DATA ACT: implicaciones legales y estratégicas

El Data Act complementa el Reglamento de Gobernanza de Datos (Data Governance Act) para proporcionar claridad jurídica en relación con el acceso a los datos y su uso, contribuyendo entre estas dos normas a la consolidación de un mercado único de datos en la Unión Europea (UE). Asimismo, el Data Act guarda una estrecha relación con otros textos del entramado normativo europeo como el Reglamento de Servicios Digitales (DSA) y, en particular, con el Reglamento General de Protección de Datos (RGPD), ya que su ámbito de aplicación abarca tanto datos personales como no personales. 

1. Finalidad y alcance del data act

El Data Act tiene una finalidad ambiciosa: incrementar la competitividad, la innovación y el crecimiento económico sostenible dentro del ecosistema digital de la Unión Europea a través de la adopción de un marco de intercambio e interoperabilidad de datos entre empresas, usuarios y organismos públicos.

Para conseguir este objetivo, el Data Act se centra en la utilización, conservación y el intercambio de datos derivados principalmente del uso por parte de las empresas y las personas físicas de productos conectados y de la red de internet de las cosas (IoT). 

El aumento en la disponibilidad de los datos generados por estas tecnologías permite a los fabricantes y diseñadores desarrollar nuevos productos conectados, perfeccionar los ya existentes, y crear servicios relacionados basados en dichos productos. Por ejemplo, al lanzar un dispositivo para medir datos deportivos, como un smart watch, pueden surgir servicios relacionados con los datos generados por ese dispositivo, como aplicaciones de control de salud.

De esta forma, la aplicación del Data Act tendrá un gran impacto sobre la actividad de las empresas que operan en la economía digital, por cuanto deben tener en cuenta una serie de medidas y obligaciones para utilizar y compartir los datos que se generan a través del diseño, fabricación, comercialización y utilización de productos conectados y servicios relacionados, incluidos los asistentes virtuales.

No obstante, el Reglamento de Datos establece una exención relevante para las microempresas y pequeñas empresas que actúen como fabricantes o proveedores de productos conectados o servicios relacionados, siempre que no estén vinculadas a una empresa mediana o grande. En estos casos, dichas organizaciones no estarán obligadas a facilitar el acceso a los datos generados por dichos productos o servicios. En el caso de las medianas empresas, el Data Act prevé una exención temporal, limitada al primer año tras haber dejado de ser pyme, y siempre que cumplan ciertos requisitos adicionales.

Bajo esta premisa, el Reglamento de Datos distingue entre las figuras de “titular” y “destinatario” de los datos, atribuyendo al primero el derecho o la obligación de facilitar el acceso a los datos y, al segundo, la condición de receptor legítimo de dichos datos.

 A ojos del Data Act, podrá ser destinatario de los datos una persona física o jurídica, un consumidor, una entidad pública o una organización sin ánimo de lucro.

Por otro lado, el usuario, según la definición del Data Act es la persona física o jurídica que posee un producto conectado o a la que se le han transferido por contrato derechos temporales de uso de dicho producto conectado, o que recibe servicios relacionados.

Además, el Data Act establece una serie de garantías para proteger los datos generados, utilizados y compartidos en su ámbito de aplicación, independientemente de si se trata de datos personales o no personales. Estas medidas no solo buscan salvaguardar el derecho a la protección de los datos personales de las personas físicas, sino que también están destinadas a proteger la confidencialidad y los secretos comerciales de las empresas, especialmente en escenarios de intercambio forzoso de datos.

En relación con dichas garantías, el Data Act establece que cualquier tratamiento de datos (es decir, cualquier operación, automática o no, que implique un uso, comunicación, almacenamiento, modificación, etc.) a través del cual se pueda identificar a una persona física deberá realizarse conforme al RGPD, el cual prevalecerá en caso de conflicto entre ambas normas (art. 1.5 del Data Act). Asimismo, reconoce expresamente a favor del titular de los datos el derecho a aplicar medidas técnicas y organizativas adecuadas para prevenir el acceso no autorizado a los datos, incluidos los metadatos, así como impedir que los destinatarios de los datos modifiquen o supriman dichas medidas de seguridad.

En paralelo, el Data Act limita el uso que los destinatarios de datos pueden hacer de la información recibida, prohibiendo expresamente su utilización para desarrollar productos que compitan con los del titular de los datos, salvo autorización expresa. Estas disposiciones responden al objetivo de evitar un desequilibrio en la competencia y garantizar un entorno de confianza y seguridad jurídica en el ecosistema digital europeo.

