REGLAMENTO (UE) 2023/2854 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 13 de diciembre de 2023
sobre normas armonizadas para un acceso y un uso justos de los datos y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Ley de datos)
Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,
Vista la propuesta de la Comisión Europea,
Tras la transmisión del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Banco Central Europeo (1),
Visto el dictamen del Comité Económico y Social Europeo (2),
Visto el dictamen del Comité de las Regiones (3),
Actuando con arreglo al procedimiento legislativo ordinario (4),
Considerando que:
(1) En los últimos años, las tecnologías basadas en datos han tenido efectos transformadores en todos los sectores de la economía. En particular, la proliferación de productos conectados a internet ha incrementado el volumen y el valor potencial de los datos para los consumidores, las empresas y la sociedad. Los datos de alta calidad e interoperables procedentes de distintos ámbitos aumentan la competitividad y la innovación y garantizan un crecimiento económico sostenible. Los mismos datos pueden utilizarse y reutilizarse para diversos fines y hasta un grado ilimitado, sin pérdida de calidad o cantidad.
(2) Los obstáculos a la puesta en común de datos impiden una asignación óptima de los mismos en beneficio de la sociedad. Entre esos obstáculos figuran la falta de incentivos para que los titulares de los datos suscriban voluntariamente acuerdos de puesta en común de datos, la incertidumbre sobre los derechos y obligaciones en relación con los datos, los costes de contratación e implantación de interfaces técnicas, el alto nivel de fragmentación de la información en silos de datos, la mala gestión de los metadatos, la ausencia de normas de interoperabilidad semántica y técnica, los cuellos de botella que impiden el acceso a los datos, la falta de prácticas comunes de puesta en común de datos y el abuso de desequilibrios contractuales en relación con el acceso y el uso de los datos.
(3) En los sectores caracterizados por la presencia de microempresas, pequeñas empresas y medianas empresas, tal como se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión (5) (PYME), a menudo se carece de capacidades y competencias digitales para recopilar, analizar y utilizar los datos, y con frecuencia el acceso está restringido cuando un actor los posee en el sistema o debido a la falta de interoperabilidad entre los datos, entre los servicios de datos o a través de las fronteras.
(4) Para responder a las necesidades de la economía digital y eliminar los obstáculos al buen funcionamiento del mercado interior de datos, es necesario establecer un marco armonizado que especifique quién tiene derecho a utilizar datos de productos o datos de servicios relacionados, en qué condiciones y sobre qué base. En consecuencia, los Estados miembros no deben adoptar ni mantener requisitos nacionales adicionales en relación con las materias que entran en el ámbito de aplicación del presente Reglamento, a menos que se prevea explícitamente en el mismo, ya que ello afectaría a su aplicación directa y uniforme. Por otra parte, la actuación a escala de la Unión debe entenderse sin perjuicio de las obligaciones y compromisos que se deriven de los acuerdos comerciales internacionales celebrados por la Unión.
(5) El presente Reglamento garantiza que los usuarios de un producto conectado o de un servicio relacionado en la Unión puedan acceder, en tiempo oportuno, a los datos generados por el uso de dicho producto conectado o servicio relacionado y que dichos usuarios puedan utilizar los datos, incluso compartiéndolos con terceros de su elección. Impone a los titulares de los datos la obligación de ponerlos a disposición de los usuarios y de terceros de su elección en determinadas circunstancias. También garantiza que los titulares de los datos los pongan a disposición de sus destinatarios en la Unión en condiciones justas, razonables y no discriminatorias y de manera transparente. Las normas de Derecho privado son fundamentales en el marco general del intercambio de datos. Por ello, el presente Reglamento adapta las normas del Derecho contractual e impide la explotación de desequilibrios contractuales que obstaculicen el acceso y el uso equitativos de los datos. Este Reglamento también garantiza que los titulares de los datos pongan a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión, cuando exista una necesidad excepcional, los datos que sean necesarios para el desempeño de una tarea específica realizada en interés público. Además, el presente Reglamento pretende facilitar el cambio entre servicios de tratamiento de datos y mejorar la interoperabilidad de los datos y de los mecanismos y servicios de intercambio de datos en la Unión. El presente Reglamento no debe interpretarse en el sentido de que reconoce o confiere un nuevo derecho a los titulares de los datos a utilizar los datos generados por el uso de un producto conectado o un servicio relacionado.
(6) La generación de datos es el resultado de las acciones de al menos dos actores, en particular el diseñador o fabricante de un producto conectado, que en muchos casos también puede ser un proveedor de servicios relacionados, y el usuario del producto conectado o servicio relacionado. Plantea cuestiones de equidad en la economía digital, ya que los datos registrados por los productos conectados o los servicios relacionados son un insumo importante para los servicios posventa, auxiliares y de otro tipo. Con el fin de aprovechar los importantes beneficios económicos de los datos, en particular mediante su puesta en común sobre la base de acuerdos voluntarios y el desarrollo de la creación de valor basada en los datos por parte de las empresas de la Unión, es preferible un enfoque general para asignar derechos relativos al acceso a los datos y a su uso, en lugar de conceder derechos exclusivos de acceso y uso. El presente Reglamento establece normas horizontales que podrían ser seguidas por la legislación de la Unión o nacional que aborde las situaciones específicas de los sectores pertinentes.
(7) El derecho fundamental a la protección de los datos personales está salvaguardado, en particular, por los Reglamentos (UE) 2016/679 (6) y (UE) 2018/1725 (7) del Parlamento Europeo y del Consejo. La Directiva 2002/58/CE del Parlamento Europeo y del Consejo (8) protege además la vida privada y la confidencialidad de las comunicaciones, incluso mediante condiciones sobre cualquier dato personal y no personal que se almacene en los equipos terminales y sobre el acceso a los mismos. Estos actos legislativos de la Unión sientan las bases para un tratamiento de datos sostenible y responsable, incluso cuando los conjuntos de datos incluyen una combinación de datos personales y no personales. El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión en materia de protección de los datos personales y de la intimidad, en particular los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva 2002/58/CE. Ninguna disposición del presente Reglamento debe aplicarse o interpretarse de manera que disminuya o limite el derecho a la protección de los datos personales o el derecho a la intimidad y a la confidencialidad de las comunicaciones. Todo tratamiento de datos personales con arreglo al presente Reglamento debe cumplir el Derecho de la Unión en materia de protección de datos, incluido el requisito de una base jurídica válida para el tratamiento con arreglo al artículo 6 del Reglamento (UE) 2016/679 y, en su caso, las condiciones del artículo 9 de dicho Reglamento y del artículo 5, apartado 3, de la Directiva 2002/58/CE. El presente Reglamento no constituye una base jurídica para la recogida o generación de datos personales por parte del titular de los datos. El presente Reglamento impone a los titulares de datos la obligación de poner los datos personales a disposición de los usuarios o de terceros elegidos por el usuario a petición de éste. Dicho acceso debe facilitarse a los datos personales que sean tratados por el titular de los datos sobre la base de cualquiera de las bases jurídicas a que se refiere el artículo 6 del Reglamento (UE) 2016/679. Cuando el usuario no sea el interesado, el presente Reglamento no crea una base jurídica para facilitar el acceso a los datos personales o para ponerlos a disposición de un tercero y no debe entenderse que confiere ningún derecho nuevo al titular de los datos a utilizar los datos personales generados por el uso de un producto conectado o un servicio relacionado. En esos casos, podría interesar al usuario facilitar el cumplimiento de los requisitos del artículo 6 del Reglamento (UE) 2016/679. Dado que el presente Reglamento no debe afectar negativamente a los derechos de protección de datos de los interesados, el titular de los datos puede satisfacer las solicitudes en esos casos, entre otras cosas, anonimizando los datos personales o, cuando los datos fácilmente disponibles contengan datos personales de varios interesados, transmitiendo únicamente los datos personales relativos al usuario.
(8) Los principios de minimización de datos y de protección de datos desde el diseño y por defecto son esenciales cuando el tratamiento entraña riesgos significativos para los derechos fundamentales de las personas. Teniendo en cuenta el estado de la técnica, todas las partes en el intercambio de datos, incluido el que entra en el ámbito de aplicación del presente Reglamento, deben aplicar medidas técnicas y organizativas para proteger esos derechos. Dichas medidas incluyen no sólo la seudonimización y el cifrado, sino también el uso de una tecnología cada vez más disponible que permite aplicar algoritmos a los datos y obtener información valiosa sin necesidad de transmitir los datos brutos o estructurados entre las partes o de copiarlos innecesariamente.
(9) Salvo disposición en contrario del presente Reglamento, éste no afecta al Derecho contractual nacional, incluidas las normas relativas a la formación, la validez o los efectos de los contratos, o a las consecuencias de la resolución de un contrato. El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión que tiene por objeto promover los intereses de los consumidores y garantizarles un alto nivel de protección, así como proteger su salud, su seguridad y sus intereses económicos, en particular la Directiva 93/13/CEE del Consejo (9) y las Directivas 2005/29/CE (10) y 2011/83/UE (11) del Parlamento Europeo y del Consejo.
(10) El presente Reglamento se entiende sin perjuicio de los actos jurídicos de la Unión y nacionales que prevean el intercambio de datos, el acceso a los mismos y su utilización con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o para la ejecución de sanciones penales, o con fines aduaneros y fiscales, con independencia de la base jurídica en virtud del Tratado de Funcionamiento de la Unión Europea (TFUE) sobre la que se hayan adoptado dichos actos jurídicos de la Unión, así como a la cooperación internacional en ese ámbito, en particular sobre la base del Convenio del Consejo de Europa sobre la Ciberdelincuencia, (STE n.º 185), hecho en Budapest el 23 de noviembre de 2001. Dichos actos incluyen los Reglamentos (UE) 2021/784 (12), (UE) 2022/2065 (13) y (UE) 2023/1543 (14) del Parlamento Europeo y del Consejo y la Directiva (UE) 2023/1544 del Parlamento Europeo y del Consejo (15). El presente Reglamento no se aplica a la recogida o puesta en común de datos, al acceso a los mismos o a su utilización en virtud del Reglamento (UE) 2015/847 del Parlamento Europeo y del Consejo (16) y de la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (17). El presente Reglamento no se aplica a ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afecta a las competencias de los Estados miembros en materia de seguridad pública, defensa o seguridad nacional, administración aduanera y fiscal o salud y seguridad de los ciudadanos, independientemente del tipo de entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) encargados por los Estados miembros de llevar a cabo tareas relacionadas con dichas competencias.
(11) El Derecho de la Unión por el que se establecen requisitos de diseño físico y datos para los productos que vayan a comercializarse en el mercado de la Unión no debe verse afectado, salvo disposición específica del presente Reglamento.
(12) El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión destinado a establecer requisitos de accesibilidad en determinados productos y servicios, en particular la Directiva (UE) 2019/882 del Parlamento Europeo y del Consejo (18).
(13) El presente Reglamento se entiende sin perjuicio de los actos jurídicos de la Unión y nacionales que establecen la protección de los derechos de propiedad intelectual, incluidas las Directivas 2001/29/CE (19), 2004/48/CE (20) y (UE) 2019/790 (21) del Parlamento Europeo y del Consejo.
(14) Productos conectados que obtienen, generan o recogen, por medio de sus componentes o sistemas operativos, datos relativos a su rendimiento, uso o entorno y que son capaces de comunicar dichos datos a través de un servicio de comunicaciones electrónicasServicio de comunicaciones electrónicas Significa un servicio prestado normalmente a cambio de una remuneración a través de redes de comunicaciones electrónicas, que engloba, con excepción de los servicios que proporcionan contenidos transmitidos utilizando redes y servicios de comunicaciones electrónicas o ejercen un control editorial sobre ellos, los siguientes tipos de servicios: a) "servicio de acceso a internet", tal como se define en el artículo 2, párrafo segundo, punto 2, del Reglamento (UE) 2015/2120; b) servicio de comunicaciones interpersonales; y c) servicios consistentes, en su totalidad o principalmente, en el transporte de señales, como los servicios de transmisión utilizados para la prestación de servicios de máquina a máquina y para la radiodifusión. - Definición según el artículo 2, punto (4), de la Directiva (UE) 2018/1972Los servicios de comunicaciones electrónicas que no requieran una conexión física o un acceso a través de un dispositivo, a menudo denominados "Internet de los objetos", deben entrar en el ámbito de aplicación del presente Reglamento, con excepción de los prototipos. Como ejemplos de tales servicios de comunicaciones electrónicas cabe citar, en particular, las redes telefónicas terrestres, las redes de televisión por cable, las redes por satélite y las redes de comunicación de campo cercano. Los productos conectados se encuentran en todos los aspectos de la economía y la sociedad, incluidas las infraestructuras privadas, civiles o comerciales, los vehículos, los equipos sanitarios y de estilo de vida, los buques, las aeronaves, los equipos domésticos y los bienes de consumo, los dispositivos médicos y sanitarios o la maquinaria agrícola e industrial. Las opciones de diseño de los fabricantes y, en su caso, la legislación de la Unión o nacional que aborde las necesidades y objetivos específicos del sector o las decisiones pertinentes de las autoridades competentes, deben determinar qué datos puede poner a disposición un producto conectado.
(15) Los datos representan la digitalización de las acciones y eventos del usuario y, en consecuencia, deben ser accesibles al usuario. Las normas para el acceso y el uso de los datos de los productos conectados y los servicios relacionados en virtud del presente Reglamento se refieren tanto a los datos de los productos como a los datos de los servicios relacionados. Por datos de productos se entienden los datos generados por el uso de un producto conectado que el fabricante ha diseñado para que un usuario, el titular de los datos o un tercero, incluido, en su caso, el fabricante, puedan recuperar del producto conectado. Los datos de servicios relacionados se refieren a datos que también representan la digitalización de acciones o eventos del usuario relacionados con el producto conectado que se generan durante la prestación de un servicio relacionado por parte del proveedor. Debe entenderse que los datos generados por el uso de un producto conectado o un servicio relacionado abarcan los datos registrados intencionadamente o los datos que resultan indirectamente de la acción del usuario, como los datos sobre el entorno o las interacciones del producto conectado. Esto debe incluir los datos sobre el uso de un producto conectado generados por una interfaz de usuario o a través de un servicio relacionado, y no debe limitarse a la información de que dicho uso tuvo lugar, sino que debe incluir todos los datos que el producto conectado genera como resultado de dicho uso, como los datos generados automáticamente por sensores y los datos registrados por aplicaciones integradas, incluidas las aplicaciones que indican el estado y el mal funcionamiento del hardware. También deben incluirse los datos generados por el producto conectado o el servicio relacionado durante los períodos de inactividad del usuario, como cuando el usuario decide no utilizar un producto conectado durante un período de tiempo determinado y mantenerlo en modo de espera o incluso apagado, ya que el estado de un producto conectado o de sus componentes, por ejemplo sus baterías, puede variar cuando el producto conectado está en modo de espera o apagado. Los datos que no han sido modificados sustancialmente, es decir, los datos en bruto, también conocidos como datos de origen o primarios, que se refieren a puntos de datos que se generan automáticamente sin ninguna otra forma de tratamiento, así como los datos que han sido pretratados con el fin de hacerlos comprensibles y utilizables antes de su posterior tratamiento y análisis, entran en el ámbito de aplicación del presente Reglamento. Dichos datos incluyen los datos recogidos de un único sensor o de un grupo conectado de sensores con el fin de hacerlos comprensibles para casos de uso más amplios mediante la determinación de una cantidad o cualidad física o el cambio de una cantidad física, como la temperatura, la presión, el caudal, el audio, el valor de pH, el nivel de líquido, la posición, la aceleración o la velocidad. El término "datos preprocesados" no debe interpretarse de manera que imponga al titular de los datos la obligación de realizar inversiones sustanciales en la limpieza y transformación de los datos. Los datos que se pongan a disposición deben incluir los metadatos pertinentes, incluidos su contexto básico y su marca de tiempo, para que puedan utilizarse, combinados con otros datos, como datos ordenados y clasificados con otros puntos de datos relacionados con ellos, o reformateados en un formato de uso común. Tales datos son potencialmente valiosos para el usuario y apoyan la innovación y el desarrollo de servicios digitales y de otro tipo para proteger el medio ambiente, la salud y la economía circular, incluso facilitando el mantenimiento y la reparación de los productos conectados en cuestión. Por el contrario, la información inferida o derivada de tales datos, que es el resultado de inversiones adicionales para asignar valores o percepciones a partir de los datos, en particular mediante algoritmos patentados y complejos, incluidos los que forman parte de programas informáticos patentados, no debe considerarse incluida en el ámbito de aplicación del presente Reglamento y, por consiguiente, no debe estar sujeta a la obligación de un titular de datos de ponerla a disposición de un usuario o de un destinatario de datos, salvo acuerdo en contrario entre el usuario y el titular de los datos. Tales datos podrían incluir, en particular, información derivada mediante la fusión de sensores, que infiere o deriva datos de múltiples sensores, recogidos en el producto conectado, utilizando algoritmos patentados y complejos y que podrían estar sujetos a derechos de propiedad intelectual.
