02023R2854 — ES — 22.12.2023 — 000.001
Este texto es exclusivamente un instrumento de documentación y no surte efecto jurídico. Las instituciones de la UE no asumen responsabilidad alguna por su contenido. Las versiones auténticas de los actos pertinentes, incluidos sus preámbulos, son las publicadas en el Diario Oficial de la Unión Europea, que pueden consultarse a través de EUR-Lex. Los textos oficiales son accesibles directamente mediante los enlaces integrados en este documento
|
REGLAMENTO (UE) 2023/2854 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (Texto pertinente a efectos del EEE) (DO L 2854 de 22.12.2023, p. 1) |
Rectificado por:
REGLAMENTO (UE) 2023/2854 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 13 de diciembre de 2023
sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos)
(Texto pertinente a efectos del EEE)
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1
Objeto y ámbito de aplicación
El presente Reglamento establece normas armonizadas sobre lo siguiente, entre otros:
la puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto conectado o servicio relacionado;
la puesta a disposición de datos por parte de los ►C1 tenedores de datos ◄ en favor de los destinatarios de datos;
la puesta a disposición de datos por parte de los ►C1 tenedores de datos ◄ en favor de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión, cuando exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público;
la facilitación del cambio entre servicios de tratamiento de datos;
la introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales, y
el desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos.
El presente Reglamento es aplicable a los datos personales y no personales, incluidos los siguientes tipos de datos, en los contextos siguientes:
el capítulo II se aplica a los datos, excepto el contenido, relativos al rendimiento, uso y entorno de los productos conectados y los servicios relacionados;
el capítulo III se aplica a cualquier dato del sector privado que sea objeto de obligaciones legales de intercambio de datos;
el capítulo IV se aplica a cualquier dato del sector privado al que se acceda y que se utilice sobre la base de contratos entre empresas;
el capítulo V se aplica a cualquier dato del sector privado, centrándose en los datos no personales;
el capítulo VI se aplica a cualquier dato y servicio tratado por los proveedores de servicios de tratamiento de datos;
el capítulo VII se aplica a cualquier dato no personal que se encuentre en la Unión por los proveedores de servicios de tratamiento de datos.
El presente Reglamento se aplica a:
los fabricantes de productos conectados introducidos en el mercado de la Unión y los proveedores de servicios relacionados, independientemente del lugar de establecimiento de dichos fabricantes y proveedores;
los usuarios de la Unión de los productos conectados o servicios relacionados a que se refiere la letra a);
los ►C1 tenedores de datos ◄ , con independencia de su lugar de establecimiento, que pongan datos a disposición de los destinatarios de datos de la Unión;
los destinatarios de datos de la Unión a cuya disposición se ponen datos;
los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión que soliciten a los ►C1 tenedores de datos ◄ que pongan datos a su disposición cuando exista una necesidad excepcional de dichos datos para el desempeño de alguna tarea específica realizada en interés público, y a los ►C1 tenedores de datos ◄ que proporcionen esos datos en respuesta a dicha solicitud;
los proveedores de servicios de tratamiento de datos, con independencia de su lugar de establecimiento, que presten dichos servicios a clientes de la Unión;
los participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de un acuerdo.
El presente Reglamento no afecta a los actos jurídicos de la Unión o nacionales que contemplen el intercambio, el acceso y la utilización de datos con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, o a efectos aduaneros y fiscales, en particular, los Reglamentos (UE) 2021/784, (UE) 2022/2065 y (UE) 2023/1543, y la Directiva (UE) 2023/1544, ni a la cooperación internacional en dicho ámbito. El presente Reglamento no se aplica a la recogida, intercambio, acceso o utilización de datos en virtud del Reglamento (UE) 2015/847 y de la Directiva (UE) 2015/849. El presente Reglamento no se aplica a los ámbitos que queden fuera del ámbito de aplicación del Derecho de la Unión y, en cualquier caso, no afecta a las competencias de los Estados miembros relativas a la seguridad pública, la defensa o la seguridad nacional, independientemente del tipo de entidad a la que los Estados miembros hayan confiado el desempeño de tareas en relación con dichas competencias, o de su facultad para salvaguardar otras funciones esenciales del Estado, incluida la garantía de la integridad territorial del Estado y el mantenimiento del orden público. El presente Reglamento no afecta a las competencias de los Estados miembros en materia de aduanas y administración fiscal, ni a la salud y seguridad ciudadanas.
Artículo 2
Definiciones
A los efectos del presente Reglamento, se entenderá por:
«datos»: cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual;
«metadatos»: una descripción estructurada del contenido o de la utilización de los datos que facilita la búsqueda o la utilización de esos datos;
«datos personales»: los datos personales tal como se definen en el artículo 4, punto 1, del Reglamento (UE) 2016/679;
«datos no personales»: aquellos que no sean datos personales;
«producto conectado»: un bien que obtiene, genera, o recoge datos relativos a su uso o entorno y que puede comunicar datos del producto a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo y cuya función primaria no es el almacenamiento, el tratamiento ni la transmisión de datos en nombre de alguien que no sea el usuario;
«servicio relacionado»: un servicio digital, distinto de un servicio de comunicaciones electrónicas, incluido el software, que está conectado con el producto en el momento de la compraventa, el alquiler o el arrendamiento, de tal manera que su ausencia impediría al producto conectado realizar una o varias de sus funciones, o que el fabricante o un tercero conecta posteriormente al producto para añadir, actualizar o adaptar las funciones del producto conectado;
«tratamiento»: toda operación o conjunto de operaciones realizadas sobre datos o conjuntos de datos, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, divulgación por transmisión, difusión o cualquier otro medio de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción;
«servicio de tratamiento de datos»: servicio digital que se presta a un cliente y que permite un acceso de red ubicuo y bajo demanda a un conjunto compartido de recursos informáticos configurables, modulables y elásticos de carácter centralizado, distribuido o muy distribuido, que puede movilizarse y liberarse rápidamente con un mínimo esfuerzo de gestión o interacción con el proveedor de servicios;
«mismo tipo de servicio»: un conjunto de servicios de tratamiento de datos que comparten el mismo objetivo primario, modelo de servicio de tratamiento de datos y funcionalidades principales;
«servicio de intermediación de datos»: un servicio de intermediación de datos tal como se define en el artículo 2, punto 11, del Reglamento (UE) 2022/868;
«interesado»: el interesado tal como se indica en el artículo 4, punto 1, del Reglamento (UE) 2016/679;
«usuario»: una persona física o jurídica que posee un producto conectado o a la que se le han transferido por contrato derechos temporales de uso de dicho producto conectado, o que recibe servicios relacionados;
« ►C1 tenedor de datos ◄ »: una persona física o jurídica que tiene el derecho o la obligación, con arreglo al presente Reglamento, al Derecho de la Unión aplicable o a la normativa nacional adoptada de conformidad con el Derecho de la Unión, de utilizar y poner a disposición datos, incluidos, cuando se haya pactado contractualmente, los datos del producto o los datos de servicios relacionados que haya extraído o generado durante la prestación de un servicio relacionado;
«destinatario de datos»: una persona física o jurídica que actúa con un propósito relacionado con su actividad comercial, empresa, oficio o profesión, distinta del usuario de un producto conectado o servicio relacionado, a disposición de la cual el ►C1 tenedor de datos ◄ pone los datos, incluso un tercero previa solicitud del usuario al ►C1 tenedor de datos ◄ o de conformidad con una obligación legal en virtud del Derecho de la Unión o de la normativa nacional adoptada de conformidad con el Derecho de la Unión;
«datos del producto»: datos generados por el uso de un producto conectado que el fabricante ha diseñado para que puedan ser extraídos, a través de un servicio de comunicaciones electrónicas, una conexión física o un acceso en el dispositivo, por un usuario, un titular de los datos o un tercero, incluido, cuando proceda, el fabricante;
«datos de servicios relacionados»: datos que representan la digitalización de acciones del usuario o de eventos relacionados con el producto conectado, registrados intencionadamente por el usuario o generados como subproducto de la acción del usuario durante la prestación de un servicio relacionado por el proveedor;
«datos fácilmente disponibles»: datos del producto y datos del servicio relacionado que un ►C1 tenedor de datos ◄ obtiene o puede obtener lícitamente del producto conectado o servicio relacionado, sin un esfuerzo desproporcionado que vaya más allá de una operación simple;
«secreto comercial»: un secreto comercial tal como se define en el artículo 2, punto 1, de la Directiva (UE) 2016/943;
«poseedor de un secreto comercial»: poseedor de un secreto comercial tal como se define en el artículo 2, punto 2, de la Directiva (UE) 2016/943;
«elaboración de perfiles»: la elaboración de perfiles tal como se define en el artículo 4, punto 4, del Reglamento (UE) 2016/679;
