Hogan Lovells 2024 Election Impact and Congressional Outlook Report
La propuesta del Data Act tiene por objeto garantizar la equidad en el acceso a los datos y propone nuevas normas sobre quién puede utilizar y acceder a los datos generados en la UE en todos los sectores económicos. Crea la obligación de que los fabricantes y desarrolladores compartan los datos con sus usuarios y otras empresas, define y prohíbe las cláusulas abusivas en los acuerdos de intercambio de datos, crea la obligación de que las empresas compartan los datos con los organismos del sector público en casos de emergencia y regula el derecho de los usuarios a cambiar de servicios de tratamiento de datos.
En este primer post de la serie sobre la Data Act, abordaremos la obligación de hacer accesibles los datos de empresa a consumidor y de empresa a empresa que creará la Data Act. Es importante entender cuáles son los datos cubiertos por esta obligación de accesibilidad de datos, el alcance y las restricciones para el intercambio, cómo funciona si hay datos personales involucrados y qué derechos tienen los titulares de los datos para evitar el abuso.
La propuesta de Data Act o Ley de Datos (disponible aquí) es un paso necesario y fundamental en el camino de la transformación digital de los Estados miembros de la UE. Junto con la Data Governance Act (disponible aquí), ambos reglamentos establecen el marco de un conjunto normalizado de normas europeas sobre el acceso y el uso justos de los datos.
El volumen de datos generados en la UE no deja de crecer. En 2018 se generaron 33 zettabytes de datos y, para 2025, la Comisión Europea prevé que este volumen de datos alcance los 175 zettabytes. En la actualidad, el 80% de estos datos industriales nunca se utiliza. Con la puesta en marcha de la Data Act, la UE pretende que haya más datos disponibles para su reutilización, al tiempo que aborda las cuestiones jurídicas, económicas y técnicas que dificultan el uso de estos datos en la actualidad.
Uno de los objetivos de la Propuesta de Data Act es facilitar el acceso y el uso de los datos (tanto personales como no personales) que los consumidores y las empresas generan a través del uso de dispositivos conectados, como los productos del Internet de las Cosas (IoT), y sus servicios relacionados. El acceso a estos datos les permitirá utilizarlos para los fines que deseen, así como compartirlos con terceros. Esto fomentará los incentivos para invertir en formas de generar valor a través de los datos. En la actualidad, los usuarios no pueden obtener los datos necesarios para producir métricas, hacer uso de proveedores de servicios de reparación (u otros servicios diferentes), o incluso venderlos u obtener otros beneficios, y las empresas no pueden lanzar servicios innovadores, que en muchas ocasiones serán más eficientes o ajustados a las necesidades reales.
La Comisión Europea da algunos ejemplos de cómo podría ser este acceso a los datos y su uso:
La disponibilidad de datos sobre el funcionamiento de los equipos industriales permitirá a las fábricas, granjas o empresas de construcción optimizar los ciclos operativos, las líneas de producción y la gestión de la cadena de suministro, incluso basándose en el aprendizaje automático;
En la agricultura de precisión, el análisis de los datos de los equipos conectados mediante IoT puede ayudar a los agricultores a analizar los datos en tiempo real, como el clima, la temperatura, la humedad o las señales de GPS, y proporcionar información sobre cómo optimizar y aumentar el rendimiento, mejorar la planificación de las explotaciones y tomar decisiones más inteligentes sobre el nivel de recursos necesarios;
Los motores a reacción, llenos de miles de sensores, recogen y transmiten datos para garantizar un funcionamiento eficaz;
Los parques eólicos utilizan datos industriales para reducir el impacto visual y optimizar la energía eólica.
Además, la lista de casos en los que los productos recogen datos de sus usuarios es interminable: desde asistentes virtuales, dispositivos sanitarios, equipos industriales, vehículos, aparatos domésticos, bienes de consumo, redes telefónicas, redes de televisión por cable, redes por satélite y redes de comunicación de campo cercano... La Data Act es transversal a todos los sectores empresariales de la economía de la UE.
La propuesta de Data Act contiene diferentes obligaciones y disposiciones que son muy relevantes para el negocio de los datos en la UE. En esta primera parte de la serie sobre la Data Act nos centraremos en esta obligación de hacer accesibles los datos.
Los usuarios pueden solicitar los datos que se generan o recogen, mediante sus componentes, en relación con su rendimiento, uso o entorno (por ejemplo, dispositivos IoT). Los ejemplos podrían ser dispositivos wearables de salud, maquinaria industrial, etc. Este derecho también abarca los productos o servicios que son auxiliares o están conectados con un servicio de manera que sin él el servicio no podría realizar sus funciones. Por ejemplo, este podría ser el caso de un cargador inteligente que proporciona datos al fabricante aparte del producto "principal" que fue adquirido por el usuario.
