keyboard_tab Data Act 2023/2854 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artículo 7 Ámbito de aplicación de las obligaciones de intercambio de datos de empresa a consumidor y de empresa a empresa
- 2 Artículo 17 Solicitudes de puesta a disposición de datos
- 1 Artículo 24 Alcance de las obligaciones técnicas
- 2 Artículo 31 Régimen específico para determinados servicios de tratamiento de datos
- 1 Artículo 34 Interoperabilidad a efectos del uso en paralelo de los servicios de tratamiento de datos
- 1 Artículo 37 Autoridades competentes y coordinadores de datos
CAPÍTULO I
DISPOSICIONES GENERALES
CAPÍTULO II
INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA
CAPÍTULO III
OBLIGACIONES DE LOS TITULARES DE DATOS OBLIGADOS A PONER LOS DATOS A DISPOSICIÓN EN VIRTUD DEL DERECHO DE LA UNIÓN
CAPÍTULO IV
CLÁUSULAS CONTRACTUALES ABUSIVAS ENTRE EMPRESAS EN RELACIÓN CON EL ACCESO A LOS DATOS Y SU UTILIZACIÓN
CAPÍTULO V
PONER DATOS A DISPOSICIÓN DE LOS ORGANISMOS DEL SECTOR PÚBLICO, LA COMISIÓN, EL BANCO CENTRAL EUROPEO Y LOS ORGANISMOS DE LA UNIÓN EN RAZÓN DE NECESIDADES EXCEPCIONALES
CAPÍTULO VI
CAMBIO ENTRE SERVICIOS DE TRATAMIENTO DE DATOS
CAPÍTULO VII
ACCESO Y TRANSFERENCIA INTERNACIONALES ILÍCITOS DE DATOS NO PERSONALES POR PARTE DE ADMINISTRACIONES PÚBLICAS
CAPÍTULO VIII
INTEROPERABILIDAD
CAPÍTULO IX
APLICACIÓN Y EJECUCIÓN
CAPÍTULO X
DERECHO SUI GENERIS CON ARREGLO A LA DIRECTIVA 96/9/CE
CAPÍTULO XI
DISPOSICIONES FINALES
- datos
- metadatos
- datos personales
- datos no personales
- producto conectado
- servicio relacionado
- tratamiento
- servicio de tratamiento de datos
- mismo tipo de servicio
- servicio de intermediación de datos
- interesado
- usuario
- titular de datos
- destinatario de datos
- datos del producto
- datos de servicios relacionados
- datos fácilmente disponibles
- secreto comercial
- poseedor de un secreto comercial
- elaboración de perfiles
- comercialización
- introducción en el mercado
- consumidor
- empresa
- pequeña empresa
- microempresa
- organismos de la Unión
- organismo del sector público
- emergencia pública
- cliente
- asistentes virtuales
- activos digitales
- infraestructura de TIC local
- cambio
- costes de salida de datos
- costes por cambio
- equivalencia funcional
- datos exportables
- contrato inteligente
- interoperabilidad
- especificación de interoperabilidad abierta
- especificaciones comunes
- norma armonizada
- datos 89
- presente 44
- para 35
- artículo 32
- reglamento 31
- aplicación 24
- servicios 24
- autoridades 24
- tratamiento 18
- competentes 17
- autoridad 16
- disposición 16
- cuando 16
- unión 15
- comisión 15
- solicitud 14
- empresa 13
- entidad 13
- apartado 12
- arreglo 12
- estado 12
- miembro 12
- competente 12
- conformidad 11
- central 11
- europeo 11
- banco 10
- titular 10
- obligaciones 9
- organismo_del_sector_público 9
- ue / 9
- ámbito 9
- artículo 9
- aplicarán 8
- público 8
- personales 8
- cumplimiento 8
- capítulo 8
- garantizar 8
- funciones 8
- proceda 8
- esté 8
- competencia 7
- las 7
- conectados 7
- estados 7
- legal 7
- representante 7
- miembros 7
- productos 7
Artículo 7
Ámbito de aplicación de las obligaciones de inter cambio de datos de empresa a consumidor y de empresa a empresa
1. Las obligaciones del presente capítulo no se aplicarán a los datos generados mediante el uso de productos conectados fabricados o diseñados o servicios relacionados prestados por una micro empresa o pequeña empresa, siempre que dicha empresa no tenga una empresa asociada o una empresa vinculada en el sentido del artículo 3 del anexo de la Recomendación 2003/361/CE, que no pueda considerarse micro empresa o pequeña empresa, y cuando no se haya subcontratado a la micro empresa o pequeña empresa para fabricar o diseñar un producto_conectado o para prestar un servicio_relacionado.
