | el capítulo IV se aplica a cualquier dato del sector privado al que se acceda y que se utilice sobre la base de contratos entre empresas; |
| d) | el capítulo V se aplica a cualquier dato del sector privado, centrándose en los datos no personales; |
| e) | el capítulo VI se aplica a cualquier dato y servicio tratado por los proveedores de servicios de tratamiento de datos; |
| f) | el capítulo VII se aplica a cualquier dato no personal que se encuentre en la Unión por los proveedores de servicios de tratamiento de datos. |
3. El presente Reglamento se aplica a:
| a) | los fabricantes de productos conectados introducidos en el mercado de la Unión y los proveedores de servicios relacionados, independientemente del lugar de establecimiento de dichos fabricantes y proveedores; |
| b) | los usuarios de la Unión de los productos conectados o servicios relacionados a que se refiere la letra a); |
| c) | los titulares de datos, con independencia de su lugar de establecimiento, que pongan datos a disposición de los destinatarios de datos de la Unión; |
| d) | los destinatarios de datos de la Unión a cuya disposición se ponen datos; |
| e) | los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos_de_la_Unión que soliciten a los titulares de datos que pongan datos a su disposición cuando exista una necesidad excepcional de dichos datos para el desempeño de alguna tarea específica realizada en interés público, y a los titulares de datos que proporcionen esos datos en respuesta a dicha solicitud; |
| f) | los proveedores de servicios de tratamiento de datos, con independencia de su lugar de establecimiento, que presten dichos servicios a clientes de la Unión; |
| g) | los participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de un acuerdo. |
4. Cuando el presente Reglamento se refiera a productos conectados o servicios relacionados, se entenderá que incluyen también los asistentes_virtuales, en la medida en que interactúen con un producto_conectado o servicio_relacionado.
5. El presente Reglamento se entenderá sin perjuicio del Derecho de la Unión ni del Derecho nacional en materia de protección de datos personales, de la intimidad y de la confidencialidad de las comunicaciones e integridad de los equipos terminales, que se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento, en particular, los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva 2002/58/CE, incluidos los poderes y competencias de las autoridades de control y de los derechos de los interesados. En la medida en que los usuarios tengan la condición de interesados, los derechos establecidos en el capítulo II del presente Reglamento complementarán el derecho de acceso de los interesados y los derechos a la portabilidad de los datos con arreglo a los artículos 15 y 20 del Reglamento (UE) 2016/679. En caso de conflicto entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o de la intimidad, o la normativa nacional adoptada de conformidad con el Derecho de la Unión en la materia, prevalecerá el Derecho aplicable de la Unión o nacional en materia de protección de datos personales o de la intimidad.
6. El presente Reglamento no se aplica a los acuerdos voluntarios celebrados con vistas al inter cambio de datos entre entidades privadas y públicas, en particular a los acuerdos voluntarios para el inter cambio de datos, ni los condiciona.
El presente Reglamento no afecta a los actos jurídicos de la Unión o nacionales que contemplen el inter cambio, el acceso y la utilización de datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, o a efectos aduaneros y fiscales, en particular, los Reglamentos (UE) 2021/784, (UE) 2022/2065 y (UE) 2023/1543, y la Directiva (UE) 2023/1544, ni a la cooperación internacional en dicho ámbito. El presente Reglamento no se aplica a la recogida, inter cambio, acceso o utilización de datos en virtud del Reglamento (UE) 2015/847 y de la Directiva (UE) 2015/849. El presente Reglamento no se aplica a los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afecta a las competencias de los Estados miembros relativas a la seguridad pública, la defensa o la seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan confiado el desempeño de tareas en relación con dichas competencias, o de su facultad para salvaguardar otras funciones esenciales del Estado, incluida la garantía de la integridad territorial del Estado y el mantenimiento del orden público. El presente Reglamento no afecta a las competencias de los Estados miembros en materia de aduanas y administración fiscal, ni a la salud y seguridad ciudadanas.
7. El presente Reglamento complementa el enfoque de autorregulación del Reglamento (UE) 2018/1807 mediante la introducción de obligaciones de aplicabilidad general sobre el cambio de nube.
8. El presente Reglamento se entiende sin perjuicio de los actos jurídicos nacionales y de la Unión por los que se establece la protección de los derechos de propiedad intelectual, en particular, las Directivas 2001/29/CE, 2004/48/CE y (UE) 2019/790.
