EU Data Act: què exigeix als proveïdors de videoconferència
Avís legal: Aquest article és només a títol informatiu i no constitueix assessorament jurídic. Si necessites orientació sobre el compliment de l'EU Data Act específica per a la teva organització, consulta amb assessors legals qualificats.
El 12 de setembre de 2025, el Reglament (UE) 2023/2854, l'EU Data Act, va passar a ser plenament aplicable a tota la Unió Europea. Si operes o contractes una plataforma de videoconferència a la UE, les normes sobre accés a dades, canvi de proveïdor i lock-in contractual van canviar significativament aquell dia.
Per a molts responsables de compliment i equips legals, l'EU Data Act ha estat al final de la cua reguladora, eclipsat pels cicles d'aplicació del RGPD i de la Llei d'IA de la UE. Aquest és un error que val la pena corregir ara. La Data Act introdueix obligacions que van molt més enllà de la privacitat: reestructura com els clients de SaaS poden accedir a les seves pròpies dades, moure's entre proveïdors i negociar termes contractuals. Entendre què ha canviat ja no és opcional ni per als usuaris ni per als proveïdors de videoconferència a la UE.
Aquest article repassa què exigeix realment l'EU Data Act, si les plataformes de videoconferència probablement entren a l'àmbit d'aplicació, quines dades han de ser portables i com l'arquitectura de Digital Samba s'alinea amb aquestes obligacions.
Continguts
- Què exigeix l'EU Data Act dels proveïdors de SaaS
- L'EU Data Act s'aplica a SaaS de videoconferència?
- Portabilitat de dades per a plataformes de vídeo: què ha de ser exportable?
- En què es diferencia del RGPD
- Què significa per al vendor lock-in
- El compliment EU-first de Digital Samba
- Checklist de compliment
- Preguntes freqüents
Què exigeix l'EU Data Act dels proveïdors de SaaS
La Data Act no és un reglament estret de privacitat. La seva ambició és estructural: obrir l'economia de dades de la UE eliminant les barreres tècniques i contractuals que han permès als proveïdors de plataformes acumular i retenir dades que els seus clients han generat però a les quals no poden accedir o moure fàcilment.
Per als proveïdors de serveis de tractament de dades, la categoria que cobreix el núvol i el SaaS, quatre obligacions tenen el pes pràctic més immediat.
- Portabilitat de dades i interoperabilitat. Els clients han de poder exportar les seves dades en formats estructurats, d'ús comú i llegibles per màquina. Els proveïdors també han d'oferir interfícies obertes i ben documentades (a la pràctica, APIs) que permetin la transferència de dades a un proveïdor competidor o a la pròpia infraestructura del client. Segons Cooley, els proveïdors han de permetre la transferència de totes les dades exportables i actius digitals dins d'un període màxim de transició de 30 dies, ampliable només en casos de complexitat tècnica genuïna.
- Preavís màxim de cancel·lació de dos mesos. Aquesta és la disposició que afectarà més directament els models comercials de SaaS. Sota l'Article 25 de la Data Act, els clients poden iniciar un canvi en qualsevol moment i activar la resolució del contracte amb no més de dos mesos de preavís, independentment de si estan a la meitat d'un acord de durada fixa de tres anys. Com ha assenyalat Addleshaw Goddard, això funciona efectivament com un dret de rescissió per conveniència per a tots els clients de núvol, sigui quina sigui la durada del contracte. Els contractes de durada determinada continuen sent legals, i s'admeten comissions de resolució anticipada proporcionades, però els llargs períodes de lock-in aplicats mitjançant barreres de sortida contractuals no.
- Obligació de facilitar el canvi. Els proveïdors no poden simplement permetre el canvi en teoria i fer-lo dolorós a la pràctica. La Data Act exigeix facilitació activa: publicació de registres en línia de formats de dades i procediments de canvi, notificacions de transparència amb antelació i manteniment de la continuïtat del negoci i la seguretat durant un període de transició de 30 dies. Els proveïdors no estan obligats a reconstruir l'entorn del client dins la infraestructura de destinació, però sí a donar suport al procés de migració.