Sin embargo, los productos diseñados principalmente para mostrar o reproducir contenidos, o para grabarlos y transmitirlos, no entran en el ámbito de aplicación de la Data Act. Por ejemplo, los ordenadores personales, los servidores, las tabletas y los teléfonos inteligentes, las cámaras, las cámaras web, los sistemas de grabación de sonido y los escáneres de texto no están cubiertos por esta obligación de hacer accesibles los datos.
La obligación de hacer accesibles los datos incluye los datos:
i. generados como subproducto de la acción del usuario (como los datos de diagnóstico);
ii. generados sin ninguna acción por parte del usuario, por ejemplo, datos relativos al entorno (como cuando el producto está en "modo de espera" o standby),
iii. e incluso los datos registrados durante los periodos en los que el producto está apagado (por ejemplo, si esto ocurre con los dispositivos domésticos inteligentes).
Sin embargo, sólo los datos en la forma y el formato generados por el producto están en el ámbito de este derecho, por lo que los datos resultantes de cualquier proceso de software que calcule datos derivados no están sujetos a la obligación de hacerlos accesibles. Lo mismo ocurre con los datos producidos que no están relacionados con el uso de un producto (podría ser el caso de los datos recabados para mejorar la conexión del dispositivo).
En virtud de esta obligación de hacer accesibles los datos, cualquier usuario (particular o empresa) tiene derecho a acceder a los datos generados por el uso de productos o servicios del que sea usuario o a hacerlos accesibles a cualquier tercero (en este caso sí se puede cobrar una tasa, como se explica más adelante).
Este acceso puede solicitarse al fabricante; o al diseñador de un producto o servicio relacionado que genere datos; o al correspondiente titular de derechos del servicio (en términos generales, el titular de los datos).
Es preciso tener en cuenta que hay algunas excepciones cuando el titular de los datos es una PYME o cuando el usuario es una plataforma en línea muy grande.
Los datos deberán ser compartidos con el usuario o el tercero (autorizado por el usuario), de forma rápida, gratuita para el usuario (no para el tercero, en su caso), de la misma calidad que está disponible para el titular de los datos y, en su caso, de forma continua y en tiempo real y a través de medios electrónicos. Los datos facilitados deben ser tan exactos, completos, fiables, pertinentes y actualizados como los datos a los que el propio titular de datos pueda acceder o tenga derecho a acceder.
El usuario/tercero debe ser libre de utilizar los datos para cualquier fin lícito. Deben poder acceder a los datos generados por los productos o servicios digitales que ya han comprado o contratado, lo que les permitirá beneficiarse de dichos datos. Por consiguiente, tanto los fabricantes/empresas como los consumidores/particulares podrán beneficiarse de los datos generados por dichos productos o servicios digitales (cada uno según le permitan sus propios derechos).
Por ejemplo, el propio Data Act incluye como posibles finalidades del uso de los datos el proporcionar los datos a un tercero que ofrezca un servicio posventa, como la reparación y el mantenimiento que pueda competir con un servicio prestado por el titular de los datos. También existen servicios auxiliares al prestado por el titular de los datos que pueden prestarse utilizando la información objeto del derecho de acceso.
Sin embargo, el usuario/tercero no puede utilizar los datos para desarrollar un producto que compita con el producto del que proceden los datos a los que se ha accedido. En los casos en que el destinatario no sea el usuario, sino un tercero, éste no podrá utilizar los datos para la elaboración de perfiles ni poner los datos que reciba a disposición de otro tercero (salvo que sea necesario para prestar el servicio solicitado por el usuario).
Para que la obligación de hacer accesibles los datos sea efectiva, existen dos importantes obligaciones que los fabricantes deberán cumplir:
Los productos (y los servicios relacionados) se diseñarán y fabricarán de tal manera que los datos generados por su uso sean, por defecto, fácil y directamente accesibles para el usuario. Entre otras posibilidades, esto podría ser la creación de una plataforma secundaria creada específicamente para la accesibilidad de los datos de los usuarios en la que los datos se transmitirían a través de una API o la posibilidad de descargar los datos directamente desde el sitio web.
Antes de celebrar un contrato, se facilitará al usuario cierta información obligatoria y completa, por ejemplo de:
(a) la naturaleza y el volumen de los datos que probablemente se generen por el uso del producto o servicio relacionado;
(b) si es probable que los datos se generen de forma continua y en tiempo real;
(c) cómo puede acceder el usuario a esos datos;
(d) si el fabricante/proveedor de servicios tiene la intención de utilizar los datos él mismo o permitir que un tercero los utilice y, en caso afirmativo, los fines para los que se utilizarán dichos datos;
(e) si el vendedor, arrendatario o arrendador es el titular de los datos y, en caso contrario, la identidad del titular de los datos.