9. El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión con objeto de promover los intereses de los consumidores y garantizar un elevado nivel de protección de los consumidores, así como proteger su salud, su seguridad y sus intereses económicos, en particular, las Directivas 93/13/CEE, 2005/29/CE y 2011/83/UE.
10. El presente Reglamento no impide la celebración de contratos lícitos voluntarios de inter cambio de datos, incluidos los contratos celebrados sobre la base de la reciprocidad, que cumplan los requisitos establecidos en el presente Reglamento.
Artículo 2
Definiciones
A los efectos del presente Reglamento, se entenderá por:
| 1) | « datos»: cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual; |
| 2) | «meta datos»: una descripción estructurada del contenido o de la utilización de los datos que facilita la búsqueda o la utilización de esos datos; |
| 3) | « datos personales»: los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679; |
| 4) | « datos no personales»: aquellos que no sean datos personales; |
| 5) | « producto_conectado»: un bien que obtiene, genera, o recoge datos relativos a su uso o entorno y que puede comunicar datos del producto a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo y cuya función primaria no es el almacenamiento, el tratamiento ni la transmisión de datos en nombre de alguien que no sea el usuario; |
| 6) | « servicio_relacionado»: un servicio digital, distinto de un servicio de comunicaciones electrónicas, incluido el software, que está conectado con el producto en el momento de la compraventa, el alquiler o el arrendamiento, de tal manera que su ausencia impediría al producto_conectado realizar una o varias de sus funciones, o que el fabricante o un tercero conecta posteriormente al producto para añadir, actualizar o adaptar las funciones del producto_conectado; |
| 7) | « tratamiento»: toda operación o conjunto de operaciones realizadas sobre datos o conjuntos de datos, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, divulgación por transmisión, difusión o cualquier otro medio de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción; |
| 8) | «servicio de tratamiento de datos»: servicio digital que se presta a un cliente y que permite un acceso de red ubicuo y bajo demanda a un conjunto compartido de recursos informáticos configurables, modulables y elásticos de carácter centralizado, distribuido o muy distribuido, que puede movilizarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios; |
| 9) | « mismo_tipo_de_servicio»: un conjunto de servicios de tratamiento de datos que comparten el mismo objetivo primario, modelo de servicio de tratamiento de datos y funcionalidades principales; |
| 10) | «servicio de intermediación de datos»: un servicio de intermediación de datos tal como se define en el artículo 2, punto 11, del Reglamento (UE) 2022/868; |
| 11) | « interesado»: el interesado tal como se indica en el artículo 4, punto 1, del Reglamento (UE) 2016/679; |
| 12) | « usuario»: una persona física o jurídica que posee un producto_conectado o a la que se le han transferido por contrato derechos temporales de uso de dicho producto_conectado, o que recibe servicios relacionados; |
| 13) | «titular de datos»: una persona física o jurídica que tiene el derecho o la obligación, con arreglo al presente Reglamento, al Derecho de la Unión aplicable o a la normativa nacional adoptada de conformidad con el Derecho de la Unión, de utilizar y poner a disposición datos, incluidos, cuando se haya pactado contractualmente, los datos del producto o los datos de servicios relacionados que haya extraído o generado durante la prestación de un servicio_relacionado; |
| 14) | «destinatario de datos»: una persona física o jurídica que actúa con un propósito relacionado con su actividad comercial, empresa, oficio o profesión, distinta del usuario de un producto_conectado o servicio_relacionado, a disposición de la cual el titular de datos pone los datos, incluso un tercero previa solicitud del usuario al titular de datos o de conformidad con una obligación legal en virtud del Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión; |
| 15) | « datos del producto»: datos generados por el uso de un producto_conectado que el fabricante ha diseñado para que puedan ser extraídos, a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo, por un usuario, un titular de los datos o un tercero, incluido, cuando proceda, el fabricante; |
| 16) | « datos de servicios relacionados»: datos que representan la digitalización de acciones del usuario o de eventos relacionados con el producto_conectado, registrados intencionadamente por el usuario o generados como subproducto de la acción del usuario durante la prestación de un servicio_relacionado por el proveedor; |
