Carlos B Fernández. La Comisión Europea tiene previsto presentar su propuesta de Ley de Datos (Data Act) el 23 de febrero, según informa en www.euractiv.com Luca Bertuzzi.
La Ley de Datos es una normativa horizontal sobre datos no personales que se aplicará a los fabricantes de productos conectados, los proveedores de servicios digitales y los usuarios de la UE. Con ella, la Comisión pretende liberar el potencial de la innovación impulsada por los datos, estableciendo obligaciones legales para el intercambio de datos cuando los dispositivos conectados (Internet de las cosas u IoT) comienzan a generalizarse.
Esta iniciativa, que complementará la propuesta de Reglamento sobre la Gobernanza Europea de Datos (Data Governance Act), ya adoptada por la Comisión, se enmarca dentro de la estrategia europea para los datos, publicada el 19 de febrero de 2020, una estrategia orientada a la creación de un mercado único de datos, en el que los datos fluyan entre países y sectores y estén disponibles para su uso respetando plenamente los valores y las normas europeas, y en el que existan normas justas, prácticas y claras para el acceso y el uso de los datos. La Estrategia de Datos también subraya que la UE debe garantizar un enfoque abierto, pero asertivo, hacia los flujos internacionales de datos, basado en los valores europeos.
Esta propuesta no afectará al tratamiento de los datos personales, que está regulado por el RGPD y la Directiva 2002/58/CE (LA LEY 9590/2002) (Directiva sobre la privacidad electrónica), que será sustituida por el Reglamento sobre la privacidad electrónica, actualmente en fase de negociación legislativa).
Problemas que aborda la Data Act
De acuerdo con el contenido de la evaluación de impacto inicial presentada por la Comisión en mayo de 2021, esta iniciativa tendrá como objetivo aumentar el acceso a los datos y su posterior uso, de modo que más agentes públicos y privados puedan beneficiarse de técnicas como el Big Data y el aprendizaje automático (machine learning). Todo ello teniendo en cuenta que las condiciones de acceso y uso posterior de dichos datos en las relaciones B2B suelen estar reguladas por contratos privados.
Por ello esta iniciativa estudiará los derechos de uso de los datos en las cadenas industriales de valor y, en particular, una distribución justa de los derechos de uso que permita a todas las partes beneficiarse de la innovación basada en los datos. También tratará de garantizar efectos positivos para el uso de los datos en el interés público.
En resumen, se trata de garantizar la equidad en la asignación del valor económico entre los actores de la economía de los datos, algo especialmente importante en el contexto de la transformación digital que se está experimentando en todos los sectores y ecosistemas de la industria.
Estos objetivos requieren claridad sobre las normas con respecto al acceso de datos B2B (entre empresas) y al intercambio de datos, tanto no personales como personales, garantizando en particular que los datos puedan ser compartidos de forma segura y en línea con la legislación aplicable de la UE.
Por último, pueden ser necesarias normas claras y eficaces de protección para los datos empresariales confidenciales que gozan de protección con arreglo al Derecho de la Unión y de los Estados miembros, incluidas, entre otras, las situaciones cuando dichos datos se transfieren fuera de la Unión. Esto es especialmente cierto en el contexto de los servicios de computación en nube. A este respecto, la iniciativa pretende dar una respuesta coordinada que tenga en cuenta los instrumentos jurídicos existentes, como el Reglamento general de protección de datos (LA LEY 6637/2016), la Directiva sobre privacidad electrónica y la Directiva sobre secretos comerciales, así como la Directiva sobre bases de datos, que podría modificarse para que apoye los objetivos de esta iniciativa. También pretende explorar el potencial de los contratos inteligentes para apoyar una economía de datos competitiva y justa mediante medidas técnicas de protección que garanticen el respeto de los derechos de los datos y las condiciones contractuales para compartirlos.
Más concretamente, la iniciativa pretende abordar las siguientes cuestiones
- Uso de datos privados por parte del sector público:
Cuando se trata de utilizar datos privados cuyo uso es necesario para servir al interés público, actualmente el sector público se ve limitado a la hora de aprovechar todo el potencial de estos datos para el bien común.
