Todo sobre la Data Act: así funciona la ley en la práctica

Ello supone un impacto directo en las empresas y entidades afectadas por la norma, pues va a requerir la actualización de las operativas de negocio, y contractuales asociadas, en lo relativo a la interactuación con usuarios, clientes y otros terceros en el marco definido por la ley a fin de poder dar debido cumplimiento a esta.

Lo anterior, de hecho, se conecta con la nueva obligación legal (y consiguiente derecho) de hacer accesibles para el usuario los datos de los productos, así como los datos de servicios relacionados, de forma que, antes de celebrar un contrato de compraventa, alquiler o arrendamiento de un producto conectado (o de un servicio relacionado), el vendedor o arrendador, que puede ser el fabricante, proporcionará al usuario, como mínimo, cierta siguiente información descrita en el artículo 3 de la Ley, de manera clara y comprensible. Esto, como es lógico, también supondrá la necesaria revisión contractual de los contratos en vigor que estuvieran afectados por la norma y pudieran haberse suscrito de forma previa, además de la revisión en paralelo de las operativas igualmente afectadas por la Data Act.

Destacan también, 1) el nuevo derecho del usuario a compartir datos con terceros, descrito en el artículo 5 de esta Ley y; 2) las obligaciones de los terceros que reciben estos datos, estableciendo limitaciones concretas en uso de los datos recibidos por estos conforme al artículo 6 de la Ley.

En definitiva, la Data Act aborda las obligaciones de intercambio de datos de empresa a consumidor y de empresa a empresa (modelos de data sharing B2C y B2B), estableciendo los derechos y condiciones de ejercicio de estos, facilitando al máximo posible los mismos.

Ahora bien, en relaciones entre empresas, un titular de datos que esté obligado a poner datos a disposición de un destinatario de datos, en virtud del artículo 5 de la Data Act, o de otras disposiciones aplicables, tendrá que acordar con el destinatario de datos las modalidades de puesta a disposición de los datos y lo hará en condiciones justas, razonables y no discriminatorias y de manera transparente de conformidad con lo previsto en la ley.

En particular, toda compensación acordada entre un titular de datos y un destinatario de datos por la puesta a disposición de datos en relaciones entre empresas deberá ser no discriminatoria y razonable, y podrá incluir un margen. Si bien es importante matizar que los titulares de datos, distintos de las microempresas y pequeñas empresas, pondrán a disposición de forma gratuita los datos necesarios para responder a una emergencia pública con arreglo al artículo 15 de este Reglamento. El organismo del sector público, la Comisión, el Banco Central Europeo o el organismo de la Unión que haya recibido los datos dará reconocimiento público, eso sí, al titular de datos si este así lo solicita (fórmula de compensación en caso de necesidad excepcional).

De igual forma, el titular de datos podrá aplicar medidas técnicas de protección adecuadas, incluidos contratos inteligentes y cifrado, para impedir el acceso no autorizado a los datos, incluidos los metadatos (ex artículo 11 de la Data Act).

Al margen de lo anterior, algunas claves adicionales de la nueva regulación, y sin perjuicio de los recientes posicionamientos de la Comisión Europea al efecto[1], pueden resumirse en las que siguen, a saber:

¿A quién aplica la Data Act?

Esta Ley aplica a un número relativamente amplio de entidades y personas, a saber:

1. Los fabricantes de productos conectados introducidos en el mercado de la Unión y los proveedores de servicios relacionados, independientemente del lugar de establecimiento de dichos fabricantes y proveedores.
2. A los usuarios de la Unión de los productos conectados o servicios relacionados a que se refiere la letra a);
3. Aos titulares de datos, con independencia de su lugar de establecimiento, que pongan datos a disposición de los destinatarios de datos de la Unión.
4. A los destinatarios de datos de la Unión a cuya disposición se ponen datos.
5. Los organismos del sector público, la Comisión, el Banco Central Europeo o los organismos de la Unión que soliciten a los titulares de datos que pongan datos a su disposición cuando exista una necesidad excepcional de dichos datos para el desempeño de alguna tarea específica realizada en interés público, y a los titulares de datos que proporcionen esos datos en respuesta a dicha solicitud;
6. Los proveedores de servicios de tratamiento de datos, con independencia de su lugar de establecimiento, que presten dichos servicios a clientes de la Unión;
7. Los participantes en espacios de datos y proveedores de aplicaciones que utilicen contratos inteligentes y personas cuya actividad comercial, empresarial o profesional implique el despliegue de contratos inteligentes para terceros en el contexto de la ejecución de un acuerdo.