| 17) | « datos fácilmente disponibles»: datos del producto y datos del servicio_relacionado que un titular de datos obtiene o puede obtener lícitamente del producto_conectado o servicio_relacionado, sin un esfuerzo desproporcionado que vaya más allá de una operación simple; |
| 18) | « secreto_comercial»: un secreto_comercial tal como se define en el artículo 2, punto 1, de la Directiva (UE) 2016/943; |
| 19) | «poseedor de un secreto_comercial»: poseedor de un secreto_comercial tal como se define en el artículo 2, punto 2, de la Directiva (UE) 2016/943; |
| 20) | « elaboración_de_perfiles»: la elaboración_de_perfiles tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679; |
| 21) | « comercialización»: todo suministro de un producto_conectado para su distribución, consumo o utilización en el mercado de la Unión en el transcurso de una actividad comercial, ya sea a cambio de pago o a título gratuito; |
| 22) | « introducción_en_el_mercado»: la primera comercialización de un producto_conectado en el mercado de la Unión; |
| 23) | « consumidor»: toda persona física que actúe con fines ajenos a su propia actividad comercial, negocio, oficio o profesión; |
| 24) | « empresa»: una persona física o jurídica que, en relación con los contratos y prácticas contemplados por el presente Reglamento, actúa con fines relacionados con su actividad comercial, empresa, oficio o profesión; |
| 25) | «pequeña empresa»: una pequeña empresa tal como se define en el artículo 2, apartado 2, del anexo de la Recomendación 2003/361/CE; |
| 26) | «micro empresa»: una micro empresa tal como se define en el artículo 2, apartado 3, del anexo de la Recomendación 2003/361/CE; |
| 27) | « organismos_de_la_Unión»: los órganos y organismos_de_la_Unión establecidos en virtud de actos adoptados sobre la base del Tratado de la Unión Europea, del TFUE o del Tratado constitutivo de la Comunidad Europea de la Energía Atómica; |
| 28) | « organismo_del_sector_público»: las autoridades nacionales, regionales o locales de los Estados miembros y las entidades de derecho público de los Estados miembros, o las asociaciones constituidas por una o más de dichas autoridades o por una o más de dichas entidades; |
| 29) | « emergencia_pública»: una situación excepcional, limitada en el tiempo, como una emergencia de salud pública, una emergencia derivada de catástrofes naturales, una catástrofe grave provocada por el hombre, incluido un incidente grave de ciberseguridad, que afecta negativamente a la población de la Unión, del conjunto o de partes de un Estado miembro, que entraña un riesgo de repercusiones graves y duraderas para las condiciones de vida o la estabilidad económica, la estabilidad financiera o la degradación sustancial e inmediata de los activos económicos de la Unión o del Estado miembro en cuestión, y que se determina o declara oficialmente de conformidad con los procedimientos correspondientes en virtud del Derecho de la Unión o nacional; |
| 30) | « cliente»: una persona física o jurídica que ha establecido una relación contractual con un proveedor de servicios de tratamiento de datos con el objetivo de utilizar uno o varios servicios de tratamiento de datos; |
| 31) | « asistentes_virtuales»: software que puede procesar peticiones, tareas o preguntas, incluidas las basadas en material de audio, material escrito, gestos o movimientos, y que, basándose en dichas peticiones, tareas o preguntas, proporciona acceso a otros servicios o controla las funciones de productos conectados; |
| 32) | « activos_digitales»: elementos en forma digital, incluidas las aplicaciones, para los que el cliente tiene derecho de uso, independientemente de la relación contractual establecida con el servicio de tratamiento de datos del que el cliente se pretende cambiar; |
| 33) | « infraestructura_de_TIC_local»: la infraestructura de TIC y de los recursos informáticos propiedad del cliente, alquilados o arrendados por el cliente, situados en el centro de datos del propio cliente y gestionados por el cliente o por un tercero; |
| 34) | « cambio»: el proceso en el que intervienen un proveedor de servicios de tratamiento de datos de origen, un cliente de un servicio de tratamiento de datos y, en su caso, un proveedor de servicios de tratamiento de datos de destino, en el que el cliente de un servicio de tratamiento de datos pasa de utilizar un servicio de tratamiento de datos a otro servicio de tratamiento de datos del mismo_tipo_de_servicio, u otro servicio, ofrecido por un proveedor de servicios de tratamiento de datos diferente, o a una infraestructura_de_TIC_local, incluido mediante la extracción, transformación y carga de datos; |
