View through window to business people working

El Reglamento de Datos abre la puerta a un nuevo escenario para potenciar la economía digital

El pasado 27 de noviembre, el Consejo de la Unión Europea aprobó formalmente el Reglamento de Datos (por su denominación en inglés, Data Act) como parte de la Estrategia Europea de Datos (European Data Strategy) para la creación de un mercado único y la libre circulación de los datos dentro de la UE, en beneficio de la innovación y diversos sectores de la economía.

El Reglamento de Datos –cuya versión definitiva se espera que sea publicada en las próximas semanas en el Diario Oficial de la UE– es la segunda de las iniciativas propuestas por la UE relacionada con la estrategia europea, complementando así de forma horizontal el Reglamento de Gobernanza de Datos (Data Governance Act), aplicable desde el pasado 24 de septiembre de 2023.

En esta línea, si bien el Reglamento de Gobernanza de Datos crea:

  1. Un mecanismo para permitir la reutilización segura de ciertas categorías de datos del sector público sujetos a derechos de terceros y;
  2. Un marco para fomentar los servicios de intermediación de datos, destinado a proporcionar un entorno seguro de compartición de datos.

El Reglamento de Datos establece un marco armonizado que especifica quién tiene derecho a utilizar los datos relativos al uso, rendimiento o entorno, incluyendo metadatos, de productos conectados y servicios relacionados (como, por ejemplo, Internet of Things o IoT) y en qué condiciones.

Para ello, establece una serie de obligaciones destinadas a facilitar la puesta a disposición de los datos a otras empresas, consumidores y, en ciertos casos, a los organismos públicos y de la UE, para que puedan aprovechar el valor de los datos para generar nuevas oportunidades, sin menoscabar los derechos de los actores involucrados (incluyendo los derechos de propiedad intelectual y secretos comerciales) e impidiendo comportamientos abusivos.

Asimismo, el presente Reglamento pretende facilitar el intercambio de los servicios de tratamiento de datos (como por ejemplo, los servicios cloud), mejorar la interoperabilidad para el acceso, transferencia y utilización de los datos, y a su vez introducir salvaguardias contra las transferencias ilegales de datos no personales.

Nuevas solicitudes de acceso a datos

Como se ha avanzado, el Reglamento de Datos establece nuevas obligaciones relacionadas con la puesta a disposición de los datos generados por el uso de productos conectados y servicios relacionados, de forma que el usuario de los mismos (ya sea persona física o jurídica) pueda acceder oportunamente a los datos y utilizarlos, entre otros, compartiéndolos con terceros.

Estas obligaciones son aplicables a fabricantes de productos conectados comercializados en la UE y proveedores de servicios relacionados, incluyendo los asistentes virtuales, independientemente de su lugar de establecimiento.

Ejemplos de productos conectados de la Data Act:

  • Vehículos
  • Equipos sanitarios y de estilo de vida
  • Buques y aeronaves
  • Equipos domésticos y bienes de consumo
  • Productos médicos y sanitarios
  • Maquinaria agrícola o industrial

En esta línea, el Reglamento impone obligaciones de accesibilidad de los datos por defecto, que deben ser tenidas en cuenta por los fabricantes desde la fase de diseño; así como deberes de información, con un contenido mínimo que debe ser puesto a disposición del usuario en relación con los datos antes de celebrar un contrato de compraventa, alquiler o arrendamiento de un producto conectado.

Asimismo, el Reglamento establece los derechos y obligaciones que tienen aquellos quienes acceden a los datos, ya sea, entre otros, en calidad de usuarios o terceros destinatarios de los mismos, así como las condiciones para que la puesta a disposición de los datos sea justa, con un sistema de compensación y mediante el uso de medidas destinadas a impedir la utilización o divulgación no autorizada de los datos.

El Reglamento prevé la posibilidad de que los datos que obren en poder de las empresas, puedan ser puestos a disposición de organismos del sector público y de las instituciones de la UE en situaciones consideradas de necesidad excepcional.

El texto establece las circunstancias en las que estos casos pueden suceder y especifica las condiciones a las que el titular de los datos está sujeto para atender las solicitudes recibidas, tanto por este tipo de entidades públicas, como por otro tipo de usuarios (por ejemplo, entidades del sector privado).

La nueva normativa europea anticipa además situaciones en las que ciertas cláusulas impuestas unilateralmente relacionadas con el acceso a los datos y su utilización, entre otras cuestiones, pueden ser consideradas abusivas.

