El Reglamento (UE) nº 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) nº 2017/2394 y la Directiva (UE) nº 2020/1828 (“Reglamento de Datos”), representa un hito en la construcción de un mercado único digital europeo. Este nuevo marco legal busca establecer reglas armonizadas para la libre circulación de datos no personales, impulsando la innovación, la competencia y el crecimiento económico en la Unión Europea.
- Derecho de acceso a los datos no personales:
El derecho de acceso a los datos se aplica a una amplia gama de productos y servicios conectados, incluyendo:
- Dispositivos IoT (Internet de las Cosas): desde smartwatches hasta sensores inteligentes en el hogar.
- Vehículos conectados: que recopilan información sobre la conducción, el rendimiento del vehículo y el entorno.
- Máquinas inteligentes: como robots industriales y equipos médicos que generan datos sobre su funcionamiento y estado.
- Aplicaciones móviles: que recopilan información sobre la ubicación, el uso de la aplicación y las preferencias del usuario.
- Cualquier otro producto o servicio que genere datos no personales: como drones, sistemas de seguridad y dispositivos de monitorización.
Los usuarios podrán acceder a sus datos de diversas maneras, como:
- Descarga directa de los datos: en un formato legible por máquina.
- Visualización de los datos en un portal web o aplicación: proporcionada por el titular de los datos.
- Interfaz de programación de aplicaciones (API): para integrar los datos con otros servicios o aplicaciones.
Los datos deben ser accesibles en un formato abierto, legible por máquina y de uso común, por ejemplo, CSV o XML. Esto facilita a los usuarios el uso de sus datos con diferentes herramientas y aplicaciones.
En principio, el acceso a los datos debe ser gratuito para el usuario. Sin embargo, en casos excepcionales, se podrán cobrar costes razonables por la recuperación de los datos, como por ejemplo, si se requiere un esfuerzo considerable para recuperar los datos o si se trata de una solicitud voluminosa.
Antes de la compra o alquiler de un producto conectado o la contratación de un servicio relacionado, se debe proporcionar al usuario información clara y comprensible sobre:
- Los tipos de datos que se recopilan: qué información se recopila del usuario, como su ubicación, datos de uso del producto o preferencias.
- Las finalidades para las que se utilizan los datos: cómo se utilizarán los datos recopilados, por ejemplo, para mejorar el producto, ofrecer publicidad personalizada o realizar análisis de mercado.
- Los terceros con los que se comparten los datos: a quién se compartirán los datos del usuario, como proveedores de servicios o empresas de marketing.
- Las medidas de seguridad que se aplican a los datos: cómo se protegerán los datos del usuario, por ejemplo, mediante medidas de encriptación o control de acceso.
- Los derechos del usuario en relación con sus datos: qué derechos tiene el usuario sobre sus datos, como el derecho de acceso, rectificación, eliminación o limitación del tratamiento.
La información debe ser proporcionada en un formato claro, conciso y fácilmente accesible, por ejemplo, en un documento informativo, una política de privacidad o una etiqueta en el producto. Asimismo, dicha información debe ser proporcionada antes de que el usuario tome la decisión de comprar, alquilar o contratar el producto o servicio. Esto permite al usuario tomar una decisión informada sobre si desea o no utilizar el producto o servicio, teniendo en cuenta cómo se recopilarán, utilizarán y compartirán sus datos.
Los usuarios tienen derecho a acceder a sus datos no personales de productos y servicios relacionados, incluso si no pueden hacerlo directamente desde el producto o servicio. Los titulares de datos deben facilitar este acceso sin demora indebida, de forma gratuita, segura y en un formato fácil de usar. Esto se debe hacer a través de una simple solicitud por medios electrónicos, cuando sea posible. Los titulares de datos no deben dificultar el ejercicio de las opciones o derechos de los usuarios, ni ofrecer opciones de manera no neutral o influir en la toma de decisiones del usuario a través del diseño de la interfaz.