- Prohibició de comissions de canvi a partir del gener de 2027. Des de l'11 de gener de 2024, quan el reglament va entrar en vigor, els proveïdors només han pogut cobrar comissions de canvi fins al seu cost real de facilitar el canvi. Des del 12 de gener de 2027, totes les comissions de canvi queden absolutament prohibides, amb excepcions limitades per a escenaris d'ús paral·lel on el client està executant simultàniament la plataforma antiga i la nova. Aquest termini és fix i s'aplica independentment de quan es va signar el contracte original.
- Accés governamental de tercers països (Article 32). Aquesta obligació sovint passa desapercebuda però és directament rellevant per a qualsevol proveïdor que es posicioni sobre seguretat de dades. El Capítol VII de la Data Act exigeix als proveïdors prendre totes les mesures tècniques, organitzatives i legals adequades (incloent salvaguardes contractuals) per evitar l'accés governamental il·legal de tercers països a dades no personals emmagatzemades a la UE. Les dades personals es cobreixen per separat amb les normes de transferència del Capítol V del RGPD; l'Article 32 omple el buit per a dades no personals, com dades de sessió generades per màquina, registres i metadades d'ús. Quan una autoritat estrangera fa una sol·licitud de dades, el proveïdor ha d'avaluar si és raonada i proporcionada, impugnar ordres que entrin en conflicte amb la llei de la UE i, si no es pot evitar la divulgació, proporcionar només les dades mínimes necessàries. Els proveïdors també han de publicar una descripció de la jurisdicció de la seva infraestructura de TIC i les mesures que han pres per resistir l'accés il·legal de tercers països. Aquesta obligació s'aplica independentment d'on estigui constituït el proveïdor o d'on s'emmagatzemin les dades. Una empresa amb seu a la UE i infraestructura només a la UE encara necessita un programa documentat sota l'Article 32.
En conjunt, aquestes obligacions reequilibren considerablement la relació entre proveïdors de SaaS i els seus clients empresarials. El compliment de la Data Act per a SaaS no és simplement una qüestió d'actualitzar avisos de privacitat; requereix revisar contractes, arquitectura tècnica i models de preus.
L'EU Data Act s'aplica a SaaS de videoconferència?
La resposta curta és: molt probablement sí, però una avaluació acurada de l'àmbit segueix sent necessària.
La Data Act s'aplica als proveïdors de "serveis de tractament de dades", definits àmpliament per cobrir serveis de núvol i edge computing que proporcionen accés a demanda a recursos informàtics escalables. El Reglament (UE) 2023/2854 fa referència explícita a IaaS, PaaS i SaaS com a categories dins d'aquesta definició.
Tanmateix, la FAQ actualitzada de la Data Act de la Comissió Europea ha introduït un matís important, destacat a l'anàlisi de Morrison Foerster del desembre de 2025. La pregunta 58a de la FAQ de la Comissió aclareix que les solucions SaaS entren dins la definició de serveis de tractament de dades només si compleixen tots els criteris distintius del cloud computing:
- El client ha de tenir accés a recursos informàtics configurables (xarxes, servidors, emmagatzematge)
- El servei ha de permetre la provisió a demanda d'aquests recursos
- El servei ha d'oferir escalabilitat ràpida amb mínima intervenció del proveïdor
La Comissió ho il·lustra amb un exemple negatiu concret: una plataforma de streaming musical no entra a l'àmbit, perquè els usuaris no estan contractant accés a recursos informàtics escalables, sinó l'escolta de música. Qualsevol tractament de dades implicat és accessori a la finalitat principal del servei.
On encaixa la videoconferència?
Les plataformes de videoconferència que ofereixen sales configurables, infraestructura d'enregistrament programable, APIs REST, gestió de sessions i tractament de mèdia escalable són una categoria fonamentalment diferent d'un servei de streaming. Els clients no estan simplement assistint a trucades. Estan desplegant una plataforma amb recursos configurables, gestionant actius de dades (enregistraments, transcripcions, dades de participants) i integrant-se via APIs amb els seus propis sistemes. Aquest és precisament el perfil d'un servei que es contracta per a l'ús de recursos informàtics, no d'un servei que els fa servir de manera accessòria.
