El Consejo de la UE aprueba la Data Act

Tras la aprobación del texto por parte del Parlamento Europeo el pasado 9 de noviembre, esta vez el turno ha sido el del Consejo de la Unión Europea. No ha habido sorpresas y el Consejo también ha aprobado la propuesta de Reglamento de Datos (más conocido como “Data Act”). El texto final será publicado en el Diario Oficial de la Unión Europea en las próximas semanas, pero el documento más reciente ya puede consultarse aquí.

La Data Act es uno de los pilares clave de la Década Digital de Europa para 2030, y se espera que tenga un impacto significativo para los titulares de datos y terceros que traten datos –personales y no personales– de los usuarios de productos conectados y servicios relacionados, especialmente cuando dichos datos sean generados por productos o servicios relacionados con el Internet de las Cosas (en inglés, “Internet of Things” o “IoT”).

La Data Act trata de especificar quién puede acceder, transferir y utilizar los datos de los usuarios de la UE, con el objetivo de incrementar la competitividad y la innovación en la Unión, así como garantizar un crecimiento económico sostenible. A continuación, resumimos algunas de las principales características de este nuevo Reglamento.

• Aporta mayor seguridad jurídica a todas las partes, estableciendo los derechos y obligaciones de los usuarios y titulares de datos respecto del acceso, utilización y puesta a disposición de los datos de productos y de servicios relacionados, incluidos los metadatos asociados necesarios para interpretar y utilizar dichos datos.
• En línea con lo anterior, la Data Act facilita el cambio de servicios de tratamiento de datos –con especial mencion a los proveedores de servicios en la nube–, así como la interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos.
• Garantiza la protección de los derechos de propiedad intelectual y secretos empresariales, así como la de aquellos datos que puedan exponer a las empresas a vulnerabilidades; por ejemplo, datos que puedan generar incidentes de ciberseguridad.
• Regula las condiciones en las que los titulares de datos ponen datos a disposición de terceros destinatarios, incluidas las medidas para evitar la utilización y la divulgación no autorizadas de datos, así como las compensaciones que estos titulares pueden acordar con los destinatarios.
• Destaca el establecimiento una lista de cláusulas que siempre se consideran abusivas y una lista de cláusulas que se presumen abusivas entre empresas en relación con el acceso a los datos y su utilización.
• Contempla la puesta de los datos a disposición de organismos públicos y determinadas autoridades cuando concurran determinadas necesidades excepcionales.

Adicionalmente a las anteriores características, en entradas previas de nuestro blog hemos ido haciendo un seguimiento de la evolución de la Data Act y enumerando más cuestiones a tener en cuenta sobre la misma (se pueden consultar dichas publicaciones aquí y aquí).

La Data Act también se complementa con el Reglamento de Gobernanza de Datos (más conocido como “Data Governance Act”), aplicable desde septiembre de 2023 y que promueve la creación y el desarrollo de espacios comunes europeos de datos en sectores estratégicos –como, por ejemplo, el de la salud, la energía o las finanzas, entre otros–, en los que participen tanto entes públicos como privados (puede leer más aquí).

Próximos pasos

La Data Act tiene rango de Reglamento y, por lo tanto, es un acto legislativo vinculante y directamente aplicable a todos los Estados sin necesidad de transposición. Se prevé que entre en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea y será aplicable a los 20 meses de su entrada en vigor; salvo determinadas obligaciones de acceso a los datos de productos conectados y servicios relacionados, que serán aplicables 32 meses después de la entrada en vigor de la Data Act.