(16) El presente Reglamento permite a los usuarios de productos conectados beneficiarse de servicios posventa, auxiliares y de otro tipo basados en los datos recogidos por los sensores integrados en dichos productos, ya que la recogida de estos datos puede ser útil para mejorar el rendimiento de los productos conectados. Es importante distinguir entre, por una parte, los mercados de suministro de tales productos conectados equipados con sensores y servicios conexos y, por otra, los mercados de programas informáticos y contenidos no relacionados, como los contenidos textuales, sonoros o audiovisuales, a menudo amparados por derechos de propiedad intelectual. En consecuencia, los datos que dichos productos conectados equipados con sensores generan cuando el usuario graba, transmite, muestra o reproduce contenidos, así como los propios contenidos, que a menudo están cubiertos por derechos de propiedad intelectual, entre otras cosas para su uso por un servicio en línea, no deben estar cubiertos por el presente Reglamento. El presente Reglamento tampoco debe abarcar los datos obtenidos, generados o a los que se haya accedido desde el producto conectado, o que se hayan transmitido al mismo, con fines de almacenamiento u otras operaciones de tratamiento por cuenta de terceros que no sean el usuario, como puede ser el caso de los servidores o la infraestructura en nube operados por sus propietarios íntegramente por cuenta de terceros, entre otras cosas para su uso por un servicio en línea.
(17) Es necesario establecer normas relativas a los productos que están conectados a un servicio relacionado en el momento de la compra, el alquiler o el arrendamiento financiero, de tal manera que su ausencia impediría al producto conectado realizar una o varias de sus funciones, o que es conectado posteriormente al producto por el fabricante o un tercero para añadir o adaptar la funcionalidad del producto conectado. Estos servicios relacionados implican el intercambio de datos entre el producto conectado y el proveedor de servicios y deben entenderse explícitamente vinculados al funcionamiento de las funciones del producto conectado, como los servicios que, en su caso, transmiten órdenes al producto conectado que pueden influir en su acción o comportamiento. Los servicios que no repercuten en el funcionamiento del producto conectado y que no implican la transmisión de datos u órdenes al producto conectado por parte del proveedor de servicios no deben considerarse servicios relacionados. Tales servicios podrían incluir, por ejemplo, servicios auxiliares de consultoría, análisis o financieros, o reparaciones y mantenimiento periódicos. Los servicios relacionados pueden ofrecerse como parte del contrato de compra, alquiler o arrendamiento. Los servicios relacionados también podrían prestarse para productos del mismo tipo y los usuarios podrían esperar razonablemente que se prestaran teniendo en cuenta la naturaleza del producto relacionado y cualquier declaración pública realizada por o en nombre del vendedor, arrendador, arrendatario u otras personas en eslabones anteriores de la cadena de transacciones, incluido el fabricante. Estos servicios relacionados pueden generar por sí mismos datos de valor para el usuario independientemente de las capacidades de recopilación de datos del producto conectado con el que están interconectados. El presente Reglamento también debe aplicarse a un servicio relacionado que no sea prestado por el propio vendedor, arrendador o arrendatario, sino que sea prestado por un tercero. En caso de duda sobre si el servicio se presta como parte del contrato de compra, alquiler o arrendamiento, debe aplicarse el presente Reglamento. Ni el suministro eléctrico, ni el suministro de la conectividad deben interpretarse como servicios relacionados en virtud del presente Reglamento.
(18) Por usuario de un producto conectado debe entenderse una persona física o jurídica, como una empresa, un consumidor o un organismo del sector público, que posee un producto conectado, ha recibido determinados derechos temporales, por ejemplo mediante un contrato de alquiler o arrendamiento, para acceder a los datos obtenidos del producto conectado o utilizarlos, o recibe servicios relacionados para el producto conectado. Estos derechos de acceso no deben alterar ni interferir en modo alguno con los derechos de los interesados que puedan estar interactuando con un producto conectado o un servicio relacionado en relación con los datos personales generados por el producto conectado o durante la prestación del servicio relacionado. El usuario asume los riesgos y disfruta de los beneficios de la utilización del producto conectado y también debe disfrutar del acceso a los datos que genera. Por lo tanto, el usuario debe tener derecho a beneficiarse de los datos generados por ese producto conectado y cualquier servicio relacionado. También debe considerarse usuario a un propietario, arrendatario o arrendatario, incluso cuando varias entidades puedan considerarse usuarios. En el contexto de varios usuarios, cada uno de ellos puede contribuir de manera diferente a la generación de datos y tener interés en varias formas de uso, como la gestión de flotas para una empresa de arrendamiento, o soluciones de movilidad para particulares que utilicen un servicio de uso compartido de vehículos.
(19) La alfabetización en materia de datos se refiere a las capacidades, los conocimientos y la comprensión que permiten a los usuarios, los consumidores y las empresas, en particular las PYME incluidas en el ámbito de aplicación del presente Reglamento, adquirir conciencia del valor potencial de los datos que generan, producen y comparten y que están motivados para ofrecer y facilitar el acceso a los mismos de conformidad con las normas jurídicas pertinentes. La alfabetización en materia de datos debe ir más allá del aprendizaje sobre herramientas y tecnologías y tener como objetivo dotar a los ciudadanos y a las empresas de la capacidad de beneficiarse de un mercado de datos inclusivo y justo. La difusión de medidas de alfabetización en materia de datos y la introducción de acciones de seguimiento adecuadas podrían contribuir a mejorar las condiciones de trabajo y, en última instancia, a sostener la consolidación y la trayectoria innovadora de la economía de los datos en la Unión. Las autoridades competentes deben promover herramientas y adoptar medidas para fomentar la alfabetización en materia de datos entre los usuarios y las entidades incluidas en el ámbito de aplicación del presente Reglamento, así como el conocimiento de sus derechos y obligaciones en virtud del mismo.
(20) En la práctica, no todos los datos generados por los productos conectados o los servicios relacionados son fácilmente accesibles para sus usuarios y a menudo existen posibilidades limitadas en cuanto a la portabilidad de los datos generados por los productos conectados a internet. Los usuarios no pueden obtener los datos necesarios para recurrir a proveedores de servicios de reparación y de otro tipo, y las empresas no pueden poner en marcha servicios innovadores, cómodos y más eficientes. En muchos sectores, los fabricantes pueden determinar, mediante su control del diseño técnico de los productos conectados o los servicios relacionados, qué datos se generan y cómo se puede acceder a ellos, a pesar de no tener ningún derecho legal sobre esos datos. Por lo tanto, es necesario garantizar que los productos conectados se diseñen y fabriquen, y los servicios relacionados se diseñen y presten, de tal manera que los datos de los productos y los datos de los servicios relacionados, incluidos los metadatos pertinentes necesarios para interpretar y utilizar dichos datos, incluso con el fin de recuperarlos, utilizarlos o compartirlos, sean siempre accesibles de forma fácil y segura para un usuario, de forma gratuita, en un formato completo, estructurado, de uso común y legible por máquina. Los datos de productos y los datos de servicios relacionados que un titular de datos obtiene o puede obtener legalmente del producto conectado o del servicio relacionado, por ejemplo mediante el diseño del producto conectado, el contrato del titular de los datos con el usuario para la prestación de servicios relacionados y sus medios técnicos de acceso a los datos, sin un esfuerzo desproporcionado, se denominan "datos de fácil acceso". Los datos fácilmente disponibles no incluyen los datos generados por el uso de un producto conectado cuando el diseño del producto conectado no prevea que dichos datos se almacenen o transmitan fuera del componente en el que se generan o del producto conectado en su conjunto. Por consiguiente, no debe entenderse que el presente Reglamento imponga la obligación de almacenar datos en la unidad central de computación de un producto conectado. La ausencia de tal obligación no debe impedir que el fabricante o el titular de los datos acuerden voluntariamente con el usuario la realización de tales adaptaciones. Las obligaciones de diseño del presente Reglamento se entienden también sin perjuicio del principio de minimización de datos establecido en el artículo 5, apartado 1, letra c), del Reglamento (UE) 2016/679 y no deben entenderse como la imposición de una obligación de diseñar los productos conectados y los servicios relacionados de tal manera que almacenen o traten de otro modo datos personales distintos de los datos personales necesarios en relación con los fines para los que se tratan. Podría introducirse legislación de la Unión o nacional para perfilar otras especificidades, como los datos del producto que deben ser accesibles desde los productos conectados o servicios relacionados, dado que tales datos pueden ser esenciales para el funcionamiento, reparación o mantenimiento eficientes de dichos productos conectados o servicios relacionados. Cuando las actualizaciones o modificaciones posteriores de un producto conectado o un servicio relacionado, por parte del fabricante o de terceros, den lugar a datos accesibles adicionales o a una restricción de los datos accesibles inicialmente, dichos cambios deberán comunicarse al usuario en el contexto de la actualización o modificación.
(21) Cuando se considere usuarios a varias personas o entidades, por ejemplo en caso de copropiedad o cuando un propietario, arrendatario o inquilino comparta los derechos de acceso o uso de los datos, el diseño del producto conectado o servicio relacionado, o la interfaz pertinente, debe permitir que cada usuario tenga acceso a los datos que genera. El uso de productos conectados que generan datos suele requerir la creación de una cuenta de usuario. Dicha cuenta permite al usuario ser identificado por el titular de los datos, que puede ser el fabricante. También puede utilizarse como medio de comunicación y para presentar y procesar solicitudes de acceso a datos. Cuando varios fabricantes o proveedores de servicios relacionados hayan vendido, alquilado o arrendado productos conectados o prestado servicios relacionados, integrados entre sí, al mismo usuario, éste deberá dirigirse a cada una de las partes con las que tenga un contrato. Los fabricantes o diseñadores de un producto conectado que sea utilizado habitualmente por varias personas deben establecer los mecanismos necesarios para permitir cuentas de usuario separadas para cada persona, cuando proceda, o la posibilidad de que varias personas utilicen la misma cuenta de usuario. Las soluciones de cuentas deben permitir a los usuarios eliminar sus cuentas y borrar los datos relacionados con ellas, y podrían permitir a los usuarios poner fin al acceso, uso o uso compartido de datos, o presentar solicitudes de cancelación, en particular teniendo en cuenta las situaciones en las que cambia la propiedad o el uso del producto conectado. El acceso debe concederse al usuario sobre la base de un mecanismo de solicitud simple que permita la ejecución automática y no requiera el examen o la autorización del fabricante o del titular de los datos. Esto significa que los datos sólo deben estar disponibles cuando el usuario desee realmente acceder a ellos. Cuando no sea posible la ejecución automática de la solicitud de acceso a los datos, por ejemplo a través de una cuenta de usuario o una aplicación móvil adjunta proporcionada con el producto conectado o el servicio relacionado, el fabricante debe informar al usuario de cómo puede acceder a los datos.
(22) Los productos conectados pueden estar diseñados para que determinados datos sean directamente accesibles desde el almacenamiento de datos en el dispositivo o desde un servidor remoto al que se comunican los datos. El acceso al almacenamiento de datos en el dispositivo puede realizarse a través de redes de área local por cable o inalámbricas conectadas a un servicio de comunicaciones electrónicas disponible al público o a una red móvil. El servidor puede ser el propio servidor local del fabricante o el de un tercero o un proveedor de servicios en la nube. No se considera que los encargados del tratamiento, tal como se definen en el artículo 4, punto 8, del Reglamento (UE) 2016/679, actúen como titulares de datos. Sin embargo, el responsable del tratamiento, tal como se define en el artículo 4, punto (7), del Reglamento (UE) 2016/679, puede encargarles específicamente que pongan los datos a disposición. Los productos conectados pueden estar diseñados para permitir al usuario o a un tercero tratar los datos en el producto conectado, en una instancia informática del fabricante o dentro de un entorno de tecnologías de la información y las comunicaciones (TIC) elegido por el usuario o el tercero.
(23) Los asistentes virtuales desempeñan un papel cada vez más importante en la digitalización de los entornos profesionales y de consumo y sirven de interfaz fácil de usar para reproducir contenidos, obtener información o activar productos conectados a internet. Los asistentes virtuales pueden actuar como pasarela única en, por ejemplo, un entorno doméstico inteligente y registrar cantidades significativas de datos pertinentes sobre cómo interactúan los usuarios con los productos conectados a internet, incluidos los fabricados por terceros, y pueden sustituir al uso de interfaces proporcionadas por el fabricante, como pantallas táctiles o aplicaciones para teléfonos inteligentes. El usuario puede desear poner esos datos a disposición de terceros fabricantes y habilitar servicios inteligentes novedosos. Los asistentes virtuales deben estar cubiertos por los derechos de acceso a los datos previstos en el presente Reglamento. Los datos generados cuando un usuario interactúa con un producto conectado a través de un asistente virtual proporcionado por una entidad distinta del fabricante del producto conectado también deben estar cubiertos por los derechos de acceso a los datos previstos en el presente Reglamento. Sin embargo, solo los datos derivados de la interacción entre el usuario y un producto conectado o un servicio relacionado a través del asistente virtual deben estar cubiertos por el presente Reglamento. Los datos producidos por el asistente virtual que no estén relacionados con el uso de un producto conectado o servicio relacionado no están cubiertos por el presente Reglamento.
(24) Antes de celebrar un contrato de compra, alquiler o arrendamiento financiero de un producto conectado, el vendedor, arrendador o arrendatario, que puede ser el fabricante, debe facilitar al usuario información sobre los datos de producto que el producto conectado es capaz de generar, incluidos el tipo, el formato y el volumen estimado de dichos datos, de forma clara y comprensible. Esto podría incluir información sobre estructuras de datos, formatos de datos, vocabularios, esquemas de clasificación, taxonomías y listas de códigos, cuando estén disponibles, así como información clara y suficiente pertinente para el ejercicio de los derechos del usuario sobre cómo pueden almacenarse, recuperarse o accederse a los datos, incluidas las condiciones de uso y la calidad del servicio de las interfaces de programación de aplicaciones o, en su caso, el suministro de kits de desarrollo de software. Esta obligación proporciona transparencia sobre los datos del producto generados y facilita el acceso al usuario. La obligación de información podría cumplirse, por ejemplo, manteniendo un localizador uniforme de recursos (URL) estable en la web, que puede distribuirse como enlace web o código QR, que apunte a la información pertinente, que podría facilitar el vendedor, arrendador o arrendatario, que puede ser el fabricante, al usuario antes de celebrar el contrato de compra, alquiler o arrendamiento financiero de un producto conectado. En cualquier caso, es necesario que el usuario pueda almacenar la información de forma que sea accesible para futuras consultas y que permita la reproducción sin cambios de la información almacenada. No cabe esperar que el titular de los datos los almacene indefinidamente en vista de las necesidades del usuario del producto conectado, pero debe aplicar una política razonable de conservación de datos, en su caso, en consonancia con el principio de limitación del almacenamiento de conformidad con el artículo 5, apartado 1, letra e), del Reglamento (UE) 2016/679, que permita la aplicación efectiva de los derechos de acceso a los datos previstos en el presente Reglamento. La obligación de facilitar información no afecta a la obligación del responsable del tratamiento de facilitar información al interesado de conformidad con los artículos 12, 13 y 14 del Reglamento (UE) 2016/679. La obligación de facilitar información antes de celebrar un contrato para la prestación de un servicio conexo debe recaer en el posible titular de los datos, independientemente de si celebra un contrato para la compra, el alquiler o el arrendamiento financiero de un producto conexo. Cuando la información cambie durante la vida útil del producto conectado o el período de contratación del servicio relacionado, incluso cuando la finalidad para la que vayan a utilizarse esos datos cambie con respecto a la finalidad especificada originalmente, también debe facilitarse al usuario.
(25) No debe entenderse que el presente Reglamento confiere un nuevo derecho a los titulares de datos a utilizar datos de productos o datos de servicios relacionados. Cuando el fabricante de un producto conectado sea un titular de datos, la base para que el fabricante utilice datos no personales debe ser un contrato entre el fabricante y el usuario. Dicho contrato podría formar parte de un acuerdo para la prestación del servicio relacionado, que podría celebrarse junto con el acuerdo de compra, alquiler o arrendamiento financiero relativo al producto conectado. Cualquier cláusula contractual que estipule que el titular de los datos puede utilizar los datos del producto o los datos del servicio relacionado debe ser transparente para el usuario, incluso en lo que respecta a los fines para los que el titular de los datos pretende utilizarlos. Dichos fines podrían incluir la mejora del funcionamiento del producto conectado o de los servicios relacionados, el desarrollo de nuevos productos o servicios, o la agregación de datos con el objetivo de poner a disposición de terceros los datos derivados resultantes, siempre que dichos datos derivados no permitan la identificación de datos específicos transmitidos al titular de los datos desde el producto conectado, ni permitan a un tercero derivar dichos datos del conjunto de datos. Cualquier modificación del contrato debe depender del acuerdo informado del usuario. El presente Reglamento no impide que las partes acuerden cláusulas contractuales cuyo efecto sea excluir o limitar el uso de datos no personales, o de determinadas categorías de datos no personales, por parte de un titular de datos. Tampoco impide que las partes acuerden poner a disposición de terceros, directa o indirectamente, incluidos, en su caso, a través de otro titular de datos, datos de productos o datos de servicios relacionados. Además, el presente Reglamento no impide los requisitos reglamentarios sectoriales en virtud del Derecho de la Unión, o del Derecho nacional compatible con el Derecho de la Unión, que excluyan o limiten el uso de determinados datos de este tipo por parte del titular de los datos por motivos de orden público bien definidos. El presente Reglamento no impide que los usuarios, en el caso de las relaciones entre empresas, pongan datos a disposición de terceros o de titulares de datos en virtud de cualquier cláusula contractual lícita, incluso acordando limitar o restringir el uso compartido ulterior de dichos datos, o que reciban una compensación proporcional, por ejemplo a cambio de renunciar a su derecho a utilizar o compartir dichos datos. Aunque la noción de "titular de los datos" no incluye generalmente a los organismos del sector público, puede incluir a las empresas públicas.
