Carlos B Fernández. El pasado 9 de noviembre, el Parlamento Europeo aprobó por 481 votos a favor, 31 en contra y 71 abstenciones la propuesta de Reglamento del Parlamento Europeo y del Consejo sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos o Data Act, por su denominación en inglés) (COM(2022)006).
Dado que ambos órganos acordaron la redacción de la norma en julio pasado [Link a NE2195995], el texto queda tan solo pendiente de la aprobación formal del Consejo para convertirse en norma.
La Ley del Dato cierra el bloque normativo regulatorio de los datos en la Unión Europea que, tras el Reglamento General de Protección de Datos (LA LEY 6637/2016), de 2016 y la presentación de la Estrategia Europea del Dato en 2020, queda constituido por el Reglamento de Datos no personales, la Ley de Gobernanza del Dato y esta nueva Ley del Dato.
Reglas sobre el intercambio de datos generados por el uso de productos conectados
La nueva legislación establece reglas sobre el intercambio de datos generados mediante el uso de productos conectados o servicios relacionados (por ejemplo, Internet de las cosas, maquinaria industrial) y permite a los usuarios acceder a los datos que generan.
Según la Comisión, la nueva norma contribuirá al desarrollo de nuevos servicios, particularmente en inteligencia artificial, donde se requieren grandes cantidades de datos para el entrenamiento de algoritmos. También pretende abaratar los servicios posventa y las reparaciones de dispositivos conectados.
Además, en circunstancias excepcionales o emergencias, como inundaciones e incendios forestales, los organismos del sector público podrán acceder y utilizar los datos en poder del sector privado, estipula la nueva ley.
La Ley de Datos incorpora los principios esbozados en las recomendaciones de la Conferencia sobre el Futuro de Europa (COFOE), específicamente las propuestas 31(7), 35(7) y 35(10), destinadas a crear una economía digital sólida y equitativa. Se hace eco de la visión de COFOE al abogar por una infraestructura de datos resiliente que defienda los valores y principios europeos. La 'Ley de Datos' también apoya la transformación digital de los servicios públicos y la introducción de una identidad digital común europea, que agilizará las transacciones y servicios digitales transfronterizos, todo ello salvaguardado por un marco integral de normas y directrices europeas.
Protección de secretos comerciales y prevención de transferencias ilícitas de datos
A la vista del volumen de datos generados por humanos y máquinas está creciendo exponencialmente y se está convirtiendo en un factor crítico para la innovación de las empresas y las autoridades públicas (por ejemplo, dando forma a las ciudades inteligentes), la nueva norma permitirá a los usuarios acceder a los datos que generan, ya que el 80% de los datos industriales recopilados nunca se utilizan, según la Comisión Europea.
Los eurodiputados obtuvieron una definición clara de secretos comerciales y poseedores de secretos comerciales para evitar transferencias y fugas de datos ilegales a países con regulaciones de protección de datos más débiles. También quieren evitar que los competidores en un campo particular puedan explotar el acceso a los datos para realizar ingeniería inversa en los servicios o dispositivos de sus rivales.
La nueva ley facilita la capacidad de cambiar entre proveedores de servicios en la nube (empresas que ofrecen servicios de red, infraestructura o aplicaciones comerciales en la nube) e introduce salvaguardias contra las transferencias internacionales ilegales de datos por parte de estas empresas. Los eurodiputados aseguraron que la Ley de Datos significa que los clientes de servicios en la nube tendrán el poder de negociar contratos y evitar estar "bloqueados" con un proveedor en particular.
Estructura y principal contenido de la Ley del Dato
El nuevo Reglamento consta de 50 artículos, estructurados en 11 capítulos, precedidos de 119 Considerandos.
Su estructura es la siguiente:
Capítulo I - Disposiciones generales
Capítulo II - Intercambio de datos de empresa a consumidor y de empresa a empresa
Capítulo III - Obligaciones de los titulares de datos obligados a poner los datos a disposición en virtud del derecho de la Unión
Capítulo IV - Cláusulas contractuales abusivas entre empresas en relación con el acceso a los datos y su utilización
Capítulo V - Poner datos a disposición de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión en razón de necesidades excepcionales
Capítulo VI - Cambio entre servicios de tratamiento de datos
Capítulo VII - Acceso y transferencia internacionales ilícitas de datos no personales por parte de administraciones públicas
Capítulo VIII – Interoperabilidad
Capítulo IX - Aplicación y ejecución
Capítulo X - Derecho sui generis con arreglo a la directiva 96/9/ce
Capítulo XI - Disposiciones finales
Entrada en vigor
El Reglamente entrará en vigor a los 20 días de su publicación en el DOUE y comenzará a ser aplicable a los 20 meses de su entrada en vigor.