- Acceso a los datos y su uso entre empresas (B2B):
El acceso a los datos, en particular para que las nuevas empresas y las PYME desarrollen nuevos productos o servicios en la economía digital, es esencial. Por ello la iniciativa examinará de forma coordinada las cuestiones relacionadas con el acceso a los datos y su uso en situaciones B2B, teniendo en cuenta los instrumentos ya existentes, como la Directiva sobre bases de datos y la Directiva sobre secretos comerciales, incoroporando medidas adicionales en términos de normas que promuevan la equidad contractual o el acceso y uso de datos, así como el uso de tecnologías inteligentes.
A este respecto, la evaluación que realizó la Comisión se centrará en los siguientes aspectos: i. El intercambio de datos entre empresas funciona mejor cuando el titular de los datos tiene un incentivo para compartirlos y el poder de negociación de las partes es comparable; ii. Los datos no personales cogenerados mediante el uso industrial constituyen una clase específica de datos que crecerá a escala exponencial en los próximos años (robots de fábrica, maquinaria agrícola, etc.) y iii. En este contexto, es necesario examinar el papel de la Directiva sobre bases de datos, que establece una estructura de dos niveles de protección de la propiedad intelectual: para las bases de datos originales a través de los derechos de autor y un derecho sui generis específico para las bases de datos (incluidas las "no originales") si la inversión cualitativa o cuantitativa en la obtención, verificación y presentación de los datos fue sustancial.
- La proliferación del IoT en el uso personal y el aumento de la conectividad general están creando más datos personales.
El Reglamento General de Protección de Datos (LA LEY 6637/2016) otorga a los interesados importantes derechos de control sobre dichos datos, entre ellos el derecho a transferir los datos a otros proveedores de servicios (artículo 20 del RGPD (LA LEY 6637/2016)), cuando dichos datos personales se traten con el consentimiento del interesado o sean necesarios para la ejecución del contrato. El RGPD ha dejado en manos de la industria el desarrollo de formatos de interoperabilidad que permitan la portabilidad de los datos personales. En particular con la IoT en el uso personal, la ausencia de una obligación de establecer interfaces técnicas para los intercambios de datos automatizados, incluso en tiempo real puede dificultar la oferta de determinados servicios que requieren flujos de datos en tiempo real, por ejemplo, el mantenimiento predictivo de un electrodoméstico, lo que lleva a situaciones de bloqueo para los interesados. Esto puede obstaculizar el desarrollo de innovaciones basadas en el acceso a dichos datos que los interesados estarían interesados.
- En el contexto del acceso y uso de los datos entre empresas y gobiernos (B2G) y entre empresas (B2B), así como en la portabilidad de los datos personales por parte de los interesados, los contratos inteligentes tienen un potencial sin explotar para facilitar el intercambio y la puesta en común automatizada de datos a escala, al tiempo que se aplican las restricciones de uso.
- Establecer mercados más competitivos para los servicios de computación en nube: Las organizaciones europeas dependen de los servicios en la nube para el procesamiento de sus datos (que incluyen servicios altamente distribuidos de datos conocidos como "computación de borde" o edge computing, en los que los recursos informáticos no están centralizados, sino que se procesan más cerca del usuario, por ejemplo, en estaciones base de comunicaciones móviles o incluso en los dispositivos conectados del usuario final). Para evitar el bloqueo de los proveedores y garantizar un mercado de la nube abierto y competitivo, es necesario que los usuarios de las empresas puedan cambiar fácilmente sus datos y aplicaciones entre diferentes proveedores de servicios de computación en nube o devolver sus datos a los sistemas informáticos locales sin encontrar barreras contractuales, técnicas o económicas.
Sobre la base de los resultados de la evaluación de los códigos de conducta, la Comisión podría decidir que es necesario establecer un derecho vinculante sobre la portabilidad de los servicios en la nube.