(26) Para fomentar la aparición de mercados líquidos, justos y eficientes de datos no personales, los usuarios de productos conectados deben poder compartir datos con otros, incluso con fines comerciales, con un mínimo esfuerzo jurídico y técnico. En la actualidad, suele ser difícil para las empresas justificar los costes de personal o informáticos necesarios para preparar conjuntos de datos o productos de datos no personales y ofrecerlos a contrapartes potenciales a través de servicios de intermediación de datos, incluidos los mercados de datos. Por lo tanto, un obstáculo importante para que las empresas compartan datos no personales es la falta de previsibilidad de los beneficios económicos derivados de invertir en la conservación y puesta a disposición de conjuntos de datos o productos de datos. Para permitir la aparición de mercados líquidos, justos y eficientes de datos no personales en la Unión, debe aclararse qué parte tiene derecho a ofrecer dichos datos en un mercado. Por consiguiente, los usuarios deben tener derecho a compartir datos no personales con destinatarios de datos con fines comerciales y no comerciales. Esta puesta en común de datos podría ser realizada directamente por el usuario, a petición del usuario a través de un titular de datos, o a través de servicios de intermediación de datos. Los servicios de intermediación de datos, regulados por el Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo (22), podrían facilitar una economía de datos mediante el establecimiento de relaciones comerciales entre usuarios, destinatarios de datos y terceros, y podrían ayudar a los usuarios a ejercer su derecho a utilizar los datos, por ejemplo garantizando la anonimización de los datos personales o la agregación del acceso a los datos de múltiples usuarios individuales. Cuando los datos estén excluidos de la obligación de un titular de datos de ponerlos a disposición de los usuarios o de terceros, el alcance de dichos datos podría especificarse en el contrato entre el usuario y el titular de los datos para la prestación de un servicio relacionado, de modo que los usuarios puedan determinar fácilmente de qué datos disponen para compartirlos con los destinatarios de los datos o con terceros. Los titulares de los datos no deben poner a disposición de terceros datos no personales de productos para fines comerciales o no comerciales distintos del cumplimiento de su contrato con el usuario, sin perjuicio de los requisitos legales en virtud de la legislación de la Unión o nacional para que un titular de datos ponga datos a disposición. Cuando proceda, los titulares de los datos deben obligar contractualmente a terceros a no compartir los datos que reciban de ellos.
(27) En los sectores caracterizados por la concentración de un pequeño número de fabricantes que suministran productos conectados a los usuarios finales, las opciones de que disponen los usuarios para acceder a los datos, utilizarlos y compartirlos pueden ser limitadas. En tales circunstancias, los contratos pueden ser insuficientes para lograr el objetivo de capacitación de los usuarios, dificultando que éstos obtengan valor de los datos generados por el producto conectado que compran, alquilan o arriendan. En consecuencia, existe un potencial limitado para que las empresas innovadoras más pequeñas ofrezcan soluciones basadas en datos de manera competitiva y para una economía de datos diversificada en la Unión. Por lo tanto, el presente Reglamento debe basarse en la evolución reciente en sectores específicos, como el Código de Conducta sobre el intercambio de datos agrícolas por contrato. Puede adoptarse legislación de la Unión o nacional para abordar las necesidades y objetivos específicos de cada sector. Además, los titulares de los datos no deben utilizar ningún dato fácilmente disponible que no sea de carácter personal con el fin de obtener información sobre la situación económica del usuario o sus activos o métodos de producción o sobre dicho uso por parte del usuario de cualquier otra manera que pudiera socavar la posición comercial de dicho usuario en los mercados en los que opera. Esto podría incluir el uso del conocimiento sobre el rendimiento general de una empresa o explotación agrícola en negociaciones contractuales con el usuario sobre la posible adquisición de los productos o productos agrícolas del usuario en detrimento de éste, o el uso de dicha información para alimentar bases de datos más amplias sobre determinados mercados en su conjunto, por ejemplo bases de datos sobre el rendimiento de los cultivos para la próxima temporada de cosecha, ya que dicho uso podría afectar negativamente al usuario de manera indirecta. El usuario debe disponer de la interfaz técnica necesaria para gestionar los permisos, preferiblemente con opciones de permisos granulares como "permitir una vez" o "permitir mientras se utiliza esta aplicación o servicio", incluida la opción de retirar dichos permisos.
(28) En los contratos entre un titular de datos y un consumidor como usuario de un producto conectado o de un servicio relacionado que genere datos, se aplica el Derecho de la Unión en materia de consumo, en particular las Directivas 93/13/CEE y 2005/29/CE, para garantizar que el consumidor no esté sujeto a cláusulas contractuales abusivas. A efectos del presente Reglamento, las cláusulas contractuales abusivas impuestas unilateralmente a una empresa no deben ser vinculantes para dicha empresa.
(29) Los titulares de los datos pueden exigir una identificación adecuada del usuario para verificar su derecho a acceder a los datos. En el caso de datos personales tratados por un encargado del tratamiento por cuenta del responsable del tratamiento, los titulares de los datos deben garantizar que la solicitud de acceso sea recibida y tramitada por el encargado del tratamiento.
(30) El usuario debe ser libre de utilizar los datos para cualquier fin lícito. Esto incluye facilitar los datos que el usuario ha recibido mientras ejercía sus derechos en virtud del presente Reglamento a un tercero que ofrezca un servicio posventa que pueda estar en competencia con un servicio prestado por un titular de datos, o dar instrucciones al titular de datos para que lo haga. La solicitud debe ser presentada por el usuario o por un tercero autorizado que actúe en su nombre, incluido un proveedor de un servicio de intermediación de datos. Los titulares de los datos deben garantizar que los datos puestos a disposición del tercero sean tan exactos, completos, fiables, pertinentes y actualizados como los datos a los que el propio titular de los datos pueda o tenga derecho a acceder por el uso del producto conectado o del servicio relacionado. En el tratamiento de los datos deben respetarse todos los derechos de propiedad intelectual. Es importante preservar los incentivos para invertir en productos con funcionalidades basadas en el uso de datos procedentes de sensores integrados en dichos productos.
(31) La Directiva (UE) 2016/943 del Parlamento Europeo y del Consejo (23) establece que la obtención, utilización o revelación de un secreto comercial se considerará lícita, entre otras cosas, cuando dicha obtención, utilización o revelación esté exigida o permitida por el Derecho de la Unión o nacional. Si bien el presente Reglamento obliga a los titulares de datos a revelar determinados datos a los usuarios, o a terceros elegidos por el usuario, incluso cuando dichos datos reúnan las condiciones para ser protegidos como secretos comerciales, debe interpretarse de manera que se preserve la protección otorgada a los secretos comerciales en virtud de la Directiva (UE) 2016/943. En este contexto, los titulares de los datos deben poder exigir a los usuarios, o a terceros a elección del usuario, que preserven la confidencialidad de los datos considerados secretos comerciales. A tal fin, los titulares de los datos deben identificar los secretos comerciales antes de su divulgación, y deben tener la posibilidad de acordar con los usuarios, o con terceros elegidos por el usuario, las medidas necesarias para preservar su confidencialidad, incluso mediante el uso de cláusulas contractuales tipo, acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta. Además de la utilización de cláusulas contractuales tipo que deberá elaborar y recomendar la Comisión, el establecimiento de códigos de conducta y normas técnicas relacionadas con la protección de los secretos comerciales en el tratamiento de los datos podría contribuir a alcanzar el objetivo del presente Reglamento y debe fomentarse. Cuando no haya acuerdo sobre las medidas necesarias o cuando un usuario, o terceros a elección del usuario, no apliquen las medidas acordadas o socaven la confidencialidad de los secretos comerciales, el titular de los datos debe poder retener o suspender la puesta en común de los datos identificados como secretos comerciales. En tales casos, el titular de los datos debe comunicar la decisión por escrito al usuario o al tercero sin demora indebida y notificar a la autoridad competente del Estado miembro en el que esté establecido el titular de los datos que ha retenido o suspendido la puesta en común de datos e identificar qué medidas no se han acordado o aplicado y, en su caso, qué secretos comerciales han visto menoscabada su confidencialidad. En principio, los titulares de los datos no pueden denegar una solicitud de acceso a los datos en virtud del presente Reglamento basándose únicamente en que determinados datos se consideran secretos comerciales, ya que ello subvertiría los efectos perseguidos por el presente Reglamento. No obstante, en circunstancias excepcionales, un titular de datos que sea poseedor de un secreto comercial debe poder, caso por caso, denegar una solicitud de los datos específicos en cuestión si puede demostrar al usuario o al tercero que, a pesar de las medidas técnicas y organizativas adoptadas por el usuario o por el tercero, es muy probable que se produzca un perjuicio económico grave como consecuencia de la divulgación de dicho secreto comercial. Un perjuicio económico grave implica una pérdida económica grave e irreparable. El titular de los datos debe justificar debidamente su negativa por escrito y sin demora injustificada al usuario o al tercero y notificarlo a la autoridad competente. Dicha justificación deberá basarse en elementos objetivos, que demuestren el concreto riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) de los perjuicios económicos graves que se espera que se deriven de una divulgación de datos específica y los motivos por los que las medidas adoptadas para salvaguardar los datos solicitados no se consideran suficientes. Un posible impacto negativo sobre ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; pueden tenerse en cuenta en ese contexto. Sin perjuicio del derecho a interponer recurso ante un órgano jurisdiccional de un Estado miembro, cuando el usuario o un tercero deseen impugnar la decisión del titular de los datos de denegar, retener o suspender el intercambio de datos, el usuario o el tercero pueden presentar una reclamación ante la autoridad competente, que debe decidir, sin demora indebida, si debe iniciarse o reanudarse el intercambio de datos y en qué condiciones, o puede acordar con el titular de los datos remitir el asunto a un órgano de resolución de litigios. Las excepciones a los derechos de acceso a los datos previstas en el presente Reglamento no deben limitar en ningún caso el derecho de acceso y el derecho a la portabilidad de los datos de los interesados en virtud del Reglamento (UE) 2016/679.
(32) El objetivo del presente Reglamento no es sólo fomentar el desarrollo de productos conectados o servicios relacionados nuevos e innovadores, estimular la innovación en los mercados posventa, sino también estimular el desarrollo de servicios totalmente novedosos que hagan uso de los datos en cuestión, incluidos los basados en datos procedentes de una variedad de productos conectados o servicios relacionados. Al mismo tiempo, este Reglamento pretende evitar que se socaven los incentivos a la inversión para el tipo de producto conectado del que se obtienen los datos, por ejemplo, mediante el uso de datos para desarrollar un producto conectado competidor que los usuarios consideren intercambiable o sustituible, en particular sobre la base de las características del producto conectado, su precio y el uso previsto. El presente Reglamento no prohíbe el desarrollo de un servicio conexo utilizando datos obtenidos en virtud del presente Reglamento, ya que ello tendría un efecto disuasorio indeseable sobre la innovación. Prohibir el uso de datos obtenidos en virtud del presente Reglamento para desarrollar un producto conectado competidor protege los esfuerzos de innovación de los titulares de los datos. El hecho de que un producto conectado compita con el producto conectado del que proceden los datos depende de si los dos productos conectados compiten en el mismo mercado de productos. Esto debe determinarse sobre la base de los principios establecidos en el Derecho de la competencia de la Unión para definir el mercado de productos de referencia. No obstante, entre los fines lícitos para el uso de los datos podría figurar la ingeniería inversa, siempre que cumpla los requisitos establecidos en el presente Reglamento y en el Derecho de la Unión o nacional. Este puede ser el caso de la reparación o prolongación de la vida útil de un producto conectado o de la prestación de servicios posventa a productos conectados.
(33) Un tercero al que se facilitan datos puede ser una persona física o jurídica, como un consumidor, una empresa, un organización de la investigaciónOrganización de la investigación Se refiere a una entidad que tiene como objetivo principal llevar a cabo investigación aplicada o desarrollo experimental con vistas a explotar los resultados de dicha investigación con fines comerciales, pero que no incluye a las instituciones educativas -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)una organización sin ánimo de lucro o una entidad que actúe a título profesional. Al poner los datos a disposición del tercero, el titular de los datos no deberá abusar de su posición para buscar una ventaja competitiva en mercados en los que el titular de los datos y el tercero puedan estar en competencia directa. Por lo tanto, el titular de los datos no debe utilizar los datos fácilmente disponibles para obtener información sobre la situación económica, los activos o los métodos de producción del tercero, o sobre el uso que éste hace de los mismos, de cualquier otra forma que pueda socavar la posición comercial del tercero en los mercados en los que opera. El usuario debe poder compartir datos no personales con terceros con fines comerciales. Previo acuerdo con el usuario, y con sujeción a lo dispuesto en el presente Reglamento, los terceros deben poder transferir los derechos de acceso a los datos concedidos por el usuario a otros terceros, incluso a cambio de una compensación. Los intermediarios de datos entre empresas y los sistemas de gestión de la información personal (PIMS), denominados servicios de intermediación de datos en el Reglamento (UE) 2022/868, pueden ayudar a los usuarios o a terceros a establecer relaciones comerciales con un número indeterminado de posibles contrapartes para cualquier fin lícito que entre en el ámbito de aplicación del presente Reglamento. Podrían desempeñar un papel decisivo en la agregación del acceso a los datos, de modo que puedan facilitarse los análisis de macrodatos o el aprendizaje automático, siempre que los usuarios sigan controlando plenamente si proporcionan sus datos a dicha agregación y las condiciones comerciales en las que se utilizarán sus datos.
(34) El uso de un producto conectado o de un servicio relacionado puede, en particular cuando el usuario es una persona física, generar datos relativos al interesado. El tratamiento de dichos datos está sujeto a las normas establecidas en virtud del Reglamento (UE) 2016/679, incluso cuando los datos personales y no personales de un conjunto de datos estén inextricablemente vinculados. El interesado puede ser el usuario u otra persona física. Los datos personales solo pueden ser solicitados por un responsable del tratamiento o por un interesado. Un usuario que sea el interesado tiene derecho, en determinadas circunstancias, en virtud del Reglamento (UE) 2016/679, a acceder a los datos personales que le conciernan y tales derechos no se ven afectados por el presente Reglamento. En virtud del presente Reglamento, el usuario que sea una persona física tiene además derecho a acceder a todos los datos generados por el uso de un producto conectado, ya sean personales o no personales. Cuando el usuario no sea el interesado, sino una empresa, incluido un comerciante individual, y no en los casos de uso doméstico compartido del producto conectado, el usuario se considerará responsable del tratamiento. En consecuencia, dicho usuario que, como responsable del tratamiento, pretenda solicitar datos personales generados por el uso de un producto conectado o un servicio relacionado, deberá contar con una base jurídica para el tratamiento de los datos, tal como exige el artículo 6, apartado 1, del Reglamento (UE) 2016/679, como el consentimiento del interesado o la ejecución de un contrato en el que el interesado sea parte. Dicho usuario debe garantizar que el interesado esté debidamente informado de los fines especificados, explícitos y legítimos para el tratamiento de esos datos, y de cómo el interesado puede ejercer sus derechos de manera efectiva. Cuando el titular de los datos y el usuario sean corresponsables del tratamiento en el sentido del artículo 26 del Reglamento (UE) 2016/679, deben determinar, de manera transparente mediante un acuerdo entre ellos, sus responsabilidades respectivas en el cumplimiento de dicho Reglamento. Debe entenderse que dicho usuario, una vez que los datos se han puesto a disposición, puede a su vez convertirse en titular de los datos si dicho usuario cumple los criterios en virtud del presente Reglamento y, por tanto, queda sujeto a las obligaciones de puesta a disposición de datos en virtud del presente Reglamento.
(35) Los datos de productos o de servicios relacionados solo deben ponerse a disposición de un tercero a petición del usuario. El presente Reglamento complementa en consecuencia el derecho, previsto en el artículo 20 del Reglamento (UE) 2016/679, de los interesados a recibir los datos personales que les conciernan en un formato estructurado, de uso común y lectura mecánica, así como a transmitir esos datos a otro responsable del tratamiento, cuando dichos datos sean tratados por medios automatizados sobre la base del artículo 6, apartado 1, letra a), o del artículo 9, apartado 2, letra a), o de un contrato en virtud del artículo 6, apartado 1, letra b), de dicho Reglamento. Los interesados también tienen derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, pero sólo cuando sea técnicamente posible. El artículo 20 del Reglamento (UE) 2016/679 especifica que se refiere a los datos facilitados por el interesado, pero no especifica si esto requiere un comportamiento activo por parte del interesado o si también se aplica a situaciones en las que un producto conectado o un servicio relacionado, por su diseño, observa el comportamiento de un interesado u otra información en relación con un interesado de forma pasiva. Los derechos previstos en el presente Reglamento complementan de varias maneras el derecho a recibir y portar datos personales en virtud del artículo 20 del Reglamento (UE) 2016/679. El presente Reglamento concede a los usuarios el derecho a acceder y poner a disposición de un tercero cualquier dato de productos o datos de servicios relacionados, con independencia de su naturaleza como datos personales, de la distinción entre datos facilitados activamente u observados pasivamente, y con independencia de la base jurídica del tratamiento. A diferencia del artículo 20 del Reglamento (UE) 2016/679, este Reglamento ordena y garantiza la viabilidad técnica del acceso de terceros para todos los tipos de datos incluidos en su ámbito de aplicación, ya sean personales o no personales, garantizando así que los obstáculos técnicos ya no dificulten o impidan el acceso a dichos datos. También permite a los titulares de los datos fijar una compensación razonable a cargo de terceros, pero no del usuario, por los costes derivados de facilitar el acceso directo a los datos generados por el producto conectado del usuario. Si un titular de datos y un tercero no logran ponerse de acuerdo sobre las condiciones de dicho acceso directo, no debe impedirse en modo alguno que el interesado ejerza los derechos establecidos en el Reglamento (UE) 2016/679, incluido el derecho a la portabilidad de los datos, interponiendo recursos de conformidad con dicho Reglamento. Debe entenderse en este contexto que, de conformidad con el Reglamento (UE) 2016/679, un contrato no permite el tratamiento de categorías especiales de datos personales por el titular de los datos o el tercero.
