En los últimos años, ha crecido rápidamente la presencia de productos conectados a internet en el mercado europeo. Estos productos, que forman parte de la Internet de las Cosas (IoT), generan un gran volumen de datos reutilizables, lo que ofrece un gran potencial para impulsar la innovación y la competitividad en la Unión Europea.
Para regular esta materia, en diciembre de 2023 se publicó en el Diario Oficial de la UE el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Ley de Datos), sobre la cual versará la presente entrada a nuestro blog. Dicha normativa comenzará a ser de aplicación en la Unión Europea (UE) el 12 de septiembre de 2025.
Cabe destacar que la Ley de Datos complementa al Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos), que entró en vigor en junio de 2022 y es de plena aplicación desde septiembre del 2023. Mientras la Ley de Gobernanza refuerza la confianza en el intercambio voluntario de datos, la Ley de Datos aporta claridad jurídica sobre el acceso y uso de los mismos. Juntas, ambas normas, con otras políticas y apoyos financieros, buscan crear un mercado único europeo de datos, aprovechando especialmente los datos industriales para fortalecer la economía y la sociedad de la UE y situar a Europa como líder en la economía de los datos.
¿Cuáles son los objetivos de la Ley de Datos?
En primer lugar, busca impulsar la economía de los datos y un mercado competitivo, facilitando el acceso y uso de datos —especialmente industriales— para promover la innovación y su disponibilidad. Establece reglas claras sobre quién puede usar los datos y en qué condiciones, asegurando una distribución justa de su valor entre los distintos actores económicos.
También tiene como objetivo reforzar los derechos y el control de los usuarios de productos conectados (tanto empresas como particulares) sobre los datos que generan, garantizando, al mismo tiempo, que quienes invierten en tecnologías de datos mantengan sus incentivos.
Establece reglas para los casos en que una empresa está obligada legalmente a compartir datos con otra, asegurando un marco de intercambio más justo.
Además, introduce medidas específicas para favorecer la competencia y la equidad en el mercado europeo de la nube, evitando que empresas dominantes impongan cláusulas contractuales abusivas relacionadas con el acceso o uso de datos.
La Ley también habilita un mecanismo especial para que organismos públicos puedan solicitar datos a empresas en situaciones excepcionales, como emergencias de interés público, estableciendo normas claras sobre cómo deben realizarse estas solicitudes. A la vez, incorpora salvaguardias para evitar accesos indebidos por parte de autoridades de países terceros cuando contravengan la legislación europea o nacional.
Por último, fija requisitos de interoperabilidad, con el fin de que los datos circulen de forma segura y fluida entre sectores, Estados miembros y proveedores de servicios de tratamiento de datos, apoyándose en los espacios comunes europeos de datos.
¿Qué cuestiones aborda la Ley de Datos?
Siguiendo las disposiciones generales (capítulo I) que establecen el ámbito de aplicación del Reglamento y definen los términos clave, la Ley de Datos se estructura en seis capítulos principales:
- Capítulo II sobre el intercambio de datos entre empresas y entre empresas y consumidores en el contexto de la IO.
La finalidad de este capítulo es crear equidad en la economía de los datos y dar a los usuarios de productos conectados (como coches, dispositivos médicos, maquinaria o electrodomésticos inteligentes) el derecho a acceder y aprovechar los datos que generan al utilizarlos. Estos datos pueden impulsar nuevos servicios y mercados, como reparaciones, mantenimiento o seguros basados en datos, beneficiando a empresas y consumidores. Ejemplo: un usuario compra una lavadora e instala una aplicación que mide el impacto ambiental del ciclo de lavado con los sensores de la máquina y ajusta el ciclo en consecuencia; esta aplicación se considera un servicio relacionado.
Este capítulo regula el intercambio de datos entre empresas y entre empresas y consumidores, aplicándose a los datos brutos y pretratados generados por productos conectados o servicios relacionados que sean fácilmente accesibles para el titular de los datos. Esto incluye tanto datos personales como no personales, como temperatura, presión, velocidad o nivel de líquido, pero no abarca datos inferidos, contenidos enriquecidos ni protege la propiedad intelectual. Ejemplo: si un usuario ve una película en su televisor conectado, la película en sí no está incluida, pero los datos sobre el brillo de la pantalla sí.
A efectos prácticos la ley de datos permite a los usuarios de productos conectados acceder y compartir los datos que generan, mientras que el titular de los datos (fabricante o proveedor de servicios) solo puede usar datos no personales con el consentimiento del usuario.