Precisamente, con el objetivo de asegurar que el acceso a los datos se lleva a cabo con las condiciones justas, razonables y no discriminatorias, así como de forma transparente, la normativa prevé:

  • La posibilidad de acudir, de forma voluntaria, a un órgano de resolución de litigios a elección de las partes –ya sea dentro o fuera de los Estados Miembros donde estén establecidas– y cuya decisión únicamente será vinculante previo acuerdo de las mismas;
  • El desarrollo, por parte de la Comisión, de unas cláusulas contractuales tipo no vinculantes para los contratos de intercambio de datos entre empresas, teniendo en cuenta el sector de actividad y las prácticas existentes con mecanismos voluntarios de intercambio de datos.

Intersección con la protección de los datos de carácter personal, la propiedad intelectual y los secretos comerciales

Varias de las cuestiones que emergen ante la aparición de nuevas obligaciones relacionadas con la puesta a disposición de los datos es el encaje con la protección de los datos que pueden llegar a ser considerados de carácter personal, la defensa de los activos protegibles mediante propiedad intelectual, así como el resguardo de la información que ofrece una ventaja competitiva a una compañía o que tiene la naturaleza de secreto comercial:

a) Protección de datos de carácter personal

Sin perjuicio de que los datos que pueden ser compartidos pueden involucrar datos no personales y datos personales, el Reglamento de Datos no exime del cumplimiento de los principios y obligaciones previstas en el Reglamento General de Protección de Datos (RGPD), y de forma particular, prevé:

  • Que el cumplimiento del Reglamento de Datos no constituye una base jurídica para que las empresas puedan recoger o generar datos personales;
  • Que los titulares de datos únicamente pueden poner a disposición de terceros los datos personales de los interesados previa petición del usuario que sea igualmente el interesado afectado;
  • Que, en los casos en los que el usuario no sea el interesado, el Reglamento no prevé ninguna base jurídica para que se proporcione acceso a los datos personales a un tercero.

En estos casos, la atención de solicitudes se puede llevar a cabo cuando exista una base jurídica habilitante o, por ejemplo, mediante el empleo de técnicas de anonimización.

b) Secretos comerciales

El Reglamento de Datos requiere que el titular de los datos o el poseedor de secretos comerciales identifique aquellos datos protegidos como secretos antes de su divulgación, por lo que las compañías deberán estar preparadas para identificar de forma previa los activos intangibles generados por los productos conectados y servicios relacionados considerados como secretos comerciales para preservar su protección.

En esta línea, se prevé que en los casos en que sea estrictamente necesaria la revelación de secretos a terceros, se puedan acordar las medidas técnicas y organizativas necesarias para preservar la confidencialidad de los datos compartidos, tales como cláusulas, acuerdos de confidencialidad, protocolos de acceso, normas técnicas y códigos de conducta.

En los casos en los que no se pueda llegar a un acuerdo, el Reglamento de Datos prevé la posibilidad de que el titular de datos pueda retener o, en su caso, suspender el intercambio de datos identificados como secretos comerciales, así como rechazar la solicitud de acceso a los mismos, justificándolo debidamente mediante comunicación por escrito sin demora indebida y, en caso de rechazo, comunicándolo a la autoridad competente.

c) Propiedad intelectual

Tal y como establece el Reglamento de Datos, los datos que deben ser puestos a disposición de un usuario o un destinatario no son todos aquellos relacionados en cualquier modo con el producto conectado y los servicios relacionados. En este sentido, el Reglamento excluye ciertos datos que pueden ser susceptibles de protección mediante propiedad intelectual, incluyendo:

  • La información que se infiere o deriva de tales datos que se obtiene fruto del resultado de una inversión adicional en la asignación de valores o conocimientos que aportan los datos mediante, por ejemplo, sistemas o algoritmos;
  • Los datos generados por los productos conectados cuando el usuario graba, transmite, muestra o reproduce contenidos, así como los propios contenidos;
  • Los datos obtenidos, generados o a los que se haya accedido desde el producto conectado, o que hayan sido transmitidos al producto conectado, con fines de almacenamiento o alguna operación de tratamiento en nombre de terceros que no sean el usuario (por ejemplo, en el caso de servidores o infraestructuras en la nube).

Otras novedades del Reglamento de Datos

Asimismo, el presente Reglamento pretende facilitar el intercambio de los servicios de tratamiento de datos (como por ejemplo, los servicios cloud), dotando a los clientes de la posibilidad de resolver el contrato tras el plazo máximo de preaviso y la tramitación con éxito del proceso de cambio, sin que el proveedor pueda imponer obstáculos de cualquier índole.

