Los datos son un componente fundamental de la economía digital y un recurso esencial para garantizar las transiciones ecológica y digital. En los últimos años, el volumen de datos generados por los seres humanos y las máquinas ha aumentado exponencialmente. Sin embargo, la mayoría de los datos no se utilizan, o su valor se concentra en manos de pocas grandes empresas.
Regular el acceso y el uso de los datos es un requisito previo fundamental para aprovechar las oportunidades que ofrece la era digital en la que vivimos. En este sentido, dentro de la estrategia de datos impulsada por la Unión Europea[i], la Ley de Datos o “Data Act” es un pilar clave, pues, en palabras del Parlamento Europeo, “contribuye a la creación de un marco de gobernanza intersectorial para el acceso a los datos y su utilización al legislar sobre cuestiones que afectan a las relaciones entre los agentes de la economía de los datos, con el fin de ofrecer incentivos para el intercambio horizontal de datos entre sectores”.
Esta legislación fue propuesta por primera vez por la Comisión Europea en febrero de 2022 y, en síntesis, tiene como objetivo regular el uso y acceso a los datos generados a través de dispositivos conectados (Internet of things, IoT), por ejemplo, los teléfonos inteligentes, y también impone requisitos generales a los proveedores de computación en la nube con el fin de facilitar el cambio entre proveedores.
Según esta norma, a los usuarios individuales y empresariales de dispositivos conectados se les concederá derechos mejorados para acceder y transferir a un tercero los datos que se han generado a través del uso del dispositivo conectado.
Para dar cabida a estos nuevos derechos, los fabricantes de dispositivos conectados deben garantizar que los dispositivos y los servicios relacionados estén diseñados para facilitar el ejercicio de estos derechos.
Además, en reconocimiento de la importancia de los datos para la formulación de políticas y otros fines de interés público, la Ley de Datos exige, en ciertos casos, el intercambio de datos del sector privado con organismos e instituciones del sector público en la UE, por ejemplo, cuando existe una necesidad excepcional (por ejemplo, una emergencia de salud pública) o para investigación.
Pero, a diferencia de las leyes de protección de datos de la UE, la Ley de Datos se refiere tanto a datos personales como a datos no personales, por lo que a lo largo del texto propuesto encontramos múltiples referencias al Reglamento General Europeo de Protección de datos 2016/679 y cómo este se armoniza en la práctica con la nueva Ley de datos o Data Act.
El Considerando 7, por ejemplo, destaca que “ninguna disposición del presente Reglamento debe aplicarse o interpretarse de manera que se reduzca o limite el derecho a la protección de los datos personales o el derecho a la intimidad y la confidencialidad de las comunicaciones”. Esto tiene una consecuencia importante, ya que, en el caso de conjuntos de datos mixtos que comprenden tanto datos personales como no personales, el RGPD será plenamente aplicable.
El Considerando 8 hace referencia a los principios de minimización y protección de datos desde el diseño y por defecto, y la necesidad de aplicar medidas técnicas y organizativas como la seudonimización y el cifrado para tratar de obtener información valiosa sin que sea necesaria la transmisión entre las partes ni la copia superflua de los datos brutos o estructurados.
O el Considerando 23, que hace distinción entre las obligaciones de información sobre cómo acceder a los datos generados y su distinción con las obligaciones de información que imponen los artículos 13 y 14 del RGPD.
Sin embargo, aplicar estos nuevos términos definidos en la norma a los términos del RGPD no es sencillo.
Por ejemplo, de acuerdo con la Ley de datos, el “titular de los datos” es una persona física o jurídica que tiene el derecho o la obligación de poner a disposición determinados datos, o que, en el caso de los datos no personales y a través del control del diseño técnico del producto o servicios relacionados, tiene la capacidad de poner a disposición determinados datos, concepto que difiere, en esencia, del concepto de interesado o “titular” definido en el RGPD.
Y los usuarios, por otro lado, se definen como entidades que poseen o tienen derechos contractuales temporales sobre un producto conectado o que reciben servicios relacionados. La Ley establece disposiciones para los usuarios, sean interesados o no. En los casos en que los usuarios no tienen la condición de interesados, de acuerdo con el RGPD, el intercambio entre los titulares de datos y estos usuarios requeriría una base legal válida del RGPD para poder llevar cabo dicha comunicación.
Esto también plantea problemas prácticos a la hora de definir correctamente las figuras que intervienen en el tratamiento, considerando quién determina efectivamente los fines y los medios del tratamiento.
En este sentido, el Considerando 24 establece que en la medida en que se traten datos personales, el titular de datos debe ser responsable del tratamiento con arreglo al RGPD, pero en algunos casos, los “titulares” y “usuarios” de los datos pueden actuar conjuntamente como responsables del tratamiento, y también tendrían esta condición los terceros que reciben los datos para sus propios fines.
Por otro lado, tanto el RGPD como la Ley de Datos incluyen obligaciones sobre la portabilidad de los datos. La Ley de Datos sigue la estructura básica del RGPD e incluye tanto la obligación de los titulares de datos de ponerlos a disposición de los usuarios en un formato de uso común y legible por máquina, como la opción de compartir datos con un tercero a petición del interesado.
La Ley de Datos también exige que los diseñadores de productos conectados implementen buenas prácticas de gestión de datos. El artículo 3 establece que los productos se diseñarán y fabricarán, y los servicios relacionados se prestarán, de manera tal que los datos generados por su uso sean, por defecto, accesibles para el usuario con facilidad, con seguridad, y cuando sea pertinente y proceda, directamente, lo que conlleva de nuevo la necesidad de aplicar políticas de privacidad desde el diseño y por defecto, si bien habrá que extremar las precauciones de no facilitar el acceso a personas no autorizadas, pues podría suponer una brecha de seguridad en los términos recogidos por el RGPD.
Además, la gobernanza de datos también se ve subrayada indirectamente por las obligaciones de información introducidas en el artículo 3: el fabricante, vendedor, arrendatario o arrendador de un producto conectado debe poner a disposición del usuario cierta información sobre las capacidades de datos del producto, es decir, el tipo de datos del producto, formato de los datos, esquemas de clasificación, si el almacenamiento se realiza en un dispositivo o en un servidor, etc. Al introducir esas obligaciones, los titulares de datos y los fabricantes se ven obligados a aumentar la cantidad de documentación que ponen a disposición de los usuarios de datos.
En resumen, con un alcance amplio pero un conjunto claro de requisitos, se espera que la Ley de Datos facilite que una gama más amplia de partes interesadas obtenga control sobre sus datos y que haya más datos disponibles para la innovación y el avance hacia la economía digital, por lo que las organizaciones que creen que pueden verse afectadas, deberían considerar sus requisitos ahora, en particular cuando los requisitos pueden causar un rediseño de sus productos conectados o servicios relacionados.
