Avís legal: Aquest article és només a títol informatiu i no constitueix assessorament jurídic. Si necessites orientació sobre el compliment de l'EU Data Act específica per a la teva organització, consulta amb assessors legals qualificats.
El 12 de setembre de 2025, el Reglament (UE) 2023/2854, l'EU Data Act, va passar a ser plenament aplicable a tota la Unió Europea. Si operes o contractes una plataforma de videoconferència a la UE, les normes sobre accés a dades, canvi de proveïdor i lock-in contractual van canviar significativament aquell dia.
Per a molts responsables de compliment i equips legals, l'EU Data Act ha estat al final de la cua reguladora, eclipsat pels cicles d'aplicació del RGPD i de la Llei d'IA de la UE. Aquest és un error que val la pena corregir ara. La Data Act introdueix obligacions que van molt més enllà de la privacitat: reestructura com els clients de SaaS poden accedir a les seves pròpies dades, moure's entre proveïdors i negociar termes contractuals. Entendre què ha canviat ja no és opcional ni per als usuaris ni per als proveïdors de videoconferència a la UE.
Aquest article repassa què exigeix realment l'EU Data Act, si les plataformes de videoconferència probablement entren a l'àmbit d'aplicació, quines dades han de ser portables i com l'arquitectura de Digital Samba s'alinea amb aquestes obligacions.
Continguts
La Data Act no és un reglament estret de privacitat. La seva ambició és estructural: obrir l'economia de dades de la UE eliminant les barreres tècniques i contractuals que han permès als proveïdors de plataformes acumular i retenir dades que els seus clients han generat però a les quals no poden accedir o moure fàcilment.
Per als proveïdors de serveis de tractament de dades, la categoria que cobreix el núvol i el SaaS, quatre obligacions tenen el pes pràctic més immediat.
En conjunt, aquestes obligacions reequilibren considerablement la relació entre proveïdors de SaaS i els seus clients empresarials. El compliment de la Data Act per a SaaS no és simplement una qüestió d'actualitzar avisos de privacitat; requereix revisar contractes, arquitectura tècnica i models de preus.
La resposta curta és: molt probablement sí, però una avaluació acurada de l'àmbit segueix sent necessària.
La Data Act s'aplica als proveïdors de "serveis de tractament de dades", definits àmpliament per cobrir serveis de núvol i edge computing que proporcionen accés a demanda a recursos informàtics escalables. El Reglament (UE) 2023/2854 fa referència explícita a IaaS, PaaS i SaaS com a categories dins d'aquesta definició.
Tanmateix, la FAQ actualitzada de la Data Act de la Comissió Europea ha introduït un matís important, destacat a l'anàlisi de Morrison Foerster del desembre de 2025. La pregunta 58a de la FAQ de la Comissió aclareix que les solucions SaaS entren dins la definició de serveis de tractament de dades només si compleixen tots els criteris distintius del cloud computing:
La Comissió ho il·lustra amb un exemple negatiu concret: una plataforma de streaming musical no entra a l'àmbit, perquè els usuaris no estan contractant accés a recursos informàtics escalables, sinó l'escolta de música. Qualsevol tractament de dades implicat és accessori a la finalitat principal del servei.
Les plataformes de videoconferència que ofereixen sales configurables, infraestructura d'enregistrament programable, APIs REST, gestió de sessions i tractament de mèdia escalable són una categoria fonamentalment diferent d'un servei de streaming. Els clients no estan simplement assistint a trucades. Estan desplegant una plataforma amb recursos configurables, gestionant actius de dades (enregistraments, transcripcions, dades de participants) i integrant-se via APIs amb els seus propis sistemes. Aquest és precisament el perfil d'un servei que es contracta per a l'ús de recursos informàtics, no d'un servei que els fa servir de manera accessòria.
El model de videoconferència embedded, on les organitzacions despleguen infraestructura de vídeo via API dins les seves pròpies aplicacions, reforça aquesta anàlisi. Quan un desenvolupador provisiona una sala de Digital Samba, configura el comportament d'enregistrament, estableix controls d'accés basats en rols i recupera dades de sessió via API REST, està interactuant amb infraestructura informàtica configurable i escalable. Aquesta és la definició d'un servei de tractament de dades sota la Llei.