El model de videoconferència embedded, on les organitzacions despleguen infraestructura de vídeo via API dins les seves pròpies aplicacions, reforça aquesta anàlisi. Quan un desenvolupador provisiona una sala de Digital Samba, configura el comportament d'enregistrament, estableix controls d'accés basats en rols i recupera dades de sessió via API REST, està interactuant amb infraestructura informàtica configurable i escalable. Aquesta és la definició d'un servei de tractament de dades sota la Llei.
Dit això, l'orientació jurídica de despatxos com Morrison Foerster, Fenwick i Greenberg Traurig assenyala que la FAQ de la Comissió és d'alt nivell i deixa marge per a la interpretació. Com aplicaran les normes els reguladors nacionals a la pràctica encara no està del tot fixat, i cap regulador no s'ha pronunciat específicament sobre videoconferència. L'enfocament prudent és tractar les plataformes empresarials de videoconferència com a dins l'àmbit i fer una anàlisi de bretxa amb assessorament legal.
Portabilitat de dades per a plataformes de vídeo: què ha de ser exportable?
L'EU Data Act exigeix que els clients puguin accedir i exportar dades en formats estructurats, d'ús comú i llegibles per màquina. Per a una plataforma de videoconferència, això cobreix un conjunt d'actius de dades més ampli del que molts proveïdors han posat històricament a disposició mitjançant eines d'autoservei.
- Enregistraments de sessió. La categoria més òbvia. Els enregistraments de vídeo i àudio generats durant les sessions són dades que el client produeix i ha de poder recuperar, exportar i transferir. Els requisits de format apunten a contenidors estàndard i no propietaris; MP4 és la base establerta per a enregistraments de vídeo.
- Transcripcions de xat i metadades de sessió. Les comunicacions escrites intercanviades durant les sessions, juntament amb les metadades associades (identificadors de sessió, llistes de participants, marques de temps d'inici i final, durada i configuració de la sala), constitueixen un conjunt de dades diferenciat i exportable. Aquestes metadades també són necessàries per fer cercables i utilitzables els enregistraments en sistemes posteriors de compliment o d'arxiu.
- Transcripcions, subtítols i resums generats per IA. Quan una plataforma genera transcripcions, subtítols en directe o resums de reunions, aquests resultats són dades produïdes a través de l'ús del servei pel client. Les obligacions de portabilitat de la Data Act s'estenen a aquest contingut generat, i ha de ser exportable en formats llegibles per màquina.
- Pissarres, fitxers compartits i biblioteques de contingut. El contingut col·laboratiu creat dins les sessions (sortida de la pissarra virtual, documents compartits durant les trucades i qualsevol contingut emmagatzemat a les funcions de biblioteca d'una plataforma) entra a l'àmbit. La Data Act no limita les obligacions de portabilitat només als enregistraments de sessió.
- Requisits de format i llegibilitat per màquina. Les dades exportades han d'estar en formats que altres sistemes puguin ingerir sense eines propietàries. JSON i CSV per a dades estructurades, MP4 per a vídeo i formats de text estàndard per a transcripcions i xat són la base esperada. La Comissió ha emès el Mandat de Normalització M/614 a CEN, CENELEC i ETSI, que el van acceptar el juliol de 2025 i estan desenvolupant estàndards de format harmonitzats. Fins que aquests estàndards no es finalitzin, queda certa incertesa sobre quins formats satisfan plenament el requisit per a tipus de dades específics. Els proveïdors haurien de monitorar els futurs estàndards harmonitzats per a actualitzacions.
Per separat, els requisits d'interoperabilitat reforçada per a serveis de núvol sota el Capítol VIII entren en vigor el 12 de setembre de 2026. Van més enllà de la base de setembre de 2025 i introdueixen obligacions addicionals sobre com els proveïdors han de donar suport als clients per aconseguir resultats comparables en un entorn de destinació. Els proveïdors haurien de tractar el compliment de 2025 com un mínim, no com la línia d'arribada.
En què es diferencia del RGPD
L'EU Data Act i el RGPD cobreixen terrenys diferents, i la Data Act no substitueix ni elimina les teves obligacions de RGPD.