| 35) | «costes de salida de datos»: los costes de transferencia de datos cobrados a los clientes por extraer sus datos a través de la red de la infraestructura de las TIC de un proveedor de servicios de tratamiento de datos a los sistemas de un proveedor diferente o a una infraestructura de TIC local; |
| 36) | «costes por cambio»: los costes, excluidos los costes de servicio estándar o la sanciones por resolución anticipada, impuestas por un proveedor de servicios de tratamiento de datos a un cliente por las acciones que le exige el presente Reglamento para cambiar al sistema de un proveedor diferente o a una infraestructura de TIC local, incluidos los costes de salida de datos; |
| 37) | « equivalencia_funcional»: restablecer, sobre la base de los datos exportables y activos_digitales del cliente, un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de tratamiento de datos, del mismo_tipo_de_servicio, después del proceso de cambio, cuando el servicio de tratamiento de datos de destino proporcione un resultado materialmente comparable en respuesta a la misma entrada para características compartidas suministrada al cliente en virtud del contrato; |
| 38) | « datos exportables»: a efectos de lo dispuesto en los artículos 23 a 31 y en el artículo 35, los datos de entrada y salida, incluidos los meta datos, directa o indirectamente generados o cogenerados por el uso por parte del cliente del servicio de tratamiento de datos, excluidos cualesquiera activos o datos protegidos por derechos de propiedad intelectual, o que constituyan secretos comerciales, de proveedores de servicios de tratamiento de datos o de terceros; |
| 39) | « contrato_inteligente»: programa informático utilizado para la ejecución automatizada de un acuerdo o de parte de este, que utiliza una secuencia de registros electrónicos de datos y garantiza su integridad y la exactitud de su orden cronológico; |
| 40) | « interoperabilidad»: la capacidad de dos o más espacios de datos o redes de comunicación, sistemas, productos conectados, aplicaciones, servicios de tratamiento de datos o componentes para intercambiar y utilizar datos con el fin de desempeñar sus funciones; |
| 41) | «especificación de interoperabilidad abierta»: una especificación técnica en el ámbito de las tecnologías de la información y la comunicación, que está orientada a lograr la interoperabilidad entre servicios de tratamiento de datos; |
| 42) | « especificaciones_comunes»: un documento, distinto de una norma, con soluciones técnicas que proponen una forma de cumplir determinados requisitos y obligaciones establecidos en el presente Reglamento; |
| 43) | « norma_armonizada»: una norma_armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) n.o 1025/2012. |
CAPÍTULO II
INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA
Artículo 10
Resolución de litigios
1. Los usuarios, los titulares de datos y los destinatarios de datos tendrán acceso a algún órgano de resolución de litigios, certificado de conformidad con el apartado 5 del presente artículo, para resolver todo litigio con arreglo al artículo 4, apartados 3 y 9, y al artículo 5, apartado 12, así como los litigios relacionados con las condiciones justas, razonables y no discriminatorias para poner los datos a disposición y la forma transparente de hacerlo, de conformidad con el presente capítulo y el capítulo IV.
2. Los órganos de resolución de litigios darán a conocer los costes, o los mecanismos utilizados para determinar los costes, a las partes afectadas antes de que estas soliciten una decisión.
3. En el caso de los litigios remitidos a un órgano de resolución de litigios en virtud del artículo 4, apartados 3 y 9, y del artículo 5, apartado 12, cuando el órgano de resolución de litigios resuelva un litigio en favor del usuario o del destinatario de datos, el titular de datos soportará todas las tasas cobradas por el órgano de resolución de litigios y reembolsará a dicho usuario o dicho destinatario de datos cualquier otro gasto razonable en que haya incurrido en relación con la resolución de litigios. Si el órgano de resolución de litigios resuelve un litigio en favor del titular de datos, el usuario o el destinatario de datos no estará obligado a reembolsar las tasas u otros gastos que el titular de datos haya pagado o deba pagar en relación con la resolución de litigios, a menos que el órgano de resolución de litigios considere que el usuario o el destinatario de los datos actuó manifiestamente de mala fe.
4. Los clientes y los proveedores de servicios de tratamiento de datos tendrán acceso a algún órgano de resolución de litigios, certificado de conformidad con el apartado 5 del presente artículo, para resolver litigios en relación con vulneraciones de los derechos de los clientes e incumplimientos de las obligaciones del proveedor de un servicio de tratamiento de datos de conformidad con los artículos 23 a 31.