(36) El acceso a cualquier dato almacenado en un equipo terminal y al que se acceda desde el mismo está sujeto a la Directiva 2002/58/CE y requiere el consentimiento del abonado o usuario en el sentido de dicha Directiva, a menos que sea estrictamente necesario para la prestación de un servicio de la sociedad de la información explícitamente solicitado por el usuario o por el abonado o con el único fin de transmitir una comunicación. La Directiva 2002/58/CE protege la integridad de los equipos terminales de los usuarios en lo que respecta al uso de las capacidades de procesamiento y almacenamiento y a la recopilación de información. Los equipos de la Internet de los objetos se consideran equipos terminales si están conectados directa o indirectamente a una red pública de comunicaciones.
(37) Con el fin de evitar la explotación de los usuarios, los terceros a los que se hayan facilitado datos a petición del usuario deben procesar dichos datos únicamente para los fines acordados con el usuario y compartirlos con otro tercero sólo con el consentimiento del usuario a dicha puesta en común de datos.
(38) En consonancia con el principio de minimización de datos, los terceros sólo deben acceder a la información necesaria para la prestación del servicio solicitado por el usuario. Una vez recibido el acceso a los datos, el tercero debe tratarlos para los fines acordados con el usuario sin interferencia del titular de los datos. Debe ser tan fácil para el usuario denegar o interrumpir el acceso del tercero a los datos como lo es para el usuario autorizar el acceso. Ni los terceros ni los titulares de datos deben dificultar indebidamente el ejercicio de opciones o derechos por parte del usuario, incluso ofreciéndole opciones de manera no neutral, o coaccionando, engañando o manipulando al usuario, o subvirtiendo o menoscabando la autonomía, la toma de decisiones o las opciones del usuario, incluso mediante una interfaz digital de usuario o una parte de la misma. En ese contexto, los terceros o los titulares de los datos no deben basarse en los denominados "patrones oscuros" para diseñar sus interfaces digitales. Los patrones oscuros son técnicas de diseño que empujan o engañan a los consumidores a tomar decisiones que tienen consecuencias negativas para ellos. Estas técnicas de manipulación pueden utilizarse para persuadir a los usuarios, en particular a los consumidores vulnerables, para que adopten comportamientos no deseados, para engañar a los usuarios empujándoles a tomar decisiones sobre transacciones de divulgación de datos o para sesgar injustificadamente la toma de decisiones de los usuarios del servicio de forma que se subvierta o menoscabe su autonomía, su capacidad de decisión y su capacidad de elección. Las prácticas comerciales comunes y legítimas que cumplen con el Derecho de la Unión no deben considerarse en sí mismas constitutivas de modelos oscuros. Los terceros y los titulares de datos deben cumplir las obligaciones que les impone el Derecho de la Unión pertinente, en particular los requisitos establecidos en las Directivas 98/6/CE (24) y 2000/31/CE (25) del Parlamento Europeo y del Consejo y en las Directivas 2005/29/CE y 2011/83/UE.
(39) Los terceros también deben abstenerse de utilizar datos que entren en el ámbito de aplicación del presente Reglamento para elaborar perfiles de personas, a menos que dichas actividades de tratamiento sean estrictamente necesarias para prestar el servicio solicitado por el usuario, incluso en el contexto de la toma de decisiones automatizada. El requisito de suprimir los datos cuando ya no sean necesarios para la finalidad acordada con el usuario, salvo que se acuerde otra cosa en relación con los datos no personales, complementa el derecho de supresión del interesado de conformidad con el artículo 17 del Reglamento (UE) 2016/679. Cuando un tercero sea proveedor de un servicio de intermediación de datos, se aplicarán las salvaguardias para el interesado previstas en el Reglamento (UE) 2022/868. El tercero podrá utilizar los datos para desarrollar un producto conectado nuevo e innovador o un servicio relacionado, pero no para desarrollar un producto conectado competidor.
(40) Las empresas de nueva creación, las pequeñas empresas, las empresas calificadas como medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE y las empresas de sectores tradicionales con capacidades digitales menos desarrolladas tienen dificultades para obtener acceso a los datos pertinentes. El presente Reglamento pretende facilitar el acceso a los datos a esas entidades, garantizando al mismo tiempo que las obligaciones correspondientes sean lo más proporcionadas posible para evitar extralimitaciones. Al mismo tiempo, ha surgido un pequeño número de empresas muy grandes con un poder económico considerable en la economía digital gracias a la acumulación y agregación de grandes volúmenes de datos y a la infraestructura tecnológica para monetizarlos. Estas empresas muy grandes incluyen empresas que prestan servicios de plataforma básicos que controlan ecosistemas de plataforma completos en la economía digital y que los operadores de mercado existentes o nuevos no pueden desafiar o disputar. El Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo (26) pretende corregir esas ineficiencias y desequilibrios permitiendo a la Comisión designar a una empresa como "guardián", e impone una serie de obligaciones a dichos guardianes, incluida la prohibición de combinar determinados datos sin consentimiento y la obligación de garantizar derechos efectivos a la portabilidad de los datos en virtud del artículo 20 del Reglamento (UE) 2016/679. De conformidad con el Reglamento (UE) 2022/1925, y dada la capacidad sin rival de esas empresas para adquirir datos, no es necesario para alcanzar el objetivo del presente Reglamento, y por lo tanto sería desproporcionado para los titulares de datos sujetos a tales obligaciones, incluir a los responsables del tratamiento como beneficiarios del derecho de acceso a los datos. Dicha inclusión también limitaría probablemente los beneficios del presente Reglamento para las PYME, vinculados a la equidad de la distribución del valor de los datos entre los agentes del mercado. Esto significa que una empresa que preste servicios de plataforma básica que haya sido designada como "gatekeeper" no podrá solicitar ni obtener acceso a los datos de los usuarios generados por el uso de un producto conectado o un servicio relacionado o por un asistente virtual con arreglo al presente Reglamento. Además, los terceros a los que se faciliten datos a petición del usuario no podrán ponerlos a disposición de un gatekeeper. Por ejemplo, el tercero no podrá subcontratar la prestación del servicio a un portero. Sin embargo, esto no impide que terceros utilicen los servicios de tratamiento de datos ofrecidos por un gatekeeper. Tampoco impide que dichas empresas obtengan y utilicen los mismos datos por otros medios lícitos. Los derechos de acceso previstos en el presente Reglamento contribuyen a ampliar la oferta de servicios a los consumidores. Dado que los acuerdos voluntarios entre porteros y titulares de datos no se ven afectados, la limitación de la concesión de acceso a los porteros no les excluiría del mercado ni les impediría ofrecer sus servicios.
(41) Habida cuenta del estado actual de la tecnología, resultaría excesivamente oneroso para las microempresas y las pequeñas empresas imponer nuevas obligaciones de diseño en relación con los productos conexos fabricados o diseñados, o los servicios conexos prestados, por ellas. Sin embargo, este no es el caso cuando una microempresa o una pequeña empresa tiene una empresa asociada o una empresa vinculada en el sentido del artículo 3 del anexo de la Recomendación 2003/361/CE que no cumple los requisitos para ser considerada microempresa o pequeña empresa y cuando es subcontratada para fabricar o diseñar un producto vinculado o para prestar un servicio relacionado. En tales situaciones, la empresa que ha subcontratado la fabricación o el diseño a una microempresa o una pequeña empresa puede compensar adecuadamente al subcontratista. No obstante, una microempresa o una pequeña empresa puede estar sujeta a los requisitos establecidos por el presente Reglamento como titular de los datos cuando no sea el fabricante del producto vinculado o un prestador de servicios relacionados. Debe aplicarse un período transitorio a las empresas que lleven menos de un año calificadas como medianas empresas y a los productos conexos durante un año a partir de la fecha en que hayan sido comercializados por una mediana empresa. Este período de un año permite a la mediana empresa adaptarse y prepararse antes de hacer frente a la competencia en el mercado de servicios para los productos conectados que fabrica sobre la base de los derechos de acceso previstos en el presente Reglamento. Este período transitorio no se aplicará cuando dicha mediana empresa tenga una empresa asociada o una empresa vinculada que no cumpla los requisitos para ser considerada microempresa o pequeña empresa, o cuando dicha mediana empresa haya sido subcontratada para fabricar o diseñar el producto vinculado o para prestar el servicio relacionado.
(42) Teniendo en cuenta la variedad de productos conectados que producen datos de distinta naturaleza, volumen y frecuencia, que presentan distintos niveles de riesgos para los datos y la ciberseguridad y que ofrecen oportunidades económicas de distinto valor, y con el fin de garantizar la coherencia de las prácticas de puesta en común de datos en el mercado interior, incluso entre sectores, y de fomentar y promover prácticas equitativas de puesta en común de datos incluso en ámbitos en los que no está previsto tal derecho de acceso a los datos, el presente Reglamento establece normas horizontales sobre las modalidades de acceso a los datos siempre que un titular de datos esté obligado por el Derecho de la Unión o por la legislación nacional adoptada de conformidad con el Derecho de la Unión a poner datos a disposición de un destinatario de datos. Dicho acceso debe basarse en condiciones equitativas, razonables, no discriminatorias y transparentes. Esas normas generales de acceso no se aplican a las obligaciones de poner datos a disposición en virtud del Reglamento (UE) 2016/679. El intercambio voluntario de datos no se ve afectado por dichas normas. El modelo no vinculante de cláusulas contractuales para el intercambio de datos entre empresas que la Comisión debe elaborar y recomendar puede ayudar a las partes a celebrar contratos que incluyan cláusulas y condiciones justas, razonables y no discriminatorias y que se apliquen de forma transparente. La celebración de contratos, que pueden incluir las cláusulas contractuales tipo no vinculantes, no debe significar que el derecho a compartir datos con terceros esté condicionado en modo alguno a la existencia de dicho contrato. En caso de que las partes no puedan celebrar un contrato sobre el intercambio de datos, incluso con el apoyo de los órganos de resolución de litigios, el derecho a compartir datos con terceros podrá hacerse valer ante los tribunales nacionales.
(43) Sobre la base del principio de libertad contractual, las partes deben seguir siendo libres de negociar las condiciones precisas de la puesta a disposición de datos en sus contratos en el marco de las normas generales de acceso para la puesta a disposición de datos. Las condiciones de dichos contratos podrían incluir medidas técnicas y organizativas, incluso en relación con la seguridad de los datos.
(44) Para garantizar que las condiciones de acceso obligatorio a los datos sean equitativas para ambas partes de un contrato, las normas generales sobre derechos de acceso a los datos deben remitirse a la norma para evitar cláusulas contractuales abusivas.
(45) Todo acuerdo celebrado en las relaciones entre empresas para la puesta a disposición de datos debe ser no discriminatorio entre categorías comparables de destinatarios de datos, independientemente de que las partes sean grandes empresas o PYME. Para compensar la falta de información sobre las condiciones contenidas en los distintos contratos, que dificulta que el destinatario de los datos evalúe si las condiciones de puesta a disposición de los datos no son discriminatorias, debe ser responsabilidad de los titulares de los datos demostrar que una cláusula contractual no es discriminatoria. No constituye discriminación ilícita el hecho de que un titular de datos utilice diferentes cláusulas contractuales para la puesta a disposición de los datos si dichas diferencias están justificadas por razones objetivas. Estas obligaciones se entienden sin perjuicio del Reglamento (UE) 2016/679.
(46) Con el fin de promover la inversión continua en la generación y puesta a disposición de datos valiosos, incluidas las inversiones en las herramientas técnicas pertinentes, evitando al mismo tiempo cargas excesivas sobre el acceso y la utilización de los datos que hagan que el intercambio de datos deje de ser viable desde el punto de vista comercial, el presente Reglamento contiene el principio de que, en las relaciones entre empresas, los titulares de datos pueden solicitar una compensación razonable cuando estén obligados, en virtud del Derecho de la Unión o de la legislación nacional adoptada de conformidad con el Derecho de la Unión, a poner datos a disposición de un destinatario de datos. No debe entenderse que dicha compensación constituye un pago por los datos en sí. La Comisión debe adoptar directrices sobre el cálculo de la compensación razonable en la economía de los datos.
(47) En primer lugar, una compensación razonable por el cumplimiento de la obligación, en virtud del Derecho de la Unión o de la legislación nacional adoptada de conformidad con el Derecho de la Unión, de atender una solicitud de puesta a disposición de datos puede incluir una compensación por los costes en que se haya incurrido para poner a disposición los datos. Dichos costes pueden ser costes técnicos, como los costes necesarios para la reproducción de los datos, su difusión por medios electrónicos y su almacenamiento, pero no para su recogida o producción. Dichos costes técnicos también pueden incluir los costes de procesamiento, necesarios para poner los datos a disposición, incluidos los costes asociados al formateo de los datos. Los costes relacionados con la puesta a disposición de los datos también pueden incluir los costes de facilitar solicitudes concretas de puesta en común de datos. También pueden variar en función del volumen de los datos, así como de los acuerdos adoptados para ponerlos a disposición. Los acuerdos a largo plazo entre los titulares y los destinatarios de los datos, por ejemplo mediante un modelo de suscripción o el uso de contratos inteligentes, pueden reducir los costes de las transacciones periódicas o repetitivas en una relación comercial. Los costes relacionados con la puesta a disposición de los datos son específicos de una solicitud concreta o compartidos con otras solicitudes. En este último caso, un único destinatario de los datos no debería pagar la totalidad de los costes de la puesta a disposición de los datos. En segundo lugar, una compensación razonable también puede incluir un margen, excepto en el caso de las PYME y las organizaciones de investigación sin ánimo de lucro. El margen puede variar en función de factores relacionados con los propios datos, como su volumen, formato o naturaleza. También puede tener en cuenta los costes de recopilación de los datos. Por lo tanto, un margen puede disminuir cuando el titular de los datos los ha recopilado para su propia actividad sin inversiones significativas o puede aumentar cuando las inversiones en la recopilación de datos para los fines de la actividad del titular de los datos son elevadas. Puede verse limitado o incluso excluido en situaciones en las que el uso de los datos por parte del destinatario de los mismos no afecte a las propias actividades del titular de los datos. El hecho de que los datos sean cogenerados por un producto conectado propiedad del usuario, alquilado o arrendado por éste también podría reducir el importe de la compensación en comparación con otras situaciones en las que los datos son generados por el titular de los datos, por ejemplo, durante la prestación de un servicio relacionado.
(48) No es necesario intervenir en caso de intercambio de datos entre grandes empresas, o cuando el titular de los datos es una pequeña o mediana empresa y el destinatario de los datos es una gran empresa. En tales casos, se considera que las empresas son capaces de negociar la compensación dentro de los límites de lo razonable y no discriminatorio.
(49) Para proteger a las PYME de cargas económicas excesivas que les dificultarían demasiado desde el punto de vista comercial el desarrollo y la gestión de modelos empresariales innovadores, la compensación razonable por la puesta a disposición de los datos que deben pagar no debe superar los costes directamente relacionados con la puesta a disposición de los datos. Los costes directamente relacionados son los costes imputables a las solicitudes individuales, teniendo en cuenta que las interfaces técnicas necesarias o el software y la conectividad relacionados deben ser establecidos de forma permanente por el titular de los datos. El mismo régimen debería aplicarse a las organizaciones de investigación sin ánimo de lucro.
(50) En casos debidamente justificados, incluidos aquellos en los que sea necesario salvaguardar la participación de los consumidores y la competencia o promover la innovación en determinados mercados, el Derecho de la Unión o la legislación nacional adoptada de conformidad con el Derecho de la Unión podrán establecer compensaciones reguladas por la puesta a disposición de tipos específicos de datos.
(51) La transparencia es un principio importante para garantizar que la compensación solicitada por un titular de datos sea razonable o, si el destinatario de los datos es una PYME o un organismo de investigación sin ánimo de lucro, que la compensación no supere los costes directamente relacionados con la puesta a disposición de los datos al destinatario de los datos y sea atribuible a la solicitud individual de que se trate. Para que los destinatarios de los datos puedan evaluar y verificar que la compensación cumple los requisitos del presente Reglamento, el titular de los datos debe facilitar al destinatario información suficientemente detallada para el cálculo de la compensación.
(52) Garantizar el acceso a vías alternativas de resolución de litigios nacionales y transfronterizos que surjan en relación con la puesta a disposición de datos debe beneficiar a los titulares y a los destinatarios de los datos y, por tanto, reforzar la confianza en el intercambio de datos. Cuando las partes no puedan llegar a un acuerdo sobre las condiciones justas, razonables y no discriminatorias de la puesta a disposición de datos, los organismos de resolución de litigios deben ofrecer una solución sencilla, rápida y de bajo coste a las partes. Aunque el presente Reglamento sólo establece las condiciones que deben cumplir los organismos de resolución de litigios para ser certificados, los Estados miembros son libres de adoptar cualquier norma específica para el procedimiento de certificación, incluida la expiración o revocación de la certificación. Las disposiciones del presente Reglamento sobre la solución de diferencias no deben obligar a los Estados miembros a crear organismos de solución de diferencias.