El RGPD regula la protecció de dades personals: com es recullen, tracten, emmagatzemen i transfereixen les dades sobre persones identificables. La seva disposició de portabilitat (Article 20) dóna als interessats el dret a rebre les seves dades personals en un format llegible per màquina, però només les dades que la persona mateixa va proporcionar, i només quan el tractament es basa en consentiment o contracte.
L'EU Data Act s'aplica tant a dades personals com no personals i crea drets per als clients com a organitzacions, no només per a interessats individuals. Estén les obligacions de portabilitat a dades de sessió generades per màquina, metadades i dades d'ús no personals que l'Article 20 del RGPD no cobriria.
A la pràctica, els marcs són complementaris. Quan una plataforma de vídeo tracta dades personals (noms de participants, correus electrònics, dades de veu utilitzades per a transcripció), el RGPD ho regula. Quan la mateixa plataforma genera enregistraments de sessió, metadades i registres d'ús, la Data Act hi afegeix drets d'accés i portabilitat al damunt.
La diferència pràctica clau: les peticions de l'Article 20 del RGPD venen de persones individuals i es gestionen mitjançant el procés de drets dels interessats. La portabilitat sota la Data Act és una obligació contractual i tècnica envers el teu client com a empresa, així que s'ha d'incorporar a l'arquitectura de la plataforma i als contractes des de l'inici.
Què significa per al vendor lock-in
Durant molts anys, els contractes SaaS plurianuals amb llargs períodes de preavís i costos elevats de sortida de dades funcionaven com un mecanisme de retenció fiable. Els clients podien estar insatisfets amb una plataforma però enfrontar-se a una barrera de sortida realista de dotze mesos de preavís, costos significatius de migració i un procés tècnic d'exportació que requeria mesos d'esforç d'enginyeria.
L'EU Data Act apunta directament a aquest model.
- El dret de preavís de dos mesos significa que qualsevol client empresarial pot iniciar un canvi en qualsevol moment. La pregunta ja no és si tenen permís contractual per marxar, sinó si marxar és tècnicament viable i si les dades es poden transferir de manera neta. Els proveïdors que han invertit a fer aquest procés fluid guanyen un avantatge competitiu; els que no, queden exposats tant a risc legal com a una rotació accelerada de clients.
- La prohibició de les comissions de canvi a partir del gener de 2027 elimina el que històricament ha estat una barrera financera secundària. Les comissions de sortida de dades i de portabilitat que abans feien el canvi econòmicament poc atractiu quedaran prohibides. Els proveïdors la estratègia de retenció dels quals es recolzava en aquestes comissions han de passar a una retenció basada en valor abans d'aquest termini.
- L'obligació d'API oberta pot ser la més transcendent per als compradors empresarials. Els proveïdors han d'oferir interfícies ben documentades que permetin als clients extreure les seves dades programàticament sense dependre de l'equip de suport del proveïdor o d'eines propietàries. Per als compradors empresarials, la qualitat de l'API d'una plataforma ara és un criteri de compliment, no només una comoditat tècnica. Una API documentada per si sola no satisfà els requisits de portabilitat de la Data Act, però. El format, la completesa i la interoperabilitat de les dades exportades també importen, i els estàndards harmonitzats que definiran els requisits precisos encara s'estan desenvolupant.
La implicació comercial és clara: el compliment de la Data Act s'ha convertit en una qüestió de contractació. Els compradors empresarials comencen a avaluar els proveïdors no només per funcions i preu, sinó per l'obertura de la seva arquitectura de dades i la claredat del seu procés de sortida.
El compliment EU-first de Digital Samba
Digital Samba va ser dissenyada amb el compliment de la UE com a requisit inicial. Diversos aspectes d'aquesta arquitectura són directament rellevants per a les obligacions de la Data Act.
- Seu a la UE i residència de dades exclusivament a la UE. Digital Samba està constituïda a Espanya i tracta totes les dades dels clients exclusivament dins la UE, amb infraestructura de producció als Països Baixos i còpia de seguretat a Alemanya. Cap dada d'aplicació o sessió es desa fora de la UE. Això és principalment un benefici per al RGPD: elimina del tot la qüestió de transferència transfronterera del Capítol V per a dades personals. Pel que fa a la Data Act, les obligacions rellevants tracten sobre accés i portabilitat de dades, no sobre la ubicació d'emmagatzematge, així que la residència a la UE és un complement al compliment de la Data Act més que el seu fonament.