Lo mismo se aplicará a los datos generados mediante el uso de productos conectados fabricados o de servicios relacionados prestados por empresas que hayan adquirido la consideración de medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE hace menos de un año, y cuando se trate de productos conectados, durante un año después de que una mediana empresa los haya introducido en el mercado.
2. Ninguna cláusula contractual que, en detrimento del usuario, excluya la aplicación de los derechos del usuario en virtud del presente capítulo, establezca excepciones o modifique los efectos de esos derechos, será vinculante para el usuario.
CAPÍTULO III
OBLIGACIONES DE LOS TITULARES DE DATOS OBLIGADOS A PONER LOS DATOS A DISPOSICIÓN EN VIRTUD DEL DERECHO DE LA UNIÓN
Artículo 17
Solicitudes de puesta a disposición de datos
1. Cuando un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión solicite datos con arreglo al artículo 14, deberá:
| a) | especificar qué datos son necesarios, incluidos los meta datos pertinentes necesarios para interpretarlos y utilizarlos; |
| b) | demostrar que se cumplen las condiciones necesarias para la existencia de una necesidad excepcional a que se refiere el artículo 15 para la que se solicitan los datos; |
| c) | explicar la finalidad de la solicitud, la utilización prevista de los datos solicitados, incluso, cuando proceda, por un tercero de conformidad con el apartado 4 del presente artículo, la duración de dicha utilización y, en su caso, la forma en que el tratamiento de los datos personales responde a la necesidad excepcional; |
| d) | especificar, siempre que sea posible, cuándo se prevé que los datos sean suprimidos por todas las partes que tengan acceso a ellos; |
| e) | justificar la elección del titular de datos al que se dirige la solicitud; |
| f) | especificar todos los demás organismos del sector público o la Comisión, el Banco Central Europeo o los organismos_de_la_Unión y los terceros con los que se prevea compartir los datos solicitados; |
| g) | cuando se soliciten datos personales, especificar cualquier medida técnica y organizativa necesaria y proporcionada para aplicar los principios de protección de datos y las garantías necesarias, como la seudonimización, y si el titular de los datos puede aplicar la anonimización antes de poner los datos a disposición; |
| h) | indicar la disposición legal por la que se asigna al organismo_del_sector_público solicitante, a la Comisión, al Banco Central Europeo o a los organismos_de_la_Unión la tarea específica desempeñada en interés público pertinente para solicitar los datos; |
| i) | especificar el plazo en que deben ponerse los datos a disposición y el plazo a que se refiere el artículo 18, apartado 2, en que el titular de datos puede denegar o pedir la modificación de la solicitud; |
| j) | hacer todo lo posible por evitar que el cumplimiento de la solicitud de datos dé lugar a la responsabilidad de los titulares de datos por infracción del Derecho de la Unión o nacional. |
2. Toda solicitud de datos presentada con arreglo al apartado 1 del presente artículo deberá:
| a) | expresarse por escrito y en un lenguaje claro, conciso y sencillo comprensible para el titular de datos; |
| b) | ser específica por lo que respecta al tipo de datos solicitados y corresponder a datos que el titular de datos controle en el momento de la solicitud; |
| c) | guardar proporción con la necesidad excepcional y estar debidamente motivada, por lo que respecta a la granularidad y el volumen de los datos solicitados y la frecuencia de acceso a los datos solicitados; |
| d) | respetar los objetivos legítimos del titular de datos, con el compromiso de garantizar la protección de los secretos comerciales de conformidad con el artículo 19, apartado 3, y habida cuenta del coste y el esfuerzo necesarios para poner los datos a disposición; |
| e) | referirse a datos no personales y, sólo si se demuestra que ello es insuficiente para responder a la necesidad excepcional de utilizar datos, de conformidad con el artículo 15, apartado 1, letra a), solicitar datos personales en forma seudonimizada y establecer las medidas técnicas y organizativas que se vayan a adoptar para proteger los datos; |
| f) | informar al titular de datos de las sanciones que impondrá de conformidad con el artículo 40 la autoridad competente designada en cumplimiento del artículo 37 en caso de que no se atienda la solicitud; |
| g) | cuando la solicitud proceda de un organismo_del_sector_público, transmitirse al coordinador de datos a que se refiere el artículo 37 del Estado miembro en el que esté establecido el organismo_del_sector_público solicitante, que la hará pública en línea sin demora indebida, a menos que el coordinador de datos considere que dicha publicación podría crear un riesgo para la seguridad pública; |
| h) | cuando la solicitud proceda de la Comisión, el Banco Central Europeo o los organismos_de_la_Unión, ponerse a disposición en línea sin demora indebida; |
| i) | cuando se soliciten datos personales, notificarse sin demora indebida a la autoridad de control responsable de supervisar la aplicación del Reglamento (UE) 2016/679 en el Estado miembro en el que esté establecido el organismo_del_sector_público. |
El Banco Central Europeo y los organismos_de_la_Unión informarán a la Comisión de sus solicitudes.