Objeto
El Objeto del Reglamento del Dato es establecer normas armonizadas sobre los siguientes aspectos:
a) la puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto conectado o servicio relacionado;
b) la puesta a disposición de datos por parte de los titulares de datos en favor de los destinatarios de datos;
c) la puesta a disposición de datos por parte de los titulares de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión, cuando exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público;
d) la facilitación del cambio entre servicios de tratamiento de datos;
e) la introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales, y
f) el desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos.
Obligación de hacer accesibles para el usuario los datos de los productos y los datos de servicios relacionados (Artículo 3)
Los productos conectados se diseñarán y fabricarán, y los servicios relacionados se diseñarán y prestarán, de manera tal que los datos de los productos y los datos de servicios relacionados, incluidos los metadatos pertinentes necesarios para interpretar y utilizar dichos datos, sean, por defecto, accesibles con facilidad, con seguridad, gratuitamente, en un formato completo, estructurado, de utilización habitual y de lectura mecánica, y, cuando proceda y sea técnicamente viable, accesibles para el usuario directamente.
Antes de celebrar un contrato de compraventa, alquiler o arrendamiento de un producto conectado, el vendedor o arrendador, que puede ser el fabricante, proporcionarán al usuario, como mínimo, la siguiente información, de manera clara y comprensible:
a) el tipo, el formato y el volumen estimado de datos del producto que el producto conectado es capaz de generar;
b) si el producto conectado es capaz de generar datos de forma continua y en tiempo real;
c) si el producto conectado es capaz de almacenar datos en el propio dispositivo o en un servidor remoto, incluido, cuando proceda, el período de conservación previsto;
d) el modo en que el usuario puede acceder a los datos, extraerlos o, en su caso, suprimirlos, incluidos los medios técnicos para hacerlo, así como sus condiciones de utilización y calidad del servicio.
Antes de celebrar un contrato de prestación de un servicio relacionado, el proveedor de dicho servicio proporcionará al usuario, como mínimo, la siguiente información, de manera clara y comprensible:
a) el carácter, el volumen estimado y la frecuencia de recopilación de los datos del producto que se espera obtenga el posible titular de datos y, cuando proceda, las modalidades mediante las que el usuario puede acceder a estos datos o extraerlos, incluidas las medidas del posible titular de datos relativas al almacenamiento de los datos y la duración de conservación de estos;
b) el carácter y el volumen estimado de los datos del servicio relacionado que vayan a generarse, así como las modalidades mediante las que el usuario puede acceder a estos datos o extraerlos, , incluidas las medidas del posible titular de datos relativas al almacenamiento de los datos y la duración de conservación de estos;
c) si el posible titular de datos prevé utilizar él mismo los datos fácilmente disponibles y los fines para los que se utilizarán dichos datos, y si tiene la intención de permitir que uno o varios terceros utilicen los datos para la finalidad acordada con el usuario;
d) la identidad del posible titular de los datos, como su nombre comercial y la dirección geográfica en la que está establecido y, cuando proceda, de otras partes que efectúen tratamiento de datos;
e) los medios de comunicación que permitan al usuario ponerse rápidamente en contacto con el posible titular de datos y comunicarse con él de manera eficiente;
f) el modo en que el usuario puede solicitar que los datos se compartan con un tercero y, cuando proceda, dejar de compartir los datos;
g) el derecho del usuario a presentar una reclamación relativa a cualquier infracción de las disposiciones del presente capítulo ante la autoridad competente designada con arreglo al artículo 37;
h) si un posible titular de datos es el poseedor de secretos comerciales contenidos en los datos a los que se pueda acceder desde el producto conectado o generados durante la prestación de un servicio relacionado y, cuando el posible titular de datos no sea el poseedor del secreto comercial, la identidad del poseedor del secreto comercial;
i) la duración del contrato entre el usuario y el posible titular de datos, así como las cláusulas de resolución unilateral del contrato.