5. A petición del órgano de resolución de litigios, el Estado miembro en el que esté establecido dicho órgano lo certificará, siempre que este haya demostrado que cumple todas las condiciones siguientes:
| a) | es imparcial e independiente, y debe dictar sus resoluciones con arreglo a unas normas de procedimiento claras, no discriminatorias y justas; |
| b) | dispone de los conocimientos técnicos necesarios, en particular, en relación con las condiciones justas, razonables y no discriminatorias, incluida la compensación, relativos a la puesta a disposición de datos de manera transparente, que permitan que el órgano pueda determinar efectivamente dichas condiciones; |
| c) | es fácilmente accesible a través de tecnologías de comunicación electrónicas; |
| d) | es capaz de adoptar sus decisiones de manera rápida, eficiente y rentable al menos en una de las lenguas oficiales de la Unión. |
6. Los Estados miembros notificarán a la Comisión los órganos de resolución de litigios certificados de conformidad con el apartado 5. La Comisión publicará la lista de dichos órganos en un sitio web específico y la mantendrá actualizada.
7. Los órganos de resolución de litigios rechazarán tratar cualquier solicitud de resolución de un litigio que ya se haya presentado ante otro órgano de resolución de litigios o ante un órgano jurisdiccional de un Estado miembro.
8. Los órganos de resolución de litigios brindarán a las partes la posibilidad de expresar, en un plazo razonable, sus puntos de vista sobre los asuntos que esas partes hayan sometido a dichos órganos. En ese contexto, se proporcionará a cada una de las partes litigantes las observaciones de la otra parte y cualquier declaración realizada por peritos. Se brindará a las partes la posibilidad de formular comentarios sobre dichas observaciones y declaraciones.
9. Los órganos de resolución de litigios adoptarán su decisión sobre los asuntos que les sean planteados en un plazo de noventa días a partir de la recepción de la solicitud con arreglo a los apartados 1 y 4. Dicha decisión se formulará por escrito o en un soporte duradero e irá justificada por una exposición de motivos.
10. Los órganos de resolución de litigios elaborarán y harán públicos los informes anuales de actividad. Dichos informes anuales incluirán, en particular, la siguiente información general:
| a) | una agregación de los resultados de los litigios; |
| b) | la duración media de la resolución de los litigios; |
| c) | los motivos más comunes de los litigios. |
11. Con el fin de facilitar el inter cambio de información y las mejores prácticas, los órganos de resolución de litigios podrán decidir la inclusión de recomendaciones en el informe mencionado en el apartado 10 sobre cómo evitar o resolver problemas.
12. La decisión de los órganos de resolución de litigios será vinculante para las partes solo si estas han dado su consentimiento expreso a su carácter vinculante antes del inicio del procedimiento de resolución de litigios.
13. El presente artículo no afectará al derecho de las partes a interponer un recurso efectivo ante los órganos jurisdiccionales de los Estados miembros.
Artículo 16
Relación con otras obligaciones de poner datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos_de_la_Unión
1. El presente capítulo no afectará a las obligaciones establecidas en el Derecho de la Unión o nacional a efectos de la presentación de informes, de dar cumplimiento a las solicitudes de acceso a información o de la demostración o verificación del cumplimiento de obligaciones legales.
2. El presente capítulo no se aplicará a los organismos del sector público, a la Comisión, al Banco Central Europeo ni a los organismos_de_la_Unión que efectúen actividades con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o administrativas o de ejecución de sanciones penales, ni a la administración aduanera o tributaria. El presente capítulo no afecta al Derecho aplicable de la Unión y nacional en materia de prevención, investigación, detección o enjuiciamiento de infracciones penales o administrativas o de ejecución de sanciones penales o administrativas, ni de administración aduanera o tributaria.
Artículo 25
Cláusulas contractuales relativas al cambio
1. Los derechos del cliente y las obligaciones del proveedor de servicios de tratamiento de datos en relación con el cambio de proveedor de esos servicios o, en su caso, el cambio a una infraestructura de TIC local se establecerán con claridad en un contrato escrito. El proveedor de servicios de tratamiento de datos pondrá dicho contrato a disposición del cliente antes de su firma, de un modo que permita al cliente conservar y reproducir el contrato.