- Limitaciones al acceso a los datos:
El acceso a los datos de productos y servicios relacionados puede ser limitado o denegado por motivos de seguridad del producto, salud, seguridad o protección de las personas, o protección de secretos comerciales. En estos casos, se debe realizar un análisis que valore los riesgos y beneficios del acceso a los datos, priorizando la seguridad y el bienestar de las personas e intereses comerciales legítimos.
- Protección de secretos comerciales:
Las empresas que posean secretos comerciales tienen la obligación de tomar medidas razonables para protegerlos, como el uso de acuerdos de confidencialidad, control de acceso a la información y medidas de seguridad informática. El acceso a los datos por parte de terceros debe estar sujeto a estas mismas medidas de protección, y en caso de conflicto entre el titular de los datos y un tercero sobre la protección de secretos comerciales, se podrá recurrir a un órgano de resolución de litigios para garantizar un equilibrio entre los derechos e intereses de ambas partes
- Resolución de conflictos:
Los usuarios, titulares de datos y terceros podrán recurrir a diversos mecanismos para resolver los conflictos relacionados con el acceso a los datos y su utilización:
- Autoridades competentes en materia de protección de datos.
- Órganos de resolución de litigios alternativos.
- Tribunales judiciales.
- Intercambio de datos entre empresas:
El Reglamento sobre la Disponibilidad de Datos busca establecer un marco legal para el intercambio de datos entre empresas, balanceando los intereses comerciales con la protección de los usuarios. Este intercambio se regirá por principios de justicia, razonabilidad, no discriminación y transparencia. La Comisión Europea facilitará este proceso mediante la elaboración de cláusulas contractuales tipo. Además, se contempla la posibilidad de acordar una compensación justa y no discriminatoria por la puesta a disposición de datos, la cual no podrá superar los costes de esta para pymes y organizaciones de investigación sin ánimo de lucro.
- Acceso a los datos por parte del sector público:
Los organismos del sector público podrán solicitar datos a las empresas en casos excepcionales de necesidad, debidamente motivados. La solicitud debe especificar qué datos se necesitan, la finalidad de esta y las medidas de protección de datos que se aplicarán. El titular de los datos tiene derecho a denegar la solicitud o solicitar su modificación si no se cumplen las condiciones establecidas.
La interoperabilidad, cuyo objetivo es facilitar el intercambio de datos entre diferentes sistemas y servicios, se define en el Reglamento mediante tres requisitos fundamentales:
- Especificaciones comunes para los formatos de datos: Se establecen normas para que los datos sean comprensibles para todos los sistemas, independientemente de su origen o tecnología.
- Mecanismos de intercambio de datos: Se crean canales seguros y eficientes para la transferencia de datos entre diferentes sistemas.
- Espacios comunes europeos de datos: Se establecen plataformas centralizadas donde se almacenan y comparten datos específicos de un sector o ámbito de interés.
La combinación de estos tres requisitos permite una interoperabilidad efectiva, lo que facilita la colaboración, el análisis y la toma de decisiones basadas en datos a gran escala.
10. Sanciones:
Los Estados miembros establecerán un régimen de sanciones por infracciones al Reglamento. En este sentido, las sanciones deberán ser efectivas, proporcionadas y disuasorias, para lo que se tendrán en cuenta diversos criterios al imponer las sanciones, como la gravedad de la infracción, los beneficios obtenidos por el infractor… etc.
Conclusión:
El Reglamento de Datos que se aplicará a partir del 12 de septiembre de 2025 representa un paso crucial hacia la creación de un mercado único digital europeo para los datos no personales. Este nuevo marco legal busca fomentar la innovación, la competencia y el crecimiento económico, al tiempo que protege los derechos de los usuarios y la confidencialidad de los datos. La aplicación efectiva del Reglamento será clave para alcanzar sus objetivos y generar beneficios tangibles para la sociedad europea en su conjunto.