Data Act: nuevas previsiones para destinatarios de datos

Como avanzamos anteriormente en este blog, el Reglamento (UE) 2023/2854, de 13 de diciembre de 2023 (más conocido como el “Reglamento de Datos” o “Data Act”) implicará, una vez que resulte de aplicación, nuevas medidas que empujarán a la revisión y posible actualización de cláusulas contractuales.

Algunas de estas medidas ya han sido resumidas en la entrada “Data Act: nuevas previsiones entre titulares de datos y usuarios”, en la que comentamos las principales obligaciones de información y transparencia que los titulares de datos deberán cumplir con respecto a los usuarios, así como el tipo de disposiciones contractuales que podrán resultar aplicables en las relaciones ente titulares de datos y usuarios conforme a esta nueva normativa.

En la presente entrada analizaremos la afectación que la Data Act podrá tener en las relaciones contractuales que tanto titulares de datos como usuarios –ambos descritos en la entrada de nuestro blog a la que hacíamos referencia en el párrafo anterior– mantienen con los destinatarios de datos.

Por destinatario de datos nos referimos, siguiendo lo establecido en el artículo 2 de la Data Act, a aquella persona física o jurídica que actúa con un propósito relacionado con su actividad comercial, empresa, oficio o profesión, distinta del usuario de un producto conectado o servicio relacionado, a disposición de la cual el titular de datos pone los datos, incluso un tercero previa solicitud del usuario al titular de datos o de conformidad con una obligación legal en virtud del Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión.

Disposiciones contractuales entre titulares y destinatarios

Destacan en primer lugar las previsiones de la Data Act que permitirán a titulares y destinatarios de datos regular situaciones concretas. A título enunciativo, será posible encontrar cláusulas y otras disposiciones que traigan causa de los siguientes extremos de la Data Act:

• De acuerdo con el Considerando 26, los titulares de datos, cuando proceda, deben obligar contractualmente a los terceros –entre los que se encontrarían los destinatarios de datos– a no compartir los datos recibidos de los propios titulares. Adicionalmente, el artículo 5.9 prevé la posibilidad de que los secretos comerciales de un titular de datos puedan llegar a comunicarse a tales terceros solo en la medida en que esta revelación sea estrictamente necesaria para cumplir el objetivo convenido entre el usuario y dichos terceros.
  
  Consecuentemente, el titular de datos podrá identificar en el contrato cuáles son los datos protegidos y acordar con el destinatario de datos todas las medidas técnicas y organizativas necesarias para preservar la confidencialidad de la información, tales como cláusulas contractuales tipo, acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta.

• El artículo 8, sobre las condiciones en las que los titulares de datos ponen datos a disposición de destinatarios de datos, establece que el titular acordará con el destinatario las modalidades de la puesta a disposición de los datos y lo hará de manera justa, razonable, no discriminatoria y transparente.
  

• Por su parte, el artículo 9 regula la compensación por la puesta a disposición de datos entre empresas, acordada entre el titular y destinatario de datos. Para su cálculo, el titular y el destinatario de datos considerarán los costes incurridos –entre otros, para el formateo, difusión y almacenamiento de los datos– necesarios para su puesta a disposición. También se podrán tener en cuenta en la compensación las inversiones dedicadas a la recogida y producción de datos.
  
  En cualquier caso, esta compensación deberá ser razonable, no discriminatoria, y para su cálculo deberá tenerse en cuenta el volumen, formato y naturaleza de los datos. De acuerdo con los Considerandos 25 y 47, la compensación también podrá ser reducida o excluida cuando: (i) la utilización de los datos no afecte a las actividades del titular; (ii) los datos hayan sido cogenerados por el usuario; o (iii) se renuncie –total o parcialmente– al derecho a utilizar o compartir dichos datos.

¿Y qué hay de la relación con los usuarios?

En paralelo, la norma también abre la puerta a la incorporación de nuevas cláusulas contractuales que regulen la relación entre los destinatarios de datos y los propios usuarios. Esta cuestión la trataremos de forma más detallada en una nueva entrada del blog, en la que analizaremos el impacto que esta normativa tendrá en las relaciones con proveedores de servicios.

En cualquier caso, los Considerandos de la Data Act a los que nos referimos a continuación ya anticipan algunas de las cuestiones que podrán ser acordadas entre las partes y que trataremos de forma más pormenorizada en esa próxima entrada:

• Por ejemplo, el Considerando 33 prevé la posibilidad de que, previo acuerdo con el usuario, terceros –entre ellos, los destinatarios de datos– puedan transferir a otros terceros los derechos de acceso a los datos otorgados por el usuario, también a cambio de una compensación.
• Por su parte, el Considerando 37 va un paso más allá y, contempla que cuando los terceros quieran intercambiar los datos con otro tercero, solo pueda hacerse con el consentimiento del usuario. Asimismo, con el fin de evitar la explotación de los usuarios, este Considerando indica que los terceros a los que se hayan puesto datos a disposición a petición del usuario deben tratar estos datos solo para la finalidad acordada con el usuario.
• Por otro lado, el Considerando 38 contempla ciertos requisitos que deberán cumplir las disposiciones contractuales que los usuarios suscriban con terceros, entre los que se encuentran la prohibición de dificultar indebidamente el ejercicio de sus opciones o derechos, el ofrecimiento de opciones a los usuarios de manera no neutra, o coaccionándolos, engañándolos o manipulándolos de algún modo, o neutralizando o mermando su autonomía, toma de decisiones u opciones. Con carácter general, también se establece la prohibición de uso de los llamados patrones oscuros (puede consultar nuestra entrada “Cerco a los dark patterns” para conocer más detalles acerca de esta cuestión).

Esta publicación forma parte de una serie más amplia de entradas, en las que profundizaremos en algunos de los aspectos más significativos de la Data Act antes de su entrada en aplicación el 12 de septiembre de 2025.

Si desea consultar cuáles son las principales características de la Data Act más allá de las novedades contractuales que esta normativa trae consigo, le animamos a consultar la entrada “El Consejo de la UE aprueba la Data Act” de nuestro blog.