Ejemplos:
- Excavadora: el fabricante es titular, la empresa que la opera es usuaria.
- Frigorífico conectado con app: titulares son el vendedor del frigorífico y el proveedor de la app; el usuario es el propietario.
Los titulares de los datos (son los fabricantes de los productos conectados y los proveedores de servicios relacionados, por ejemplo, la app que acompaña al producto) deben informar sobre los datos generados, facilitar el acceso y ofrecerlos gratuitamente.
- Capítulo III sobre el intercambio de datos entre empresas.
Este capítulo introduce normas para situaciones en las que una empresa («titular de datos») tiene la obligación legal, en virtud del Derecho de la Unión o nacional, de poner los datos a disposición de otra empresa («destinatario de datos»), también en el contexto de los datos de la IO. En particular, las condiciones de puesta en común de datos deben ser justas, razonables y no discriminatorias.
Como incentivo para el intercambio de datos, los titulares de datos que estén obligados a compartir datos pueden solicitar una «compensación razonable» al destinatario de los datos.
Este capítulo se aplica a todos los datos (tanto personales como no personales) en poder de una empresa, incluidas las situaciones contempladas en el capítulo II de la Ley de Datos.
A efectos prácticos la Ley de Datos permite a los titulares solicitar compensación por poner datos a disposición, aunque microempresas, pymes y ONG solo pagan los costes reales. Además, protege contra el uso ilegal de datos, pudiendo exigir la destrucción de los datos obtenidos o indemnización.
Ejemplo: si un tercero accede a datos sin autorización, el titular puede obligarle a destruir esos datos o compensar los daños.
- Capítulo IV sobre cláusulas contractuales abusivas.
La Ley de Datos protege a las empresas europeas, especialmente a las pymes, frente a cláusulas contractuales abusivas en la compra o uso de datos, asegurando que no sean obligadas a aceptar condiciones impuestas unilateralmente por empresas con mayor poder de negociación.
Estas reglas cubren todos los datos, tanto personales como no personales, en poder de una entidad privada a la que se accede y se utiliza en base a un contrato entre empresas.
A efectos prácticos la Ley de Datos permite revisar cláusulas impuestas unilateralmente sobre el acceso a datos para determinar si son abusivas.
Ejemplos:
- Cláusulas siempre abusivas: excluir o limitar la responsabilidad por actos intencionales o negligencia grave.
- Cláusulas presuntamente abusivas: limitar indebidamente vías de recurso o ampliar la responsabilidad del receptor de la cláusula.
Si una cláusula se declara abusiva, queda anulada; si se presume abusiva, quien la impuso puede demostrar que no lo es.
- Capítulo V sobre el intercambio de datos entre empresas y administraciones públicas.
El Capítulo V de la Ley de Datos permite a organismos públicos acceder a datos en poder de entidades privadas en situaciones de necesidad excepcional, cuando sean esenciales para tareas de interés público. Estas situaciones incluyen emergencias (catástrofes, pandemias, ciberataques) y casos no urgentes (como usar datos anonimizados de GPS para optimizar el tráfico). La Ley asegura que el acceso sea rápido y fiable, sin generar cargas administrativas excesivas para las empresas.
A efectos prácticos la Ley de Datos permite a organismos públicos solicitar datos de titulares privados en emergencias públicas o para necesidades excepcionales no urgentes, siempre bajo condiciones estrictas.
Ejemplos:
- Emergencia pública: un organismo puede exigir datos sin demora para responder a catástrofes, pandemias o incidentes graves, siguiendo la definición legal nacional o europea.
- Necesidad excepcional no urgente: se pueden solicitar datos no personales para tareas específicas de interés público cuando no se puede acceder a ellos por otros medios.
En ambos casos, las solicitudes deben ser específicas, transparentes y proporcionadas, proteger secretos comerciales y eliminar los datos una vez que ya no sean necesarios.
- Capítulo VI sobre el cambio entre servicios de tratamiento de datos.
La Ley de Datos facilita que los clientes de servicios de tratamiento de datos (incluidos nube y edge) puedan cambiar de proveedor de manera libre, rápida y fluida, superando obstáculos como costes elevados, procedimientos lentos y falta de interoperabilidad. Esto beneficia tanto a los clientes, al permitirles elegir los servicios que mejor se ajusten a sus necesidades, como a los proveedores, al ampliar su base de clientes.
A efectos prácticos la Ley de Datos busca equilibrar el poder entre proveedores y clientes en el mercado de la nube, estableciendo contratos más transparentes y medidas para que los clientes puedan cambiar de proveedor sin perder datos ni funcionalidad.
Ejemplos:
- Proveedores de Plataforma y Software como Servicio deben ofrecer interfaces abiertas y exportar datos en formatos legibles por máquina.
- Proveedores de Infraestructura como Servicio deben garantizar equivalencia funcional, asegurando resultados comparables al cambiar servicios; por ejemplo, usando herramientas para transferir cargas de trabajo entre tecnologías de virtualización.
Además, todos los proveedores deben eliminar obstáculos al cambio de proveedor o uso simultáneo de varios servicios, y desde el 12 de enero de 2027 no se podrán cobrar cargos por cambio o salida de datos, aunque durante los tres primeros años tras la entrada en vigor aún se permitirán ciertos cargos transitorios.
- Capítulo VIII sobre interoperabilidad
La Ley de Datos establece requisitos de normas e interoperabilidad para que los datos de distintas fuentes puedan usarse dentro de los espacios comunes europeos de datos y entre ellos, fomentando la investigación y el desarrollo de nuevos productos o servicios. También busca garantizar la interoperabilidad entre servicios de tratamiento de datos, facilitando a los clientes un cambio más sencillo entre proveedores.
A efectos prácticos la Ley de Datos establece requisitos para que los participantes en los espacios de datos permitan el flujo de información y la interoperabilidad entre ellos.
Ejemplos:
- Las descripciones de estructuras, formatos y vocabularios de datos deben ser públicas.
- Se deben usar contratos inteligentes para ejecutar acuerdos de intercambio de datos de forma automática y segura.
Además, la Ley promueve la interoperabilidad de los servicios de tratamiento de datos mediante normas armonizadas y especificaciones abiertas, y la Comisión Europea puede solicitar su desarrollo o, si es necesario, crear especificaciones comunes de manera abierta e inclusiva, considerando las observaciones del Comité Europeo de Innovación en Datos.
- Capítulo IX: Aplicación y disposiciones generales
La Ley de Datos establece que los Estados miembros designarán autoridades competentes para garantizar su aplicación, incluyendo una coordinadora de datos como ventanilla única para empresas y autoridades, facilitando también la colaboración transfronteriza.
La Comisión Europea mantendrá un registro público de estas autoridades, y el Comité Europeo de Innovación en Datos coordinará recomendaciones sobre sanciones, que deben ser efectivas y disuasorias.
Los Estados pueden crear organismos certificados de resolución de litigios para ayudar a las partes a acordar condiciones justas en la puesta a disposición de datos, ofreciendo soluciones sencillas, rápidas y de bajo coste, especialmente beneficiosas para pequeñas empresas.
Ejemplo: si una empresa solicita reparación por infracción de sus derechos, el coordinador de datos proporciona la información necesaria para presentar la reclamación ante la autoridad competente.
¿Qué ocurre si incumplo esta normativa?
En cuanto a las consecuencias del incumplimiento de esta normativa, por el momento se contempla lo siguiente:
Sanciones y aplicación
- Autoridades competentes: Cada Estado miembro debe designar una o varias autoridades nacionales competentes para garantizar la aplicación y ejecución del Reglamento. Estas autoridades pueden recurrir a entidades existentes para cumplir con esta función.
- Régimen de sanciones: Los Estados miembros establecerán un régimen de sanciones por infracciones al Reglamento. Estas sanciones deberán ser efectivas, proporcionadas y disuasorias, teniendo en cuenta diversos criterios al imponerlas, como la gravedad de la infracción y los beneficios obtenidos por el infractor.
- Evaluación de impacto: En el plazo de tres años a partir de su entrada en vigor, la Comisión Europea llevará a cabo una evaluación del impacto de la Ley de Datos. Sobre esta base, en caso necesario, podrá proponer una modificación del Reglamento.
Como podemos comprobar a lo largo del presente articulo la estrategia europea de datos busca convertir a la UE en líder de la economía de los datos mediante un mercado único europeo donde los datos fluyan de forma segura y equitativa entre sectores y Estados miembros. La Ley de Datos, que como ya hemos adelantado, como regla general será de aplicación a partir del 12 de septiembre de 2025, a excepción del artículo 3 que será de aplicación un año después, el 12 de septiembre de 2026 y el capítulo IV, que será de aplicación dos años después, a partir del 12 de septiembre de 2027, es clave para garantizar la equidad en la asignación del valor de los datos.
