El Parlamento y el Consejo aprueban el reglamento para el acceso equitativo y el uso de los datos (Data Act)

04-12-2023 — AR/2023/135

Este nuevo reglamento regulará el acceso y la portabilidad de los datos recopilados en el «internet de las cosas», y requerirá que las entidades que los recopilan organicen su actividad para permitir el ejercicio de esos derechos de los usuarios.

El Consejo de la Unión Europea y el Parlamento Europeo han aprobado, el 27-11-2023, el reglamento sobre normas armonizadas para el acceso equitativo y el uso de los datos,1 conocido como Data Act, que complementa el reglamento de gobernanza de datos,2 conocido también como Data Governance Act, ambos en el marco de la Estrategia Europea de Datos.

Resumimos a continuación los aspectos principales de esta nueva norma

Proyecto de reglamento para el acceso y uso de los datos

Ámbito de la regulación

Este nuevo reglamento busca regular los datos procedentes de lo que se denomina «internet de las cosas» (IoT, en siglas inglesas), es decir, los datos derivados del uso o del entorno de los productos conectados a Internet y otras redes de comunicación y los servicios relacionados, que resultan indispensables para que el producto cumpla sus funciones.

Por tanto, afecta a datos personales y no personales.

El proyecto exonera a las microempresas y a las pequeñas empresas de las obligaciones de la norma siempre que no tengan otras empresas asociadas o vinculadas que no posean esa calificación.

Objetivo del reglamento

Según recoge el texto, el principal objetivo es lograr que el usuario:

  • acceda con facilidad a los datos generados por el uso de los productos y los servicios relacionados,
  • pueda hacerlo con seguridad, y
  • cuando proceda, lo haga de forma continua y en tiempo real.

Este derecho complementa el derecho a la portabilidad del artículo 20 del reglamento general de protección de datos3 (RGPD) cuando se trata de datos personales.

En detalle, recoge los siguientes objetivos:

  1. Asegurar la equidad en la asignación del valor de los datos.
  2. Estimular un mercado de datos competitivo.
  3. Generar posibilidades de innovación basada en los datos.
  4. Lograr que los datos sean más accesibles para todos.
  5. Facilitar a los consumidores el cambio de proveedor de servicios en la nube.
  6. Proteger contra las transferencias ilegales de datos.
  7. Prever la elaboración de normas de interoperabilidad para la reutilización de datos entre sectores.
  8. Permitir a los particulares y a las empresas un mayor control sobre sus datos fortaleciendo el derecho a la portabilidad de los datos.
  9. Proteger los secretos comerciales y la propiedad intelectual e industrial y salvaguardarlos contra posibles comportamientos abusivos.

El reglamento preserva la flexibilidad de los Estados para organizar las tareas de aplicación y cumplimiento en el ámbito nacional.

Obligaciones que impone

El reglamento obligará a los fabricantes de los productos y a los prestadores de los servicios relacionados, a los que denomina «titulares de los datos», a:

  • organizar su actividad de manera que se facilite el acceso a estos datos;
  • respetar el derecho de los usuarios de los productos y servicios relacionados a acceder y utilizar los datos generados de su uso, y a compartirlos con terceros.

Par compatibilizar este derecho con otros derechos e intereses que concurren en los datos regulados, la norma recoge cautelas en relación con:

  • los secretos comerciales, que solo se desvelarán si se toman medidas que preserven su confidencialidad;
  • la lealtad de la competencia, mediante la prohibición de utilizar los datos para desarrollar un producto que compita con el producto del que proceden;
  • la protección de datos, mediante la exigencia de que concurra un fundamento de licitud (artículo 6.1 del RGPD) y se cumplan las condiciones cualificadas para los datos de categorías especiales (artículo 9 del RGPD), para poner los datos personales a disposición de otros;
  • el respeto a la voluntad del usuario, al exigir al titular de los datos que solo se sirva de los datos si aquel lo ha autorizado en un contrato;
  • la consideración a los intereses públicos, al obligar a los titulares, incluidas las microempresas y las pequeñas empresas, a compartir los datos necesarios con organismos públicos en circunstancias excepcionales de emergencia, como inundaciones o incendios, o para cumplir una función de interés público.

Promulgación

Se espera la promulgación del reglamento en el Diario Oficial de la Unión Europea en las próximas semanas.

Entrará en vigor a los veinte días de su publicación y será aplicable veinte meses después.


1 (Proyecto) REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828. 2022/0047. (COD) PE-CONS 49/23. Bruselas, 15-11-2023.

2 Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos).
3 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).