keyboard_tab Data Act 2023/2854 ES
BG CS DA DE EL EN ES ET FI FR GA HR HU IT LV LT MT NL PL PT RO SK SL SV print pdf
- 1 Artículo 1 Objeto y ámbito de aplicación
- 2 Artículo 28 Obligaciones de transparencia contractual en materia de acceso y transferencia internacionales
- 5 Artículo 32 Acceso y transferencia internacionales por parte de administraciones públicas
- 1 Artículo 35 Interoperabilidad de los servicios de tratamiento de datos
CAPÍTULO I
DISPOSICIONES GENERALES
CAPÍTULO II
INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA
CAPÍTULO III
OBLIGACIONES DE LOS TITULARES DE DATOS OBLIGADOS A PONER LOS DATOS A DISPOSICIÓN EN VIRTUD DEL DERECHO DE LA UNIÓN
CAPÍTULO IV
CLÁUSULAS CONTRACTUALES ABUSIVAS ENTRE EMPRESAS EN RELACIÓN CON EL ACCESO A LOS DATOS Y SU UTILIZACIÓN
CAPÍTULO V
PONER DATOS A DISPOSICIÓN DE LOS ORGANISMOS DEL SECTOR PÚBLICO, LA COMISIÓN, EL BANCO CENTRAL EUROPEO Y LOS ORGANISMOS DE LA UNIÓN EN RAZÓN DE NECESIDADES EXCEPCIONALES
CAPÍTULO VI
CAMBIO ENTRE SERVICIOS DE TRATAMIENTO DE DATOS
CAPÍTULO VII
ACCESO Y TRANSFERENCIA internacionalES ILÍCITOS DE DATOS NO PERSONALES POR PARTE DE ADMINISTRACIONES PÚBLICAS
CAPÍTULO VIII
INTEROPERABILIDAD
CAPÍTULO IX
APLICACIÓN Y EJECUCIÓN
CAPÍTULO X
DERECHO SUI GENERIS CON ARREGLO A LA DIRECTIVA 96/9/CE
CAPÍTULO XI
DISPOSICIONES FINALES
- datos
- metadatos
- datos personales
- datos no personales
- producto conectado
- servicio relacionado
- tratamiento
- servicio de tratamiento de datos
- mismo tipo de servicio
- servicio de intermediación de datos
- interesado
- usuario
- titular de datos
- destinatario de datos
- datos del producto
- datos de servicios relacionados
- datos fácilmente disponibles
- secreto comercial
- poseedor de un secreto comercial
- elaboración de perfiles
- comercialización
- introducción en el mercado
- consumidor
- empresa
- pequeña empresa
- microempresa
- organismos de la Unión
- organismo del sector público
- emergencia pública
- cliente
- asistentes virtuales
- activos digitales
- infraestructura de TIC local
- cambio
- costes de salida de datos
- costes por cambio
- equivalencia funcional
- datos exportables
- contrato inteligente
- interoperabilidad
- especificación de interoperabilidad abierta
- especificaciones comunes
- norma armonizada
- datos 86
- servicios 38
- tratamiento 31
- presente 27
- unión 26
- reglamento 25
- para 19
- interoperabilidad 18
- acceso 17
- derecho 17
- personales 14
- artículo 14
- nacional 14
- tercer 12
- portabilidad 11
- transferencia 11
- país 11
- ue / 11
- entre 11
- comisión 10
- aplica 10
- proveedores 9
- cuando 9
- proveedor 9
- el 9
- autoridad 9
- apartado 9
- refiere 9
- cambio 8
- estado 8
- normas 8
- dicha 8
- solicitud 7
- obligaciones 7
- sobre 7
- disposición 7
- seguridad 7
- destinatario 7
- cualquier 7
- contratos 7
- materia 7
- ejecución 7
- aplicaciones 7
- derechos 6
- inter 6
- las 6
- sentencia 6
- resolución 6
- establecidos 6
- competente 6
Artículo 1
Objeto y ámbito de aplicación
1. El presente Reglamento establece normas armonizadas sobre lo siguiente, entre otros:
| a) | la puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto_conectado o servicio_relacionado; |
| b) | la puesta a disposición de datos por parte de los titulares de datos en favor de los destinatarios de datos; |
| c) | la puesta a disposición de datos por parte de los titulares de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos_de_la_Unión, cuando exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público; |
| d) | la facilitación del cambio entre servicios de tratamiento de datos; |
| e) | la introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales, y |
| f) | el desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos. |
