Hogan Lovells 2024 Election Impact and Congressional Outlook Report
En Europa, las condiciones para compartir datos entre empresas son tan complicadas (en ocasiones) que el potencial de la industria no está tan explotado como podría. Esto conlleva una pérdida de competitividad de la industria europea en comparación con otras jurisdicciones donde compartir datos es mucho más sencillo. Con la Data Governance Act, que será de aplicación a partir del 23 de septiembre de 2023, la Unión Europea ha tratado de corregir esta situación a través de la creación de un marco jurídico para compartir datos. Una opción muy interesante de este reglamento es, precisamente, la utilización de lagos de datos o data pools.
La Data Governance Act o Ley de Gobernanza de Datos (DGA) tiene el objetivo de crear un mercado único de datos (personales o de otro tipo) en la UE, incluyendo una nueva estrategia para compartir datos a través de proveedores de servicios de intermediación de datos. Esta estrategia pretende reforzar la fiabilidad de los espacios comunes de datos europeos y permitir a las empresas interesadas compartir datos más fácilmente a través de estos intermediarios, que actuarán como "mercado de datos" o terceros de confianza. Este nuevo enfoque se basa en la neutralidad y la transparencia, al tiempo que deja a las empresas y a los particulares el control de sus propios datos.
Los lagos de datos o data pools son espacios centralizados en los que las empresas pueden compartir, obtener y/o mantener datos, lo que puede ser útil en el marco de relaciones comerciales en las que varias compañías alimentan el mismo data pool con sus propios datos (por ejemplo, para reducir costes), para que las mismas u otras empresas accedan y hagan uso de esta información dentro de unas condiciones predeterminadas.
Sin duda, este nuevo sistema ofrece muchas posibilidades para la industria, como el entrenamiento de algoritmos, el aprendizaje automático (machine learning), la optimización de procesos, el desarrollo de nuevos productos, las iniciativas de investigación y desarrollo, etc.
Los participantes en el data pool podrán decidir qué datos compartir, quién podrá acceder a ellos y en qué condiciones, teniendo en cuenta las normas y condiciones técnicas de los servicios de intermediación de datos (y otras normativas, como las leyes de competencia). La puesta en común de los datos podría ser multilateral para los participantes, o estar abierta a terceros que quieran acceder a esos datos, para "el uso común o individual de los mismos".
Uno de los objetivos de los lagos de datos en el marco de la DGA es promover la puesta en común de la información y la creación de espacios o mercados de datos europeos que beneficien a la industria y la investigación. Una opción para estos data pools es el acceso abierto y disponible para cualquier empresa interesada en igualdad de condiciones (por ejemplo, mediante la concesión de licencias).
El acceso a la información de los data pools no tiene por qué ser necesariamente gratuito. Las empresas participantes, a través de este mecanismo, podrán recibir "royalties" o "compensaciones" por su contribución, lo que supone un incentivo para la creación de espacios de datos.
Otros tipos de data pools que no están cubiertos por la DGA no están necesariamente prohibidos, pero no estarán sujetos a este nuevo marco legal (con sus ventajas e inconvenientes). Además, los data pools y los servicios de intermediación de datos son diferentes de los servicios en la nube o de análisis, de los softwares de intercambio de datos, de los navegadores web o de los servicios de correo electrónico, que no están bajo el paraguas de la DGA. Estos servicios sólo proporcionan herramientas técnicas para que las empresas compartan datos con otros y/o no tienen como objetivo establecer una relación comercial entre los titulares de los datos y los usuarios de los mismos.
¿Qué datos pueden compartirse en los data pools? Todos los datos que las empresas tienen derecho a comunicar a terceros, con algunas excepciones limitadas, como los contenidos protegidos por derechos de autor. En otras palabras, cualquier dato no personal puede alimentar los data pools siempre que no esté protegido por leyes sectoriales (por ejemplo, secretos comerciales, propiedad intelectual, normativa de competencia, etc.).
En cuanto a los datos personales, pueden compartirse siempre que esta puesta en común cumpla con el Reglamento General de Protección de Datos ("RGPD"). En este contexto, el uso de la anonimización o la seudonimización podría facilitar la puesta en común de los datos personales en los data pools cumpliendo con el RGPD. En cualquier caso, mientras los datos sigan siendo personales, los data pools deben permitir a los interesados ejercer sus derechos de protección de datos. La DGA no crea una nueva base legitimadora para tratar los datos, ni más facilidades que las ya existentes. En este sentido, puede que la nueva normativa se quede corta.
La información compartida en el data pool no debe ser enriquecida o modificada por el proveedor de servicios de intermediación. Debe ofrecerse tal y como la proporcionen los participantes, con alguna adaptación del formato para la armonización de los estándares o la mejora de la interoperabilidad.
Los data pools deben ser gestionados por una nueva parte interesada definida en la DGA: el proveedor de servicios de intermediación de datos. Este se define como:
"servicio cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo".
Esta nueva función de prestación de servicios de intermediación para la puesta en común de datos traerá consigo oportunidades de negocio para las empresas tecnológicas. Los servicios de intermediación de datos permiten la interconexión entre los participantes del pool con los usuarios de los datos, y deberán garantizar la seguridad de los datos y el cumplimiento de los principios de la DGA.
Los proveedores de servicios de intermediación de datos se enfrentan a un régimen con bastantes restricciones y deben cumplir unas condiciones estrictas. Deben ser neutrales y tratar a las empresas y entidades usuarias de los pools de manera justa y transparente, y garantizar que los precios no sean discriminatorios. En el marco de su actividad de intermediación de datos, no pueden estar sujetos a un conflicto de intereses, ni utilizar y procesar los datos del pool (ni siquiera los metadatos recogidos en el marco de la prestación de sus servicios) para fines distintos a los de ofrecer los datos a las empresas usuarias del data pool. No podrán utilizar los datos del pool para sus propios fines. Además, deben garantizar la seguridad de sus servicios y establecer procedimientos para evitar prácticas fraudulentas. Por último, el proveedor de servicios de intermediación de datos "deberá mantener un registro de toda la actividad de intermediación de datos".
Su actividad está sujeta a la notificación previa a la autoridad competente designada por cada Estado miembro. Dicha autoridad podría crearse per se a tal efecto, o ser gestionada por autoridades ya existentes, como la de protección de datos, la de competencia o cualquier otra autoridad pública. La autoridad adecuada deberá ser elegida antes del 24 de septiembre de 2023.
En cualquier caso, cuando varias empresas acuerdan la creación de un data pool, el modelo de gobernanza y cumplimiento es clave. Es esencial definir claramente desde el principio del proyecto los controles, quién los realiza y cómo se revisan y actualizan.
La DGA se aplicará a partir del 24 de septiembre de 2023, por lo que las empresas que quieran tomar la iniciativa de convertirse en intermediarios tienen que empezar a planificar sin demora, ya que las condiciones para informar de la actividad y los requisitos para convertirse en intermediario son bastante laboriosos.
Con todo, el hecho de que las normas para los data pools estén reconocidas en un reglamento europeo es un avance positivo. Proporciona seguridad jurídica a las empresas que desean suministrar u obtener datos y la certeza de que, cumpliendo esta regulación (y, en su caso, otras que podrían aplicarse como el RGPD o las leyes de competencia), este intercambio de datos es legal. Será interesante ver cómo interactúa esta regulación con otras que ya aparecen en el horizonte en determinados sectores, como el Reglamento para crear el Espacio Europeo de Datos Sanitarios.
Escrito por Juan Ramón Robles, Anais Ligot, Joanna Rozanska, Remy Schlich, Josephine Beaufour y Julia Sáenz.