Ahora bien, las obligaciones dispuestas en la Ley (capítulo primero) no se aplicarán a los datos generados mediante el uso de productos conectados fabricados o diseñados o servicios relacionados prestados por una microempresa o pequeña empresa, siempre que dicha empresa no tenga una empresa asociada o una empresa vinculada en el sentido del artículo 3 del anexo de la Recomendación 2003/361/CE, que no pueda considerarse microempresa o pequeña empresa, y cuando no se haya subcontratado a la microempresa o pequeña empresa para fabricar o diseñar un producto conectado o para prestar un servicio relacionado.

Lo mismo aplicará a los datos generados mediante el uso de productos conectados fabricados o de servicios relacionados prestados por empresas que hayan adquirido la consideración de medianas empresas con arreglo al artículo 2 del anexo de la Recomendación 2003/361/CE hace menos de un año, y cuando se trate de productos conectados, durante un año después de que una mediana empresa los haya introducido en el mercado.

Es por ello crucial determinar el tamaño, rol y posición de cada entidad o empresa afectada por la norma al objeto de poder determinar las obligaciones legales específicas que correspondan en cada caso. Asimismo, se deberá comprobar la existencia, o no, de asistentes virtuales que interactuaran o pudieran interactuar con un producto conectado o servicio relacionado, en la medida en que también sería aplicable el Reglamento a tales asistentes (ex artículo 1 de la Data Act).

Además, este Reglamento europeo se aplica a los datos personales y no personales por especial atención a los datos del sector privado, por lo que se deberán considerar también: a) los distintos regímenes jurídicos aplicables en este ámbito, según se trate de dato personal o no[1]; y b) la taxonomía y tipología de datos que corresponda por relación a las obligaciones legales que resulten finalmente exigibles (ex artículo 1 de la Data Act).

¿Cuál es el objeto de la Ley?

Con carácter general, esta norma europea tiene por objeto, conforme su artículo 1, regular de forma armonizada en toda la UE los siguientes extremos:

• La puesta a disposición de datos de productos y de datos de servicios relacionados en favor de los usuarios del producto conectado o servicio relacionado (portabilidad de datos al usuario del producto conectado o servicio relacionado);
• La puesta a disposición de datos por parte de los titulares de datos en favor de los destinatarios de datos (portabilidad de datos hacia los destinatarios de los datos);
• La puesta a disposición de datos por parte de los titulares de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión, cuando exista una necesidad excepcional de disponer de dichos datos para el desempeño de alguna tarea específica realizada en interés público (portabilidad excepcional de datos hacia los organismos y autoridades competentes);
• La facilitación del cambio entre servicios de tratamiento de datos;
• La introducción de salvaguardias contra el acceso ilícito de terceros a los datos no personales;
• El desarrollo de normas de interoperabilidad para el acceso, la transferencia y la utilización de datos.

¿Cuáles son las nuevas medidas pretendidas?

Estas nuevas medidas derivadas de la Data Act se resumen en los siguientes aspectos:

• Aumentar la seguridad jurídica para las empresas y los consumidores que participan en la generación de datos, en particular en el marco del internet de las cosas, mediante el establecimiento de normas claras sobre el uso permisible de los datos y las condiciones asociadas a tal uso. Esto ayudará a que más agentes, independientemente de su tamaño, puedan a participar en la economía de los datos, contribuyendo a procesos de crecimiento e innovación basados en datos. De hecho, se prevé que la Comisión elabore cláusulas contractuales tipo para ayudar a los participantes en el mercado a redactar y negociar contratos justos de puesta en común e intercambio de datos.
• Paliar el abuso de los desequilibrios contractuales que impiden el intercambio equitativo de datos. Esto implica proteger a las empresas de las condiciones contractuales injustas impuestas por una parte que ejerce una posición de mercado considerablemente más fuerte, algo que las instituciones europeas están persiguiendo para evitar posiciones de dominio injustificadas, según la ley aplicable.
• Contar con normas que permiten a los organismos del sector público acceder a los datos en poder del sector privado y utilizarlos con fines específicos de interés público. Por ejemplo, los organismos del sector público podrán solicitar los datos necesarios para ayudarles a responder de forma rápida y segura a una emergencia pública, con una carga mínima para las empresas.
• Desarrollar normas que establezcan un marco para que los clientes cambien efectivamente entre diferentes proveedores de servicios de tratamiento de datos para desbloquear el mercado de la nube de la UE. Esto también contribuirá a un marco general para la interoperabilidad eficiente de los datos.
• La revisión de ciertos aspectos de la Directiva sobre bases de datos[2], centrándose en particular en dilucidar el papel del derecho sui generis sobre bases de datos. Este derecho se refiere a la protección del contenido de bases de datos específicas y extiende su aplicación a las bases de datos derivadas de datos generados o adquiridos a través de dispositivos de Internet de las Cosas (IoT).