«comercialización»: todo suministro de un producto conectado para su distribución, consumo o utilización en el mercado de la Unión en el transcurso de una actividad comercial, ya sea a cambio de pago o a título gratuito;
«introducción en el mercado»: la primera comercialización de un producto conectado en el mercado de la Unión;
«consumidor»: toda persona física que actúe con fines ajenos a su propia actividad comercial, negocio, oficio o profesión;
«empresa»: una persona física o jurídica que, en relación con los contratos y prácticas contemplados por el presente Reglamento, actúa con fines relacionados con su actividad comercial, empresa, oficio o profesión;
«pequeña empresa»: una pequeña empresa tal como se define en el artículo 2, apartado 2, del anexo de la Recomendación 2003/361/CE;
«microempresa»: una microempresa tal como se define en el artículo 2, apartado 3, del anexo de la Recomendación 2003/361/CE;
«organismos de la Unión»: los órganos y organismos de la Unión establecidos en virtud de actos adoptados sobre la base del Tratado de la Unión Europea, del TFUE o del Tratado constitutivo de la Comunidad Europea de la Energía Atómica;
«organismo del sector público»: las autoridades nacionales, regionales o locales de los Estados miembros y las entidades de derecho público de los Estados miembros, o las asociaciones constituidas por una o más de dichas autoridades o por una o más de dichas entidades;
«emergencia pública»: una situación excepcional, limitada en el tiempo, como una emergencia de salud pública, una emergencia derivada de catástrofes naturales, una catástrofe grave provocada por el hombre, incluido un incidente grave de ciberseguridad, que afecta negativamente a la población de la Unión, del conjunto o de partes de un Estado miembro, que entraña un riesgo de repercusiones graves y duraderas para las condiciones de vida o la estabilidad económica, la estabilidad financiera o la degradación sustancial e inmediata de los activos económicos de la Unión o del Estado miembro en cuestión, y que se determina o declara oficialmente de conformidad con los procedimientos correspondientes en virtud del Derecho de la Unión o nacional;
«cliente»: una persona física o jurídica que ha establecido una relación contractual con un proveedor de servicios de tratamiento de datos con el objetivo de utilizar uno o varios servicios de tratamiento de datos;
«asistentes virtuales»: software que puede procesar peticiones, tareas o preguntas, incluidas las basadas en material de audio, material escrito, gestos o movimientos, y que, basándose en dichas peticiones, tareas o preguntas, proporciona acceso a otros servicios o controla las funciones de productos conectados;
«activos digitales»: elementos en forma digital, incluidas las aplicaciones, para los que el cliente tiene derecho de uso, independientemente de la relación contractual establecida con el servicio de tratamiento de datos del que el cliente se pretende cambiar;
«infraestructura de TIC local»: la infraestructura de TIC y de los recursos informáticos propiedad del cliente, alquilados o arrendados por el cliente, situados en el centro de datos del propio cliente y gestionados por el cliente o por un tercero;
«cambio»: el proceso en el que intervienen un proveedor de servicios de tratamiento de datos de origen, un cliente de un servicio de tratamiento de datos y, en su caso, un proveedor de servicios de tratamiento de datos de destino, en el que el cliente de un servicio de tratamiento de datos pasa de utilizar un servicio de tratamiento de datos a otro servicio de tratamiento de datos del mismo tipo de servicio, u otro servicio, ofrecido por un proveedor de servicios de tratamiento de datos diferente, o a una infraestructura de TIC local, incluido mediante la extracción, transformación y carga de datos;
«costes de salida de datos»: los costes de transferencia de datos cobrados a los clientes por extraer sus datos a través de la red de la infraestructura de las TIC de un proveedor de servicios de tratamiento de datos a los sistemas de un proveedor diferente o a una infraestructura de TIC local;
«costes por cambio»: los costes, excluidos los costes de servicio estándar o la sanciones por resolución anticipada, impuestas por un proveedor de servicios de tratamiento de datos a un cliente por las acciones que le exige el presente Reglamento para cambiar al sistema de un proveedor diferente o a una infraestructura de TIC local, incluidos los costes de salida de datos;
«equivalencia funcional»: restablecer, sobre la base de los datos exportables y activos digitales del cliente, un nivel mínimo de funcionalidad en el entorno de un nuevo servicio de tratamiento de datos, del mismo tipo de servicio, después del proceso de cambio, cuando el servicio de tratamiento de datos de destino proporcione un resultado materialmente comparable en respuesta a la misma entrada para características compartidas suministrada al cliente en virtud del contrato;
«datos exportables»: a efectos de lo dispuesto en los artículos 23 a 31 y en el artículo 35, los datos de entrada y salida, incluidos los metadatos, directa o indirectamente generados o cogenerados por el uso por parte del cliente del servicio de tratamiento de datos, excluidos cualesquiera activos o datos protegidos por derechos de propiedad intelectual, o que constituyan secretos comerciales, de proveedores de servicios de tratamiento de datos o de terceros;
«contrato inteligente»: programa informático utilizado para la ejecución automatizada de un acuerdo o de parte de este, que utiliza una secuencia de registros electrónicos de datos y garantiza su integridad y la exactitud de su orden cronológico;
«interoperabilidad»: la capacidad de dos o más espacios de datos o redes de comunicación, sistemas, productos conectados, aplicaciones, servicios de tratamiento de datos o componentes para intercambiar y utilizar datos con el fin de desempeñar sus funciones;
«especificación de interoperabilidad abierta»: una especificación técnica en el ámbito de las tecnologías de la información y la comunicación, que está orientada a lograr la interoperabilidad entre servicios de tratamiento de datos;
«especificaciones comunes»: un documento, distinto de una norma, con soluciones técnicas que proponen una forma de cumplir determinados requisitos y obligaciones establecidos en el presente Reglamento;
«norma armonizada»: una norma armonizada tal como se define en el artículo 2, punto 1, letra c), del Reglamento (UE) n.o 1025/2012.
CAPÍTULO II
INTERCAMBIO DE DATOS DE EMPRESA A CONSUMIDOR Y DE EMPRESA A EMPRESA
Artículo 3
Obligación de hacer accesibles para el usuario los datos de los productos y los datos de servicios relacionados
Antes de celebrar un contrato de compraventa, alquiler o arrendamiento de un producto conectado, el vendedor o arrendador, que puede ser el fabricante, proporcionarán al usuario, como mínimo, la siguiente información, de manera clara y comprensible:
el tipo, el formato y el volumen estimado de datos del producto que el producto conectado es capaz de generar;
si el producto conectado es capaz de generar datos de forma continua y en tiempo real;
si el producto conectado es capaz de almacenar datos en el propio dispositivo o en un servidor remoto, incluido, cuando proceda, el período de conservación previsto;
el modo en que el usuario puede acceder a los datos, extraerlos o, en su caso, suprimirlos, incluidos los medios técnicos para hacerlo, así como sus condiciones de utilización y calidad del servicio.
Antes de celebrar un contrato de prestación de un servicio relacionado, el proveedor de dicho servicio proporcionará al usuario, como mínimo, la siguiente información, de manera clara y comprensible:
el carácter, el volumen estimado y la frecuencia de recopilación de los datos del producto que se espera obtenga el posible ►C1 tenedor de datos ◄ y, cuando proceda, las modalidades mediante las que el usuario puede acceder a estos datos o extraerlos, incluidas las medidas del posible ►C1 tenedor de datos ◄ relativas al almacenamiento de los datos y la duración de conservación de estos;
el carácter y el volumen estimado de los datos del servicio relacionado que vayan a generarse, así como las modalidades mediante las que el usuario puede acceder a estos datos o extraerlos, incluidas las medidas del posible ►C1 tenedor de datos ◄ relativas al almacenamiento de los datos y la duración de conservación de estos;
si el posible ►C1 tenedor de datos ◄ prevé utilizar él mismo los datos fácilmente disponibles y los fines para los que se utilizarán dichos datos, y si tiene la intención de permitir que uno o varios terceros utilicen los datos para la finalidad acordada con el usuario;
la identidad del posible titular de los datos, como su nombre comercial y la dirección geográfica en la que está establecido y, cuando proceda, de otras partes que efectúen tratamiento de datos;
los medios de comunicación que permitan al usuario ponerse rápidamente en contacto con el posible ►C1 tenedor de datos ◄ y comunicarse con él de manera eficiente;
el modo en que el usuario puede solicitar que los datos se compartan con un tercero y, cuando proceda, dejar de compartir los datos;
el derecho del usuario a presentar una reclamación relativa a cualquier infracción de las disposiciones del presente capítulo ante la autoridad competente designada con arreglo al artículo 37;
si un posible ►C1 tenedor de datos ◄ es el poseedor de secretos comerciales contenidos en los datos a los que se pueda acceder desde el producto conectado o generados durante la prestación de un servicio relacionado y, cuando el posible ►C1 tenedor de datos ◄ no sea el poseedor del secreto comercial, la identidad del poseedor del secreto comercial;
la duración del contrato entre el usuario y el posible ►C1 tenedor de datos ◄ , así como las cláusulas de resolución unilateral del contrato.