3. Un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión no pondrá los datos obtenidos de conformidad con el presente capítulo a disposición para su reutilización tal como se define en el artículo 2, punto 2, del Reglamento (UE) 2022/868 o en el artículo 2, punto 11, de la Directiva (UE) 2019/1024. El Reglamento (UE) 2022/868 y la Directiva (UE) 2019/1024 no se aplicarán a aquellos datos en poder de organismos del sector público que se obtengan de conformidad con el presente capítulo.
4. Lo dispuesto en el apartado 3 del presente artículo no impedirá a un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión intercambiar los datos obtenidos con arreglo al presente capítulo con otro organismo_del_sector_público o la Comisión, el Banco Central Europeo o un organismo de la Unión con el fin de completar las tareas a que se refiere el artículo 15, tal como se especifica en la solicitud con arreglo al apartado 1, letra f), del presente artículo, ni poner los datos a disposición de un tercero en los casos en que se haya delegado en ese tercero, mediante un acuerdo disponible al público, la realización de inspecciones técnicas u otras funciones. Las obligaciones de los organismos del sector público con arreglo al artículo 19, en particular, las garantías para preservar la confidencialidad de los secretos comerciales, se aplicarán también a dichos terceros. Cuando un organismo_del_sector_público, la Comisión, el Banco Central Europeo o un organismo de la Unión transmita o ponga a disposición datos en aplicación del presente apartado, lo notificará al titular de datos del que haya recibido los datos sin demora indebida.
5. Cuando el titular de datos considere que sus derechos en virtud del presente capítulo han sido vulnerados por la transmisión o puesta a disposición de datos, podrá presentar una reclamación ante la autoridad competente designada en cumplimiento del artículo 37 del Estado miembro en el que esté establecido el titular de datos.
6. La Comisión elaborará un modelo para las solicitudes con arreglo al presente artículo.
Artículo 24
Alcance de las obligaciones técnicas
Las responsabilidades de los proveedores de servicios de tratamiento de datos establecidas en los artículos 23, 25, 29, 30 y 34, se aplicarán solo a los servicios, contratos o prácticas comerciales prestados por el proveedor de servicios de tratamiento de datos de origen.
Artículo 31
Régimen específico para determinados servicios de tratamiento de datos
1. Las obligaciones establecidas en el artículo 23, letra d), en el artículo 29 y en el artículo 30, apartados 1 y 3, no se aplicarán a los servicios de tratamiento de datos una mayor parte de cuyas características principales se hayan desarrollado a medida para satisfacer las necesidades específicas de un cliente concreto o en los que todos los componentes se hayan desarrollado para los fines de un cliente concreto, y cuando esos servicios de tratamiento de datos no se ofrezcan a gran escala comercial a través del catálogo de servicios del proveedor de servicios de tratamiento de datos.
2. Las obligaciones establecidas en el presente capítulo no se aplicarán a los servicios de tratamiento de datos prestados como versión no destinada a la producción con fines de ensayo y evaluación y durante un período de tiempo limitado.
3. Antes de la celebración de un contrato sobre la prestación de los servicios de tratamiento de datos a que se refiere el presente artículo, el proveedor de servicios de tratamiento de datos informará al posible cliente de las obligaciones del presente capítulo que no sean aplicables.
CAPÍTULO VII
ACCESO Y TRANSFERENCIA INTERNACIONALES ILÍCITOS DE DATOS NO PERSONALES POR PARTE DE ADMINISTRACIONES PÚBLICAS
Artículo 34
Interoperabilidad a efectos del uso en paralelo de los servicios de tratamiento de datos
1. Los requisitos establecidos en el artículo 23, el artículo 24, el artículo 25, apartado 2, letra a), incisos ii) y iv), letras e) y f), y el artículo 30, apartados 2 a 5, se aplicarán también mutatis mutandis a los proveedores de servicios de tratamiento de datos para facilitar la interoperabilidad a efectos del uso en paralelo de los servicios de tratamiento de datos.
2. Cuando un servicio de tratamiento de datos se utilice en paralelo con otro servicio de tratamiento de datos, los proveedores de servicios de tratamiento de datos podrán imponer costes de salida de datos, pero solo con el fin de repercutir los costes de salida soportados, sin superar dichos costes.