- API REST com a infraestructura de portabilitat integrada. L'API REST de Digital Samba proporciona accés programàtic a enregistraments, metadades de sessió, dades de participants, transcripcions i configuracions de sala en formats llegibles per màquina (MP4 per a vídeo, JSON per a dades estructurades). Això no és una funció d'exportació afegida recentment per satisfer requisits regulatoris; és l'arquitectura central a través de la qual els clients empresarials integren el vídeo als seus propis sistemes. La mateixa API que potencia les integracions amb CRMs, LMSs i plataformes d'arxiu de compliment és el mecanisme a través del qual s'exerceix la portabilitat de dades. Els clients poden programar exportacions automatitzades, activar descàrregues via esdeveniments webhook (com ara
recording.available) i incorporar dades a la seva pròpia infraestructura sense cap intervenció manual de l'equip de suport de Digital Samba. A mesura que els estàndards de format harmonitzats de la Comissió es finalitzin sota el Mandat M/614, Digital Samba s'assegurarà que els seus formats d'exportació s'alineen amb les especificacions adoptades. - Arquitectura d'API oberta. L'EU Data Act exigeix que els proveïdors ofereixin interfícies obertes i documentades que permetin la interoperabilitat amb altres plataformes. La documentació de l'API de Digital Samba és accessible públicament, té versionament i es manté com un actiu de producte de primer ordre. Els clients que avaluen els requisits de la Data Act poden auditar els endpoints disponibles, els formats de dades i les capacitats d'exportació abans de signar un contracte. Els requisits d'interoperabilitat reforçada que arriben el setembre de 2026 estan al nostre full de ruta de compliment.
- Salvaguardes contra l'accés de tercers països. Coherent amb l'Article 32, la constitució a la UE de Digital Samba i la infraestructura només a la UE s'acompanyen de mesures contractuals i tècniques per evitar l'accés governamental il·legal de tercers països a les dades dels clients. El nostre Acord de Tractament de Dades inclou disposicions sobre aquest punt, i els controls tècnics estan documentats al nostre Security Whitepaper. La residència a la UE és part d'aquest quadre, però el compliment de l'Article 32 descansa en la combinació completa de salvaguardes contractuals, arquitectura de xifratge i procediments documentats per respondre a peticions d'autoritats estrangeres.
- Acord de Tractament de Dades (DPA) disponible sota demanda. Digital Samba proporciona un Acord de Tractament de Dades conforme amb l'Article 28 del RGPD sota demanda, que cobreix l'enregistrament de vídeo i les dades de sessió com a activitats de tractament. El DPA aborda tots els subencarregats materials i confirma la residència de dades només a la UE. Per sol·licitar un DPA, contacta amb dpo@digitalsamba.com.
- Tractament d'IA autoallotjat en infraestructura europea. Les funcions de plataforma amb IA (transcripció, subtítols en directe i resums de reunions) s'executen en models autoallotjats desplegats per un proveïdor d'IA de propietat europea sobre infraestructura de propietat europea. Cap contingut de reunió s'envia a serveis d'IA externs ni a APIs de LLM. Això és rellevant per a la portabilitat de la Data Act perquè significa que les sortides generades per IA (transcripcions, resums) són plenament accessibles via l'API REST, sense dependència de termes externs o límits de freqüència del proveïdor.
Checklist de compliment de l'EU Data Act per a proveïdors de videoconferència
Fes servir aquesta checklist per avaluar la teva posició actual respecte a les obligacions centrals de la Data Act per a serveis de tractament de dades. Això no és orientació jurídica exhaustiva, així que consulta amb el teu equip legal per a una anàlisi de bretxa completa.
1. Avaluació de l'àmbit. Confirma si el teu servei de videoconferència compleix els criteris distintius d'un "servei de tractament de dades" sota la Llei: recursos configurables, provisió a demanda, escalabilitat. En cas de dubte, busca assessorament legal; el supòsit per defecte per a plataformes empresarials de vídeo és que probablement estan a l'àmbit.