Si el usuario es un interesado (persona física cuyos datos se tratan), los titulares de los datos deben estar obligados a facilitarle el acceso a sus datos y a ponerlos a disposición de terceros de su elección. La propuesta de Data Act complementa el derecho de portabilidad previsto en el Reglamento General de Protección de Datos (RGPD) en la medida en que abarca: i) no solo los datos personales, sino también los datos no personales; ii) los datos que se facilitan de forma activa y los datos observados de forma pasiva; y iii) cualquier dato con independencia de la base jurídica del tratamiento por la que se hayan recogido y tratado los datos personales.
Cuando el usuario de un dispositivo o servicio no es un interesado, sino una empresa, ésta se consideraría responsable del tratamiento. En este caso hay tres partes implicadas:
El interesado (persona física cuyos datos se tratan);
El usuario que quiere acceder a los datos (o que da instrucciones al titular de los datos para que éstos sean accesibles a un tercer destinatario);
El titular de los datos (el fabricante o diseñador del producto).
En estos casos, antes de solicitar los datos personales generados por el uso de un producto o servicio relacionado, se requiere que el solicitante (es decir, el usuario) tenga una base legal para el tratamiento de los datos según el GDPR. Esto podría ser el consentimiento del interesado o la existencia de un interés legítimo. Además, el solicitante debe asegurarse de que el interesado esté debidamente informado de los fines especificados, explícitos y legítimos del tratamiento de estos datos, y de cómo el interesado puede ejercer sus derechos.
Cuando el titular de los datos y el usuario sean corresponsables del tratamiento en el sentido del artículo 26 del RGPD, deberán determinar, de forma transparente y mediante un acuerdo entre ellos, sus respectivas responsabilidades en el cumplimiento de dicho Reglamento.
Además, el acceso a cualquier dato almacenado y accedido desde un equipo terminal está sujeto a la Directiva e-Privacy y requiere el consentimiento del abonado o usuario en el sentido de dicha Directiva.
Aunque el derecho de acceso es amplio, no es ilimitado. Los titulares de los datos todavía tienen cierto margen de maniobra si tienen razones legales para no compartir los datos con los usuarios, por ejemplo:
las partes deben seguir siendo libres de negociar las condiciones precisas de la puesta a disposición de los datos en sus contratos, con algunas excepciones (muy relevantes) para evitar prácticas desleales (lo abordaremos con más detalle en la segunda publicación de esta serie sobre la Data Act);
los secretos comerciales deberán estar debidamente protegidos en las condiciones contractuales entre el titular de los datos y el usuario/tercero;
los titulares de los datos pueden pedir una compensación a los terceros receptores (en el caso de las PYME, la compensación se limitará a los costes incurridos y a la inversión necesaria para poner los datos a disposición); y
Los usuarios y los terceros a los que se han facilitado los datos a petición del usuario sólo deben procesar los datos para los fines acordados con el usuario y tienen importantes restricciones. Como se ha explicado anteriormente, no pueden utilizar los datos para desarrollar un producto que compita con el producto del que proceden los datos a los que se ha accedido. El titular de los datos puede aplicar medidas de protección (por ejemplo, contratos inteligentes o smart contracts) para garantizar que el usuario/tercero cumpla con las condiciones contractuales, etc.
En el próximo post abordaremos las restricciones a la obligación de hacer accesibles los datos acuerdos entre los titulares de los datos y los usuarios/terceros.
La propuesta de la Data Act contiene varias restricciones para el uso de los datos generados por el producto o servicio, en al menos dos sentidos:
El titular de los datos sólo utilizará los datos no personales generados por el uso de un producto o servicio relacionado sobre la base de un acuerdo contractual con el usuario;
El titular de los datos no utilizará los datos generados por el uso del producto para obtener información sobre la situación económica, los activos y los métodos de producción del usuario/tercero que pueda perjudicar la posición comercial del usuario en los mercados en los que opera el usuario/tercero.
Recomendamos seguir el proceso legislativo para estar al tanto de los cambios relevantes y llevar a cabo acciones de lobby si es conveniente.
Las empresas deben explorar las oportunidades de negocio y/o los riesgos para sus planes estratégicos a medio plazo (probablemente en menos de 2 años). Una vez aprobada, sólo hay un periodo previsto de 12 meses antes de la aplicación directa de la Data Act.
Esté atento a nuestras publicaciones de Engage, ya que publicaremos más posts en relación con la Data Act.
Escrito por Gonzalo F. Gállego, Juan Ramón Robles y Joanna Rozanska.