2. Sin perjuicio de lo dispuesto en la Directiva (UE) 2019/770, el contrato a que se refiere el apartado 1 del presente artículo incluirá al menos los siguientes elementos:
| a) | cláusulas que permitan al cliente, previa solicitud, cambiar a un servicio de tratamiento de datos ofrecido por un proveedor diferente de servicios de tratamiento de datos o trasladar todos los datos exportables y activos_digitales a una infraestructura de TIC local, sin demora indebida y, en cualquier caso, en un plazo no superior al período transitorio obligatorio máximo de treinta días naturales, que comenzará al final del plazo máximo de preaviso a que se refiere la letra d), durante el cual el contrato de servicio se seguirá aplicando y durante el cual el proveedor de servicios de tratamiento de datos:
|
| b) | la obligación del proveedor de servicios de tratamiento de datos de apoyar la estrategia de salida del cliente pertinente para los servicios contratados, también proporcionando toda la información pertinente; |
| c) | la cláusula en la que se especifique que el contrato se considerará resuelto y se notificará al cliente la resolución, en uno de los siguientes casos:
|
| d) | un plazo máximo de preaviso para el inicio del proceso de cambio, que no excederá de dos meses; |
| e) | una especificación exhaustiva de todas las categorías de datos y activos_digitales que pueden ser exportadas durante el proceso de cambio, que deberá comprender, como mínimo, todos los datos exportables; |
| f) | una especificación exhaustiva de las categorías de datos específicas del funcionamiento interno del servicio de tratamiento de datos del proveedor que deben quedar excluidas de los datos exportables con arreglo a la letra e) del presente apartado cuando exista un riesgo de violación de secretos comerciales del proveedor, siempre que dichas exenciones no impidan ni retrasen el proceso de cambio previsto en el artículo 23; |
| g) | un período mínimo para la extracción de datos de al menos treinta días naturales después de la expiración del período transitorio pactado entre el cliente y el proveedor de servicios de tratamiento de datos, de conformidad con la letra a) del presente apartado y el apartado 4; |
| h) | una cláusula que garantice la supresión total de todos los datos exportables y activos_digitales generados directamente por el cliente, o directamente relacionados con el cliente, tras la expiración del período de extracción a que se refiere la letra g) o tras la expiración de un período alternativo pactado fijado en una fecha posterior a la fecha de expiración del período de extracción a que se refiere la letra g), siempre que el proceso de cambio haya finalizado con éxito; |
| i) | los costes por cambio que puedan imponer los proveedores de servicios de tratamiento de datos de conformidad con el artículo 29. |
3. El contrato al que se refiere el apartado 1, incluirá cláusulas que estipulen que el cliente puede notificar al proveedor de servicios de tratamiento de datos su decisión de realizar una o varias de las siguientes acciones una vez expire el plazo máximo de preaviso a que se refiere el apartado 2, letra d):
| a) | cambiar a un proveedor diferente de servicios de tratamiento de datos, en cuyo caso el cliente proporcionará los datos de contacto necesarios de dicho proveedor; |
| b) | cambiar a una infraestructura de TIC local; |
| c) | suprimir sus datos exportables y sus activos_digitales. |
4. Cuando el período transitorio obligatorio máximo establecido en el apartado 2, letra a), sea técnicamente inviable, el proveedor de servicios de tratamiento de datos notificará la inviabilidad técnica al cliente dentro de un plazo de catorce días hábiles desde que se haya presentado la solicitud de cambio, y justificará debidamente dicha inviabilidad e indicará un período transitorio alternativo, que no excederá de siete meses. De conformidad con el apartado 1, se garantizará la continuidad del servicio durante todo el período transitorio alternativo.
5. Sin perjuicio de lo dispuesto en el apartado 4, el contrato al que se refiere el apartado 1 incluirá disposiciones que otorguen al cliente el derecho a prorrogar el período transitorio una vez por un período que el cliente considere más adecuado para sus propios fines.
Artículo 32
Acceso y transferencia internacionales por parte de administraciones públicas
1. Los proveedores de servicios de tratamiento de datos personales adoptarán todas las medidas técnicas, organizativas y jurídicas adecuadas, lo que incluye la celebración de contratos, para impedir el acceso y la transferencia internacionales y por parte de las administraciones públicas de terceros países de datos no personales que se encuentren en la Unión, cuando dicha transferencia o acceso entren en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, sin perjuicio de lo dispuesto en los apartados 2 o 3.
2. Las resoluciones o sentencias de órganos jurisdiccionales de un tercer país y las decisiones de autoridades administrativas de un tercer país en las que se exija a un proveedor de servicios de tratamiento de datos transferir o dar acceso a datos no personales incluidos en el ámbito de aplicación del presente Reglamento que se encuentren en la Unión solo se reconocerá o ejecutará de cualquier forma si se basan en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o entre el tercer país solicitante y un Estado miembro.