2. Revisió de contractes. Audita tots els contractes amb clients (existents i de plantilla) per al compliment del requisit de preavís màxim de cancel·lació de dos mesos. Els contractes de durada determinada i les comissions de resolució anticipada proporcionades continuen sent admissibles, però les disposicions que efectivament impedeixen el canvi no. Els contractes signats abans del 12 de setembre de 2025 han de complir l'Article 13 (termes contractuals injustos) abans del 12 de setembre de 2027 si es donen les condicions per a l'aplicació diferida (específicament, contractes de durada indefinida o els que vencen no abans de l'11 de gener de 2034). Tingues també en compte que l'aplicació de les disposicions del Capítol VI sobre canvi de proveïdor als contractes anteriors a setembre de 2025 implica certa incertesa interpretativa; busca assessorament legal específic sobre la teva cartera de contractes existents.
3. Documentació del procediment de canvi. Publica una descripció clara i accessible dels teus procediments de canvi i portabilitat de dades. Això inclou els formats d'exportació disponibles, els passos tècnics implicats en una migració, les limitacions conegudes i el calendari per completar un canvi (la base del període de transició de 30 dies).
4. Auditoria de capacitat d'exportació de dades. Confirma que totes les categories clau de dades de client siguin exportables en formats llegibles per màquina: enregistraments de sessió (MP4), transcripcions de xat (JSON o text pla), metadades de sessió (JSON), transcripcions i resums generats per IA, exportacions de pissarra i fitxers compartits. Prova el procés d'extrem a extrem. Fes un seguiment del treball d'estàndards harmonitzats de la Comissió sota el Mandat M/614, ja que els requisits de format finalitzats hauran d'incorporar-se un cop adoptats.
5. Documentació de l'API. Assegura't que la teva API estigui documentada, accessible públicament i cobreixi tots els tipus de dades exportables. La Data Act exigeix interfícies obertes que permetin la interoperabilitat; APIs no documentades o mal mantingudes creen tant risc de compliment com fricció amb el client. Una API documentada és necessària, però també confirma que el que l'API exporta està en formats que un proveïdor de destinació o sistema on-premises pot ingerir realment sense reformatat extensiu.
6. Revisió de comissions de canvi. Identifica totes les comissions que actualment es cobren en relació amb l'exportació de dades, la migració o la resolució de contractes. Tingues en compte que el límit de només cost està en vigor des de l'11 de gener de 2024. Planifica l'eliminació total de comissions de canvi abans del 12 de gener de 2027. Revisa si les comissions actuals de resolució anticipada són proporcionades i estan clarament documentades als contractes amb clients.
7. Notificació de transparència. Prepara i publica una notificació de transparència que informi els clients potencials i existents sobre les teves pràctiques de tractament de dades, els tipus de dades tractades, les jurisdiccions d'emmagatzematge i els procediments de canvi disponibles. La Data Act exigeix que això es mantingui com un registre viu i actualitzat. Sota l'Article 32, aquesta notificació també hauria de cobrir la jurisdicció de la teva infraestructura de TIC i les mesures tècniques i organitzatives que has pres per evitar l'accés governamental il·legal de tercers països.
8. Alineació del DPA. Revisa el teu Acord de Tractament de Dades per assegurar-te que cobreix totes les activitats de tractament rellevants per a la Data Act, incloent enregistraments de sessió, sortides generades per IA i metadades, i que tots els subencarregats estan identificats amb les seves ubicacions de la UE (o cobertes per adequació) confirmades.
Preguntes freqüents
L'EU Data Act s'aplica a SaaS de videoconferència?
La majoria de plataformes empresarials de videoconferència probablement entren a l'àmbit. La FAQ de la Comissió Europea (pregunta 58a) aclareix que un servei SaaS entra dins la definició de "serveis de tractament de dades" si els clients contracten l'ús de recursos informàtics configurables, a demanda i escalables. Les plataformes que ofereixen sales configurables, infraestructura d'enregistrament, APIs programables i tractament de mèdia escalable encaixen amb aquest perfil. Un servei de streaming musical no. Dit això, l'orientació jurídica assenyala que la FAQ de la Comissió és d'alt nivell i deixa marge real per a la interpretació; com aplicaran les normes els reguladors nacionals a la pràctica encara s'està concretant. Si ets responsable de compliment o assessor legal, l'enfocament prudent és tractar la videoconferència empresarial com a dins l'àmbit i fer una anàlisi de bretxa en conseqüència.