2. El presente Reglamento es aplicable a los datos personales y no personales, incluidos los siguientes tipos de datos, en los contextos siguientes:
| a) | el capítulo II se aplica a los datos, excepto el contenido, relativos al rendimiento, uso y entorno de los productos conectados y los servicios relacionados; |
| b) | el capítulo III se aplica a cualquier dato del sector privado que sea objeto de obligaciones legales de inter cambio de datos; |
| c) | el capítulo IV se aplica a cualquier dato del sector privado al que se acceda y que se utilice sobre la base de contratos entre empresas; |
| d) | el capítulo V se aplica a cualquier dato del sector privado, centrándose en los datos no personales; |
| e) | el capítulo VI se aplica a cualquier dato y servicio tratado por los proveedores de servicios de tratamiento de datos; |
| f) | el capítulo VII se aplica a cualquier dato no personal que se encuentre en la Unión por los proveedores de servicios de tratamiento de datos. |
3. El presente Reglamento se aplica a:
| a) | los fabricantes de productos conectados introducidos en el mercado de la Unión y los proveedores de servicios relacionados, independientemente del lugar de establecimiento de dichos fabricantes y proveedores; |
| b) | los usuarios de la Unión de los productos conectados o servicios relacionados a que se refiere la letra a); |
| c) | los titulares de datos, con independencia de su lugar de establecimiento, que pongan datos a disposición de los destinatarios de datos de la Unión; |
| d) | los destinatarios de datos de la Unión a cuya disposición se ponen datos; |
| e) | los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos_de_la_Unión que soliciten a los titulares de datos que pongan datos a su disposición cuando exista una necesidad excepcional de dichos datos para el desempeño de alguna tarea específica realizada en interés público, y a los titulares de datos que proporcionen esos datos en respuesta a dicha solicitud; |
| f) | los proveedores de servicios de tratamiento de datos, con independencia de su lugar de establecimiento, que presten dichos servicios a clientes de la Unión; |
| g) | los participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de un acuerdo. |
4. Cuando el presente Reglamento se refiera a productos conectados o servicios relacionados, se entenderá que incluyen también los asistentes_virtuales, en la medida en que interactúen con un producto_conectado o servicio_relacionado.
5. El presente Reglamento se entenderá sin perjuicio del Derecho de la Unión ni del Derecho nacional en materia de protección de datos personales, de la intimidad y de la confidencialidad de las comunicaciones e integridad de los equipos terminales, que se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento, en particular, los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva 2002/58/CE, incluidos los poderes y competencias de las autoridades de control y de los derechos de los interesados. En la medida en que los usuarios tengan la condición de interesados, los derechos establecidos en el capítulo II del presente Reglamento complementarán el derecho de acceso de los interesados y los derechos a la portabilidad de los datos con arreglo a los artículos 15 y 20 del Reglamento (UE) 2016/679. En caso de conflicto entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o de la intimidad, o la normativa nacional adoptada de conformidad con el Derecho de la Unión en la materia, prevalecerá el Derecho aplicable de la Unión o nacional en materia de protección de datos personales o de la intimidad.
6. El presente Reglamento no se aplica a los acuerdos voluntarios celebrados con vistas al inter cambio de datos entre entidades privadas y públicas, en particular a los acuerdos voluntarios para el inter cambio de datos, ni los condiciona.