Artículo 4
Derechos y obligaciones de los usuarios y ►C1 tenedores de datos ◄ respecto del acceso, utilización y puesta a disposición de los datos de productos y de los datos de servicios relacionados
Sin perjuicio del derecho del usuario a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, el usuario, en relación con cualquier litigio con el ►C1 tenedor de datos ◄ relativo a las limitaciones o prohibiciones contractuales a que se refiere el apartado 2, podrá:
presentar, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, o
convenir con el ►C1 tenedor de datos ◄ en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.
Sin perjuicio del derecho del usuario a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, un usuario que desee impugnar la decisión del ►C1 tenedor de datos ◄ de rechazar o de retener o suspender el intercambio de datos de conformidad con los apartados 7 y 8, podrá:
presentar, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, que decidirá, sin demora indebida, si se iniciará o reanudará el intercambio de datos y en qué condiciones, o
convenir con el ►C1 tenedor de datos ◄ en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.
Artículo 5
Derecho del usuario a compartir datos con terceros
Ninguna empresa designada como guardián de acceso, de conformidad con el artículo 3 del Reglamento (UE) 2022/1925, podrá ser un tercero admisible en virtud del presente artículo y, por tanto, no podrá:
instar o incentivar comercialmente a un usuario de ninguna manera, incluso ofreciendo una compensación monetaria o de otro tipo, para que ponga a disposición de uno de sus servicios datos que el usuario haya obtenido en virtud de una solicitud con arreglo al artículo 4, apartado 1;
instar o incentivar comercialmente a un usuario para que solicite al ►C1 tenedor de datos ◄ que ponga a disposición de uno de sus servicios datos en virtud del apartado 1 del presente artículo;
recibir datos de un usuario que este haya obtenido en virtud de una solicitud con arreglo al artículo 4, apartado 1.
Sin perjuicio del derecho del tercero a recurrir, en cualquier fase, ante un órgano jurisdiccional de un Estado miembro, un tercero que desee impugnar una decisión del ►C1 tenedor de datos ◄ de rechazar o de retener o suspender el intercambio de datos en virtud de los apartados 10 y 11, podrá:
formular, de conformidad con el artículo 37, apartado 5, letra b), una reclamación ante la autoridad competente, que decidirá, sin demora indebida, si se debe iniciar o reanudar el intercambio de datos y en qué condiciones, o
convenir con el ►C1 tenedor de datos ◄ en remitir el asunto a un órgano de resolución de litigios de conformidad con el artículo 10, apartado 1.
Artículo 6
Obligaciones de terceros que reciben datos a petición del usuario
El tercero no podrá:
dificultar indebidamente el ejercicio de las opciones o los derechos de los usuarios con arreglo al artículo 5 y al presente artículo, tampoco ofreciendo opciones a los usuarios de manera no neutra o coaccionándolos, engañándolos o manipulándolos, o neutralizando o mermando la autonomía, la toma de decisiones o las opciones de los usuarios, tampoco a través de una interfaz digital de usuario o de una parte de ella;
no obstante lo dispuesto en el artículo 22, apartado 2, letras a) y c), del Reglamento (UE) 2016/679, utilizar los datos que reciba para la elaboración de perfiles, a menos que sea necesario para prestar el servicio solicitado por el usuario;
poner los datos que reciba a disposición de otro tercero, a menos que los datos se pongan a disposición sobre la base de un contrato con el usuario, y siempre que el otro tercero tome todas las medidas necesarias acordadas entre el ►C1 tenedor de datos ◄ y el tercero para preservar la confidencialidad de los secretos comerciales;
poner los datos que reciba a disposición de una empresa designada como guardián de acceso de conformidad con el artículo 3 del Reglamento (UE) 2022/1925;
utilizar los datos que reciba para desarrollar un producto que compita con el producto conectado del que proceden los datos a los que ha accedido ni compartir los datos con otro tercero con tal finalidad; los terceros tampoco utilizarán datos no personales de los productos o datos no personales de los servicios relacionados que se pongan a su disposición para obtener información sobre la situación económica, los activos y los métodos de producción del ►C1 tenedor de datos ◄ , ni sobre el uso por este;
utilizar los datos que reciba de una manera que afecte negativamente a la seguridad del producto conectado o del servicio relacionado;
ignorar las medidas específicas acordadas con un ►C1 tenedor de datos ◄ o con el poseedor de los secretos comerciales de conformidad con el artículo 5, apartado 9, ni comprometer la confidencialidad de los secretos comerciales;
impedir a aquellos usuarios que sean consumidores, entre otros, sobre la base de un contrato, poner los datos que reciba a disposición de otras partes.
Artículo 7
Ámbito de aplicación de las obligaciones de intercambio de datos de empresa a consumidor y de empresa a empresa
Lo mismo se aplicará a los datos generados mediante el uso de productos conectados fabricados o de servicios relacionados prestados por empresas que hayan adquirido la consideración de medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE hace menos de un año, y cuando se trate de productos conectados, durante un año después de que una mediana empresa los haya introducido en el mercado.
CAPÍTULO III
OBLIGACIONES DE LOS ►C1 TENEDORES DE DATOS ◄ OBLIGADOS A PONER LOS DATOS A DISPOSICIÓN EN VIRTUD DEL DERECHO DE LA UNIÓN
Artículo 8
Condiciones en las que los ►C1 tenedores de datos ◄ ponen datos a disposición de los destinatarios de datos
Artículo 9
Compensación por la puesta a disposición de datos
A la hora de convenir la compensación, el ►C1 tenedor de datos ◄ y el destinatario de datos tendrán en cuenta, en particular:
los costes en que se haya incurrido para poner los datos a disposición, incluidos, en particular, los costes necesarios para el formateo de los datos, su difusión por medios electrónicos y su almacenamiento;
las inversiones en la recogida y producción de datos, cuando proceda, teniendo en cuenta si otras partes han contribuido a la obtención, generación o recogida de los datos en cuestión.
Artículo 10
Resolución de litigios
A petición del órgano de resolución de litigios, el Estado miembro en el que esté establecido dicho órgano lo certificará, siempre que este haya demostrado que cumple todas las condiciones siguientes:
es imparcial e independiente, y debe dictar sus resoluciones con arreglo a unas normas de procedimiento claras, no discriminatorias y justas;
dispone de los conocimientos técnicos necesarios, en particular, en relación con las condiciones justas, razonables y no discriminatorias, incluida la compensación, relativos a la puesta a disposición de datos de manera transparente, que permitan que el órgano pueda determinar efectivamente dichas condiciones;
es fácilmente accesible a través de tecnologías de comunicación electrónicas;
es capaz de adoptar sus decisiones de manera rápida, eficiente y rentable al menos en una de las lenguas oficiales de la Unión.
Los órganos de resolución de litigios elaborarán y harán públicos los informes anuales de actividad. Dichos informes anuales incluirán, en particular, la siguiente información general:
una agregación de los resultados de los litigios;
la duración media de la resolución de los litigios;
los motivos más comunes de los litigios.
Artículo 11
Medidas técnicas de protección sobre la utilización o divulgación no autorizadas de datos
En las circunstancias a que se refiere el apartado 3, el tercero o el destinatario de datos atenderá, sin demora indebida, las solicitudes del ►C1 tenedor de datos ◄ y, en su caso, del poseedor de un secreto comercial cuando no sea la misma persona, o del usuario para:
suprimir los datos puestos a disposición por el ►C1 tenedor de datos ◄ y cualquier copia de los datos;
poner fin a la producción, oferta o comercialización o utilización de bienes, datos derivados o servicios producidos sobre la base de conocimientos obtenidos a través de dichos datos, o la importación, exportación o almacenamiento de mercancías infractoras con esos fines, y destruir cualquier mercancía infractora, cuando exista un riesgo grave de que la utilización ilícita de dichos datos cause un perjuicio significativo al ►C1 tenedor de datos ◄ , al poseedor de un secreto comercial o al usuario, o cuando dicha medida no fuese desproporcionada a la luz de los intereses del ►C1 tenedor de datos ◄ , del poseedor de un secreto comercial o del usuario;
informar al usuario de la utilización o divulgación no autorizadas de los datos y de las medidas adoptadas para poner fin a la utilización o divulgación no autorizadas de los datos;
compensar a la parte que sufra la utilización indebida o la divulgación de dichos datos a los que se haya accedido o utilizado de forma ilícita.
El apartado 2 se aplicará cuando un tercero o un destinatario de datos:
haya utilizado los datos puestos a disposición con fines no autorizados, incluido el desarrollo de un producto conectado competidor en el sentido del artículo 6, apartado 2, letra e);
haya divulgado ilícitamente datos a otro tercero;
no haya mantenido las medidas técnicas y organizativas acordadas en virtud del artículo 5, apartado 9, o
Artículo 12
Ámbito de aplicación de las obligaciones de los ►C1 tenedores de datos ◄ obligados por el Derecho de la Unión a poner los datos a disposición
CAPÍTULO IV
CLÁUSULAS CONTRACTUALES ABUSIVAS ENTRE EMPRESAS EN RELACIÓN CON EL ACCESO A LOS DATOS Y SU UTILIZACIÓN
Artículo 13
Cláusulas contractuales abusivas impuestas unilateralmente a otra empresa
En particular, a los efectos del apartado 3, una cláusula contractual tendrá la consideración de abusiva si tiene por objeto o efecto:
excluir o limitar la responsabilidad de la parte que haya impuesto unilateralmente la cláusula en caso de acciones intencionadas o negligencia grave;
excluir las vías de recurso de que dispone la parte a la que se haya impuesto unilateralmente la cláusula en caso de incumplimiento de obligaciones contractuales o la responsabilidad de la parte que haya impuesto unilateralmente la cláusula en caso de infracción de dichas obligaciones;
otorgar a la parte que haya impuesto unilateralmente la cláusula el derecho exclusivo de determinar si los datos proporcionados son acordes con el contrato o de interpretar cualquier cláusula contractual.