(53) El procedimiento de resolución de litigios previsto en el presente Reglamento es un procedimiento voluntario que permite a los usuarios, a los titulares de datos y a los destinatarios de datos acordar someter sus litigios a los órganos de resolución de litigios. Por lo tanto, las partes deben tener libertad para dirigirse a un órgano de resolución de litigios de su elección, ya sea dentro o fuera de los Estados miembros en los que dichas partes estén establecidas.
(54) Para evitar casos en los que se recurra a dos o más órganos de resolución de litigios para el mismo litigio, en particular en una situación transfronteriza, un órgano de resolución de litigios debe poder negarse a tramitar una solicitud de resolución de un litigio que ya se haya presentado ante otro órgano de resolución de litigios o ante un órgano jurisdiccional de un Estado miembro.
(55) A fin de garantizar la aplicación uniforme del presente Reglamento, los órganos de resolución de litigios deben tener en cuenta los modelos de cláusulas contractuales no vinculantes que elabore y recomiende la Comisión, así como la legislación de la Unión o nacional que especifique las obligaciones en materia de puesta en común de datos o las directrices publicadas por las autoridades sectoriales para la aplicación de dicha legislación.
(56) No debe impedirse que las partes en un procedimiento de solución de diferencias ejerzan sus derechos fundamentales a la tutela judicial efectiva y a un juez imparcial. Por consiguiente, la decisión de someter un litigio a un órgano de solución de diferencias no debe privar a dichas partes de su derecho a recurrir ante un órgano jurisdiccional de un Estado miembro. Los órganos de solución de diferencias deben poner a disposición del público los informes anuales de actividad.
(57) Los titulares de los datos pueden aplicar medidas técnicas de protección adecuadas para impedir la divulgación ilícita de los datos o el acceso ilícito a los mismos. No obstante, dichas medidas no deben discriminar entre los destinatarios de los datos, ni obstaculizar el acceso o la utilización de los datos por parte de los usuarios o destinatarios de los datos. En caso de prácticas abusivas por parte de un destinatario de datos, como engañar al titular de los datos facilitándole información falsa con la intención de utilizar los datos para fines ilícitos, incluido el desarrollo de un producto conectado competidor sobre la base de los datos, el titular de los datos y, en su caso y cuando no sean la misma persona, el titular del secreto comercial o el usuario podrán solicitar al tercero o al destinatario de los datos que aplique medidas correctoras o reparadoras sin dilaciones indebidas. Cualquiera de estas solicitudes, y en particular las solicitudes de poner fin a la producción, la oferta o la comercialización de mercancías, datos derivados o servicios, así como las de poner fin a la importación, la exportación, el almacenamiento de mercancías infractoras o su destrucción, deben evaluarse a la luz de su proporcionalidad en relación con los intereses del titular de los datos, del titular del secreto comercial o del usuario.
(58) Cuando una de las partes se encuentra en una posición negociadora más fuerte, existe el riesgo de que dicha parte pueda aprovechar dicha posición en detrimento de la otra parte contratante a la hora de negociar el acceso a los datos, con el resultado de que el acceso a los datos sea comercialmente menos viable y, en ocasiones, económicamente prohibitivo. Estos desequilibrios contractuales perjudican a todas las empresas que carecen de una capacidad significativa para negociar las condiciones de acceso a los datos, y que pueden no tener más remedio que aceptar cláusulas contractuales del tipo "lo tomas o lo dejas". Por lo tanto, las cláusulas contractuales abusivas que regulan el acceso a los datos y su uso, o la responsabilidad y los recursos en caso de incumplimiento o rescisión de las obligaciones relacionadas con los datos, no deben ser vinculantes para las empresas cuando dichas cláusulas les hayan sido impuestas unilateralmente.
(59) Las normas sobre cláusulas contractuales deben tener en cuenta el principio de libertad contractual como concepto esencial en las relaciones entre empresas. Por lo tanto, no todas las cláusulas contractuales deben someterse a una prueba de abusividad, sino sólo aquellas que se imponen unilateralmente. Se trata de situaciones de "lo tomas o lo dejas" en las que una parte proporciona una determinada cláusula contractual y la otra empresa no puede influir en el contenido de dicha cláusula a pesar de intentar negociarla. Una cláusula contractual simplemente proporcionada por una parte y aceptada por la otra empresa o una cláusula negociada y posteriormente acordada de forma modificada entre las partes contratantes no debe considerarse impuesta unilateralmente.
(60) Además, las normas sobre cláusulas contractuales abusivas deben aplicarse únicamente a los elementos de un contrato relacionados con la puesta a disposición de los datos, es decir, las cláusulas contractuales relativas al acceso a los datos y a su utilización, así como a la responsabilidad o las vías de recurso en caso de incumplimiento y a la resolución de las obligaciones relacionadas con los datos. Otras partes del mismo contrato, no relacionadas con la puesta a disposición de los datos, no deben estar sujetas a la prueba del carácter abusivo establecida en el presente Reglamento.
(61) Los criterios para identificar las cláusulas contractuales abusivas sólo deben aplicarse a las cláusulas contractuales excesivas en las que se ha abusado de una posición negociadora más fuerte. La gran mayoría de las cláusulas contractuales que son comercialmente más favorables para una parte que para la otra, incluidas las que son normales en los contratos entre empresas, son una expresión normal del principio de libertad contractual y siguen siendo aplicables. A efectos del presente Reglamento, desviarse manifiestamente de las buenas prácticas comerciales incluiría, entre otras cosas, menoscabar objetivamente la capacidad de la parte a la que se ha impuesto unilateralmente la cláusula para proteger su interés comercial legítimo en los datos en cuestión.
(62) Con el fin de garantizar la seguridad jurídica, el presente Reglamento establece una lista de cláusulas que se consideran siempre abusivas y una lista de cláusulas que se presumen abusivas. En este último caso, la empresa que impone la cláusula contractual debe poder refutar la presunción de abusividad demostrando que la cláusula contractual enumerada en el presente Reglamento no es abusiva en el caso concreto de que se trate. Si una cláusula contractual no figura en la lista de cláusulas que se consideran siempre abusivas o que se presumen abusivas, se aplica la disposición general sobre el carácter abusivo. A este respecto, las cláusulas enumeradas como cláusulas contractuales abusivas en el presente Reglamento deben servir de criterio para interpretar la disposición general sobre el carácter abusivo. Por último, las cláusulas contractuales tipo no vinculantes para los contratos de intercambio de datos entre empresas que elaborará y recomendará la Comisión también pueden ser útiles para las partes comerciales a la hora de negociar los contratos. Si una cláusula contractual se declara abusiva, el contrato en cuestión debería seguir aplicándose sin dicha cláusula, a menos que la cláusula contractual abusiva no sea disociable de las demás cláusulas del contrato.
(63) En situaciones de necesidad excepcional, puede ser necesario que los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión utilicen, en el ejercicio de sus funciones legales de interés público, los datos existentes, incluidos, en su caso, los metadatos que los acompañan, para responder a emergencias públicas o en otros casos excepcionales. Las necesidades excepcionales son circunstancias imprevisibles y limitadas en el tiempo, a diferencia de otras circunstancias que podrían ser planificadas, programadas, periódicas o frecuentes. Aunque el concepto de "titular de los datos" no incluye, por lo general, a los organismos del sector público, puede incluir a las empresas públicas. Los organismos de investigación y los organismos de financiación de la investigación también podrían organizarse como organismos del sector público o de derecho público. Para limitar la carga sobre las empresas, las microempresas y las pequeñas empresas sólo deberían estar obligadas a facilitar datos a los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión en situaciones de necesidad excepcional, cuando dichos datos sean necesarios para responder a una emergencia pública y el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión no puedan obtener dichos datos por medios alternativos de manera oportuna y eficaz en condiciones equivalentes.
(64) En el caso de emergencias públicas, como las emergencias de salud pública, las emergencias derivadas de catástrofes naturales, incluidas las agravadas por el cambio climático y la degradación del medio ambiente, así como las catástrofes graves provocadas por el hombre, como los incidentes graves de ciberseguridad, el interés público resultante de la utilización de los datos prevalecerá sobre el interés de los titulares de los datos de disponer libremente de los datos que poseen. En tal caso, los titulares de los datos deben tener la obligación de ponerlos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión que lo soliciten. La existencia de una emergencia pública debe determinarse o declararse de conformidad con el Derecho de la Unión o nacional y sobre la base de los procedimientos pertinentes, incluidos los de las organizaciones internacionales competentes. En tales casos, el organismo del sector público deberá demostrar que los datos objeto de la solicitud no podrían obtenerse de otro modo de manera oportuna y eficaz y en condiciones equivalentes, por ejemplo mediante el suministro voluntario de datos por otra empresa o la consulta de una base de datos pública.
(65) También puede surgir una necesidad excepcional en situaciones que no sean de emergencia. En tales casos, un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión deben estar autorizados a solicitar únicamente datos no personales. El organismo del sector público debe demostrar que los datos son necesarios para el cumplimiento de una tarea específica de interés público explícitamente prevista por la ley, como la elaboración de estadísticas oficiales o la mitigación o recuperación de una emergencia pública. Además, dicha solicitud sólo puede realizarse cuando el organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión haya identificado datos específicos que no podrían obtenerse de otro modo de manera oportuna y eficaz y en condiciones equivalentes, y sólo si ha agotado todos los demás medios a su disposición para obtener dichos datos, como la obtención de los datos mediante acuerdos voluntarios, incluida la compra de datos no personales en el mercado ofreciendo tarifas de mercado, o basándose en las obligaciones existentes de poner los datos a disposición o en la adopción de nuevas medidas legislativas que puedan garantizar la disponibilidad oportuna de los datos. También deben aplicarse las condiciones y principios que rigen las solicitudes, como los relativos a la limitación de la finalidad, la proporcionalidad, la transparencia y la limitación temporal. En los casos de solicitudes de datos necesarios para la elaboración de estadísticas oficiales, el organismo del sector público solicitante también deberá demostrar si la legislación nacional le permite adquirir datos no personales en el mercado.
(66) El presente Reglamento no debe aplicarse a los acuerdos voluntarios de intercambio de datos entre entidades privadas y públicas, incluido el suministro de datos por parte de las PYME, ni adelantarse a ellos, y se entiende sin perjuicio de los actos jurídicos de la Unión que prevean solicitudes de información obligatorias por parte de entidades públicas a entidades privadas. El presente Reglamento no debe afectar a las obligaciones impuestas a los titulares de los datos de facilitar datos que estén motivadas por necesidades de carácter no excepcional, en particular cuando se conozca el alcance de los datos y de los titulares de los datos o cuando el uso de los datos pueda tener lugar de forma regular, como en el caso de las obligaciones de información y las obligaciones del mercado interior. Tampoco deben verse afectados por el presente Reglamento los requisitos de acceso a los datos para verificar el cumplimiento de las normas aplicables, incluso cuando los organismos del sector público asignen la tarea de verificar el cumplimiento a entidades distintas de los organismos del sector público.
(67) El presente Reglamento complementa y se entiende sin perjuicio del Derecho de la Unión y nacional que prevé el acceso a los datos y su utilización con fines estadísticos, en particular el Reglamento (CE) nº 223/2009 del Parlamento Europeo y del Consejo (27) , así como los actos jurídicos nacionales relacionados con las estadísticas oficiales.
(68) Para el ejercicio de sus funciones en los ámbitos de la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales o administrativas o la ejecución de sanciones penales y administrativas, así como la recopilación de datos con fines fiscales o aduaneros, los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión deben basarse en las competencias que les confiere el Derecho de la Unión o nacional. En consecuencia, el presente Reglamento no afecta a los actos legislativos sobre el intercambio de datos, el acceso a los mismos y su utilización en esos ámbitos.
(69) De conformidad con el artículo 6, apartados 1 y 3, del Reglamento (UE) 2016/679, es necesario un marco proporcionado, limitado y previsible a escala de la Unión a la hora de establecer la base jurídica para la puesta a disposición de datos por parte de los titulares de datos, en casos de necesidades excepcionales, a organismos del sector público, la Comisión, el Banco Central Europeo u organismos de la Unión, tanto para garantizar la seguridad jurídica como para minimizar las cargas administrativas impuestas a las empresas. A tal fin, las solicitudes de datos de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión a los titulares de los datos deben ser específicas, transparentes y proporcionadas en cuanto al alcance de su contenido y su granularidad. La finalidad de la solicitud y el uso previsto de los datos solicitados deben ser específicos y explicarse claramente, permitiendo al mismo tiempo la flexibilidad adecuada para que la entidad solicitante pueda llevar a cabo sus tareas específicas en interés público. La solicitud también debe respetar los intereses legítimos del titular de los datos al que se presenta la solicitud. La carga para los titulares de los datos debe minimizarse obligando a las entidades solicitantes a respetar el principio de "una sola vez", que impide que los mismos datos sean solicitados más de una vez por más de un organismo del sector público o por la Comisión, el Banco Central Europeo u organismos de la Unión. Para garantizar la transparencia, las solicitudes de datos realizadas por la Comisión, el Banco Central Europeo o los organismos de la Unión deben hacerse públicas sin demora indebida por parte de la entidad que solicita los datos. El Banco Central Europeo y los organismos de la Unión deben informar a la Comisión de sus solicitudes. Si la solicitud de datos ha sido realizada por un organismo del sector público, dicho organismo deberá notificarlo también al coordinador de datos del Estado miembro en el que esté establecido el organismo del sector público. Debe garantizarse la disponibilidad pública en línea de todas las solicitudes. Tras la recepción de la notificación de una solicitud de datos, la autoridad competente puede decidir evaluar la legalidad de la solicitud y ejercer sus funciones en relación con el cumplimiento y la aplicación del presente Reglamento. El coordinador de datos debe garantizar la disponibilidad pública en línea de todas las solicitudes realizadas por organismos del sector público.
(70) El objetivo de la obligación de facilitar los datos es garantizar que las entidades del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión dispongan de los conocimientos necesarios para responder a emergencias públicas, prevenirlas o recuperarse de ellas, o para mantener la capacidad de cumplir tareas específicas explícitamente previstas por la ley. Los datos obtenidos por estas entidades pueden ser sensibles desde el punto de vista comercial. Por lo tanto, ni el Reglamento (UE) 2022/868 ni la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo (28) deben aplicarse a los datos puestos a disposición en virtud del presente Reglamento y no deben considerarse datos abiertos disponibles para su reutilización por terceros. No obstante, esto no debe afectar a la aplicabilidad de la Directiva (UE) 2019/1024 a la reutilización de estadísticas oficiales para cuya elaboración se hayan utilizado datos obtenidos con arreglo al presente Reglamento, siempre que la reutilización no incluya los datos subyacentes. Además, siempre que se cumplan las condiciones establecidas en el presente Reglamento, no debe verse afectada la posibilidad de compartir los datos para llevar a cabo investigaciones o para el desarrollo, la producción y la difusión de estadísticas oficiales. También debe permitirse que los organismos del sector público intercambien datos obtenidos en virtud del presente Reglamento con otros organismos del sector público, la Comisión, el Banco Central Europeo u organismos de la Unión, a fin de atender las necesidades excepcionales para las que se hayan solicitado los datos.
(71) Los titulares de los datos deben tener la posibilidad de rechazar una solicitud formulada por un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión, o de solicitar su modificación sin dilaciones indebidas y, en cualquier caso, a más tardar en un plazo de cinco o treinta días laborables, en función de la naturaleza de la necesidad excepcional invocada en la solicitud. En su caso, el titular de los datos deberá tener esta posibilidad cuando no tenga control sobre los datos solicitados, es decir, cuando no tenga acceso inmediato a los datos y no pueda determinar su disponibilidad. Debe existir una razón válida para no facilitar los datos si puede demostrarse que la solicitud es similar a una solicitud presentada anteriormente con el mismo fin por otro organismo del sector público o por la Comisión, el Banco Central Europeo o un organismo de la Unión y no se ha notificado al titular de los datos la supresión de los mismos con arreglo al presente Reglamento. El titular de los datos que rechace la solicitud o solicite su modificación deberá comunicar la justificación subyacente al organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión que solicite los datos. Cuando los derechos sui generis sobre bases de datos con arreglo a la Directiva 96/9/CE del Parlamento Europeo y del Consejo (29) se apliquen en relación con los conjuntos de datos solicitados, los titulares de los datos deben ejercer sus derechos de manera que no impidan al organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión obtener los datos, o compartirlos, de conformidad con el presente Reglamento.
(72) En caso de necesidad excepcional relacionada con una respuesta de emergencia pública, los organismos del sector público deben utilizar datos no personales siempre que sea posible. En el caso de solicitudes basadas en una necesidad excepcional no relacionada con una emergencia pública, no podrán solicitarse datos personales. Cuando los datos personales entren en el ámbito de la solicitud, el titular de los datos deberá anonimizarlos. Cuando sea estrictamente necesario incluir datos personales en los datos que deben ponerse a disposición de un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión, o cuando la anonimización resulte imposible, la entidad que solicite los datos deberá demostrar la estricta necesidad y los fines específicos y limitados del tratamiento. Deberán cumplirse las normas aplicables en materia de protección de datos personales. La puesta a disposición de los datos y su uso posterior deben ir acompañados de salvaguardias de los derechos e intereses de las personas afectadas por dichos datos.