Els meus clients de la plataforma de vídeo poden cancel·lar en qualsevol moment sota l'EU Data Act?
Efectivament, sí. L'Article 25 de la Data Act exigeix que els clients de serveis de tractament de dades dins l'àmbit puguin iniciar un canvi en qualsevol moment i activar la resolució del contracte amb no més de dos mesos de preavís, sigui quina sigui la durada original del contracte. Els contractes de durada determinada continuen sent legals, i s'admeten comissions de resolució anticipada proporcionades, però l'efecte pràctic és que els clients tenen un dret de fet a la rescissió per conveniència. Els proveïdors no poden fer servir termes contractuals per impedir o endarrerir injustificadament la capacitat d'un client per canviar.
Quines dades han de ser portables sota l'EU Data Act?
Les obligacions de portabilitat sota la Data Act s'estenen a totes les dades generades a través de l'ús del servei pel client, en formats llegibles per màquina. Per a plataformes de videoconferència, això inclou enregistraments de sessió, transcripcions de xat, metadades de participant i sessió, transcripcions i resums generats per IA, exportacions de pissarra i fitxers compartits. Les dades han de ser exportables sense necessitat d'eines propietàries i utilitzables per una plataforma receptora o infraestructura on-premises. Les metadades necessàries per interpretar i fer servir les dades també entren a l'àmbit.
En què es diferencia l'EU Data Act del RGPD?
Operen en àrees complementàries però diferents. El RGPD regula la protecció de dades personals: s'aplica a qualsevol tractament de dades sobre persones identificables. La Data Act regula els drets d'accés i ús compartit de dades, aplicant-se tant a dades personals com no personals i creant drets per a clients empresarials més que per a interessats individuals. El dret de portabilitat de l'Article 20 del RGPD cobreix dades personals proporcionades per un interessat, sota bases legals específiques. Les obligacions de portabilitat de la Data Act són requisits contractuals envers els clients com a organitzacions, cobrint una gamma molt més àmplia de tipus de dades i no limitada a dades personals. Quan ambdues s'apliquen, s'han de complir simultàniament.
Quan entren en vigor les prohibicions de comissions de canvi de l'EU Data Act?
L'eliminació gradual de comissions opera en dues fases. Des de l'11 de gener de 2024, quan el reglament va entrar en vigor, els proveïdors han estat sotmesos a un límit de només cost: les comissions de canvi no poden superar els costos reals de facilitar el canvi. Des del 12 de gener de 2027, totes les comissions de canvi i de sortida de dades queden prohibides. Els proveïdors no poden cobrar als clients res per exercir el seu dret a canviar, amb excepcions limitades només per a escenaris d'ús paral·lel. Els proveïdors amb models de preu que inclouen comissions de sortida o portabilitat haurien de tenir un pla clar per eliminar aquests càrrecs abans del termini de gener de 2027.
Vols parlar del compliment de l'EU Data Act per a la teva plataforma de vídeo?
Si estàs avaluant proveïdors de videoconferència respecte als requisits de l'EU Data Act, l'API REST, la residència de dades només a la UE i l'arquitectura d'API oberta de Digital Samba estan construïdes precisament per a aquest estàndard.
Sol·licita el nostre Acord de Tractament de Dades: dpo@digitalsamba.com
Parla amb el nostre equip per parlar dels requisits de compliment de la teva organització i veure la nostra API en acció.
Descarrega el nostre Security Whitepaper per als detalls tècnics complets d'arquitectura, incloent xifratge, residència de dades, documentació de subencarregats i les nostres mesures tècniques i organitzatives sota l'Article 32.
Share this
You May Also Like
These Related Stories
(3).png)
Què significa videoconferència accessible el 2026 i com aconseguir-la

Seguretat en videoconferències: riscos, bones pràctiques i com funciona el xifratge