El presente Reglamento no afecta a los actos jurídicos de la Unión o nacionales que contemplen el inter cambio, el acceso y la utilización de datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, o a efectos aduaneros y fiscales, en particular, los Reglamentos (UE) 2021/784, (UE) 2022/2065 y (UE) 2023/1543, y la Directiva (UE) 2023/1544, ni a la cooperación internacional en dicho ámbito. El presente Reglamento no se aplica a la recogida, inter cambio, acceso o utilización de datos en virtud del Reglamento (UE) 2015/847 y de la Directiva (UE) 2015/849. El presente Reglamento no se aplica a los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afecta a las competencias de los Estados miembros relativas a la seguridad pública, la defensa o la seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan confiado el desempeño de tareas en relación con dichas competencias, o de su facultad para salvaguardar otras funciones esenciales del Estado, incluida la garantía de la integridad territorial del Estado y el mantenimiento del orden público. El presente Reglamento no afecta a las competencias de los Estados miembros en materia de aduanas y administración fiscal, ni a la salud y seguridad ciudadanas.
7. El presente Reglamento complementa el enfoque de autorregulación del Reglamento (UE) 2018/1807 mediante la introducción de obligaciones de aplicabilidad general sobre el cambio de nube.
8. El presente Reglamento se entiende sin perjuicio de los actos jurídicos nacionales y de la Unión por los que se establece la protección de los derechos de propiedad intelectual, en particular, las Directivas 2001/29/CE, 2004/48/CE y (UE) 2019/790.
9. El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión con objeto de promover los intereses de los consumidores y garantizar un elevado nivel de protección de los consumidores, así como proteger su salud, su seguridad y sus intereses económicos, en particular, las Directivas 93/13/CEE, 2005/29/CE y 2011/83/UE.
10. El presente Reglamento no impide la celebración de contratos lícitos voluntarios de inter cambio de datos, incluidos los contratos celebrados sobre la base de la reciprocidad, que cumplan los requisitos establecidos en el presente Reglamento.
Artículo 28
Obligaciones de transparencia contractual en materia de acceso y transferencia internacionales
1. Los proveedores de servicios de tratamiento de datos pondrán a disposición en sus sitios web la siguiente información y la mantendrán actualizada:
| a) | la jurisdicción a la que está sujeta la infraestructura de TIC desplegada para el tratamiento de datos de sus servicios individuales; |
| b) | una descripción general de las medidas técnicas, organizativas y contractuales adoptadas por el proveedor de servicios de tratamiento de datos para impedir el acceso o transferencia internacionales por parte de las administraciones públicas de datos no personales que se encuentren en la Unión, cuando dicho acceso o transferencia pueda entrar en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate. |
2. Los sitios web a que se refiere el apartado 1 se enumerarán en los contratos de todos los servicios de tratamiento de datos ofrecidos por los proveedores de servicios de tratamiento de datos.
Artículo 31
Régimen específico para determinados servicios de tratamiento de datos
1. Las obligaciones establecidas en el artículo 23, letra d), en el artículo 29 y en el artículo 30, apartados 1 y 3, no se aplicarán a los servicios de tratamiento de datos una mayor parte de cuyas características principales se hayan desarrollado a medida para satisfacer las necesidades específicas de un cliente concreto o en los que todos los componentes se hayan desarrollado para los fines de un cliente concreto, y cuando esos servicios de tratamiento de datos no se ofrezcan a gran escala comercial a través del catálogo de servicios del proveedor de servicios de tratamiento de datos.
2. Las obligaciones establecidas en el presente capítulo no se aplicarán a los servicios de tratamiento de datos prestados como versión no destinada a la producción con fines de ensayo y evaluación y durante un período de tiempo limitado.
3. Antes de la celebración de un contrato sobre la prestación de los servicios de tratamiento de datos a que se refiere el presente artículo, el proveedor de servicios de tratamiento de datos informará al posible cliente de las obligaciones del presente capítulo que no sean aplicables.
CAPÍTULO VII
ACCESO Y TRANSFERENCIA internacionalES ILÍCITOS DE DATOS NO PERSONALES POR PARTE DE ADMINISTRACIONES PÚBLICAS
Artículo 32
Acceso y transferencia internacionales por parte de administraciones públicas
1. Los proveedores de servicios de tratamiento de datos personales adoptarán todas las medidas técnicas, organizativas y jurídicas adecuadas, lo que incluye la celebración de contratos, para impedir el acceso y la transferencia internacionales y por parte de las administraciones públicas de terceros países de datos no personales que se encuentren en la Unión, cuando dicha transferencia o acceso entren en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, sin perjuicio de lo dispuesto en los apartados 2 o 3.