(73) Los datos puestos a disposición de organismos del sector público, la Comisión, el Banco Central Europeo u organismos de la Unión sobre la base de una necesidad excepcional deben utilizarse únicamente para los fines para los que se solicitaron, a menos que el titular de los datos que los puso a disposición haya aceptado expresamente que los datos se utilicen para otros fines. Los datos deben suprimirse cuando ya no sean necesarios para los fines indicados en la solicitud, a menos que se acuerde otra cosa, y debe informarse de ello al titular de los datos. El presente Reglamento se basa en los regímenes de acceso existentes en la Unión y los Estados miembros y no modifica la legislación nacional sobre el acceso del público a los documentos en el contexto de las obligaciones de transparencia. Los datos deben borrarse cuando ya no sean necesarios para cumplir dichas obligaciones de transparencia.
(74) Al reutilizar los datos facilitados por los titulares de los datos, los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión deben respetar tanto el Derecho de la Unión o nacional aplicable vigente como las obligaciones contractuales a las que esté sujeto el titular de los datos. Deben abstenerse de desarrollar o mejorar un producto conectado o un servicio relacionado que compita con el producto conectado o el servicio relacionado del titular de los datos, así como de compartir los datos con un tercero para esos fines. Asimismo, deberán proporcionar reconocimiento público a los titulares de los datos cuando éstos lo soliciten y serán responsables de mantener la seguridad de los datos recibidos. Cuando la divulgación de secretos comerciales del titular de los datos a organismos del sector público, la Comisión, el Banco Central Europeo u organismos de la Unión sea estrictamente necesaria para cumplir el fin para el que se han solicitado los datos, deberá garantizarse la confidencialidad de dicha divulgación antes de la comunicación de los datos.
(75) Cuando esté en juego la salvaguardia de un bien público importante, como la respuesta a emergencias públicas, no debe esperarse que el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión de que se trate compensen a las empresas por los datos obtenidos. Las emergencias públicas son acontecimientos poco frecuentes y no todas ellas requieren el uso de datos en poder de las empresas. Al mismo tiempo, la obligación de proporcionar datos podría constituir una carga considerable para las microempresas y las pequeñas empresas. Por lo tanto, se les debe permitir reclamar una compensación incluso en el contexto de una respuesta de emergencia pública. Por lo tanto, no es probable que las actividades empresariales de los titulares de los datos se vean afectadas negativamente como consecuencia de que los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión recurran al presente Reglamento. No obstante, dado que los casos de necesidad excepcional, distintos de los casos de respuesta a emergencias públicas, pueden ser más frecuentes, los titulares de los datos deben tener derecho en tales casos a una compensación razonable que no debe superar los costes técnicos y organizativos en que hayan incurrido para satisfacer la solicitud y el margen razonable necesario para poner los datos a disposición del organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión. No debe entenderse que la compensación constituye un pago por los datos en sí ni que es obligatoria. Los titulares de los datos no deben poder reclamar una compensación cuando la legislación nacional impida a los institutos nacionales de estadística u otras autoridades nacionales responsables de la elaboración de estadísticas compensar a los titulares de los datos por ponerlos a disposición. El organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión de que se trate deben poder impugnar el nivel de compensación solicitado por el titular de los datos llevando el asunto ante la autoridad competente del Estado miembro en el que esté establecido el titular de los datos.
(76) Un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión deben estar facultados para compartir los datos que hayan obtenido en virtud de la solicitud con otras entidades o personas cuando ello sea necesario para llevar a cabo actividades de investigación científica o actividades analíticas que no puedan realizar por sí mismos, siempre que dichas actividades sean compatibles con la finalidad para la que se solicitaron los datos. Deberá informar oportunamente al titular de los datos de dicha puesta en común. Estos datos también podrán compartirse, en las mismas circunstancias, con los institutos nacionales de estadística y Eurostat para el desarrollo, la elaboración y la difusión de estadísticas oficiales. No obstante, estas actividades de investigación deberán ser compatibles con la finalidad para la que se solicitaron los datos, y el titular de los datos deberá ser informado de la posibilidad de compartir los datos que haya facilitado. Las personas que lleven a cabo investigaciones o los organismos de investigación con los que puedan compartirse esos datos deberán actuar sin ánimo de lucro o en el contexto de una misión de interés público reconocida por el Estado. Los organismos sobre los que las empresas comerciales ejerzan una influencia significativa, que permita a dichas empresas ejercer un control debido a situaciones estructurales que podrían dar lugar a un acceso preferente a los resultados de la investigación, no deben considerarse organismos de investigación a efectos del presente Reglamento.
(77) Para hacer frente a una emergencia pública transfronteriza u otra necesidad excepcional, las solicitudes de datos podrán dirigirse a titulares de datos de Estados miembros distintos del del organismo del sector público solicitante. En tal caso, el organismo del sector público requirente deberá notificarlo a la autoridad competente del Estado miembro en el que esté establecido el titular de los datos para que pueda examinar la solicitud con arreglo a los criterios establecidos en el presente Reglamento. Lo mismo debe aplicarse a las solicitudes presentadas por la Comisión, el Banco Central Europeo o un organismo de la Unión. Cuando se soliciten datos personales, el organismo del sector público debe notificarlo a la autoridad de control responsable de supervisar la aplicación del Reglamento (UE) 2016/679 en el Estado miembro en el que esté establecido el organismo del sector público. La autoridad competente de que se trate debe estar facultada para aconsejar al organismo del sector público, a la Comisión, al Banco Central Europeo o al organismo de la Unión que cooperen con los organismos del sector público del Estado miembro en el que esté establecido el titular de los datos sobre la necesidad de garantizar una carga administrativa minimizada para el titular de los datos. Cuando la autoridad competente tenga objeciones fundamentadas en cuanto a la conformidad de la solicitud con el presente Reglamento, debe rechazar la solicitud del organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión, que deben tener en cuenta dichas objeciones antes de adoptar cualquier otra medida, incluida la nueva presentación de la solicitud.
(78) La capacidad de los clientes de servicios de tratamiento de datos, incluidos los servicios en la nube y de borde, de cambiar de un servicio de tratamiento de datos a otro manteniendo una funcionalidad mínima del servicio y sin tiempo de inactividad de los servicios, o de utilizar los servicios de varios proveedores simultáneamente sin obstáculos indebidos ni costes de transferencia de datos, es una condición clave para un mercado más competitivo con menores barreras de entrada para los nuevos proveedores de servicios de tratamiento de datos, y para garantizar una mayor resiliencia para los usuarios de dichos servicios. Los clientes que se benefician de las ofertas de nivel libre también deben beneficiarse de las disposiciones relativas al cambio de proveedor establecidas en el presente Reglamento, de modo que dichas ofertas no den lugar a una situación de bloqueo para los clientes.
(79) El Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo (30) anima a los proveedores de servicios de tratamiento de datos a desarrollar y aplicar efectivamente códigos de conducta autorreguladores que abarquen las mejores prácticas para, entre otras cosas, facilitar el cambio de proveedores de servicios de tratamiento de datos y la portabilidad de datos. Habida cuenta de la escasa aceptación de los marcos autorreguladores desarrollados en respuesta, y de la indisponibilidad general de normas e interfaces abiertas, es necesario adoptar un conjunto de obligaciones reglamentarias mínimas para los proveedores de servicios de tratamiento de datos a fin de eliminar los obstáculos precomerciales, comerciales, técnicos, contractuales y organizativos, que no se limitan a la reducción de la velocidad de transferencia de datos a la salida del cliente, que dificultan el cambio efectivo entre servicios de tratamiento de datos.
(80) Los servicios de procesamiento de datos deben abarcar los servicios que permiten el acceso ubicuo y a la carta a través de la red a un conjunto compartido configurable, escalable y elástico de recursos informáticos distribuidos. Estos recursos informáticos incluyen recursos como redes, servidores u otras infraestructuras virtuales o físicas, programas informáticos, incluidas herramientas de desarrollo de programas informáticos, almacenamiento, aplicaciones y servicios. La capacidad del cliente del servicio de procesamiento de datos para autoaprovisionarse unilateralmente de capacidades informáticas, como tiempo de servidor o almacenamiento en red, sin ninguna interacción humana por parte del proveedor de servicios de procesamiento de datos podría describirse como que requiere un esfuerzo de gestión mínimo y que implica una interacción mínima entre el proveedor y el cliente. El término "ubicuo" se utiliza para describir las capacidades informáticas proporcionadas a través de la red y a las que se accede mediante mecanismos que promueven el uso de plataformas heterogéneas de clientes ligeros o gruesos (desde navegadores web hasta dispositivos móviles y estaciones de trabajo). El término "escalable" se refiere a los recursos informáticos asignados de forma flexible por el proveedor de servicios de procesamiento de datos, independientemente de la ubicación geográfica de los recursos, con el fin de hacer frente a las fluctuaciones de la demanda. El término "elástico" se utiliza para describir aquellos recursos informáticos que se aprovisionan y liberan en función de la demanda con el fin de aumentar o disminuir rápidamente los recursos disponibles en función de la carga de trabajo. El término "pool compartido" se utiliza para describir aquellos recursos informáticos que se proporcionan a múltiples usuarios que comparten un acceso común al servicio, pero en los que el procesamiento se lleva a cabo por separado para cada usuario, aunque el servicio se preste desde el mismo equipo electrónico. El término "distribuido" se utiliza para describir aquellos recursos informáticos que se encuentran en diferentes ordenadores o dispositivos conectados en red y que se comunican y coordinan entre sí mediante el paso de mensajes. El término "altamente distribuido" se utiliza para describir los servicios de procesamiento de datos que implican un procesamiento de datos más cercano al lugar donde se generan o recopilan los datos, por ejemplo en un dispositivo de procesamiento de datos conectado. Se espera que la computación de borde, que es una forma de este tipo de procesamiento de datos altamente distribuido, genere nuevos modelos de negocio y de prestación de servicios en la nube, que deberían ser abiertos e interoperables desde el principio.
(81) El concepto genérico de "servicios de tratamiento de datos" abarca un número considerable de servicios con una gama muy amplia de finalidades, funcionalidades y configuraciones técnicas diferentes. Tal como los entienden comúnmente los proveedores y los usuarios, y en consonancia con las normas ampliamente utilizadas, los servicios de tratamiento de datos se encuadran en uno o más de los tres modelos de prestación de servicios de tratamiento de datos siguientes, a saber, la infraestructura como servicio (IaaS), la plataforma como servicio (PaaS) y el software como servicio (SaaS). Estos modelos de prestación de servicios representan una combinación específica y preempaquetada de recursos TIC ofrecidos por un proveedor de servicios de tratamiento de datos. Estos tres modelos fundamentales de prestación de servicios de procesamiento de datos se complementan con nuevas variantes, cada una de ellas compuesta por una combinación distinta de recursos TIC, como el almacenamiento como servicio y la base de datos como servicio. Los servicios de tratamiento de datos pueden clasificarse de forma más granular y dividirse en una lista no exhaustiva de conjuntos de servicios de tratamiento de datos que comparten el mismo objetivo primario y las mismas funcionalidades principales, así como el mismo tipo de modelos de tratamiento de datos, que no están relacionados con las características operativas del servicio (mismo tipo de servicio). Los servicios incluidos en el mismo tipo de servicio pueden compartir el mismo modelo de servicio de tratamiento de datos, sin embargo, dos bases de datos podrían parecer compartir el mismo objetivo principal, pero tras considerar su modelo de tratamiento de datos, su modelo de distribución y los casos de uso a los que se dirigen, dichas bases de datos podrían entrar en una subcategoría más granular de servicios similares. Los servicios del mismo tipo pueden tener características diferentes y competidoras, como el rendimiento, la seguridad, la resistencia y la calidad del servicio.
(82) El menoscabo de la extracción de los datos exportables que pertenecen al cliente del proveedor de origen de servicios de tratamiento de datos puede impedir el restablecimiento de las funcionalidades del servicio en la infraestructura del proveedor de destino de servicios de tratamiento de datos. A fin de facilitar la estrategia de salida del cliente, evitar tareas innecesarias y gravosas y garantizar que el cliente no pierda ninguno de sus datos como consecuencia del proceso de cambio, el proveedor de servicios de tratamiento de datos de origen debe informar al cliente con antelación del alcance de los datos que pueden exportarse una vez que dicho cliente decida cambiar a un servicio prestado por un proveedor de servicios de tratamiento de datos diferente o pasar a una infraestructura de TIC local. El alcance de los datos exportables debe incluir, como mínimo, los datos de entrada y salida, incluidos los metadatos, generados directa o indirectamente, o cogenerados, por el uso por parte del cliente del servicio de tratamiento de datos, excluyendo cualquier activo o dato del proveedor de servicios de tratamiento de datos o de un tercero. Los datos exportables deben excluir cualesquiera activos o datos del proveedor de servicios de tratamiento de datos o del tercero que estén protegidos por derechos de propiedad intelectual o que constituyan secretos comerciales de dicho proveedor o de dicho tercero, o datos relacionados con la integridad y la seguridad del servicio, cuya exportación expondría a los proveedores de servicios de tratamiento de datos a vulnerabilidades de ciberseguridad. Estas exenciones no deberían impedir ni retrasar el proceso de cambio de proveedor.
(83) Los activos digitales se refieren a elementos en forma digital sobre los que el cliente tiene derecho de uso, incluidas las aplicaciones y los metadatos relacionados con la configuración de los ajustes, la seguridad y la gestión de los derechos de acceso y control, y otros elementos como las manifestaciones de las tecnologías de virtualización, incluidas las máquinas virtuales y los contenedores. Los activos digitales pueden transferirse cuando el cliente tiene el derecho de uso independientemente de la relación contractual con el servicio de tratamiento de datos que pretende cambiar. Esos otros elementos son esenciales para el uso efectivo de los datos y aplicaciones del cliente en el entorno del proveedor de servicios de tratamiento de datos de destino.
(84) El presente Reglamento tiene por objeto facilitar el paso de un servicio de tratamiento de datos a otro, lo que abarca las condiciones y acciones necesarias para que un cliente rescinda un contrato de servicio de tratamiento de datos, celebre uno o varios nuevos contratos con diferentes proveedores de servicios de tratamiento de datos, traslade sus datos y activos digitales exportables y, en su caso, se beneficie de la equivalencia funcional.
(85) El cambio de proveedor es una operación impulsada por el cliente que consta de varios pasos, incluida la extracción de datos, que se refiere a la descarga de datos del ecosistema del proveedor de origen de servicios de tratamiento de datos; la transformación, cuando los datos están estructurados de una manera que no coincide con el esquema de la ubicación de destino; y la carga de los datos en una nueva ubicación de destino. En una situación específica contemplada en el presente Reglamento, la separación de un servicio concreto del contrato y su traslado a un proveedor diferente también debe considerarse un cambio de proveedor. En ocasiones, el proceso de cambio de proveedor es gestionado en nombre del cliente por una tercera entidad. En consecuencia, debe entenderse que todos los derechos y obligaciones del cliente establecidos por el presente Reglamento, incluida la obligación de cooperar de buena fe, se aplican a dicha entidad tercera en esas circunstancias. Los proveedores de servicios de tratamiento de datos y los clientes tienen distintos niveles de responsabilidad, en función de las fases del proceso a que se refieran. Por ejemplo, el proveedor de servicios de tratamiento de datos de origen es responsable de extraer los datos a un formato legible por máquina, pero son el cliente y el proveedor de servicios de tratamiento de datos de destino quienes deben cargar los datos en el nuevo entorno, a menos que se haya obtenido un servicio de transición profesional específico. Un cliente que pretenda ejercer los derechos relacionados con el cambio de proveedor, previstos en el presente Reglamento, debe informar al proveedor de origen de servicios de tratamiento de datos de la decisión de cambiar de proveedor de servicios de tratamiento de datos, cambiar a una infraestructura de TIC local o suprimir los activos de ese cliente y borrar sus datos exportables.
(86) Por equivalencia funcional se entenderá el restablecimiento, sobre la base de los datos y activos digitales exportables del cliente, de un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de tratamiento de datos del mismo tipo de servicio tras el cambio, cuando el servicio de tratamiento de datos de destino ofrezca un resultado materialmente comparable en respuesta a la misma entrada para las características compartidas suministradas al cliente en virtud del contrato. Sólo cabe esperar que los proveedores de servicios de tratamiento de datos faciliten la equivalencia funcional para las características que tanto el servicio de tratamiento de datos de origen como el de destino ofrecen de forma independiente. El presente Reglamento no constituye una obligación de facilitar la equivalencia funcional para los proveedores de servicios de tratamiento de datos distintos de los que ofrecen servicios del modelo de prestación IaaS.
(87) Los servicios de procesamiento de datos se utilizan en todos los sectores y varían en complejidad y tipo de servicio. Esta es una consideración importante en relación con el proceso y los plazos de portabilidad. No obstante, la prórroga del período transitorio por motivos de inviabilidad técnica para permitir la finalización del proceso de cambio en el plazo previsto sólo debe invocarse en casos debidamente justificados. La carga de la prueba a este respecto debe recaer plenamente en el proveedor del servicio de tratamiento de datos de que se trate. Esto se entiende sin perjuicio del derecho exclusivo del cliente a prorrogar el período transitorio una vez por un período que el cliente considere más adecuado para sus propios fines. El cliente puede revocar ese derecho a una prórroga antes del período transitorio o durante el mismo, teniendo en cuenta que el contrato sigue siendo aplicable durante el período transitorio.