 ¿Cómo funciona la Ley en la práctica?

Como explica la propia Comisión Europea, al adquirir un producto tradicional, se recibe todos sus componentes y accesorios. Sin embargo, en el caso de los dispositivos conectados, se generan nuevos datos durante el uso normal de tales dispositivos IoT. Esto se suma al producto, convirtiéndose en uno de sus componentes esenciales. No debe olvidarse que la Data Act otorga a las personas y empresas el derecho a acceder a los datos producidos en los términos y condiciones descritas en la misma norma.

Así, los usuarios de productos conectados pueden optar también por compartir estos datos con terceros. Esto permitirá a los proveedores de servicios posventa (por ejemplo, de reparación) mejorar e innovar sus servicios, fomentando la competencia leal con servicios similares prestados por los fabricantes.

En consecuencia, los usuarios de productos conectados tendrán la opción de elegir proveedores de reparación y mantenimiento más rentables (o realizar estas tareas ellos mismos, si lo desean), lo que podría dar lugar a precios más bajos en el mercado, impulsando mercados y sectores más competitivos. Esto también podría prolongar la vida útil de los productos conectados, según el regulador, contribuyendo así a los objetivos del Pacto Verde.

La accesibilidad de los datos relativos al rendimiento de los equipos industriales abre oportunidades para mejorar también su eficiencia. Industrias como la manufactura, la agricultura y la construcción pueden optimizar los ciclos operativos, las líneas de producción y la gestión de la cadena de suministro, aprovechando las tecnologías de aprendizaje automático.

En definitiva, este nuevo Reglamento tiene como objetivo poner a disposición más datos en el mercado europeo, así como facilitar el intercambio de los mismos entre sectores y países de la UE. Todo ello, con el fin de aprovechar al máximo el potencial de los datos en beneficio de los ciudadanos y las empresas europeos, resultando directamente aplicable el próximo 12 de septiembre de 2025.

No es una Ley fácil de implantar de forma práctica, involucrando a muchas áreas corporativas de las compañías afectadas, que deberán coordinarse para atender de forma integral e integrada las obligaciones legales y requerimientos normativos derivadas de la misma. Eso unido a los ajustados plazos de aplicación directa, sugiere que las organizaciones deban comenzar de forma inmediata a planificar cómo atenderán tales requerimientos, así como plantearse qué ventajas competitivas puede suponer activar estos procesos de acceso justo y de intercambio de datos que también posibilita este Reglamento. Sin duda, nunca antes hubo tantas oportunidades de crecer con apoyo en datos.

[1] El presente Reglamento se entenderá sin perjuicio del Derecho de la Unión ni del Derecho nacional en materia de protección de datos personales, de la intimidad y de la confidencialidad de las comunicaciones e integridad de los equipos terminales, que se aplicará a los datos personales tratados en relación con los derechos y obligaciones establecidos en el presente Reglamento, en particular, los Reglamentos (UE) 2016/679 y (UE) 2018/1725 y la Directiva 2002/58/CE, incluidos los poderes y competencias de las autoridades de control y de los derechos de los interesados. En la medida en que los usuarios tengan la condición de interesados, los derechos establecidos en el capítulo II del presente Reglamento complementarán el derecho de acceso de los interesados y los derechos a la portabilidad de los datos con arreglo a los artículos 15 y 20 del Reglamento (UE) 2016/679. En caso de conflicto entre el presente Reglamento y el Derecho de la Unión en materia de protección de datos personales o de la intimidad, o la normativa nacional adoptada de conformidad con el Derecho de la Unión en la materia, prevalecerá el Derecho aplicable de la Unión o nacional en materia de protección de datos personales o de la intimidad (ex artículo 1 apartado 5) de la Data Act).