3. En ausencia de un acuerdo internacional de los contemplados en el apartado 2, cuando un proveedor de servicios de tratamiento de datos sea el destinatario de una resolución o sentencia de un órgano jurisdiccional de un tercer país o de una decisión de una autoridad administrativa de un tercer país de transferir o dar acceso a datos no personales incluidos en el ámbito de aplicación del presente Reglamento que se encuentren en la Unión y el cumplimiento de dicha decisión entrañe el riesgo de que el destinatario entre en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, la transferencia a dichos datos o el acceso a los mismos por parte de dicha autoridad de un tercer país solo tendrá lugar cuando:
| a) | el sistema del tercer país exija que se expongan los motivos y la proporcionalidad de dicha resolución o sentencia y que la resolución o sentencia sea de carácter específico, por ejemplo, estableciendo un vínculo suficiente con determinadas personas sospechosas o infracciones; |
| b) | la oposición motivada del destinatario se someta a la apreciación de un órgano jurisdiccional competente del tercer país, y |
| c) | el órgano jurisdiccional competente del tercer país que dicte la resolución o sentencia o revise la resolución de una autoridad administrativa esté facultado, con arreglo al Derecho del tercer país, para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o por el Derecho nacional del Estado miembro pertinente. |
El destinatario de la resolución o sentencia podrá solicitar el dictamen del organismo nacional pertinente o de la autoridad competente en materia de cooperación internacional en asuntos jurídicos, con el fin de determinar si se cumplen las condiciones establecidas en el párrafo primero, en particular, cuando considere que la decisión puede referirse a secretos comerciales y otros datos sensibles desde el punto de vista comercial, así como a contenidos protegidos por derechos de propiedad intelectual, o que la transferencia puede dar lugar a una reidentificación. El organismo o autoridad nacional competente podrá consultar a la Comisión. Si el destinatario considera que la decisión o sentencia puede afectar a los intereses de la seguridad nacional o de la defensa de la Unión o de sus Estados miembros, solicitará el dictamen del organismo o autoridad nacional competente, a fin de determinar si los datos solicitados se refieren a intereses de seguridad nacional o de defensa de la Unión o de sus Estados miembros. Si el destinatario no ha recibido una respuesta en el plazo de un mes, o si el dictamen de tal organismo o autoridad llega a la conclusión de que no se cumplen las condiciones establecidas en el párrafo primero, el destinatario podrá denegar por esos motivos la solicitud de transferencia o acceso a datos no personales.
El CEID a que se refiere el artículo 42 asesorará y asistirá a la Comisión en la elaboración de directrices para la evaluación del cumplimiento de las condiciones establecidas en el párrafo primero del presente apartado.
4. Si se cumplen las condiciones establecidas en los apartados 2 o 3, el proveedor de servicios de tratamiento de datos proporcionará la cantidad mínima de datos permitida en respuesta a una solicitud, sobre la base de la interpretación razonable de dicha solicitud por parte del proveedor o del organismo o autoridad nacional competente a que se refiere el apartado 3, párrafo segundo.
5. Antes de dar cumplimiento a dicha solicitud, el proveedor de servicios de tratamiento de datos informará al cliente de que una autoridad de un tercer país ha presentado una solicitud de acceso a sus datos, excepto en los casos en que la solicitud sirva a fines de aplicación de la ley y mientras sea necesario para preservar la eficacia de las actividades correspondientes de aplicación de la ley.