(88) Los gastos de cambio de proveedor son gastos que los proveedores de servicios de tratamiento de datos cobran a los clientes por el proceso de cambio. Normalmente, estas tasas tienen por objeto repercutir los costes en que puede incurrir el proveedor de origen de los servicios de tratamiento de datos debido al proceso de cambio al cliente que desea cambiar. Ejemplos comunes de tarifas de cambio son los costes relacionados con el tránsito de datos de un proveedor de servicios de procesamiento de datos a otro o a una infraestructura de TIC local (tarifas de salida de datos) o los costes incurridos por acciones de apoyo específicas durante el proceso de cambio. Las tarifas de salida de datos innecesariamente elevadas y otras tarifas injustificadas que no guardan relación con los costes reales del cambio impiden que los clientes cambien de proveedor, restringen la libre circulación de datos, pueden limitar la competencia y tienen efectos de bloqueo para los clientes al reducir los incentivos para elegir un proveedor de servicios diferente o adicional. Por consiguiente, los costes de cambio de proveedor deben suprimirse transcurridos tres años desde la entrada en vigor del presente Reglamento. Los proveedores de servicios de tratamiento de datos deben poder imponer tarifas de cambio reducidas hasta esa fecha.
(89) Un proveedor fuente de servicios de tratamiento de datos debe poder externalizar determinadas tareas y compensar a terceras entidades con el fin de cumplir las obligaciones previstas en el presente Reglamento. Un cliente no debe soportar los costes derivados de la externalización de servicios concluida por el proveedor de origen de servicios de tratamiento de datos durante el proceso de traslado, y tales costes deben considerarse injustificados a menos que cubran el trabajo emprendido por el proveedor de servicios de tratamiento de datos a petición del cliente para obtener apoyo adicional en el proceso de traslado que vaya más allá de las obligaciones de traslado del proveedor expresamente previstas en el presente Reglamento. Nada de lo dispuesto en el presente Reglamento impide que un cliente compense a terceras entidades por el apoyo en el proceso de migración o que las partes acuerden contratos de servicios de tratamiento de datos de duración determinada, incluidas penalizaciones proporcionadas por rescisión anticipada para cubrir la rescisión anticipada de dichos contratos, de conformidad con el Derecho de la Unión o nacional. A fin de fomentar la competencia, la retirada gradual de las tarifas asociadas al cambio entre distintos proveedores de servicios de tratamiento de datos debe incluir específicamente las tarifas de salida de datos impuestas por un proveedor de servicios de tratamiento de datos a un cliente. EstándarEstándar Especificación técnica, adoptada por un organismo de normalización reconocido, de aplicación repetida o continua, cuyo cumplimiento no es obligatorio y que es una de las siguientes (a) "norma internacional": norma adoptada por un organismo internacional de normalización; b) "norma europea": norma adoptada por un organismo europeo de normalización; c) "norma armonizada": norma europea adoptada sobre la base de una solicitud formulada por la Comisión para la aplicación de la legislación de armonización de la Unión; d) "norma nacional": norma adoptada por un organismo nacional de normalización - Definición según el artículo 2, punto 1, delReglamento (UE) nº 1025/2012 del Parlamento Europeo y del Consejo. las tasas de servicio por la prestación de los servicios de tratamiento de datos propiamente dichos no son tasas de conmutación. Dichas tasas de servicio estándar no están sujetas a revocación y siguen siendo aplicables hasta que cese el contrato de prestación de los servicios correspondientes. El presente Reglamento permite al cliente solicitar la prestación de servicios adicionales que vayan más allá de las obligaciones de conmutación del proveedor en virtud del presente Reglamento. Estos servicios adicionales pueden ser prestados y facturados por el proveedor cuando se realicen a petición del cliente y éste acepte de antemano el precio de dichos servicios.
(90) Es necesario un planteamiento regulador de la interoperabilidad ambicioso y que fomente la innovación para superar el bloqueo de los proveedores, que socava la competencia y el desarrollo de nuevos servicios. La interoperabilidad entre los servicios de procesamiento de datos implica múltiples interfaces y capas de infraestructura y software, y rara vez se limita a una prueba binaria de si se puede lograr o no. Por el contrario, la construcción de dicha interoperabilidad está sujeta a un análisis de coste-beneficio que es necesario para establecer si merece la pena perseguir resultados razonablemente predecibles. La norma ISO/IEC 19941:2017 es una norma internacional importante que constituye una referencia para la consecución de los objetivos del presente Reglamento, ya que contiene consideraciones técnicas que aclaran la complejidad de dicho proceso.
(91) Cuando los proveedores de servicios de tratamiento de datos sean, a su vez, clientes de servicios de tratamiento de datos prestados por un proveedor tercero, se beneficiarán ellos mismos de una conmutación más eficaz, al tiempo que seguirán sujetos a las obligaciones del presente Reglamento en relación con sus propias ofertas de servicios.
(92) Debe exigirse a los proveedores de servicios de tratamiento de datos que ofrezcan toda la asistencia y el apoyo dentro de su capacidad, proporcionados a sus respectivas obligaciones, que sean necesarios para que el proceso de cambio a un servicio de un proveedor de servicios de tratamiento de datos diferente sea satisfactorio, eficaz y seguro. El presente Reglamento no obliga a los proveedores de servicios de tratamiento de datos a desarrollar nuevas categorías de servicios de tratamiento de datos, incluso dentro de la infraestructura de TIC de diferentes proveedores de servicios de tratamiento de datos o sobre la base de la misma, con el fin de garantizar la equivalencia funcional en un entorno distinto de sus propios sistemas. Un proveedor de servicios de tratamiento de datos de origen no tiene acceso ni conocimiento del entorno del proveedor de servicios de tratamiento de datos de destino. No debe entenderse que la equivalencia funcional obligue al proveedor de servicios de tratamiento de datos de origen a reconstruir el servicio en cuestión dentro de la infraestructura del proveedor de servicios de tratamiento de datos de destino. Por el contrario, el proveedor de origen de servicios de tratamiento de datos debe adoptar todas las medidas razonables a su alcance para facilitar el proceso de consecución de la equivalencia funcional mediante el suministro de capacidades, información adecuada, documentación, asistencia técnica y, en su caso, las herramientas necesarias.
(93) También debe exigirse a los proveedores de servicios de tratamiento de datos que eliminen los obstáculos existentes y no impongan otros nuevos, incluso para los clientes que deseen cambiar a una infraestructura de TIC in situ. Los obstáculos pueden ser, entre otros, de naturaleza precomercial, comercial, técnica, contractual u organizativa. También debe exigirse a los proveedores de servicios de tratamiento de datos que eliminen los obstáculos a la desagregación de un servicio individual específico de otros servicios de tratamiento de datos prestados en virtud de un contrato y pongan el servicio en cuestión a disposición de los clientes que deseen cambiar de proveedor, en ausencia de obstáculos técnicos importantes y demostrados que impidan dicha desagregación.
(94) Durante todo el proceso de conmutación debe mantenerse un alto nivel de seguridad. Esto significa que el proveedor de origen de servicios de tratamiento de datos debe ampliar el nivel de seguridad al que se comprometió para el servicio a todos los dispositivos técnicos de los que dicho proveedor sea responsable durante el proceso de conmutación, como las conexiones de red o los dispositivos físicos. No deben verse afectados los derechos existentes relativos a la resolución de contratos, incluidos los introducidos por el Reglamento (UE) 2016/679 y la Directiva (UE) 2019/770 del Parlamento Europeo y del Consejo (31). No debe entenderse que el presente Reglamento impide a un proveedor de servicios de tratamiento de datos prestar a los clientes servicios, características y funcionalidades nuevos y mejorados o competir con otros proveedores de servicios de tratamiento de datos sobre esa base.
(95) La información que deben facilitar los proveedores de servicios de tratamiento de datos al cliente podría respaldar la estrategia de salida del cliente. Dicha información debe incluir los procedimientos para iniciar el cambio desde el servicio de tratamiento de datos; los formatos de datos legibles por máquina a los que pueden exportarse los datos del usuario; las herramientas destinadas a exportar datos, incluidas las interfaces abiertas, así como información sobre la compatibilidad con normas armonizadas o especificaciones comunes basadas en especificaciones abiertas de interoperabilidad; información sobre las restricciones y limitaciones técnicas conocidas que podrían repercutir en el proceso de cambio; y el tiempo estimado necesario para completar el proceso de cambio.
(96) Para facilitar la interoperabilidad y el cambio entre servicios de tratamiento de datos, los usuarios y los proveedores de servicios de tratamiento de datos deben considerar el uso de herramientas de aplicación y cumplimiento, en particular las publicadas por la Comisión en forma de un Manual de normas de la UE sobre la nube y unas Orientaciones sobre la contratación pública de servicios de tratamiento de datos. En particular, las cláusulas contractuales tipo son beneficiosas porque aumentan la confianza en los servicios de tratamiento de datos, crean una relación más equilibrada entre usuarios y proveedores de servicios de tratamiento de datos y mejoran la seguridad jurídica con respecto a las condiciones que se aplican para cambiar a otros servicios de tratamiento de datos. En ese contexto, los usuarios y los proveedores de servicios de tratamiento de datos deben considerar la posibilidad de utilizar cláusulas contractuales tipo u otros instrumentos de autorregulación del cumplimiento, siempre que se ajusten plenamente al presente Reglamento, elaborados por los organismos o grupos de expertos pertinentes establecidos con arreglo al Derecho de la Unión.
(97) Para facilitar el cambio entre servicios de tratamiento de datos, todas las partes implicadas, incluidos los proveedores de servicios de tratamiento de datos tanto de origen como de destino, deben cooperar de buena fe para hacer efectivo el proceso de cambio, permitir la transferencia segura y oportuna de los datos necesarios en un formato de uso común y legible por máquina, y mediante interfaces abiertas, evitando al mismo tiempo las interrupciones del servicio y manteniendo la continuidad del mismo.
(98) Los servicios de tratamiento de datos que se refieran a servicios en los que la mayoría de las características principales se hayan creado a medida para responder a las demandas específicas de un cliente individual o en los que todos los componentes se hayan desarrollado para los fines de un cliente individual deben quedar exentos de algunas de las obligaciones aplicables a la conmutación de servicios de tratamiento de datos. Esto no debería incluir los servicios que el proveedor de servicios de tratamiento de datos ofrece a gran escala comercial a través de su catálogo de servicios. Entre las obligaciones del proveedor de servicios de tratamiento de datos figura la de informar debidamente a los posibles clientes de tales servicios, antes de la celebración de un contrato, de las obligaciones establecidas en el presente Reglamento que no se aplican a los servicios en cuestión. Nada impide que el proveedor de servicios de tratamiento de datos despliegue eventualmente tales servicios a escala, en cuyo caso dicho proveedor tendría que cumplir todas las obligaciones de conmutación establecidas en el presente Reglamento.
(99) En consonancia con el requisito mínimo que permite cambiar de proveedor de servicios de tratamiento de datos, el presente Reglamento también pretende mejorar la interoperabilidad para el uso en paralelo de múltiples servicios de tratamiento de datos con funcionalidades complementarias. Se trata de situaciones en las que los clientes no rescinden un contrato para cambiar de proveedor de servicios de tratamiento de datos, sino que utilizan en paralelo múltiples servicios de diferentes proveedores, de manera interoperable, para beneficiarse de las funcionalidades complementarias de los diferentes servicios en la configuración del sistema del cliente. Sin embargo, se reconoce que la salida de datos de un proveedor de servicios de tratamiento de datos a otro para facilitar el uso en paralelo de los servicios puede ser una actividad continua, en contraste con la salida única requerida como parte del proceso de cambio. Por lo tanto, los proveedores de servicios de tratamiento de datos deben poder seguir imponiendo tarifas de salida de datos, que no superen los costes incurridos, a efectos del uso en paralelo después de tres años a partir de la fecha de entrada en vigor del presente Reglamento. Esto es importante, entre otras cosas, para el éxito del despliegue de estrategias multicloud, que permiten a los clientes aplicar estrategias TIC preparadas para el futuro y que disminuyen la dependencia de proveedores individuales de servicios de tratamiento de datos. Facilitar un enfoque multicloud para los clientes de servicios de tratamiento de datos también puede contribuir a aumentar su resistencia operativa digital, como se reconoce para las entidades de servicios financieros en el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (32).
(100) Se espera que las especificaciones y normas abiertas de interoperabilidad desarrolladas de conformidad con el anexo II del Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo (33) en el ámbito de la interoperabilidad y la portabilidad permitan un entorno de nube de múltiples proveedores, que es un requisito clave para la innovación abierta en la economía europea de los datos. Dado que la adopción por el mercado de las normas identificadas en el marco de la iniciativa de coordinación de la normalización de la nube (CSC) concluida en 2016 ha sido limitada, también es necesario que la Comisión confíe en las partes del mercado para desarrollar especificaciones de interoperabilidad abiertas pertinentes a fin de seguir el rápido ritmo del desarrollo tecnológico en esta industria. Estas especificaciones abiertas de interoperabilidad pueden ser adoptadas posteriormente por la Comisión en forma de especificaciones comunes. Además, cuando los procesos impulsados por el mercado no hayan demostrado su capacidad para establecer especificaciones o normas comunes que faciliten la interoperabilidad efectiva de la nube en los niveles PaaS y SaaS, la Comisión debe poder, sobre la base del presente Reglamento y de conformidad con el Reglamento (UE) nº 1025/2012, solicitar a los organismos europeos de normalización que desarrollen tales normas para tipos de servicios específicos cuando tales normas aún no existan. Además, la Comisión animará a las partes del mercado a desarrollar especificaciones abiertas de interoperabilidad pertinentes. Previa consulta a las partes interesadas, la Comisión, mediante actos de ejecución, debe poder imponer el uso de normas armonizadas de interoperabilidad o especificaciones comunes para tipos de servicios específicos mediante una referencia en un depósito central de normas de la Unión para la interoperabilidad de los servicios de tratamiento de datos. Los proveedores de servicios de tratamiento de datos deben garantizar la compatibilidad con dichas normas armonizadas y especificaciones comunes basadas en especificaciones de interoperabilidad abiertas, que no deben tener repercusiones negativas en la seguridad o integridad de los datos. Solo se hará referencia a las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos y a las especificaciones comunes basadas en especificaciones de interoperabilidad abiertas si cumplen los criterios especificados en el presente Reglamento, que tienen el mismo significado que los requisitos del anexo II del Reglamento (UE) no 1025/2012 y las facetas de interoperabilidad definidas en la norma internacional ISO/IEC 19941:2017. Además, la normalización debe tener en cuenta las necesidades de las PYME.
(101) Los terceros países pueden adoptar leyes, reglamentos y otros actos jurídicos que tengan por objeto la transferencia directa o el acceso gubernamental a datos no personales situados fuera de sus fronteras, incluso en la Unión. Las sentencias de órganos jurisdiccionales o las resoluciones de otras autoridades judiciales o administrativas, incluidas las autoridades policiales de terceros países, que exijan dicha transferencia o acceso a datos no personales deben ser ejecutables cuando se basen en un acuerdo internacional, como un tratado de asistencia judicial mutua, en vigor entre el tercer país requirente y la Unión o un Estado miembro. En otros casos, pueden plantearse situaciones en las que una solicitud de transferir o facilitar el acceso a datos no personales derivada de la legislación de un tercer país entre en conflicto con una obligación de proteger dichos datos en virtud del Derecho de la Unión o del Derecho nacional del Estado miembro de que se trate, en particular en lo que respecta a la protección de los derechos fundamentales de la persona, como el derecho a la seguridad y el derecho a la tutela judicial efectiva, o los intereses fundamentales de un Estado miembro relacionados con la seguridad o la defensa nacionales, así como la protección de datos sensibles desde el punto de vista comercial, incluida la protección de secretos comerciales, y la protección de los derechos de propiedad intelectual, incluidos sus compromisos contractuales en materia de confidencialidad de conformidad con dicha legislación. A falta de acuerdos internacionales que regulen estas cuestiones, la transferencia de datos no personales o el acceso a los mismos sólo debe permitirse si se ha verificado que el ordenamiento jurídico del tercer país exige que se expongan los motivos y la proporcionalidad de la decisión, que la orden judicial o la decisión tienen carácter específico y que la objeción motivada del destinatario está sujeta a revisión por parte de un órgano jurisdiccional competente del tercer país que esté facultado para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de dichos datos. Siempre que sea posible con arreglo a los términos de la solicitud de acceso a los datos de la autoridad del tercer país, el proveedor de servicios de tratamiento de datos debe poder informar al cliente cuyos datos se solicitan antes de conceder el acceso a dichos datos, a fin de verificar la presencia de un posible conflicto de dicho acceso con el Derecho de la Unión o nacional, como el relativo a la protección de datos sensibles desde el punto de vista comercial, incluida la protección de secretos comerciales y derechos de propiedad intelectual y los compromisos contractuales en materia de confidencialidad.
(102) Para fomentar aún más la confianza en los datos, es importante que se apliquen, en la medida de lo posible, salvaguardias que garanticen el control de sus datos por parte de los ciudadanos de la Unión, los organismos del sector público y las empresas. Además, deben respetarse el Derecho, los valores y las normas de la Unión relativos, entre otras cosas, a la seguridad, la protección de datos y la intimidad, y la protección de los consumidores. Con el fin de impedir el acceso gubernamental ilícito a los datos no personales por parte de las autoridades de terceros países, los proveedores de servicios de tratamiento de datos sujetos al presente Reglamento, como los servicios en la nube y de borde, deben adoptar todas las medidas razonables para impedir el acceso a los sistemas en los que se almacenan los datos no personales, incluso, cuando proceda, mediante el cifrado de los datos, el sometimiento frecuente a auditorías, la adhesión verificada a los regímenes pertinentes de certificación de garantías de seguridad y mediante la modificación de las políticas corporativas.