A los efectos del apartado 3, se presumirá que una cláusula contractual es abusiva si tiene por objeto o efecto:
limitar de forma inadecuada las vías de recurso en caso de incumplimiento de obligaciones contractuales o responsabilidad en caso de incumplimiento de dichas obligaciones, o ampliar la responsabilidad de la empresa a la que se haya impuesto unilateralmente la cláusula;
permitir a la parte que haya impuesto unilateralmente la cláusula acceder a los datos de la otra parte contratante y utilizarlos de manera que cause un grave perjuicio a los intereses legítimos de dicha otra parte, en particular cuando esos datos contengan datos sensibles desde el punto de vista comercial o estén protegidos por secretos comerciales o derechos de propiedad intelectual;
impedir a la parte a la que se haya impuesto unilateralmente la cláusula utilizar los datos que haya proporcionado o generado durante el período de vigencia del contrato, o limitar la utilización de estos datos en tal medida que esa parte no pueda utilizar, recopilar ni controlar esos datos, ni acceder a ellos, ni explotar su valor de manera adecuada;
impedir que la parte a la que se haya impuesto unilateralmente la cláusula resuelva unilateralmente el contrato en un plazo razonable;
impedir a la parte a la que se haya impuesto unilateralmente la cláusula obtener una copia de los datos que haya proporcionado o generado durante el período de vigencia del contrato o dentro de un plazo razonable tras su resolución unilateral;
permitir a la parte que haya impuesto unilateralmente la cláusula resolver unilateralmente el contrato con un plazo de preaviso excesivamente corto, habida cuenta de cualquier posibilidad razonable de la otra parte contratante de cambiar a un servicio alternativo y comparable y del perjuicio financiero ocasionado por esa resolución, salvo cuando haya razones fundadas para hacerlo;
permitir que la parte que haya impuesto unilateralmente la cláusula modifique sustancialmente el precio especificado en el contrato o cualquier otra condición sustantiva relativa a la naturaleza, el formato, la calidad o la cantidad de los datos que deban compartirse, cuando el contrato no especifique ninguna razón válida ni derecho de la otra parte para resolver unilateralmente el contrato en caso de efectuarse tal modificación.
La letra g) del presente apartado no afectará a las cláusulas en virtud de las cuales la parte que haya impuesto unilateralmente la cláusula se reserva el derecho de modificar unilateralmente las cláusulas de un contrato de duración indeterminada, siempre que el contrato especificase alguna razón válida para efectuar dicha modificación unilateral, que la parte que haya impuesto unilateralmente la cláusula esté obligada a proporcionar a la otra parte contratante un preaviso razonable para efectuar la modificación planeada y que la otra parte contratante tenga libertad para resolver unilateralmente el contrato sin coste alguno en caso de que se produzca tal modificación.
CAPÍTULO V
PONER DATOS A DISPOSICIÓN DE LOS ORGANISMOS DEL SECTOR PÚBLICO, LA COMISIÓN, EL BANCO CENTRAL EUROPEO Y LOS ORGANISMOS DE LA UNIÓN EN RAZÓN DE NECESIDADES EXCEPCIONALES
Artículo 14
Obligación de poner a disposición datos en razón de una necesidad excepcional
Cuando un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión demuestre una necesidad excepcional, tal como figura en el artículo 15, de utilizar determinados datos, incluidos los metadatos pertinentes necesarios para interpretar y utilizar dichos datos, para desarrollar sus funciones estatutarias en interés público, los ►C1 tenedores de datos ◄ que sean personas jurídicas, distintos de organismos del sector público, que posean dichos datos los pondrán a disposición previa solicitud debidamente motivada.
Artículo 15
Necesidad excepcional de utilizar los datos
Una necesidad excepcional de utilizar determinados datos en el sentido del presente capítulo estará limitada en el tiempo y en su ámbito de aplicación y se considerará que existe únicamente en cualquiera de las circunstancias siguientes:
cuando los datos solicitados sean necesarios para responder a una emergencia pública y el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión no pueda obtener dichos datos por medios alternativos de manera oportuna y efectiva en condiciones equivalentes;
en circunstancias no contempladas en la letra a) y únicamente en lo que respecta a los datos no personales, cuando:
un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión actúe sobre la base del Derecho de la Unión o nacional y haya identificado datos específicos cuya ausencia le impida desempeñar una tarea específica realizada en interés público, que haya sido expresamente prevista por la ley, como la elaboración de estadísticas oficiales o la mitigación de una emergencia pública o recuperación tras dicha emergencia, y
el organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión haya agotado todos los demás medios a su disposición para obtener dichos datos, incluida la compra de datos no personales en el mercado ofreciendo precios de mercado, o basándose en obligaciones existentes de poner datos a disposición o la adopción de nuevas medidas legislativas que puedan garantizar la disponibilidad de los datos en tiempo oportuno.
Artículo 16
Relación con otras obligaciones de poner datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión
Artículo 17
Solicitudes de puesta a disposición de datos
Cuando un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión solicite datos con arreglo al artículo 14, deberá:
especificar qué datos son necesarios, incluidos los metadatos pertinentes necesarios para interpretarlos y utilizarlos;
demostrar que se cumplen las condiciones necesarias para la existencia de una necesidad excepcional a que se refiere el artículo 15 para la que se solicitan los datos;
explicar la finalidad de la solicitud, la utilización prevista de los datos solicitados, incluso, cuando proceda, por un tercero de conformidad con el apartado 4 del presente artículo, la duración de dicha utilización y, en su caso, la forma en que el tratamiento de los datos personales responde a la necesidad excepcional;
especificar, siempre que sea posible, cuándo se prevé que los datos sean suprimidos por todas las partes que tengan acceso a ellos;
justificar la elección del ►C1 tenedor de datos ◄ al que se dirige la solicitud;
especificar todos los demás organismos del sector público o la Comisión, el Banco Central Europeo o los organismos de la Unión y los terceros con los que se prevea compartir los datos solicitados;
cuando se soliciten datos personales, especificar cualquier medida técnica y organizativa necesaria y proporcionada para aplicar los principios de protección de datos y las garantías necesarias, como la seudonimización, y si el titular de los datos puede aplicar la anonimización antes de poner los datos a disposición;
indicar la disposición legal por la que se asigna al organismo del sector público solicitante, a la Comisión, al Banco Central Europeo o a los organismos de la Unión la tarea específica desempeñada en interés público pertinente para solicitar los datos;
especificar el plazo en que deben ponerse los datos a disposición y el plazo a que se refiere el artículo 18, apartado 2, en que el ►C1 tenedor de datos ◄ puede denegar o pedir la modificación de la solicitud;
hacer todo lo posible por evitar que el cumplimiento de la solicitud de datos dé lugar a la responsabilidad de los ►C1 tenedores de datos ◄ por infracción del Derecho de la Unión o nacional.
Toda solicitud de datos presentada con arreglo al apartado 1 del presente artículo deberá:
expresarse por escrito y en un lenguaje claro, conciso y sencillo comprensible para el ►C1 tenedor de datos ◄ ;
ser específica por lo que respecta al tipo de datos solicitados y corresponder a datos que el ►C1 tenedor de datos ◄ controle en el momento de la solicitud;
guardar proporción con la necesidad excepcional y estar debidamente motivada, por lo que respecta a la granularidad y el volumen de los datos solicitados y la frecuencia de acceso a los datos solicitados;
respetar los objetivos legítimos del ►C1 tenedor de datos ◄ , con el compromiso de garantizar la protección de los secretos comerciales de conformidad con el artículo 19, apartado 3, y habida cuenta del coste y el esfuerzo necesarios para poner los datos a disposición;
referirse a datos no personales y, sólo si se demuestra que ello es insuficiente para responder a la necesidad excepcional de utilizar datos, de conformidad con el artículo 15, apartado 1, letra a), solicitar datos personales en forma seudonimizada y establecer las medidas técnicas y organizativas que se vayan a adoptar para proteger los datos;
informar al ►C1 tenedor de datos ◄ de las sanciones que impondrá de conformidad con el artículo 40 la autoridad competente designada en cumplimiento del artículo 37 en caso de que no se atienda la solicitud;
cuando la solicitud proceda de un organismo del sector público, transmitirse al coordinador de datos a que se refiere el artículo 37 del Estado miembro en el que esté establecido el organismo del sector público solicitante, que la hará pública en línea sin demora indebida, a menos que el coordinador de datos considere que dicha publicación podría crear un riesgo para la seguridad pública;
cuando la solicitud proceda de la Comisión, el Banco Central Europeo o los organismos de la Unión, ponerse a disposición en línea sin demora indebida;
cuando se soliciten datos personales, notificarse sin demora indebida a la autoridad de control responsable de supervisar la aplicación del Reglamento (UE) 2016/679 en el Estado miembro en el que esté establecido el organismo del sector público.