El Reglamento de Datos también busca facilitar a los usuarios el cambio entre proveedores de servicios de tratamiento de datos (especialmente en entornos de computación en la nube) y promover la interoperabilidad técnica y jurídica en los flujos de datos dentro del mercado interior. Además, se establecen limitaciones al uso abusivo de cláusulas contractuales impuestas por una de las partes en posición dominante, especialmente en perjuicio de pymes, para garantizar relaciones contractuales justas y no discriminatorias.

El Reglamento de Datos aclara que su aplicación no implica el reconocimiento de un derecho subjetivo automático a favor del titular de los datos para utilizar la información generada por el uso de un producto conectado o de un servicio relacionado, salvo que así se derive de la normativa aplicable o de un pacto contractual expreso.

Finalmente, en determinadas circunstancias excepcionales, el Data Act habilita a los organismos del sector público para requerir el acceso a datos en poder de entidades privadas, siempre que dichos datos resulten necesarios para el ejercicio de una tarea específica realizada en interés público y/o en caso de emergencia pública. Esta facultad deberá interpretarse con carácter restrictivo y queda sujeta al principio de proporcionalidad.

2. Medidas clave del data act

En línea con la finalidad y objetivos perseguidos, el Data Act contempla la regulación de las siguientes cuestiones principales:

• Intercambio de datos entre empresas a petición de los consumidores: establece las medidas a través de las cuales los usuarios de un producto conectado (ya sean personas físicas o jurídicas), pueden acceder, usar y portar los datos que generen mediante el uso del producto conectado o de un servicio relacionado. 
• Intercambio obligatorio de datos entre empresas: el Data Act establece las normas para regular situaciones en las que una empresa, como “titular de los datos”, tiene la obligación de poner los datos bajo su titularidad a disposición de otra empresa (“destinatario de los datos”), incluyendo el establecimiento de una compensación razonable por estas comunicaciones. 
• Intercambio de datos entre empresas y administraciones públicas: la norma regula la puesta a disposición de datos por parte de los titulares en favor de los organismos del sector público, de forma que los entes públicos podrán obtener, en casos concretos y bajo determinadas condiciones, datos esenciales cuando se produzca una situación excepcional o una emergencia pública. Asimismo, se establecen normas y salvaguardas para las solicitudes de acceso de un organismo del sector público extranjero a datos no personales conservados en la Unión Europea.
• Facilitar a los clientes de servicios digitales (especialmente los servicios en la nube) cambiar entre servicios de tratamiento de datos sin obstáculos o costes asociados. De esta forma, se establecen una serie de requisitos mínimos para el contenido de los contratos con proveedores de servicios que permiten el acceso a redes ubicuas y bajo demanda. 
• Establecer medidas para proteger a las empresas (en particular, a pymes) frente a cláusulas contractuales no negociadas o abusivas impuestas por empresas en una posición negociadora más sólida en relación con el acceso y uso de los datos. Para ello, el Data Act adopta una lista no exhaustiva de cláusulas que siempre se consideran abusivas y de cláusulas que se presumen abusivas, las cuales deberán ser revisadas por la entidad que impuso la cláusula para demostrar que no son abusivas.
• Desarrollo de normas de interoperabilidad para favorecer el acceso, la transferencia y la utilización de los datos y, con ello fortalecer el flujo de datos, fomentar la investigación y el desarrollo de nuevos productos y servicios relacionados.
• Introducción de salvaguardas contra el acceso ilícito de terceros a los datos no personales, las cuales son aplicables a cualquier dato del sector privado que se encuentre en el territorio de la Unión Europea, incluidos los tratados por los proveedores de servicios de tratamiento de datos.
• Aunque el Data Act no establece directamente un régimen de sanciones uniforme a nivel europeo, obliga a los Estados miembros a fijar normas sobre las infracciones y sanciones aplicables por el incumplimiento del Data Act, que deberán ser eficaces, proporcionales y disuasorias. Esto implica que las empresas podrían enfrentarse a inspecciones, requerimientos o sanciones económicas en función del grado de incumplimiento.

3. Aplicación práctica del data act

El Reglamento de Datos es una norma densa y con un alto contenido técnico, por lo que su despliegue e implantación requiere una planificación estructurada y adoptar un enfoque transversal en las organizaciones cuya actividad se vea afectada por las disposiciones del Data Act. 

En definitiva, la aplicación del Data Act requerirá que las organizaciones incluidas en su ámbito de aplicación lleven a cabo una planificación estratégica para su implementación, una revisión anticipada de sus relaciones contractuales y una reconfiguración progresiva de sus modelos de negocio basados en datos.

 Nota informativa escrita por  el área de Propiedad Intelectual de ECIJA Madrid.