2. Las resoluciones o sentencias de órganos jurisdiccionales de un tercer país y las decisiones de autoridades administrativas de un tercer país en las que se exija a un proveedor de servicios de tratamiento de datos transferir o dar acceso a datos no personales incluidos en el ámbito de aplicación del presente Reglamento que se encuentren en la Unión solo se reconocerá o ejecutará de cualquier forma si se basan en un acuerdo internacional, como un tratado de asistencia jurídica mutua, vigente entre el tercer país solicitante y la Unión o entre el tercer país solicitante y un Estado miembro.
3. En ausencia de un acuerdo internacional de los contemplados en el apartado 2, cuando un proveedor de servicios de tratamiento de datos sea el destinatario de una resolución o sentencia de un órgano jurisdiccional de un tercer país o de una decisión de una autoridad administrativa de un tercer país de transferir o dar acceso a datos no personales incluidos en el ámbito de aplicación del presente Reglamento que se encuentren en la Unión y el cumplimiento de dicha decisión entrañe el riesgo de que el destinatario entre en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, la transferencia a dichos datos o el acceso a los mismos por parte de dicha autoridad de un tercer país solo tendrá lugar cuando:
| a) | el sistema del tercer país exija que se expongan los motivos y la proporcionalidad de dicha resolución o sentencia y que la resolución o sentencia sea de carácter específico, por ejemplo, estableciendo un vínculo suficiente con determinadas personas sospechosas o infracciones; |
| b) | la oposición motivada del destinatario se someta a la apreciación de un órgano jurisdiccional competente del tercer país, y |
| c) | el órgano jurisdiccional competente del tercer país que dicte la resolución o sentencia o revise la resolución de una autoridad administrativa esté facultado, con arreglo al Derecho del tercer país, para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o por el Derecho nacional del Estado miembro pertinente. |
El destinatario de la resolución o sentencia podrá solicitar el dictamen del organismo nacional pertinente o de la autoridad competente en materia de cooperación internacional en asuntos jurídicos, con el fin de determinar si se cumplen las condiciones establecidas en el párrafo primero, en particular, cuando considere que la decisión puede referirse a secretos comerciales y otros datos sensibles desde el punto de vista comercial, así como a contenidos protegidos por derechos de propiedad intelectual, o que la transferencia puede dar lugar a una reidentificación. El organismo o autoridad nacional competente podrá consultar a la Comisión. Si el destinatario considera que la decisión o sentencia puede afectar a los intereses de la seguridad nacional o de la defensa de la Unión o de sus Estados miembros, solicitará el dictamen del organismo o autoridad nacional competente, a fin de determinar si los datos solicitados se refieren a intereses de seguridad nacional o de defensa de la Unión o de sus Estados miembros. Si el destinatario no ha recibido una respuesta en el plazo de un mes, o si el dictamen de tal organismo o autoridad llega a la conclusión de que no se cumplen las condiciones establecidas en el párrafo primero, el destinatario podrá denegar por esos motivos la solicitud de transferencia o acceso a datos no personales.
El CEID a que se refiere el artículo 42 asesorará y asistirá a la Comisión en la elaboración de directrices para la evaluación del cumplimiento de las condiciones establecidas en el párrafo primero del presente apartado.
4. Si se cumplen las condiciones establecidas en los apartados 2 o 3, el proveedor de servicios de tratamiento de datos proporcionará la cantidad mínima de datos permitida en respuesta a una solicitud, sobre la base de la interpretación razonable de dicha solicitud por parte del proveedor o del organismo o autoridad nacional competente a que se refiere el apartado 3, párrafo segundo.