El Banco Central Europeo y los organismos de la Unión informarán a la Comisión de sus solicitudes.
Artículo 18
Cumplimiento de las solicitudes de datos
Sin perjuicio de las necesidades específicas relativas a la disponibilidad de datos definidas en el Derecho de la Unión o nacional, el ►C1 tenedor de datos ◄ podrá denegar o solicitar la modificación de una solicitud de poner a disposición los datos con arreglo al presente capítulo sin demora indebida y, en cualquier caso, a más tardar cinco días hábiles después de la recepción de una solicitud de los datos necesarios para responder a una emergencia pública y sin demora indebida y, en cualquier caso, a más tardar treinta días hábiles después de la recepción de dicha solicitud en otros casos de necesidad excepcional, por cualquiera de los motivos siguientes:
que el ►C1 tenedor de datos ◄ no tenga control sobre los datos solicitados;
que otro organismo del sector público o la Comisión, el Banco Central Europeo o un organismo de la Unión haya presentado previamente una solicitud similar para el mismo fin y no se haya notificado la supresión de los datos al titular de los datos de conformidad con el artículo 19, apartado 1, letra c);
que la solicitud no reúna las condiciones establecidas en el artículo 17, apartados 1 y 2.
Artículo 19
Obligaciones de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión
Un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión que reciba datos de conformidad con una solicitud presentada con arreglo al artículo 14:
no podrá utilizar los datos de manera incompatible con la finalidad para la que hayan sido solicitados;
habrá aplicado medidas técnicas y organizativas que preserven la confidencialidad y la integridad de los datos solicitados y la seguridad de las transferencias de datos, en particular los datos personales, y garanticen los derechos y libertades de los interesados;
suprimirá los datos en cuanto dejen de ser necesarios para la finalidad declarada e informará sin demora indebida al ►C1 tenedor de datos ◄ y a las personas u organizaciones que hayan recibido los datos de conformidad con el artículo 21, apartado 1, de que los datos han sido suprimidos, a menos que el archivo de los datos sea necesario de conformidad con el Derecho de la Unión o nacional sobre acceso público a los documentos en el contexto de las obligaciones de transparencia.
El organismo del sector público, la Comisión, el Banco Central Europeo, el organismo de la Unión o el tercero que reciba datos con arreglo al presente capítulo no podrá:
utilizar los datos o las ideas sobre la situación económica, los activos y los métodos de producción o funcionamiento del ►C1 tenedor de datos ◄ para desarrollar o mejorar un producto conectado o servicio relacionado que compita con el producto conectado o servicio relacionado del ►C1 tenedor de datos ◄ ;
compartir los datos con otro tercero para cualquiera de los fines a que se refiere la letra a).
Artículo 20
Compensación en caso de necesidad excepcional
Artículo 21
Intercambio de datos con organizaciones de investigación u organismos estadísticos, obtenidos en el contexto de alguna necesidad excepcional
Un organismo del sector público, la Comisión, el Banco Central Europeo o un organismo de la Unión tendrá derecho a compartir datos recibidos en virtud del presente capítulo:
con personas u organizaciones con miras a la realización de investigaciones científicas o análisis compatibles con el fin para el que se solicitaron los datos, o
con los institutos nacionales de estadística y Eurostat para la elaboración de estadísticas oficiales.
Artículo 22
Asistencia mutua y cooperación transfronteriza
Tras haber examinado la solicitud a la luz de los requisitos establecidos en el artículo 17, la autoridad competente pertinente adoptará, sin demora indebida, una de las siguientes medidas:
transmitirá la solicitud al ►C1 tenedor de datos ◄ y, en su caso, asesorará al organismo del sector público solicitante, a la Comisión, al Banco Central Europeo o al organismo de la Unión sobre la necesidad, en su caso, de cooperar con los organismos del sector público del Estado miembro en el que esté establecido el ►C1 tenedor de datos ◄ con el fin de reducir la carga administrativa que pesa sobre el ►C1 tenedor de datos ◄ en el cumplimiento de la solicitud;
rechazará la solicitud por razones debidamente motivadas, de conformidad con el presente capítulo.
El organismo del sector público solicitante, la Comisión, el Banco Central Europeo y el organismo de la Unión tendrán en cuenta el asesoramiento y los motivos de la autoridad competente pertinente de conformidad con el párrafo primero antes de iniciar cualquier acción adicional, como volver a enviar la solicitud, en su caso.
CAPÍTULO VI
CAMBIO ENTRE SERVICIOS DE TRATAMIENTO DE DATOS
Artículo 23
Eliminación de los obstáculos a un cambio efectivo
Los proveedores de servicios de tratamiento de datos adoptarán las medidas previstas en los artículos 25, 26, 27, 29 y 30 para permitir a los clientes cambiar a un servicio de tratamiento de datos que cubra el mismo tipo de servicio, que sea prestado por un proveedor diferente de servicios de tratamiento de datos o a una infraestructura de TIC local o, cuando proceda, usar varios proveedores de servicios de tratamiento de datos simultáneamente. En particular, los proveedores de servicios de tratamiento de datos eliminarán y no pondrán obstáculos precomerciales, comerciales, técnicos, contractuales y organizativos que disuada a los clientes:
resolver, tras el plazo máximo de preaviso y la tramitación con éxito del proceso de cambio, de conformidad con el artículo 25, el contrato de servicio de tratamiento de datos;
celebrar nuevos contratos con otro proveedor de servicios de tratamiento de datos que cubran el mismo tipo de servicio;
transferir los datos exportables del cliente y sus activos digitales a un proveedor diferente de servicios de tratamiento de datos o a una infraestructura de TIC local, incluso después de haberse beneficiado de una oferta gratuita;
de conformidad con el artículo 24, alcanzar la equivalencia funcional en el uso del nuevo servicio de tratamiento de datos en el entorno de las TIC de un proveedor o proveedores diferentes de servicios de tratamiento de datos que incluyan el mismo tipo de servicio;
la desagregación, cuando sea técnicamente viable, de los servicios de tratamiento de datos a que se refiere el artículo 30, apartado 1, de otros servicios de tratamiento de datos prestados por el proveedor de servicios de tratamiento de datos.
Artículo 24
Alcance de las obligaciones técnicas
Las responsabilidades de los proveedores de servicios de tratamiento de datos establecidas en los artículos 23, 25, 29, 30 y 34, se aplicarán solo a los servicios, contratos o prácticas comerciales prestados por el proveedor de servicios de tratamiento de datos de origen.
Artículo 25
Cláusulas contractuales relativas al cambio
Sin perjuicio de lo dispuesto en la Directiva (UE) 2019/770, el contrato a que se refiere el apartado 1 del presente artículo incluirá al menos los siguientes elementos:
cláusulas que permitan al cliente, previa solicitud, cambiar a un servicio de tratamiento de datos ofrecido por un proveedor diferente de servicios de tratamiento de datos o trasladar todos los datos exportables y activos digitales a una infraestructura de TIC local, sin demora indebida y, en cualquier caso, en un plazo no superior al período transitorio obligatorio máximo de treinta días naturales, que comenzará al final del plazo máximo de preaviso a que se refiere la letra d), durante el cual el contrato de servicio se seguirá aplicando y durante el cual el proveedor de servicios de tratamiento de datos:
prestará una asistencia razonable al cliente y a terceros autorizados por el cliente en el proceso de cambio,
actuará con la diligencia debida para mantener la continuidad de las actividades y continuará la prestación de las funciones o servicios en virtud del contrato,
proporcionará información clara sobre los riesgos conocidos para la continuidad de la prestación de las funciones o servicios por parte del proveedor de servicios de tratamiento de datos de origen,
garantizará que se mantenga un alto nivel de seguridad a lo largo de todo el proceso de cambio, en particular, la seguridad de los datos durante su transferencia y la seguridad continua de los datos durante el período de extracción especificado en la letra g), de conformidad con el Derecho aplicable de la Unión o nacional;
la obligación del proveedor de servicios de tratamiento de datos de apoyar la estrategia de salida del cliente pertinente para los servicios contratados, también proporcionando toda la información pertinente;
la cláusula en la que se especifique que el contrato se considerará resuelto y se notificará al cliente la resolución, en uno de los siguientes casos:
cuando proceda, una vez concluido con éxito el proceso de cambio,
al final del plazo máximo de preaviso a que se refiere la letra d), cuando el cliente no desee cambiar de proveedor, sino suprimir todos sus datos exportables y activos digitales una vez resuelto el servicio;
un plazo máximo de preaviso para el inicio del proceso de cambio, que no excederá de dos meses;
una especificación exhaustiva de todas las categorías de datos y activos digitales que pueden ser exportadas durante el proceso de cambio, que deberá comprender, como mínimo, todos los datos exportables;
una especificación exhaustiva de las categorías de datos específicas del funcionamiento interno del servicio de tratamiento de datos del proveedor que deben quedar excluidas de los datos exportables con arreglo a la letra e) del presente apartado cuando exista un riesgo de violación de secretos comerciales del proveedor, siempre que dichas exenciones no impidan ni retrasen el proceso de cambio previsto en el artículo 23;
un período mínimo para la extracción de datos de al menos treinta días naturales después de la expiración del período transitorio pactado entre el cliente y el proveedor de servicios de tratamiento de datos, de conformidad con la letra a) del presente apartado y el apartado 4;
una cláusula que garantice la supresión total de todos los datos exportables y activos digitales generados directamente por el cliente, o directamente relacionados con el cliente, tras la expiración del período de extracción a que se refiere la letra g) o tras la expiración de un período alternativo pactado fijado en una fecha posterior a la fecha de expiración del período de extracción a que se refiere la letra g), siempre que el proceso de cambio haya finalizado con éxito;
los costes por cambio que puedan imponer los proveedores de servicios de tratamiento de datos de conformidad con el artículo 29.