Dit això, l'orientació jurídica de despatxos com Morrison Foerster, Fenwick i Greenberg Traurig assenyala que la FAQ de la Comissió és d'alt nivell i deixa marge per a la interpretació. Com aplicaran les normes els reguladors nacionals a la pràctica encara no està del tot fixat, i cap regulador no s'ha pronunciat específicament sobre videoconferència. L'enfocament prudent és tractar les plataformes empresarials de videoconferència com a dins l'àmbit i fer una anàlisi de bretxa amb assessorament legal.
L'EU Data Act exigeix que els clients puguin accedir i exportar dades en formats estructurats, d'ús comú i llegibles per màquina. Per a una plataforma de videoconferència, això cobreix un conjunt d'actius de dades més ampli del que molts proveïdors han posat històricament a disposició mitjançant eines d'autoservei.
Per separat, els requisits d'interoperabilitat reforçada per a serveis de núvol sota el Capítol VIII entren en vigor el 12 de setembre de 2026. Van més enllà de la base de setembre de 2025 i introdueixen obligacions addicionals sobre com els proveïdors han de donar suport als clients per aconseguir resultats comparables en un entorn de destinació. Els proveïdors haurien de tractar el compliment de 2025 com un mínim, no com la línia d'arribada.
L'EU Data Act i el RGPD cobreixen terrenys diferents, i la Data Act no substitueix ni elimina les teves obligacions de RGPD.
El RGPD regula la protecció de dades personals: com es recullen, tracten, emmagatzemen i transfereixen les dades sobre persones identificables. La seva disposició de portabilitat (Article 20) dóna als interessats el dret a rebre les seves dades personals en un format llegible per màquina, però només les dades que la persona mateixa va proporcionar, i només quan el tractament es basa en consentiment o contracte.
L'EU Data Act s'aplica tant a dades personals com no personals i crea drets per als clients com a organitzacions, no només per a interessats individuals. Estén les obligacions de portabilitat a dades de sessió generades per màquina, metadades i dades d'ús no personals que l'Article 20 del RGPD no cobriria.
A la pràctica, els marcs són complementaris. Quan una plataforma de vídeo tracta dades personals (noms de participants, correus electrònics, dades de veu utilitzades per a transcripció), el RGPD ho regula. Quan la mateixa plataforma genera enregistraments de sessió, metadades i registres d'ús, la Data Act hi afegeix drets d'accés i portabilitat al damunt.
La diferència pràctica clau: les peticions de l'Article 20 del RGPD venen de persones individuals i es gestionen mitjançant el procés de drets dels interessats. La portabilitat sota la Data Act és una obligació contractual i tècnica envers el teu client com a empresa, així que s'ha d'incorporar a l'arquitectura de la plataforma i als contractes des de l'inici.
Durant molts anys, els contractes SaaS plurianuals amb llargs períodes de preavís i costos elevats de sortida de dades funcionaven com un mecanisme de retenció fiable. Els clients podien estar insatisfets amb una plataforma però enfrontar-se a una barrera de sortida realista de dotze mesos de preavís, costos significatius de migració i un procés tècnic d'exportació que requeria mesos d'esforç d'enginyeria.
L'EU Data Act apunta directament a aquest model.
La implicació comercial és clara: el compliment de la Data Act s'ha convertit en una qüestió de contractació. Els compradors empresarials comencen a avaluar els proveïdors no només per funcions i preu, sinó per l'obertura de la seva arquitectura de dades i la claredat del seu procés de sortida.
Digital Samba va ser dissenyada amb el compliment de la UE com a requisit inicial. Diversos aspectes d'aquesta arquitectura són directament rellevants per a les obligacions de la Data Act.
recording.available) i incorporar dades a la seva pròpia infraestructura sense cap intervenció manual de l'equip de suport de Digital Samba. A mesura que els estàndards de format harmonitzats de la Comissió es finalitzin sota el Mandat M/614, Digital Samba s'assegurarà que els seus formats d'exportació s'alineen amb les especificacions adoptades.Fes servir aquesta checklist per avaluar la teva posició actual respecte a les obligacions centrals de la Data Act per a serveis de tractament de dades. Això no és orientació jurídica exhaustiva, així que consulta amb el teu equip legal per a una anàlisi de bretxa completa.