5. Antes de dar cumplimiento a dicha solicitud, el proveedor de servicios de tratamiento de datos informará al cliente de que una autoridad de un tercer país ha presentado una solicitud de acceso a sus datos, excepto en los casos en que la solicitud sirva a fines de aplicación de la ley y mientras sea necesario para preservar la eficacia de las actividades correspondientes de aplicación de la ley.
CAPÍTULO VIII
INTEROPERABILIDAD
Artículo 35
Interoperabilidad de los servicios de tratamiento de datos
1. Las especificaciones de interoperabilidad abiertas y las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos deberán:
| a) | lograr, cuando sea técnicamente viable, la interoperabilidad entre distintos servicios de tratamiento de datos que cubran el mismo_tipo_de_servicio; |
| b) | mejorar la portabilidad de los activos_digitales entre distintos servicios de tratamiento de datos que cubran el mismo_tipo_de_servicio; |
| c) | facilitar, cuando sea técnicamente viable, la equivalencia_funcional entre los servicios de tratamiento de datos a que se refiere el artículo 30, apartado 1, que cubran el mismo_tipo_de_servicios; |
| d) | no afectar negativamente a la seguridad e integridad de los servicios de tratamiento de datos y de los datos; |
| e) | formularse de tal forma que permitan avances técnicos y la incorporación de nuevas funciones e innovaciones en los servicios de tratamiento de datos. |
2. Las especificaciones de interoperabilidad abiertas y las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos abordarán adecuadamente:
| a) | los aspectos de la interoperabilidad de la nube en lo que respecta a la interoperabilidad del transporte, la interoperabilidad sintáctica, la interoperabilidad semántica de los datos, la interoperabilidad conductual y la interoperabilidad de los marcos normativos; |
| b) | los aspectos de la portabilidad de los datos en la nube en lo que respecta a la portabilidad sintáctica de los datos, la portabilidad semántica de los datos y la portabilidad de los marcos normativos relativos a los datos; |
| c) | los aspectos de las aplicaciones en la nube en lo que respecta a la portabilidad sintáctica de las aplicaciones, la portabilidad de las instrucciones de las aplicaciones, la portabilidad de los meta datos de las aplicaciones, la portabilidad conductual de las aplicaciones y la portabilidad de los marcos normativos de las aplicaciones. |
3. Las especificaciones de interoperabilidad abiertas cumplirán lo dispuesto en el anexo II del Reglamento (UE) n.o 1025/2012.
4. Tras tener en cuenta las normas internacionales y europeas pertinentes y las iniciativas de autorregulación, la Comisión podrá, de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, pedir a una o varias organizaciones europeas de normalización que elaboren normas armonizadas que satisfagan los requisitos esenciales establecidos en los apartados 1 y 2 del presente artículo.
5. La Comisión podrá adoptar, mediante actos de ejecución, especificaciones_comunes sobre la base de especificaciones de interoperabilidad abiertas que cubran todos los requisitos esenciales establecidos en los apartados 1 y 2.
6. Cuando prepare el proyecto de acto de ejecución a que se refiere el apartado 5 del presente artículo, la Comisión tendrá en cuenta las opiniones de las autoridades competentes a que se refiere el artículo 37, apartado 5, letra h), y de otros organismos o grupos de expertos pertinentes, y consultará debidamente a todas las partes interesadas pertinentes.
7. Cuando un Estado miembro considere que una especificación común no cumple plenamente los requisitos establecidos en los apartados 1 y 2, informará de ello a la Comisión presentando una explicación detallada. La Comisión evaluará dicha explicación detallada y podrá modificar, si procede, el acto de ejecución por el que se establezca la especificación común en cuestión.
8. A efectos del artículo 30, apartado 3, la Comisión publicará, mediante actos de ejecución, las referencias de las normas armonizadas y las especificaciones_comunes para la interoperabilidad de los servicios de tratamiento de datos en un repositorio central de la Unión de normas para la interoperabilidad de los servicios de tratamiento de datos.
9. Los actos de ejecución a que se refiere el presente artículo se adoptarán de conformidad con el procedimiento de examen contemplado en el artículo 46, apartado 2.
whereas