El contrato al que se refiere el apartado 1, incluirá cláusulas que estipulen que el cliente puede notificar al proveedor de servicios de tratamiento de datos su decisión de realizar una o varias de las siguientes acciones una vez expire el plazo máximo de preaviso a que se refiere el apartado 2, letra d):
cambiar a un proveedor diferente de servicios de tratamiento de datos, en cuyo caso el cliente proporcionará los datos de contacto necesarios de dicho proveedor;
cambiar a una infraestructura de TIC local;
suprimir sus datos exportables y sus activos digitales.
Artículo 26
Obligación de información de los proveedores de servicios de tratamiento de datos
El proveedor de servicios de tratamiento de datos proporcionará al cliente:
información sobre los procedimientos disponibles para el cambio y la transferencia al servicio de tratamiento de datos, incluida la información sobre los métodos y formatos de cambio y de transferencia disponibles, así como las restricciones y limitaciones técnicas conocidas por el proveedor de servicios de tratamiento de datos;
una referencia a un registro en línea actualizado alojado por el proveedor de servicios de tratamiento de datos, con detalles de todas las estructuras y formatos de datos, así como de las normas pertinentes y las especificaciones de interoperabilidad abiertas, en el que estén disponibles los datos exportables a que se refiere el artículo 25, apartado 2, letra e).
Artículo 27
Obligación de buena fe
Todas las partes implicadas, incluidos los proveedores de servicios de tratamiento de datos de destino, cooperarán de buena fe para que el proceso de cambio sea eficaz, posibilitar la transferencia de los datos en tiempo oportuno y mantener la continuidad del servicio de tratamiento de datos.
Artículo 28
Obligaciones de transparencia contractual en materia de acceso y transferencia internacionales
Los proveedores de servicios de tratamiento de datos pondrán a disposición en sus sitios web la siguiente información y la mantendrán actualizada:
la jurisdicción a la que está sujeta la infraestructura de TIC desplegada para el tratamiento de datos de sus servicios individuales;
una descripción general de las medidas técnicas, organizativas y contractuales adoptadas por el proveedor de servicios de tratamiento de datos para impedir el acceso o transferencia internacionales por parte de las administraciones públicas de datos no personales que se encuentren en la Unión, cuando dicho acceso o transferencia pueda entrar en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate.
Artículo 29
Supresión gradual de los costes por cambio
Artículo 30
Aspectos técnicos del cambio
Artículo 31
Régimen específico para determinados servicios de tratamiento de datos
CAPÍTULO VII
ACCESO Y TRANSFERENCIA INTERNACIONALES ILÍCITOS DE DATOS NO PERSONALES POR PARTE DE ADMINISTRACIONES PÚBLICAS
Artículo 32
Acceso y transferencia internacionales por parte de administraciones públicas
En ausencia de un acuerdo internacional de los contemplados en el apartado 2, cuando un proveedor de servicios de tratamiento de datos sea el destinatario de una resolución o sentencia de un órgano jurisdiccional de un tercer país o de una decisión de una autoridad administrativa de un tercer país de transferir o dar acceso a datos no personales incluidos en el ámbito de aplicación del presente Reglamento que se encuentren en la Unión y el cumplimiento de dicha decisión entrañe el riesgo de que el destinatario entre en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate, la transferencia a dichos datos o el acceso a los mismos por parte de dicha autoridad de un tercer país solo tendrá lugar cuando:
el sistema del tercer país exija que se expongan los motivos y la proporcionalidad de dicha resolución o sentencia y que la resolución o sentencia sea de carácter específico, por ejemplo, estableciendo un vínculo suficiente con determinadas personas sospechosas o infracciones;
la oposición motivada del destinatario se someta a la apreciación de un órgano jurisdiccional competente del tercer país, y
el órgano jurisdiccional competente del tercer país que dicte la resolución o sentencia o revise la resolución de una autoridad administrativa esté facultado, con arreglo al Derecho del tercer país, para tener debidamente en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos por el Derecho de la Unión o por el Derecho nacional del Estado miembro pertinente.
El destinatario de la resolución o sentencia podrá solicitar el dictamen del organismo nacional pertinente o de la autoridad competente en materia de cooperación internacional en asuntos jurídicos, con el fin de determinar si se cumplen las condiciones establecidas en el párrafo primero, en particular, cuando considere que la decisión puede referirse a secretos comerciales y otros datos sensibles desde el punto de vista comercial, así como a contenidos protegidos por derechos de propiedad intelectual, o que la transferencia puede dar lugar a una reidentificación. El organismo o autoridad nacional competente podrá consultar a la Comisión. Si el destinatario considera que la decisión o sentencia puede afectar a los intereses de la seguridad nacional o de la defensa de la Unión o de sus Estados miembros, solicitará el dictamen del organismo o autoridad nacional competente, a fin de determinar si los datos solicitados se refieren a intereses de seguridad nacional o de defensa de la Unión o de sus Estados miembros. Si el destinatario no ha recibido una respuesta en el plazo de un mes, o si el dictamen de tal organismo o autoridad llega a la conclusión de que no se cumplen las condiciones establecidas en el párrafo primero, el destinatario podrá denegar por esos motivos la solicitud de transferencia o acceso a datos no personales.
El CEID a que se refiere el artículo 42 asesorará y asistirá a la Comisión en la elaboración de directrices para la evaluación del cumplimiento de las condiciones establecidas en el párrafo primero del presente apartado.
CAPÍTULO VIII
INTEROPERABILIDAD
Artículo 33
Requisitos esenciales en materia de interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos, y de los espacios comunes europeos de datos
Los participantes en espacios de datos que ofrezcan datos o servicios de datos a otros participantes cumplirán los siguientes requisitos esenciales para facilitar la interoperabilidad de los datos, de los mecanismos y servicios de intercambio de datos, y de los espacios comunes europeos de datos que sean marcos interoperables específicos, sectoriales o intersectoriales de normas y prácticas comunes para compartir o tratar conjuntamente datos con el fin, entre otros, de desarrollar nuevos productos y servicios, investigación científica o iniciativas de la sociedad civil:
el contenido del conjunto de datos, las restricciones de utilización, las licencias, la metodología de recopilación de datos y la calidad e incertidumbre de los datos se describirán en una medida suficiente, cuando proceda, en un formato de lectura mecánica para que el destinatario pueda encontrar los datos, acceder a ellos y utilizarlos;
las estructuras de datos, los formatos de datos, los vocabularios, los sistemas de clasificación, las taxonomías y las listas de códigos, cuanto estén disponibles, se describirán de manera que sean de acceso público y coherentes;
los medios técnicos para acceder a los datos, tales como las interfaces de programación de aplicaciones, así como sus condiciones de uso y su calidad de servicio, se describirán en una medida suficiente para permitir el acceso automático a los datos y su transmisión automática entre las partes, incluido de forma continua, en descarga masiva o en tiempo real, en un formato de lectura mecánica cuando sea técnicamente viable y no impida el buen funcionamiento del producto conectado;
cuando proceda, se proporcionarán los medios que posibiliten la interoperabilidad de las herramientas para automatizar la ejecución de los acuerdos de intercambio de datos, como los contratos inteligentes.
Los requisitos pueden ser de carácter genérico o referirse a sectores específicos, si bien han de tomar plenamente en consideración la interrelación con requisitos derivados de otras disposiciones del Derecho de la Unión o nacional.
Cuando adopte actos delegados, la Comisión tendrá en cuenta el asesoramiento del CEID de conformidad con el artículo 42, letra c), inciso iii).
