Un nou regulament care, alături de Data Governance Act, Digital Services Act, Data Markets Act, EU AI Act, Directiva NIS 2 și Cyber Resilience Act, face parte din pachetul legislativ european pentru economia digitală a intrat în vigoare pe12 septembrie 2025.
Este vorba despre Regulamentul (UE) nr. 2023/2854, cunoscut sub numele de Data Act, care marchează o schimbare semnificativă a modului în care datele sunt gestionate și valorificate la nivelul Uniunii Europene, atât din perspectiva consumatorilor, cât și a entităților vizate. Acesta stabilește fundamentele pentru o economie echitabilă, inovatoare și competitivă a datelor, prin crearea unui cadru de reglementare care oferă mai multă libertate și putere utilizatorilor, dar și un control sporit asupra datelor. Sunt stimulate astfel serviciile post-vânzare și cele auxiliare, scopul final fiind crearea de servicii noi benefice atât pentru entitățile vizate, cât și pentru consumatori.
Data Act conferă utilizatorilor de produse conectate (de exemplu, autoturisme conectate, dispozitive medicale și de fitness, utilaje industriale sau agricole, toate din categoria „Internet of Things”/„IoT”) și de servicii conexe (de exemplu, aplicații software prin care sunt controlate produsele conectate) dreptul să acceseze și partajeze datele create prin utilizarea efectivă a produselor conectate sau a serviciilor conexe.
Utilizatorii acestor servicii au, în temeiul noului cadrul legislativ european, dreptul de acces inclusiv la metadatele relevante. În același timp, deținătorul datelor este obligat să le facă accesibile utilizatorilor într-un mod ușor de accesat, securizat și gratuit, precum și într-un format cuprinzător și utilizat în mod curent.
Subliniem însă că datele sau informațiile derivate nu sunt acoperite de Data Act. Aceste categorii de date sau informații nu sunt generate prin simpla utilizare a produsului sau a serviciului conectat, ci necesită o analiză suplimentară sau o transformare a datelor primare și, de obicei, au o valoare informativă mai extinsă decât datele primare. De asemenea, Data Act nu reglementează drepturile de proprietate intelectuală asupra datelor protejate.
Principala inovație adusă de noul regulament european constă în abordarea sa contractuală. Astfel, orice utilizare a datelor de către deținătorul acestora sau de către terți necesită un contract cu utilizatorul.
Pe lângă prevederile aplicabile produselor conectate și serviciilor conexe, Data Act conține și capitole dedicate următoarelor aspecte:
- trecerea de la un serviciu de prelucrare a datelor la altul. Clienții serviciilor de prelucrare a datelor (inclusiv ai serviciilor de cloud și ai serviciilor edge) au acum posibilitatea de a trece de la un furnizor la altul într-o manieră rapidă, liberă și fluidă. Scopul acestei modificări este de a elimina fenomenul de „lock-in” și de a oferi clienților posibilitatea de a alege în mod liber serviciile care răspund cel mai bine nevilor lor. Data Act stabilește cerințe minime pentru conținutul contractelor cloud și include măsuri pentru a se asigura că este posibilă tranziția rapidă și fără probleme de la un furnizor de servicii de prelucrare a datelor la altul, fără a pierde date sau funcționalitatea aplicațiilor.
Noua reglementare va elimina, de asemenea, în întregime taxele de trecere la alt furnizor, inclusiv taxele pentru ieșirea sau tranzitul datelor, începând cu 12 ianuarie 2027. Cu toate acestea, ca măsură tranzitorie în primii 3 ani de la intrarea în vigoare, respectiv de la 11 ianuarie 2024 până la 12 ianuarie 2027, furnizorii își pot taxa în continuare clienții pentru costurile directe suportate în legătură cu schimbarea furnizorului și cu ieșirea datelor.
- interzicerea clauzelor abuzive in contractele B2B. Data Act prevede că o clauză contractuală referitoare la accesul la date si utilizarea acestora sau la răspunderea și măsurile reparatorii pentru încălcarea sau încetarea obligațiilor legate de date, care a fost impusă unilateral de o întreprindere unei alte întreprinderi, nu poate fi obligatorie dacă aceasta este abuzivă.
- reglementarea accesului autorităților la datele din sectorul privat. Potrivit Data Act, autoritățile au dreptul de a accesa datele companiilor atunci când există o nevoie excepțională, cum ar fi o urgență publică.
- accesul ilegal al autorităților din țări terțe la datele fără caracter personal stocate în Uniunea Europeană. Data Act stabilește că, în lipsa unui acord internațional, accesul este permis doar în condiții stricte, care includ justificarea cererii de acces și evaluarea proporționalității.
- interoperabilitatea. Participanții la spațiile de date trebuie să îndeplinească criterii care să permită fluxul de date în interiorul spațiilor de date și între acestea. În plus, un registru al Uniunii Europene va stabili standarde și specificații relevante pentru interoperabilitatea cloud-ului.
Data Act schimbă așadar fundamental modul în care datele pot fi accesate, utilizate și valorificate în relația cu clienții, partenerii și furnizorii de servicii. Această schimbare determină un efort suplimentar de adaptare la noile reglementari. Deși nu sunt prevăzute sancțiuni exprese, statele membre au obligația de a stabili sancțiuni eficiente, proporționale și disuasive pentru nerespectarea Data Act. În cazul în care nerespectarea prevederilor acestui nous regulament european privește date cu caracter personal, se pot aplica suplimentar și amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri conform Regulamentului European privind Protecția Datelor, ceea ce conferă greutate acestei noi reglementări legislative.