Artículo 37
Autoridades competentes y coordinadores de datos
1. Cada Estado miembro designará una o varias autoridades nacionales competentes para garantizar la aplicación y ejecución del presente Reglamento (en lo sucesivo, «autoridades competentes»). Los Estados miembros podrán establecer una o varias autoridades nuevas o recurrir a las autoridades existentes.
2. Cuando un Estado miembro designe más de una autoridad competente, designará a un coordinador de datos de entre ellas para facilitar la cooperación entre las autoridades competentes y ayudar a las entidades dentro del ámbito de aplicación del presente Reglamento en todas las cuestiones relacionadas con la aplicación y el control del cumplimiento de este. Las autoridades competentes cooperarán mutuamente en el ejercicio de las funciones y competencias que les hayan sido asignadas con arreglo al apartado 5.
3. Las autoridades de control responsables de supervisar la aplicación del Reglamento (UE) 2016/679 tendrán la responsabilidad de supervisar la aplicación del presente Reglamento en lo que respecta a la protección de los datos personales. Se aplicarán mutatis mutandis los capítulos VI y VII del Reglamento (UE) 2016/679.
El Supervisor Europeo de Protección de Datos tendrá la responsabilidad de supervisar la aplicación del presente Reglamento en lo que respecta a la Comisión, el Banco Central Europeo o los organismos_de_la_Unión. Cuando proceda, se aplicará mutatis mutandis el artículo 62 del Reglamento (UE) 2018/1725.
Las funciones y competencias de las autoridades de control a que se refiere el presente apartado se ejercerán respecto al tratamiento de datos personales.
4. Sin perjuicio de lo dispuesto en el apartado 1 del presente artículo:
| a) | para cuestiones sectoriales específicas de la utilización y acceso de datos relacionados con la aplicación del presente Reglamento, se respetará la competencia de las autoridades sectoriales; |
| b) | la autoridad competente responsable de la aplicación y ejecución de los artículos 23 a 31 y de los artículos 34 y 35 tendrá experiencia en el ámbito de los datos y los servicios de comunicaciones electrónicas. |
5. Los Estados miembros velarán por que las funciones y competencias de las autoridades competentes estén claramente definidas e incluyan:
| a) | fomentar la alfabetización en materia de datos y la sensibilización entre los usuarios y las entidades que entren en el ámbito de aplicación del presente Reglamento acerca de los derechos y obligaciones previstos en el presente Reglamento; |
| b) | tramitar las denuncias derivadas de supuestas infracciones del presente Reglamento, también en relación con secretos comerciales, investigar el objeto de las denuncias en la medida adecuada e informar periódicamente a los denunciantes, cuando proceda de conformidad con el Derecho nacional, sobre el curso y el resultado de la investigación en un plazo razonable, en particular cuando resulte necesario proseguir la investigación o coordinar actuaciones con otra autoridad competente; |
| c) | llevar a cabo investigaciones sobre asuntos que afecten a la aplicación del presente Reglamento, también sobre la base de información recibida de otra autoridad competente o autoridad pública; |
| d) | imponer sanciones económicas efectivas, proporcionadas y disuasorias, que pueden incluir multas coercitivas y multas con efecto retroactivo, o iniciar procedimientos judiciales para la imposición de multas; |
| e) | hacer un seguimiento de los avances tecnológicos y comerciales pertinentes para la puesta a disposición y utilización de datos; |
| f) | cooperar con las autoridades competentes de otros Estados miembros y, cuando proceda, con la Comisión o el CEID, para garantizar la aplicación coherente y eficiente del presente Reglamento, lo que incluye el inter cambio de toda la información pertinente por medios electrónicos, sin demora indebida, también con respecto al apartado 10 del presente artículo; |
| g) | cooperar con las autoridades competentes pertinentes responsables de la aplicación de otros actos jurídicos de la Unión o nacionales, también con las autoridades competentes en el ámbito de los datos y los servicios de comunicaciones electrónicas, con la autoridad de control responsable del seguimiento de la aplicación del Reglamento (UE) 2016/679 o con las autoridades sectoriales para garantizar que el presente Reglamento se aplica de manera coherente con otras disposiciones del Derecho de la Unión y nacional; |
| h) | cooperar con las autoridades competentes pertinentes para garantizar que los artículos 23 a 31 y los artículos 34 y 35 se cumplan de manera coherente con otras disposiciones del Derecho de la Unión y medidas de autorregulación aplicables a los proveedores de servicios de tratamiento de datos; |
| i) | velar por la supresión de los costes por cambio de conformidad con el artículo 29; |
| j) | examinar las solicitudes de datos formuladas con arreglo al capítulo V. |
Si se ha designado, el coordinador de datos facilitará la cooperación a que se refieren las letras f), g) y h) del párrafo primero y asistirá a las autoridades competentes si estas lo solicitan.