La Comisión podrá adoptar, mediante actos de ejecución, especificaciones comunes que cubran alguno o todos los requisitos esenciales establecidos en el apartado 1 cuando se cumplan las siguientes condiciones:
que la Comisión haya solicitado, en virtud del artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, a una o varias organizaciones europeas de normalización la redacción de una norma armonizada que cumpla los requisitos esenciales establecidos en el apartado 1 del presente artículo y:
la solicitud no haya sido aceptada,
las normas armonizadas en respuesta a dicha solicitud no se entreguen dentro del plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, o
las normas armonizadas no se ajusten a la solicitud, y
no se haya publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos esenciales pertinentes establecidos en el apartado 1 del presente artículo, de conformidad con el Reglamento (UE) n.o 1025/2012 y no se prevea la publicación de ningún proyecto de norma en un plazo razonable.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 46, apartado 2.
Artículo 34
Interoperabilidad a efectos del uso en paralelo de los servicios de tratamiento de datos
Artículo 35
Interoperabilidad de los servicios de tratamiento de datos
Las especificaciones de interoperabilidad abiertas y las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos deberán:
lograr, cuando sea técnicamente viable, la interoperabilidad entre distintos servicios de tratamiento de datos que cubran el mismo tipo de servicio;
mejorar la portabilidad de los activos digitales entre distintos servicios de tratamiento de datos que cubran el mismo tipo de servicio;
facilitar, cuando sea técnicamente viable, la equivalencia funcional entre los servicios de tratamiento de datos a que se refiere el artículo 30, apartado 1, que cubran el mismo tipo de servicios;
no afectar negativamente a la seguridad e integridad de los servicios de tratamiento de datos y de los datos;
formularse de tal forma que permitan avances técnicos y la incorporación de nuevas funciones e innovaciones en los servicios de tratamiento de datos.
Las especificaciones de interoperabilidad abiertas y las normas armonizadas para la interoperabilidad de los servicios de tratamiento de datos abordarán adecuadamente:
los aspectos de la interoperabilidad de la nube en lo que respecta a la interoperabilidad del transporte, la interoperabilidad sintáctica, la interoperabilidad semántica de los datos, la interoperabilidad conductual y la interoperabilidad de los marcos normativos;
los aspectos de la portabilidad de los datos en la nube en lo que respecta a la portabilidad sintáctica de los datos, la portabilidad semántica de los datos y la portabilidad de los marcos normativos relativos a los datos;
los aspectos de las aplicaciones en la nube en lo que respecta a la portabilidad sintáctica de las aplicaciones, la portabilidad de las instrucciones de las aplicaciones, la portabilidad de los metadatos de las aplicaciones, la portabilidad conductual de las aplicaciones y la portabilidad de los marcos normativos de las aplicaciones.
Artículo 36
Requisitos esenciales relativos a los contratos inteligentes para la ejecución de acuerdos de intercambio de datos
El proveedor de una aplicación que utilice contratos inteligentes o, en su defecto, la persona cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de la totalidad o parte de un acuerdo, para poner datos a disposición garantizará que los contratos inteligentes cumplen los siguientes requisitos esenciales:
solidez y control de acceso, para garantizar que el contrato inteligente se haya diseñado de manera que ofrezca unos mecanismos de control de acceso y un grado de solidez muy elevado con el fin de evitar errores funcionales y contrarrestar los intentos de manipulación por terceros;
resolución unilateral e interrupción seguras, para garantizar que exista un mecanismo que permita poner fin a la ejecución de transacciones y que el contrato inteligente incluye funciones internas que permitan reinicializar el contrato o darle instrucciones para poner fin a la operación o interrumpirla, en particular, para evitar futuras ejecuciones accidentales;
archivo y continuidad de los datos, para garantizar, en circunstancias en las que el contrato inteligente deba finalizar o desactivarse, la posibilidad de archivar los datos de las transacciones, así como la lógica y el código del contrato inteligente, con el fin de llevar un registro de las operaciones con datos efectuadas previamente (auditabilidad);
control de acceso, para garantizar que el contrato inteligente esté protegido con mecanismos rigurosos de control de acceso en el nivel de la gobernanza y en el del contrato inteligente, y
coherencia, para garantizar la coherencia con las condiciones del acuerdo de intercambio de datos que ejecuta el contrato inteligente.
La Comisión podrá adoptar, mediante actos de ejecución, especificaciones comunes que cubran alguno o todos los requisitos esenciales establecidos en el apartado 1 cuando se cumplan las siguientes condiciones:
que la Comisión haya solicitado, en virtud del artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, a una o varias organizaciones europeas de normalización la redacción de una norma armonizada que cumpla los requisitos esenciales establecidos en el apartado 1 del presente artículo y:
la solicitud no haya sido aceptada,
las normas armonizadas en respuesta a dicha solicitud no se entreguen dentro del plazo establecido de conformidad con el artículo 10, apartado 1, del Reglamento (UE) n.o 1025/2012, o
las normas armonizadas no se ajusten a la solicitud, y
no se haya publicado en el Diario Oficial de la Unión Europea ninguna referencia a normas armonizadas que regulen los requisitos esenciales pertinentes establecidos en el apartado 1 del presente artículo, de conformidad con el Reglamento (UE) n.o 1025/2012 y no se prevea la publicación de ningún proyecto de norma en un plazo razonable.
Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 46, apartado 2.
CAPÍTULO IX
APLICACIÓN Y EJECUCIÓN
Artículo 37
Autoridades competentes y coordinadores de datos
El Supervisor Europeo de Protección de Datos tendrá la responsabilidad de supervisar la aplicación del presente Reglamento en lo que respecta a la Comisión, el Banco Central Europeo o los organismos de la Unión. Cuando proceda, se aplicará mutatis mutandis el artículo 62 del Reglamento (UE) 2018/1725.
Las funciones y competencias de las autoridades de control a que se refiere el presente apartado se ejercerán respecto al tratamiento de datos personales.
Sin perjuicio de lo dispuesto en el apartado 1 del presente artículo:
para cuestiones sectoriales específicas de la utilización y acceso de datos relacionados con la aplicación del presente Reglamento, se respetará la competencia de las autoridades sectoriales;
la autoridad competente responsable de la aplicación y ejecución de los artículos 23 a 31 y de los artículos 34 y 35 tendrá experiencia en el ámbito de los datos y los servicios de comunicaciones electrónicas.
Los Estados miembros velarán por que las funciones y competencias de las autoridades competentes estén claramente definidas e incluyan:
fomentar la alfabetización en materia de datos y la sensibilización entre los usuarios y las entidades que entren en el ámbito de aplicación del presente Reglamento acerca de los derechos y obligaciones previstos en el presente Reglamento;
tramitar las denuncias derivadas de supuestas infracciones del presente Reglamento, también en relación con secretos comerciales, investigar el objeto de las denuncias en la medida adecuada e informar periódicamente a los denunciantes, cuando proceda de conformidad con el Derecho nacional, sobre el curso y el resultado de la investigación en un plazo razonable, en particular cuando resulte necesario proseguir la investigación o coordinar actuaciones con otra autoridad competente;
llevar a cabo investigaciones sobre asuntos que afecten a la aplicación del presente Reglamento, también sobre la base de información recibida de otra autoridad competente o autoridad pública;
imponer sanciones económicas efectivas, proporcionadas y disuasorias, que pueden incluir multas coercitivas y multas con efecto retroactivo, o iniciar procedimientos judiciales para la imposición de multas;
hacer un seguimiento de los avances tecnológicos y comerciales pertinentes para la puesta a disposición y utilización de datos;
cooperar con las autoridades competentes de otros Estados miembros y, cuando proceda, con la Comisión o el CEID, para garantizar la aplicación coherente y eficiente del presente Reglamento, lo que incluye el intercambio de toda la información pertinente por medios electrónicos, sin demora indebida, también con respecto al apartado 10 del presente artículo;
cooperar con las autoridades competentes pertinentes responsables de la aplicación de otros actos jurídicos de la Unión o nacionales, también con las autoridades competentes en el ámbito de los datos y los servicios de comunicaciones electrónicas, con la autoridad de control responsable del seguimiento de la aplicación del Reglamento (UE) 2016/679 o con las autoridades sectoriales para garantizar que el presente Reglamento se aplica de manera coherente con otras disposiciones del Derecho de la Unión y nacional;
cooperar con las autoridades competentes pertinentes para garantizar que los artículos 23 a 31 y los artículos 34 y 35 se cumplan de manera coherente con otras disposiciones del Derecho de la Unión y medidas de autorregulación aplicables a los proveedores de servicios de tratamiento de datos;
velar por la supresión de los costes por cambio de conformidad con el artículo 29;
examinar las solicitudes de datos formuladas con arreglo al capítulo V.
Si se ha designado, el coordinador de datos facilitará la cooperación a que se refieren las letras f), g) y h) del párrafo primero y asistirá a las autoridades competentes si estas lo solicitan.