1. Avaluació de l'àmbit. Confirma si el teu servei de videoconferència compleix els criteris distintius d'un "servei de tractament de dades" sota la Llei: recursos configurables, provisió a demanda, escalabilitat. En cas de dubte, busca assessorament legal; el supòsit per defecte per a plataformes empresarials de vídeo és que probablement estan a l'àmbit.
2. Revisió de contractes. Audita tots els contractes amb clients (existents i de plantilla) per al compliment del requisit de preavís màxim de cancel·lació de dos mesos. Els contractes de durada determinada i les comissions de resolució anticipada proporcionades continuen sent admissibles, però les disposicions que efectivament impedeixen el canvi no. Els contractes signats abans del 12 de setembre de 2025 han de complir l'Article 13 (termes contractuals injustos) abans del 12 de setembre de 2027 si es donen les condicions per a l'aplicació diferida (específicament, contractes de durada indefinida o els que vencen no abans de l'11 de gener de 2034). Tingues també en compte que l'aplicació de les disposicions del Capítol VI sobre canvi de proveïdor als contractes anteriors a setembre de 2025 implica certa incertesa interpretativa; busca assessorament legal específic sobre la teva cartera de contractes existents.
3. Documentació del procediment de canvi. Publica una descripció clara i accessible dels teus procediments de canvi i portabilitat de dades. Això inclou els formats d'exportació disponibles, els passos tècnics implicats en una migració, les limitacions conegudes i el calendari per completar un canvi (la base del període de transició de 30 dies).
4. Auditoria de capacitat d'exportació de dades. Confirma que totes les categories clau de dades de client siguin exportables en formats llegibles per màquina: enregistraments de sessió (MP4), transcripcions de xat (JSON o text pla), metadades de sessió (JSON), transcripcions i resums generats per IA, exportacions de pissarra i fitxers compartits. Prova el procés d'extrem a extrem. Fes un seguiment del treball d'estàndards harmonitzats de la Comissió sota el Mandat M/614, ja que els requisits de format finalitzats hauran d'incorporar-se un cop adoptats.
5. Documentació de l'API. Assegura't que la teva API estigui documentada, accessible públicament i cobreixi tots els tipus de dades exportables. La Data Act exigeix interfícies obertes que permetin la interoperabilitat; APIs no documentades o mal mantingudes creen tant risc de compliment com fricció amb el client. Una API documentada és necessària, però també confirma que el que l'API exporta està en formats que un proveïdor de destinació o sistema on-premises pot ingerir realment sense reformatat extensiu.
6. Revisió de comissions de canvi. Identifica totes les comissions que actualment es cobren en relació amb l'exportació de dades, la migració o la resolució de contractes. Tingues en compte que el límit de només cost està en vigor des de l'11 de gener de 2024. Planifica l'eliminació total de comissions de canvi abans del 12 de gener de 2027. Revisa si les comissions actuals de resolució anticipada són proporcionades i estan clarament documentades als contractes amb clients.
7. Notificació de transparència. Prepara i publica una notificació de transparència que informi els clients potencials i existents sobre les teves pràctiques de tractament de dades, els tipus de dades tractades, les jurisdiccions d'emmagatzematge i els procediments de canvi disponibles. La Data Act exigeix que això es mantingui com un registre viu i actualitzat. Sota l'Article 32, aquesta notificació també hauria de cobrir la jurisdicció de la teva infraestructura de TIC i les mesures tècniques i organitzatives que has pres per evitar l'accés governamental il·legal de tercers països.
8. Alineació del DPA. Revisa el teu Acord de Tractament de Dades per assegurar-te que cobreix totes les activitats de tractament rellevants per a la Data Act, incloent enregistraments de sessió, sortides generades per IA i metadades, i que tots els subencarregats estan identificats amb les seves ubicacions de la UE (o cobertes per adequació) confirmades.