6. En caso de que dicha autoridad competente haya sido designada, el coordinador de datos deberá:
| a) | actuar como punto de contacto único para todas las cuestiones relacionadas con la aplicación del presente Reglamento; |
| b) | asegurar la disponibilidad pública en línea de las solicitudes de puesta a disposición de datos presentadas por organismos del sector público en los casos de necesidad excepcional con arreglo al capítulo V y promover acuerdos voluntarios de inter cambio de datos entre organismos del sector público y titulares de datos; |
| c) | informar anualmente a la Comisión de las denegaciones notificadas con arreglo al artículo 4, apartados 2 y 8, y al artículo 5, apartado 11. |
7. Los Estados miembros notificarán a la Comisión los nombres de las autoridades competentes y sus funciones y competencias, así como, cuando proceda, el nombre del coordinador de datos. La Comisión mantendrá un registro público de dichas autoridades.
8. En el ejercicio de sus funciones y competencias de conformidad con el presente Reglamento, las autoridades competentes se mantendrán imparciales y no estarán sometidas a ninguna influencia externa, ya sea directa o indirecta, y no solicitarán ni aceptarán instrucciones para casos concretos de ninguna otra autoridad pública o entidad privada.
9. Los Estados miembros velarán por dotar a las autoridades competentes de los recursos técnicos y humanos suficientes y de los conocimientos especializados pertinentes para el ejercicio adecuado de sus funciones de conformidad con el presente Reglamento.
10. Las entidades incluidas en el ámbito de aplicación del presente Reglamento estarán sujetas a la competencia del Estado miembro en el que esté establecida la entidad. Cuando la entidad esté establecida en más de un Estado miembro, se considerará que es competencia del Estado miembro en el que tenga su establecimiento principal, es decir, donde la entidad tenga su domicilio social o administración central, desde el que se ejerza las principales funciones financieras y el control operativo.
11. Toda entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión y que no esté establecida en la Unión designará un representante legal en uno de los Estados miembros.
12. A efectos de garantizar el cumplimiento del presente Reglamento, toda entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión, otorgará un mandato a un representante legal para que las autoridades competentes se pongan en contacto con dicho representante, además o en lugar de la entidad, en relación con todas las cuestiones relacionadas con esta. Dicho representante legal cooperará y demostrará exhaustivamente a las autoridades competentes, previa solicitud, las medidas y las disposiciones adoptadas por la entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión, a fin de garantizar el cumplimiento del presente Reglamento.
13. Se considerará que toda entidad incluida en el ámbito de aplicación del presente Reglamento que ponga a disposición productos conectados u ofrezca servicios en la Unión queda sometida a la competencia del Estado miembro en el que esté ubicado su representante legal. La designación de un representante legal por tal entidad se entenderá sin perjuicio de las responsabilidades que se puedan exigir a dicha entidad y de cualesquiera acciones legales que puedan ejercitarse contra ella. Hasta que designe a un representante legal de conformidad con el presente artículo, la entidad será competencia de todos los Estados miembros, cuando proceda, a efectos de garantizar la aplicación y ejecución del presente Reglamento. Cualquier autoridad competente podrá ejercer su competencia, incluso imponiendo sanciones efectivas, proporcionadas y disuasorias, siempre que la entidad no esté sujeta a procedimientos de ejecución en virtud del presente Reglamento por los mismos hechos por otra autoridad competente.
14. Las autoridades competentes estarán facultadas para solicitar a los usuarios, titulares de datos o destinatarios de datos, o a sus representantes legales, que sean competencia de su Estado miembro, toda la información necesaria para verificar el cumplimiento del presente Reglamento. Las solicitudes de información serán proporcionadas al cumplimiento de la tarea subyacente y estarán motivadas.
15. Cuando una autoridad competente de un Estado miembro solicite asistencia o medidas de ejecución a una autoridad competente de otro Estado miembro, presentará una solicitud motivada. Una vez recibida dicha solicitud, la autoridad competente responderá, sin demora indebida, detallando las medidas adoptadas o previstas.
16. Las autoridades competentes respetarán los principios de confidencialidad y de secreto profesional y comercial, y protegerán los datos de carácter personal con arreglo al Derecho de la Unión o nacional. Toda la información intercambiada en el contexto de una solicitud de asistencia y proporcionada en virtud del presente artículo se utilizará únicamente en relación con el asunto para el que se solicitó.
whereas