En caso de que dicha autoridad competente haya sido designada, el coordinador de datos deberá:
actuar como punto de contacto único para todas las cuestiones relacionadas con la aplicación del presente Reglamento;
asegurar la disponibilidad pública en línea de las solicitudes de puesta a disposición de datos presentadas por organismos del sector público en los casos de necesidad excepcional con arreglo al capítulo V y promover acuerdos voluntarios de intercambio de datos entre organismos del sector público y ►C1 tenedores de datos ◄ ;
informar anualmente a la Comisión de las denegaciones notificadas con arreglo al artículo 4, apartados 2 y 8, y al artículo 5, apartado 11.
Artículo 38
Derecho a presentar una reclamación
Artículo 39
Derecho a una tutela judicial efectiva
Artículo 40
Sanciones
Por lo que respecta a la imposición de sanciones por infracciones del presente Reglamento, los Estados miembros tendrán en cuenta las recomendaciones del CEID y los siguientes criterios no exhaustivos:
la naturaleza, gravedad, magnitud y duración de la infracción;
cualquier medida adoptada por la parte infractora para mitigar o reparar el perjuicio causado por la infracción;
las infracciones anteriores cometidas por la parte infractora;
los beneficios financieros obtenidos o las pérdidas evitadas por la parte infractora debido a la infracción, en la medida en que dichos beneficios o pérdidas puedan establecerse de forma fiable;
cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso;
el volumen de negocio anual del infractor durante el ejercicio financiero anterior en la Unión.
Artículo 41
Cláusulas contractuales tipo y cláusulas contractuales estándar
La Comisión, antes del 12 de septiembre de 2025, elaborará y recomendará cláusulas contractuales tipo no vinculantes sobre el acceso a los datos y su utilización, incluidas cláusulas relativas a la compensación razonable y la protección de los secretos comerciales, así como cláusulas contractuales estándar no vinculantes para contratos de computación en la nube para ayudar a las partes en la elaboración y negociación de contratos con derechos y obligaciones contractuales justos, razonables y no discriminatorios.
Artículo 42
Función del CEID
El CEID establecido como grupo de expertos de la Comisión en virtud del artículo 29 del Reglamento (UE) 2022/868, en el que estarán representadas las autoridades competentes, apoyará la aplicación coherente del presente Reglamento mediante:
el asesoramiento y la asistencia a la Comisión en el desarrollo de una práctica coherente de las autoridades competentes en la aplicación de los capítulos II, III, V y VII;
la facilitación de la cooperación entre las autoridades competentes mediante el desarrollo de capacidades y el intercambio de información, en particular con el establecimiento de métodos para el intercambio eficiente de información relativa al cumplimiento de los derechos y obligaciones en virtud de los capítulos II, III y V en los casos transfronterizos, incluida la coordinación con respecto al establecimiento de sanciones;
el asesoramiento y la asistencia a la Comisión en relación a lo siguiente:
la posibilidad de solicitar la elaboración de las normas armonizadas a que se refieren el artículo 33, apartado 4, el artículo 35, apartado 4, y el artículo 36, apartado 5,
la preparación de los actos de ejecución a que se refieren el artículo 33, apartado 5, el artículo 35, apartados 5 y 8, y el artículo 36, apartado 6,
la preparación de los actos delegados a que se refieren el artículo 29, apartado 7, y el artículo 33, apartado 2, y
la adopción de las directrices que establezcan los marcos de interoperabilidad de las normas y prácticas comunes para el funcionamiento de los espacios comunes europeos de datos a que se refiere el artículo 33, apartado 11.
CAPÍTULO X
DERECHO SUI GENERIS CON ARREGLO A LA DIRECTIVA 96/9/CE
Artículo 43
Bases de datos que contienen ciertos datos
El derecho sui generis establecido en el artículo 7 de la Directiva 96/9/CE no se aplicará si los datos son obtenidos o generados por un producto conectado o servicio relacionado que entre en el ámbito de aplicación del presente Reglamento, en particular en relación con los artículos 4 y 5.
CAPÍTULO XI
DISPOSICIONES FINALES
Artículo 44
Otros actos jurídicos de la Unión que regulan los derechos y obligaciones en materia de acceso a los datos y su utilización
El presente Reglamento se entiende sin perjuicio del Derecho de la Unión que, a la luz de las necesidades de un sector, de un espacio común europeo de datos o de un área de interés público, establezca requisitos adicionales, en particular relativos a:
aspectos técnicos del acceso a los datos;
límites a los derechos de los ►C1 tenedores de datos ◄ de acceder a determinados datos proporcionados por usuarios o de utilizarlos;
aspectos que vayan más allá del acceso a los datos y su utilización.
Artículo 45
Ejercicio de la delegación
Artículo 46
Procedimiento de comité
Artículo 47
Modificación del Reglamento (UE) 2017/2394
En el anexo del Reglamento (UE) 2017/2394 se añade el punto siguiente:
Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (DO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).».
Artículo 48
Modificación de la Directiva (UE) 2020/1828
En el anexo I de la Directiva (UE) 2020/1828 se añade el punto siguiente:
Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos) (DO L, 2023/2854, 22.12.2023, ELI: http://data.europa.eu/eli/reg/2023/2854/oj).».
Artículo 49
Evaluación y revisión
A más tardar el 12 de septiembre de 2028, la Comisión llevará a cabo una evaluación del presente Reglamento y presentará un informe sobre sus principales conclusiones al Parlamento Europeo y al Consejo, y al Comité Económico y Social Europeo. En la evaluación se analizarán, en particular:
situaciones que hayan de considerarse situaciones de necesidad excepcional a efectos del artículo 15 del presente Reglamento y de la aplicación del capítulo V del presente Reglamento en la práctica, en particular, la experiencia adquirida con la aplicación del capítulo V del presente Reglamento por parte de organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión; el número y el resultado de los recursos iniciados ante la autoridad competente con arreglo al artículo 18, apartado 5, sobre la aplicación del capítulo V del presente Reglamento, comunicados por las autoridades competentes; el impacto de otras obligaciones establecidas en el Derecho de la Unión o nacional a efectos del cumplimiento de las solicitudes de acceso a información; el impacto de los mecanismos voluntarios de intercambio de datos, como los establecidos por organizaciones de gestión de datos con fines altruistas reconocidas en virtud del Reglamento (UE) 2022/868, en el cumplimiento de los objetivos del capítulo V del presente Reglamento, y la función de los datos personales en el contexto del artículo 15 del presente Reglamento, incluida la evolución de tecnologías que protejan mejor la intimidad;
las repercusiones del presente Reglamento en la utilización de datos en la economía, incluyendo la innovación en materia de datos, las prácticas de monetización de los datos y los servicios de intermediación de datos, así como en el intercambio de datos dentro de los espacios comunes europeos de datos;
la accesibilidad a diferentes categorías y tipos de datos y su utilización;
la exclusión de determinadas categorías de empresas como beneficiarias al amparo del artículo 5;
la ausencia de cualquier impacto en los derechos de propiedad intelectual;
el impacto en los secretos comerciales, incluida la protección contra su obtención, utilización y revelación ilícitas, así como el impacto del mecanismo que permite al ►C1 tenedor de datos ◄ denegar la solicitud del usuario con arreglo al artículo 4, apartado 8, y al artículo 5, apartado 11, teniendo en cuenta, en la medida de lo posible, cualquier revisión de la Directiva (UE) 2016/943;
si la lista de cláusulas contractuales abusivas a que se refiere el artículo 13 está actualizada a la luz de las nuevas prácticas comerciales y del rápido ritmo de innovación del mercado;
las variaciones en las prácticas contractuales de los proveedores de servicios de tratamiento de datos y si esas variaciones se traducen en un cumplimiento suficiente del artículo 25;
la reducción de los costes añadidos aplicados por los proveedores de servicios de tratamiento de datos por el proceso de cambio, en consonancia con la supresión gradual de esos costes de conformidad con el artículo 29;
la interacción del presente Reglamento con otros actos jurídicos de la Unión pertinentes para la economía de los datos;
la prevención del acceso ilícito a datos no personales por parte de administraciones públicas;
la eficacia del régimen de ejecución exigido en virtud del artículo 37;
las repercusiones del presente Reglamento en las pymes, por lo que respecta a su capacidad para innovar y a la disponibilidad de servicios de tratamiento de datos para los usuarios en la Unión y la carga del cumplimiento de las nuevas obligaciones.
Artículo 50
Entrada en vigor y aplicación
El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Será aplicable a partir del 12 de septiembre de 2025.
La obligación derivada del artículo 3, apartado 1, será aplicable a los productos conectados y a los servicios relacionados con ellos introducidos en el mercado después del 12 de septiembre de 2026.
El capítulo III será aplicable en relación con las obligaciones de puesta a disposición de los datos en virtud de disposiciones del Derecho de la Unión o de normativa nacional adoptada de conformidad con el Derecho de la Unión que entren en vigor después del 12 de septiembre de 2025.
El capítulo IV será aplicable a los contratos celebrados después del 12 de septiembre de 2025.
El capítulo IV será aplicable a partir del 12 de septiembre de 2027 a los contratos celebrados el 12 de septiembre de 2025 o con anterioridad, siempre que:
sean de duración indefinida, o
expiren al menos diez años a partir del 11 de enero de 2024.
El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.