CAPÍTULO VIII
INTEROPERABILIDAD
Artículo 36
Requisitos esenciales relativos a los contratos inteligentes para la ejecución de acuerdos de inter cambio de datos
1. El proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o parte de un acuerdo, para poner datos a disposición garantizará que los contratos inteligentes cumplen los siguientes requisitos esenciales:
| a) | solidez y control de acceso, para garantizar que el contrato_inteligente se haya diseñado de manera que ofrezca unos mecanismos de control de acceso y un grado de solidez muy elevado con el fin de evitar errores funcionales y contrarrestar los intentos de manipulación por terceros; |
| b) | resolución unilateral e interrupción seguras, para garantizar que exista un mecanismo que permita poner fin a la ejecución de transacciones y que el contrato_inteligente incluye funciones internas que permitan reinicializar el contrato o darle instrucciones para poner fin a la operación o interrumpirla, en particular, para evitar futuras ejecuciones accidentales; |
| c) | archivo y continuidad de los datos, para garantizar, en circunstancias en las que el contrato_inteligente deba finalizar o desactivarse, la posibilidad de archivar los datos de las transacciones, así como la lógica y el código del contrato_inteligente, con el fin de llevar un registro de las operaciones con datos efectuadas previamente (auditabilidad); |
| d) | control de acceso, para garantizar que el contrato_inteligente esté protegido con mecanismos rigurosos de control de acceso en el nivel de la gobernanza y en el del contrato_inteligente, y |
| e) | coherencia, para garantizar la coherencia con las condiciones del acuerdo de inter cambio de datos que ejecuta el contrato_inteligente. |
2. El proveedor del contrato_inteligente o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o de parte de un acuerdo, para poner datos a disposición realizará una evaluación de conformidad a efectos del cumplimiento de los requisitos esenciales establecidos en el apartado 1 y expedirá una declaración UE de conformidad respecto al cumplimiento de dichos requisitos.
3. Al expedir la declaración UE de conformidad, el proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o de parte de un acuerdo de puesta a disposición de datos será responsable del cumplimiento de los requisitos esenciales establecidos en el apartado 1.
4. Se presumirá que un contrato_inteligente que se atenga a las normas armonizadas o las partes pertinentes de estas normas, cuyas referencias se hayan publicado en el Diario Oficial de la Unión Europea, es conforme con los requisitos esenciales establecidos en el apartado 1, en la medida en que dichos requisitos estén contemplados por tales normas armonizadas o partes de ellas.
5. De conformidad con el artículo 10 del Reglamento (UE) n.o 1025/2012, la Comisión pedirá a una o varias organizaciones europeas de normalización que elaboren normas armonizadas que cumplan los requisitos esenciales establecidos en el apartado 1 del presente artículo.
6. La Comisión podrá adoptar, mediante actos de ejecución, especificaciones_comunes que cubran alguno o todos los requisitos esenciales establecidos en el apartado 1 cuando se cumplan las siguientes condiciones:
| a) | que la Comisión haya solicitado, en virtud del artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, a una o varias organizaciones europeas de normalización la redacción de una norma_armonizada que cumpla los requisitos esenciales establecidos en el apartado 1 del presente artículo y:
|
| b) | no se haya publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos esenciales pertinentes establecidos en el apartado 1 del presente artículo, de conformidad con el Reglamento (UE) n.o 1025/2012 y no se prevea la publicación de ningún proyecto de norma en un plazo razonable. |
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 46, apartado 2.
7. Antes de preparar un proyecto de acto de ejecución a que se refiere el apartado 6 del presente artículo, la Comisión informará al Comité a que se refiere el artículo 22 del Reglamento (UE) n.o 1025/2012 de que considera que se cumplen las condiciones establecidas en el apartado 6 del presente artículo.
8. Cuando prepare el proyecto de acto de ejecución a que se refiere el apartado 6, la Comisión tendrá en cuenta el asesoramiento del CEID y las opiniones de otros organismos o grupos de expertos pertinentes y consultará debidamente a todas las partes interesadas pertinentes.
9. Se presumirá que el proveedor de un contrato_inteligente o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o de parte de un acuerdo de puesta a disposición de datos que cumplan las especificaciones_comunes establecidas por los actos de ejecución a que se refiere el apartado 6, o partes de estos, cumple los requisitos esenciales establecidos en el apartado 1 en la medida en que dichos requisitos estén cubiertos por tales especificaciones_comunes o partes de ellas.
10. Cuando una norma_armonizada sea adoptada por una organización europea de normalización y propuesta a la Comisión con el fin de publicar su referencia en el Diario Oficial de la Unión Europea, la Comisión evaluará la norma_armonizada de conformidad con el Reglamento (UE) n.o 1025/2012. Cuando la referencia de una norma_armonizada se haya publicado en el Diario Oficial de la Unión Europea, la Comisión derogará los actos de ejecución a que se refiere el apartado 6 del presente artículo, o partes de este que prevean los mismos requisitos esenciales que los contemplados por la norma_armonizada.
11. Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos establecidos en el apartado 1, informará de ello a la Comisión presentando una explicación detallada. La Comisión evaluará dicha explicación detallada y podrá modificar, si procede, el acto de ejecución por el que se establezca la especificación común en cuestión.
CAPÍTULO IX
APLICACIÓN Y EJECUCIÓN
whereas