(103) La normalización y la interoperabilidad semántica deben desempeñar un papel clave para proporcionar soluciones técnicas que garanticen la interoperabilidad dentro de los espacios comunes europeos de datos y entre ellos, que son marcos interoperables con fines o sectores específicos o intersectoriales para normas y prácticas comunes destinadas a compartir o tratar conjuntamente datos para, entre otras cosas, el desarrollo de nuevos productos y servicios, la investigación científica o las iniciativas de la sociedad civil. El presente Reglamento establece determinados requisitos esenciales para la interoperabilidad. Los participantes en los espacios de datos que ofrecen datos o servicios de datos a otros participantes, que son entidades que facilitan o participan en la puesta en común de datos dentro de los espacios europeos comunes de datos, incluidos los titulares de datos, deben cumplir dichos requisitos en la medida en que afecten a elementos bajo su control. El cumplimiento de dichas normas puede garantizarse mediante la adhesión a los requisitos esenciales establecidos en el presente Reglamento, o presumirse mediante el cumplimiento de normas armonizadas o especificaciones comunes a través de una presunción de conformidad. Con el fin de facilitar la conformidad con los requisitos de interoperabilidad, es necesario establecer una presunción de conformidad de las soluciones de interoperabilidad que cumplan las normas armonizadas o partes de las mismas de conformidad con el Reglamento (UE) n.o 1025/2012, que representa el marco por defecto para elaborar normas que establezcan tales presunciones. La Comisión debe evaluar los obstáculos a la interoperabilidad y dar prioridad a las necesidades de normalización, sobre cuya base puede solicitar a una o varias organizaciones europeas de normalización, de conformidad con el Reglamento (UE) no 1025/2012, que elaboren normas armonizadas que satisfagan los requisitos esenciales establecidos en el presente Reglamento. Cuando dichas solicitudes no den lugar a normas armonizadas o dichas normas armonizadas sean insuficientes para garantizar la conformidad con los requisitos esenciales del presente Reglamento, la Comisión debe poder adoptar especificaciones comunes en esos ámbitos, siempre que al hacerlo respete debidamente el papel y las funciones de las organizaciones de normalización. La especificación común debe adoptarse únicamente como solución de emergencia excepcional para facilitar el cumplimiento de los requisitos esenciales del presente Reglamento, o cuando el proceso de normalización esté bloqueado, o cuando se produzcan retrasos en el establecimiento de normas armonizadas adecuadas. Cuando un retraso se deba a la complejidad técnica de la norma en cuestión, la Comisión debe tenerlo en cuenta antes de contemplar el establecimiento de especificaciones comunes. Las especificaciones comunes deben elaborarse de manera abierta e integradora y tener en cuenta, cuando proceda, el asesoramiento del Consejo Europeo de Innovación de Datos (CEID) creado por el Reglamento (UE) 2022/868. Además, podrían adoptarse especificaciones comunes en diferentes sectores, de conformidad con el Derecho de la Unión o nacional, sobre la base de las necesidades específicas de esos sectores. Además, la Comisión debería estar facultada para ordenar el desarrollo de normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos.
(104) A fin de promover la interoperabilidad de las herramientas para la ejecución automatizada de acuerdos de puesta en común de datos, es necesario establecer requisitos esenciales para los contratos inteligentes que los profesionales creen para otros o integren en aplicaciones que apoyen la ejecución de acuerdos de puesta en común de datos. A fin de facilitar la conformidad de dichos contratos inteligentes con esos requisitos esenciales, es necesario establecer una presunción de conformidad de los contratos inteligentes que cumplan normas armonizadas o partes de las mismas de conformidad con el Reglamento (UE) n.o 1025/2012. El concepto de "contrato inteligente" en el presente Reglamento es tecnológicamente neutro. Los contratos inteligentes pueden, por ejemplo, estar conectados a un libro mayor electrónico. Los requisitos esenciales deben aplicarse únicamente a los vendedores de contratos inteligentes, aunque no cuando desarrollen contratos inteligentes internamente exclusivamente para uso interno. El requisito esencial de garantizar que los contratos inteligentes puedan interrumpirse y rescindirse implica el consentimiento mutuo de las partes en el acuerdo de intercambio de datos. La aplicabilidad de las normas pertinentes del Derecho civil, contractual y de protección de los consumidores a los acuerdos de puesta en común de datos sigue o debería seguir sin verse afectada por el uso de contratos inteligentes para la ejecución automatizada de tales acuerdos.
(105) Para demostrar el cumplimiento de los requisitos esenciales del presente Reglamento, el vendedor de un contrato inteligente o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para otros en el contexto de la ejecución de un acuerdo o parte del mismo, para poner a disposición datos en el contexto del presente Reglamento, debe realizar una evaluación de la conformidad y expedir una declaración UE de conformidad. Dicha evaluación de la conformidad debe estar sujeta a los principios generales establecidos en el Reglamento (CE) no 765/2008 del Parlamento Europeo y del Consejo (34) y en la Decisión no 768/2008/CE del Parlamento Europeo y del Consejo (35).
(106) Además de la obligación de los desarrolladores profesionales de contratos inteligentes de cumplir los requisitos esenciales, también es importante animar a los participantes en los espacios de datos que ofrecen datos o servicios basados en datos a otros participantes dentro de los espacios de datos europeos comunes y a través de ellos a apoyar la interoperabilidad de las herramientas para compartir datos, incluidos los contratos inteligentes.
(107) Para garantizar la aplicación y el cumplimiento del presente Reglamento, los Estados miembros deben designar una o varias autoridades competentes. Si un Estado miembro designa más de una autoridad competente, también debe designar de entre ellas un coordinador de datos. Las autoridades competentes deben cooperar entre sí. Mediante el ejercicio de sus facultades de investigación de conformidad con los procedimientos nacionales aplicables, las autoridades competentes deben poder buscar y obtener información, en particular en relación con las actividades de entidades que sean de su competencia y, también en el contexto de investigaciones conjuntas, teniendo debidamente en cuenta que las medidas de supervisión y ejecución relativas a una entidad que sea competencia de otro Estado miembro deben ser adoptadas por la autoridad competente de ese otro Estado miembro, en su caso, de conformidad con los procedimientos relativos a la cooperación transfronteriza. Las autoridades competentes deben prestarse asistencia mutua en el momento oportuno, en particular cuando una autoridad competente de un Estado miembro posea información pertinente para una investigación llevada a cabo por las autoridades competentes de otros Estados miembros, o pueda recabar dicha información a la que no tengan acceso las autoridades competentes del Estado miembro en el que esté establecida la entidad. Las autoridades competentes y los coordinadores de datos deberán estar identificados en un registro público mantenido por la Comisión. El coordinador de datos podría ser un medio adicional para facilitar la cooperación en situaciones transfronterizas, como cuando una autoridad competente de un Estado miembro determinado no sabe a qué autoridad debe dirigirse en el Estado miembro del coordinador de datos, por ejemplo cuando el caso está relacionado con más de una autoridad competente o sector. El coordinador de datos debe actuar, entre otras cosas, como punto de contacto único para todas las cuestiones relacionadas con la aplicación del presente Reglamento. Cuando no se haya designado un coordinador de datos, la autoridad competente debe asumir las tareas asignadas al coordinador de datos en virtud del presente Reglamento. Las autoridades responsables de la supervisión del cumplimiento de la legislación en materia de protección de datos y las autoridades competentes designadas en virtud del Derecho de la Unión o nacional deben ser responsables de la aplicación del presente Reglamento en sus ámbitos de competencia. A fin de evitar conflictos de intereses, las autoridades competentes responsables de la aplicación y el cumplimiento del presente Reglamento en el ámbito de la puesta a disposición de datos a raíz de una solicitud basada en una necesidad excepcional no deben beneficiarse del derecho a presentar dicha solicitud.
(108) A fin de hacer valer los derechos que les confiere el presente Reglamento, las personas físicas y jurídicas deben tener derecho a solicitar reparación por las infracciones de los derechos que les confiere el presente Reglamento mediante la presentación de reclamaciones. El coordinador de datos debe facilitar a las personas físicas y jurídicas que lo soliciten toda la información necesaria para la presentación de sus reclamaciones ante la autoridad competente apropiada. Dichas autoridades deben estar obligadas a cooperar para garantizar que una reclamación se tramita adecuadamente y se resuelve de manera eficaz y oportuna. Para hacer uso del mecanismo de la red de cooperación en materia de protección de los consumidores y permitir que representanteRepresentante Persona física o jurídica establecida en la Unión designada explícitamente para actuar en nombre de un proveedor de servicios DNS, un registro de nombres TLD, una entidad que preste servicios de registro de nombres de dominio, un proveedor de servicios de computación en nube, un proveedor de servicios de centros de datos, un proveedor de redes de suministro de contenidos, un proveedor de servicios gestionados, un proveedor de servicios de seguridad gestionados o un proveedor de un mercado en línea, de un motor de búsqueda en línea o de una plataforma de servicios de redes sociales que no esté establecido en la Unión, a la que pueda dirigirse una autoridad competente o un CSIRT en lugar de la propia entidad en lo que respecta a las obligaciones que incumben a dicha entidad en virtud de la presente Directiva. - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) acciones, el presente Reglamento modifica los anexos del Reglamento (UE) 2017/2394 del Parlamento Europeo y del Consejo (36) y de la Directiva (UE) 2020/1828 del Parlamento Europeo y del Consejo (37).
(109) Las autoridades competentes deben velar por que las infracciones de las obligaciones establecidas en el presente Reglamento sean objeto de sanciones. Dichas sanciones pueden incluir sanciones económicas, advertencias, amonestaciones u órdenes de ajustar las prácticas empresariales a las obligaciones impuestas por el presente Reglamento. Las sanciones establecidas por los Estados miembros deben ser efectivas, proporcionadas y disuasorias, y deben tener en cuenta las recomendaciones del EDIB, contribuyendo así a lograr el mayor nivel posible de coherencia en el establecimiento y la aplicación de las sanciones. Cuando proceda, las autoridades competentes deben recurrir a medidas provisionales para limitar los efectos de una presunta infracción mientras se investiga dicha infracción. Para ello, deben tener en cuenta, entre otras cosas, la naturaleza, la gravedad, la escala y la duración de la infracción, habida cuenta del interés público en juego, el alcance y el tipo de actividades realizadas y la capacidad económica de la parte infractora. También deben tener en cuenta si la parte infractora incumple de forma sistemática o recurrente las obligaciones que le impone el presente Reglamento. Con el fin de garantizar el respeto del principio ne bis in idem y, en particular, para evitar que la misma infracción de las obligaciones establecidas en el presente Reglamento sea sancionada más de una vez, un Estado miembro que se proponga ejercer su competencia en relación con una parte infractora que no esté establecida y no haya designado un representante legal en la Unión debe informar sin demora indebida a todos los coordinadores de datos, así como a la Comisión.
(110) El OEDT debe asesorar y asistir a la Comisión en la coordinación de las prácticas y políticas nacionales sobre los temas cubiertos por el presente Reglamento, así como en la consecución de sus objetivos en relación con la normalización técnica para mejorar la interoperabilidad. También debe desempeñar un papel clave a la hora de facilitar debates exhaustivos entre las autoridades competentes en relación con la aplicación y el cumplimiento del presente Reglamento. Este intercambio de información tiene por objeto aumentar el acceso efectivo a la justicia, así como la ejecución y la cooperación judicial en toda la Unión. Entre otras funciones, las autoridades competentes deben hacer uso del EDIB como plataforma para evaluar, coordinar y adoptar recomendaciones sobre el establecimiento de sanciones por infracciones del presente Reglamento. Debe permitir a las autoridades competentes, con la asistencia de la Comisión, coordinar el enfoque óptimo para determinar e imponer dichas sanciones. Este enfoque evita la fragmentación al tiempo que permite la flexibilidad de los Estados miembros y debe dar lugar a recomendaciones eficaces que apoyen la aplicación coherente del presente Reglamento. El EDIB también debe tener una función consultiva en los procesos de normalización y la adopción de especificaciones comunes mediante actos de ejecución, en la adopción de actos delegados para establecer un mecanismo de supervisión de las tasas de conmutación, impuestas por los proveedores de servicios de tratamiento de datos y para especificar con mayor detalle los requisitos esenciales para la interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos, así como de los espacios comunes europeos de datos. También debe asesorar y asistir a la Comisión en la adopción de las directrices que establecen las especificaciones de interoperabilidad para el funcionamiento de los espacios comunes europeos de datos.
(111) Para ayudar a las empresas a redactar y negociar contratos, la Comisión debe desarrollar y recomendar cláusulas contractuales tipo no vinculantes para los contratos de puesta en común de datos entre empresas, teniendo en cuenta, en su caso, las condiciones de sectores específicos y las prácticas existentes con mecanismos voluntarios de puesta en común de datos. Estos modelos de cláusulas contractuales deben ser ante todo una herramienta práctica para ayudar en particular a las PYME a celebrar un contrato. Cuando se utilicen de forma generalizada e integral, estos modelos de cláusulas contractuales también deberían tener el efecto beneficioso de influir en el diseño de los contratos relativos al acceso a los datos y a su uso y, por tanto, conducir de forma más generalizada a unas relaciones contractuales más justas a la hora de acceder a los datos y compartirlos.
(112) A fin de eliminar el riesgo de que los titulares de datos de bases de datos obtenidos o generados mediante componentes físicos, como sensores, de un producto conectado y un servicio conexo u otros datos generados por máquinas, reclamen el derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE y, al hacerlo, obstaculicen, en particular, el ejercicio efectivo del derecho de los usuarios a acceder a los datos y a utilizarlos y el derecho a compartir datos con terceros en virtud del presente Reglamento, debe aclararse que el derecho sui generis no se aplica a dichas bases de datos. Ello no afecta a la posible aplicación del derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE a las bases de datos que contengan datos no incluidos en el ámbito de aplicación del presente Reglamento, siempre que se cumplan los requisitos de protección con arreglo al apartado 1 de dicho artículo.
(113) A fin de tener en cuenta los aspectos técnicos de los servicios de tratamiento de datos, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE por lo que respecta a la complementación del presente Reglamento con objeto de establecer un mecanismo de supervisión de las tarifas de conmutación impuestas por los proveedores de servicios de tratamiento de datos en el mercado, y especificar con mayor detalle los requisitos esenciales en materia de interoperabilidad para los participantes en espacios de datos que ofrecen datos o servicios de datos a otros participantes. Reviste especial importancia que la Comisión lleve a cabo las consultas apropiadas durante sus trabajos preparatorios, incluso a nivel de expertos, y que dichas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional de 13 de abril de 2016 "Legislar mejor" (38). En particular, para garantizar la igualdad de participación en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben todos los documentos al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupan de la preparación de los actos delegados.
(114) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución en relación con la adopción de especificaciones comunes para garantizar la interoperabilidad de los datos, de los mecanismos y servicios de puesta en común de datos, así como de los espacios europeos comunes de datos, las especificaciones comunes sobre la interoperabilidad de los servicios de tratamiento de datos y las especificaciones comunes sobre la interoperabilidad de los contratos inteligentes. También deben conferirse a la Comisión competencias de ejecución a efectos de la publicación de las referencias de las normas armonizadas y las especificaciones comunes para la interoperabilidad de los servicios de tratamiento de datos en un depósito central de normas de la Unión para la interoperabilidad de los servicios de tratamiento de datos. Dichos poderes deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (39).
(115) El presente Reglamento debe entenderse sin perjuicio de las normas que aborden necesidades específicas de determinados sectores o ámbitos de interés público. Dichas normas pueden incluir requisitos adicionales sobre los aspectos técnicos del acceso a los datos, tales como interfaces para el acceso a los datos, o la forma en que podría facilitarse el acceso a los datos, por ejemplo directamente desde el producto o a través de servicios de intermediación de datos. Dichas normas también pueden incluir límites a los derechos de los titulares de los datos a acceder o utilizar los datos de los usuarios, u otros aspectos que vayan más allá del acceso y la utilización de los datos, como aspectos de gobernanza o requisitos de seguridad, incluidos los requisitos de ciberseguridad. El presente Reglamento debe entenderse asimismo sin perjuicio de normas más específicas en el contexto del desarrollo de espacios europeos comunes de datos o, sin perjuicio de las excepciones previstas en el presente Reglamento, del Derecho de la Unión y nacional que prevea el acceso a los datos y la autorización de su uso con fines de investigación científica.
(116) El presente Reglamento no debe afectar a la aplicación de las normas de competencia, en particular los artículos 101 y 102 del TFUE. Las medidas previstas en el presente Reglamento no deben utilizarse para restringir la competencia de manera contraria al TFUE.
(117) Con el fin de permitir a los agentes incluidos en el ámbito de aplicación del presente Reglamento adaptarse a las nuevas normas previstas en el mismo y adoptar las disposiciones técnicas necesarias, dichas normas deben aplicarse a partir del 12 de septiembre de 2025.
(118) El Supervisor Europeo de Protección de Datos y el Consejo Europeo de Protección de Datos fueron consultados de conformidad con el artículo 42, apartados 1 y 2, del Reglamento (UE) 2018/1725 y emitieron su dictamen el 4 de mayo de 2022.
(119) Dado que los objetivos del presente Reglamento, a saber, garantizar la equidad en la asignación del valor de los datos entre los agentes de la economía de los datos y fomentar el acceso y el uso equitativos de los datos para contribuir al establecimiento de un auténtico mercado interior de los datos, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a la dimensión o a los efectos de la acción y del uso transfronterizo de los datos, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo, el presente Reglamento no excede de lo necesario para alcanzar dichos objetivos,
HAN ADOPTADO ESTE REGLAMENTO: