Cláusulas contractuales para la Data Act

El Informe Final del Grupo de Expertos sobre Contratos para Compartir Datos B2B y de Computación en la Nube, publicado el 2 de abril de 2025, constituye una referencia clave para los profesionales del sector tecnológico que asesoran a empresas en la redacción y negociación de acuerdos de acceso y uso de datos, así como de servicios en la nube. Elaborado por un grupo independiente de 17 expertos —mayoritariamente juristas, con la participación de académicos y profesionales—, el informe ofrece un conjunto de modelos de cláusulas contractuales para acceso y uso de datos (“Model Contractual Terms”, MCT) y cláusulas contractuales tipo para contratos de cloud computing (“Standard Contractual Clauses”, SCC) destinadas a garantizar la equidad, la transparencia y la seguridad jurídica en las relaciones comerciales relacionadas con la generación, el tratamiento y la compartición de datos empresariales.

En el contexto de la entrada en vigor del Reglamento (UE) 2023/2854 —conocido como Data Act—, el informe responde al mandato del artículo 41 de dicha norma, que encomienda a la Comisión Europea la elaboración, no vinculante, de términos contractuales para facilitar el acceso y uso de datos generados por productos conectados, así como cláusulas tipo para contratos de servicios en la nube. El trabajo comenzó en septiembre de 2022 con una primera reunión plenaria y se prolongó hasta marzo de 2025. Durante este tiempo, el Grupo se reunió en formato oficial en 19 ocasiones y desarrolló subgrupos de redacción para los distintos capítulos y cláusulas. A este proceso interno se sumó un subgrupo de consulta formado por empresas y organizaciones sectoriales, cuyos comentarios orientaron numerosas revisiones intermedias del borrador.

Los MCT desarrollados cubren cuatro escenarios principales de compartición de datos: entre tenedores de datos y usuarios de productos y servicios relacionados; entre usuarios y destinatarios de datos; entre tenedores y destinatarios en cumplimiento de solicitudes de usuarios; y para casos de compartición voluntaria de datos. Cada conjunto de MCT está diseñado para encajar con las obligaciones establecidas en los capítulos II a IV de la Data Act, garantizando un equilibrio entre el derecho de los usuarios a acceder a sus datos y la protección de intereses legítimos de los tenedores, como los secretos empresariales y la confidencialidad de la información.

Por su parte, las SCC atienden a las necesidades de los contratos de servicios en la nube, conforme a los capítulos VI y VIII de la Data Act. Reconociendo la complejidad de los acuerdos de software como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS), el Grupo de Expertos propuso siete cláusulas modulares —incluyendo disposiciones generales— sobre aspectos tan críticos como la migración y salida del proveedor (switching & exit), la terminación, la seguridad y continuidad del negocio, la no dispersión de datos, la responsabilidad contractual y la prohibición de modificaciones unilaterales de los contratos.

El informe presta especial atención a la flexibilidad de los modelos: todas las cláusulas se ofrecen con opciones y apartados que señalan campos que deben completar las partes y posibles variantes según la naturaleza de los datos (personales o no personales), el sector de actividad, o la arquitectura técnica del servicio. Asimismo, se advierte a los contratantes de que los tribunales pueden ser contrarios a cláusulas con excesiva vinculación o agrupación, y de que pueden invalidar las cláusulas contractuales que consideren abusivas o injustas.

En cuanto al valor jurídico de los MCT y las SCC que propone el informe, el propio documento subraya su carácter no vinculante y complementario respecto a la Data Act y a la Directiva sobre secretos empresariales (2016/943). Su adopción no exime a las partes del cumplimiento de la normativa imperativa ni impide a un tribunal o autoridad competente declarar la nulidad de cláusulas que vulneren derechos fundamentales o disposiciones de orden público. Por ello, el Grupo recomienda encarecidamente que los abogados revisen y adapten cuidadosamente cada modelo a la legislación sectorial y nacional aplicable, especialmente cuando se trate de datos personales o conjuntos mixtos de datos, que en la parte de datos personales quedan plenamente sujeta al Reglamento General de Protección de Datos (RGPD).

El informe incluye, asimismo, una extensa lista de anexos y apéndices que detallan el contenido de cada MCT y SCC. Por ejemplo, el primer apéndice, destinado a los contratos entre tenedores de datos y usuarios, enumera nueve puntos que cubren desde la descripción pormenorizada de los datos y las medidas de protección hasta los formularios de solicitud de acceso y cesión a terceros, pasando por las cláusulas relativas a compensaciones, duración y remedios por incumplimiento. En esencia, este diseño modular invita a los redactores a componer el contrato final integrando solo los apartados pertinentes según la complejidad del escenario y el perfil de las partes involucradas.

Un aspecto relevante del conjunto es la forma en que aborda la protección de secretos empresariales. Si bien la Data Act reconoce el derecho de los usuarios a solicitar datos, también prevé excepciones cuando dicha cesión afecte a información calificada como secreto empresarial. El informe detalla un mecanismo en el que el responsable del tratamiento debe identificar y justificar los datos protegidos, establecer medidas técnicas y organizativas proporcionales y, en última instancia, contar con la posibilidad de suspender temporalmente la entrega si los controles resultan insuficientes o la cesión pudiera causar un perjuicio grave e inminente. Este equilibrio exige una estrecha coordinación entre las partes y, cuando proceda, la intervención de la autoridad competente designada a nivel nacional.

En el ámbito de la nube, las SCC propuestas incorporan pautas para facilitar la portabilidad de datos y servicios en condiciones no discriminatorias, garantizando al cliente el acceso a sus datos tras la finalización del contrato y evitando penalizaciones económicas o técnicas indebidas. Además, se hace hincapié en la obligación del proveedor de mantener estándares de seguridad y continuidad empresarial adecuados al nivel de criticidad del servicio, incluyendo métricas e informes periódicos, y en la asignación equitativa de responsabilidades por fallos o incidentes, con el fin de mitigar potenciales desequilibrios contractuales.

En definitiva, el Informe Final del Grupo de Expertos supone una herramienta práctica que facilita la elaboración de contratos robustos y alineados con el marco regulatorio europeo. Su aplicación contribuye a reducir la asimetría de información entre las partes, fomenta la confianza en el uso de tecnologías digitales y apoya la estrategia de la Unión Europea para impulsar el mercado único de datos. Asimismo, refuerza la postura negociadora de las empresas que desean aprovechar las oportunidades de innovación basadas en datos sin renunciar a salvaguardar sus activos intangibles y cumplir con las exigencias de privacidad y seguridad.

La Data Act empezará a ser aplicable a partir del 12 de septiembre de 2025, por lo que ahora es el momento de desarrollar y adaptar las disposiciones contractuales pensando en este Reglamento europeo.

Con la colaboración de Gaizka Monje Gutiérrez.