La majoria de plataformes empresarials de videoconferència probablement entren a l'àmbit. La FAQ de la Comissió Europea (pregunta 58a) aclareix que un servei SaaS entra dins la definició de "serveis de tractament de dades" si els clients contracten l'ús de recursos informàtics configurables, a demanda i escalables. Les plataformes que ofereixen sales configurables, infraestructura d'enregistrament, APIs programables i tractament de mèdia escalable encaixen amb aquest perfil. Un servei de streaming musical no. Dit això, l'orientació jurídica assenyala que la FAQ de la Comissió és d'alt nivell i deixa marge real per a la interpretació; com aplicaran les normes els reguladors nacionals a la pràctica encara s'està concretant. Si ets responsable de compliment o assessor legal, l'enfocament prudent és tractar la videoconferència empresarial com a dins l'àmbit i fer una anàlisi de bretxa en conseqüència.
Efectivament, sí. L'Article 25 de la Data Act exigeix que els clients de serveis de tractament de dades dins l'àmbit puguin iniciar un canvi en qualsevol moment i activar la resolució del contracte amb no més de dos mesos de preavís, sigui quina sigui la durada original del contracte. Els contractes de durada determinada continuen sent legals, i s'admeten comissions de resolució anticipada proporcionades, però l'efecte pràctic és que els clients tenen un dret de fet a la rescissió per conveniència. Els proveïdors no poden fer servir termes contractuals per impedir o endarrerir injustificadament la capacitat d'un client per canviar.
Les obligacions de portabilitat sota la Data Act s'estenen a totes les dades generades a través de l'ús del servei pel client, en formats llegibles per màquina. Per a plataformes de videoconferència, això inclou enregistraments de sessió, transcripcions de xat, metadades de participant i sessió, transcripcions i resums generats per IA, exportacions de pissarra i fitxers compartits. Les dades han de ser exportables sense necessitat d'eines propietàries i utilitzables per una plataforma receptora o infraestructura on-premises. Les metadades necessàries per interpretar i fer servir les dades també entren a l'àmbit.
Operen en àrees complementàries però diferents. El RGPD regula la protecció de dades personals: s'aplica a qualsevol tractament de dades sobre persones identificables. La Data Act regula els drets d'accés i ús compartit de dades, aplicant-se tant a dades personals com no personals i creant drets per a clients empresarials més que per a interessats individuals. El dret de portabilitat de l'Article 20 del RGPD cobreix dades personals proporcionades per un interessat, sota bases legals específiques. Les obligacions de portabilitat de la Data Act són requisits contractuals envers els clients com a organitzacions, cobrint una gamma molt més àmplia de tipus de dades i no limitada a dades personals. Quan ambdues s'apliquen, s'han de complir simultàniament.
L'eliminació gradual de comissions opera en dues fases. Des de l'11 de gener de 2024, quan el reglament va entrar en vigor, els proveïdors han estat sotmesos a un límit de només cost: les comissions de canvi no poden superar els costos reals de facilitar el canvi. Des del 12 de gener de 2027, totes les comissions de canvi i de sortida de dades queden prohibides. Els proveïdors no poden cobrar als clients res per exercir el seu dret a canviar, amb excepcions limitades només per a escenaris d'ús paral·lel. Els proveïdors amb models de preu que inclouen comissions de sortida o portabilitat haurien de tenir un pla clar per eliminar aquests càrrecs abans del termini de gener de 2027.
Si estàs avaluant proveïdors de videoconferència respecte als requisits de l'EU Data Act, l'API REST, la residència de dades només a la UE i l'arquitectura d'API oberta de Digital Samba estan construïdes precisament per a aquest estàndard.
Sol·licita el nostre Acord de Tractament de Dades: dpo@digitalsamba.com
Parla amb el nostre equip per parlar dels requisits de compliment de la teva organització i veure la nostra API en acció.
Descarrega el nostre Security Whitepaper per als detalls tècnics complets d'arquitectura, incloent xifratge, residència de dades, documentació de subencarregats i les nostres mesures tècniques i organitzatives sota l'Article 32.