Derechos y obligaciones de los usuarios y titulares de datos respecto del acceso, utilización y puesta a disposición de los datos de productos y de los datos de servicios relacionados (Artículo 4)
Cuando el usuario no pueda acceder directamente a los datos desde el producto conectado, o del servicio relacionado, los titulares de datos facilitarán al usuario el acceso sin demora indebida a los datos fácilmente disponibles, y los correspondientes metadatos necesarios para interpretar y utilizar dichos datos, con la misma calidad disponible para el titular de datos, con facilidad, con seguridad, gratuitamente y en un formato completo, estructurado, de utilización habitual y de lectura mecánica y, cuando proceda y sea técnicamente viable, de forma continua y en tiempo real. Esto se hará sobre la base de una simple solicitud por medios electrónicos cuando sea técnicamente viable.
Los usuarios y los titulares de datos podrán estipular contractualmente limitaciones o prohibiciones del acceso a los datos, de su utilización o su posterior intercambio, si dicho tratamiento puede socavar los requisitos de seguridad del producto conectado, según lo establecido en el Derecho de la Unión o nacional, dando lugar a un efecto adverso grave para la salud, la seguridad o la protección de las personas físicas. Las autoridades sectoriales podrán proporcionar a los usuarios y a los titulares de datos asesoramiento técnico en ese contexto. Cuando el titular de datos se niegue a compartir datos en virtud del presente artículo, lo notificará a la autoridad competente designada en cumplimiento del artículo 37.
Derecho del usuario a compartir datos con terceros (Artículo 5)
A petición de un usuario o de una parte que actúe en nombre de un usuario, el titular de datos pondrá a disposición de un tercero los datos fácilmente disponibles, y los metadatos correspondientes necesarios para interpretar y utilizar dichos datos sin demora indebida, con la misma calidad que esté a disposición del titular de datos, con facilidad, con seguridad, gratuitamente para el usuario, en un formato completo, estructurado, de utilización habitual y de lectura mecánica, y, cuando proceda y sea técnicamente viable, de forma continua y en tiempo real. Los datos se pondrán a disposición por parte del titular de datos al tercero de conformidad con los artículos 8 y 9.
Obligaciones de terceros que reciben datos a petición del usuario (Artículo 6)
Un tercero tratará los datos que se pongan a su disposición con arreglo al artículo 5 únicamente para la finalidad y en las condiciones acordados con el usuario y respetando el Derecho de la Unión y nacional en materia de protección de datos personales, incluidos los derechos del interesado en lo que respecta a los datos personales. El tercero suprimirá los datos cuando ya no sean necesarios para la finalidad acordada, a menos que acuerde otra cosa con el usuario en relación con los datos no personales.
2. El tercero no podrá:
a) dificultar indebidamente el ejercicio de las opciones o los derechos de los usuarios con arreglo al artículo 5 y al presente artículo, tampoco ofreciendo opciones a los usuarios de manera no neutra o coaccionándolos, engañándolos o manipulándolos, o neutralizando o mermando la autonomía, la toma de decisiones o las opciones de los usuarios, tampoco a través de una interfaz digital de usuario o de una parte de ella;
b) no obstante lo dispuesto en el artículo 22, apartado 2, letras a) y c), del Reglamento (UE) 2016/679 (LA LEY 6637/2016), utilizar los datos que reciba para la elaboración de perfiles, a menos que sea necesario para prestar el servicio solicitado por el usuario;
c) poner los datos que reciba a disposición de otro tercero, a menos que los datos se pongan a disposición sobre la base de un contrato con el usuario, y siempre que el otro tercero tome todas las medidas necesarias acordadas entre el titular de datos y el tercero para preservar la confidencialidad de los secretos comerciales;
d) poner los datos que reciba a disposición de una empresa designada como guardián de acceso de conformidad con el artículo 3 del Reglamento (UE) 2022/1925 (LA LEY 21630/2022);
e) utilizar los datos que reciba para desarrollar un producto que compita con el producto conectado del que proceden los datos a los que ha accedido ni compartir los datos con otro tercero con tal finalidad; los terceros tampoco utilizarán datos no personales de los productos o datos no personales de los servicios relacionados que se pongan a su disposición para obtener información sobre la situación económica, los activos y los métodos de producción del titular de datos, ni sobre el uso por este;
f) utilizar los datos que reciba de una manera que afecte negativamente a la seguridad del producto conectado o del servicio relacionado;
g) ignorar las medidas específicas acordadas con un titular de datos o con el poseedor de los secretos comerciales de conformidad con el artículo 5, apartado 9, ni comprometer la confidencialidad de los secretos comerciales;
h) impedir a aquellos usuarios que sean consumidores, entre otros, sobre la base de un contrato, poner los datos que reciba a disposición de otras partes.