En esta línea, con el objetivo de evitar que los titulares de datos obstaculicen el ejercicio efectivo del derecho de los usuarios a acceder y utilizar los datos y compartirlos, el Reglamento aclara que el derecho sui generis de las bases de datos no resulta aplicable si los datos son obtenidos o generados por un producto conectado o servicio relacionado y entran en el ámbito de aplicación del Reglamento de Datos; por tanto, no interferirá con los derechos de las empresas y los consumidores a acceder a los datos y utilizarlos y a compartir los datos. Es de destacar la contribución de esta norma a la seguridad jurídica en los casos en que la protección del derecho sui generis no estaba clara anteriormente.

Además, la normativa europea tiene como objetivo mejorar la interoperabilidad de los datos para el uso paralelo de múltiples servicios de tratamiento de datos con funcionalidades complementarias e impone requisitos esenciales, relacionados con la puesta a disposición de los datos, para:

  1. Participantes en espacios de datos que ofrezcan datos o servicios de datos a otros participantes; y
  2. Proveedores de aplicaciones que empleen contratos inteligentes (smart contracts) o que desplieguen este tipo de contratos.

Por último, el Reglamento regula el acceso a datos no personales por parte de las administraciones públicas  de terceros países que no se encuentran en la UE, incluido cuando se soliciten los datos en el marco de un resolución o sentencia de un órgano jurisdiccional o por la decisión de autoridades administrativas de un tercer país.

Régimen sancionador

El texto legislativo ofrece la posibilidad a los Estados Miembros de crear una (o varias) autoridades locales competentes para garantizar la aplicación y la ejecución del Reglamento de Datos, o bien asignen las competencias relacionadas a autoridades ya existentes.

Con la misma flexibilidad, el Reglamento de Datos deja en manos de los Estados Miembros la determinación del régimen sancionador, pudiendo consistir en sanciones económicas o simples advertencias, amonestaciones u órdenes.

Entrada en vigor y aplicación

Sin perjuicio de que la entada en vigor del Reglamento de Datos es inminente, las entidades obligadas contarán con un período de gracia de, como mínimo, veinte (20) meses desde la fecha de entrada en vigor del Reglamento, con algunas excepciones en las que dicho plazo de amplía, tal y como describimos a continuación:

  • Entrada en vigor a los 20 días de su publicación en el Diario Oficial de la UE.
  • Aplicable a los 20 meses de la fecha de entrada en vigor del Reglamento.
  • La obligación de hacer accesibles los datos por defecto (Art. 3.1) será aplicable para productos conectados y servicios relacionados, introducidos en el mercado a los 32 meses de la fecha de entrada en vigor del Reglamento.
  • El Capítulo III, relativo a las obligaciones de los titulares de datos obligados a poner los datos a disposición en virtud del derecho de la UE, será aplicable en relación con las obligaciones de las normativas que entren en vigor a los 20 meses de la fecha de entrada en vigor del Reglamento.
  • El Capítulo IV, relativo a las cláusulas contractuales abusivas entre empresas en relación con el acceso a los datos y su utilización, será aplicable a los contratos celebrados a los 20 meses de la fecha de entrada en vigor del Reglamento.
  • No obstante, el mismo Capítulo IV será aplicable a los 44 meses a partir de la fecha de entrada en vigor del Reglamento, cuando los contratos celebrados a los 20 meses de la fecha de entrada en vigor o anteriores sean (a) de duración indefinida o (b) expiren al menos 10 años tras la fecha de entrada en vigor del Reglamento.

Conclusiones

El Reglamento de Datos (Data Act) genera nuevas obligaciones para la puesta a disposición de datos –ya sean personales o no personales– generados por objetos, máquinas o dispositivos inteligentes que hacen uso de redes de conexión, definidos como productos conectados y servicios relacionados (por ejemplo, aquellos vinculados al concepto Internet of Things).

Con un ámbito de aplicación amplio, serán muchas las compañías de diversos sectores que deberán hacer frente a nuevas obligaciones, condiciones y requisitos, incluyendo –además de los fabricantes de productos conectados y proveedores de servicios conectados–  los proveedores de servicios cloud, los participantes en espacios de datos o los proveedores de aplicaciones que empleen contratos inteligentes (smart contracts).

Esta nueva norma establece un marco armonizado que complementa asimismo la protección del consumidor (por ejemplo, reconociendo la naturaleza abusiva de ciertas cláusulas impuestas unilateralmente), a la vez que pretende promover el acceso y reutilización de la información generada por productos conectados para generar nuevas oportunidades y potenciar la innovación basada en la economía del dato.

Algunas cuestiones relacionadas con la protección de la propiedad intelectual o los secretos comerciales de las compañías son tratadas por el Reglamento con la intención de minimizar los riesgos a los que se encuentran expuestas las entidades obligadas a compartir información. No obstante, la indeterminación del régimen sancionador deja un interrogante abierto sobre el alcance de las sanciones a las que las entidades obligadas se pueden ver expuestas.

Monica Ortuno del Fraile: