Esta nueva norma, propuesta en 2022, entrará en vigor a partir del 12 de enero de 2024 y será de obligado cumplimiento por todos los estados miembros de la Unión Europea a partir del 12 de septiembre de 2025
La Unión Europea ha hecho público el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828. La norma, presentada como ‘Ley de Datos’, fue propuesta como reglamento y adoptada por la Comisión el 23 de febrero de 2022 y se instalará en la Unión Europea durante estos meses hasta su obligatoriedad en septiembre de 2025, siendo de aplicación directa en todos los Estados miembros.
La nueva Ley de Datos nace con el objetivo principal de garantizar que los datos sean más accesibles y su valor sea aprovechado por todos los actores del entorno digital, lo que permita brindar nuevas oportunidades para la innovación basada en datos y se estimule la generación de un mercado de datos competitivo en el ámbito europeo.
Novedades del Reglamento
El nuevo Reglamento garantizará que los usuarios de un producto conectado o servicio relacionado en la UE puedan acceder a los datos generados por el uso de su producto, por lo que se impone a los titulares de datos la obligación de ponerlos a disposición de las personas usuarias de manera justa y transparente.
Para ello, es importante que los datos sean 'fácilmente disponibles', esto quiere decir que deben ser extraíbles, seguros y accesibles para el usuario, además de que estén en un formato completo, estructurado y de utilización habitual y de lectura mecánica.
Asistentes virtuales
En cuanto a los asistentes virtuales, cada vez más presentes en el consumo diario y profesional, se permitirá el acceso a datos sobre cómo interactúan los usuarios con productos conectados a Internet. Es posible que el usuario desee poner estos datos a disposición de fabricantes de terceros para el desarrollo de servicios innovadores. Solo entrarán en el ámbito del Reglamento los datos resultantes de la interacción entre el usuario y un producto o servicio relacionado a través del asistente virtual. Los datos que no estén relacionados con el uso del producto o servicio no están incluidos en esta normativa.
Interoperabilidad de datos
Para fomentar la aparición de mercados equitativos y eficientes de datos no personales, los usuarios deben compartir datos con otros y deben tener derecho a compartir datos no personales con destinatarios de datos con fines comerciales y no comerciales. Este intercambio de datos podría ser realizado directamente por el usuario, a través de un titular de datos a petición del usuario, o a través de servicios de intermediación de datos.
Alfabetización en materia de datos
El nuevo Reglamento también contempla la 'alfabetización en materia de datos', que permite a las personas consumidoras, usuarias y empresas a mejorar su concienciación sobre el valor que generan los datos y al impulso, por parte de las autoridades competentes, para promover herramientas y adoptar medidas para el empoderamiento de la ciudadanía, la mejora de las condiciones laborales y respaldar la consolidación y la senda de innovación de la economía de datos en la Unión Europea.
Principio de minimización de datos
De acuerdo con el principio de minimización de datos, los terceros deben acceder solo a la información necesaria para presentar el servicio solicitado por el usuario. Tras recibir los datos, el tercero debe tratarlos para la finalidad fijada con el usuario sin injerencia del titular de datos. Para el usuario debe ser tan fácil denegar o interrumpir el acceso del tercero a los datos, como autorizarlo.
Prohibición de trazar perfiles a partir de datos cedidos
Los terceros deben abstenerse de utilizar los datos incluidos en el ámbito de aplicación del Reglamento para trazar perfiles de personas. Solo se excluye si es estrictamente necesario para prestar el servicio solicitado por el usuario, incluido en el contexto de las decisiones automatizadas.
Disposición de datos al sector público en caso de interés público y emergencias
En caso de emergencia pública (catástrofe natural o provocada por el ser humano, incidente de ciberseguridad, etc...) el interés público resultante de la utilización de los datos debe prevalecer sobre el interés de los titulares de datos de disponer libremente de los datos que tienen en su poder, así como poner los datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la UE que lo requieran.
Servicios de tratamiento de datos
Los servicios de tratamiento de datos entran en uno o varios de los tres modelos de prestación de servicios de tratamiento de datos siguientes, a saber, infraestructura como servicio (IaaS, por sus siglas en inglés), plataforma como servicio (PaaS, por sus siglas en inglés) y software como servicio (SaaS, por sus siglas en inglés). Estos modelos de prestación de servicios representan una combinación específica y preestablecida de recursos informáticos ofrecidos por un proveedor de servicios de tratamiento de datos.