- Garantías de los datos no personales en contextos internacionales: Los datos no personales generados por las empresas de la UE pueden ser objeto de solicitudes de acceso en virtud de las disposiciones de las leyes de terceros países. Esto sería específicamente relevante cuando el tratamiento de dichos datos se produce en un servicio de computación en nube cuyo proveedor está sujeto a las leyes de terceros países. La reciente propuesta de Ley de Gobernanza de los Datos no cubre este tipo de servicios. Las solicitudes de acceso a los datos pueden ser de carácter legítimo, en particular para determinadas investigaciones transfronterizas de carácter penal o en el contexto de procedimientos judiciales o administrativos. Mientras que el RGPD prevé normas y salvaguardias a este respecto, para los datos no personales no existe actualmente ninguna norma de derecho común que obligue a los proveedores de servicios de computación en nube a dar preferencia a la legislación de la UE sobre la protección de la propiedad intelectual y los secretos comerciales. Puede haber diferencias de enfoque entre la UE y terceros países con garantías esenciales contra el acceso desproporcionado de los gobiernos a los datos no personales para la aplicación de la ley y otros fines legítimos. Esto puede poner en peligro los datos confidenciales de las empresas que se encuentran en la UE, exponiéndolos a obligaciones contradictorias.
Objetivos de la iniciativa
A la vista de esos problemas, los principales objetivos que se plantea la propuesta son los siguientes:
- Por lo que se refiere al intercambio de datos entre empresas y gobiernos
Promover un acceso justo, fiable y transparente, a los (grandes) datos y su utilización por empresas privadas que pueden ser valiosas para usos innovadores y la transformación digital de prestación de servicios públicos y la mejora de la formulación de políticas de una manera más flexible.
- Por lo que se refiere al intercambio de datos entre empresas:
a. Promover la equidad en los contratos de intercambio de datos B2B para facilitar aún más el acceso y el intercambio de datos, lo que beneficiará, en particular, a las empresas de nueva creación y a las PYME, garantizando al mismo tiempo el cumplimiento de las normas de competencia de la UE en lo que respecta a la puesta en común de datos.
b. Prever una aplicación armoniosa de las condiciones aplicables en caso de que la legislación sectorial ordene el acceso a los datos en beneficio de determinadas partes.
c. Mejorar la seguridad jurídica sobre el acceso y el uso de los datos no personales cogenerados, incluidos los datos generados por la Internet de las cosas (IoT): El objetivo es abrir más oportunidades para generar valor a partir de datos y permitir la innovación a través de un mejor diseño de los productos, para diseñar servicios adicionales, pero también evitar los efectos de bloqueo.
d. Revisar la Directiva sobre bases de datos, con el objetivo general de aumentar la seguridad jurídica para el acceso a los datos y su comercio. La revisión tendrá por objeto garantizar que la aplicación de la Directiva, en particular el derecho sui generis, no suponga un obstáculo para el acceso y la utilización de los datos generados por máquinas y facilite el intercambio de dichos datos.
Estas acciones deben respetar plenamente la Directiva sobre secretos comerciales.
e. Mejorar la portabilidad de datos y aplicaciones entre los servicios de computación en la nube en toda la economía de los datos. Esto podría incluir la resolución de los obstáculos contractuales, técnicos y/o económicos a los que se enfrentan los usuarios de las empresas para la portabilidad entre servicios en la nube, lo que daría lugar a una posición más fuerte de los usuarios empresariales y a un mercado en la nube europeo más competitivo y abierto.
f. Mejorar las normas técnicas para la portabilidad de los datos generados por los individuos. El objetivo es permitir que a los consumidores tener más opciones con respecto a los servicios en torno a dichos objetos, servicios que dependerían de tener acceso a determinados datos generados por estos objetos.
g. Conflictos jurisdiccionales: El objetivo es reducir el riesgo de conflictos de leyes y la inseguridad jurídica que generan los proveedores de servicios, en particular los proveedores de servicios de computación en nube, y establecer garantías claras y transparentes para los datos no personales de las empresas de la UE que puedan ser objeto de solicitudes de acceso extranjeras desproporcionadas. Otro objetivo es aclarar la posición de los servicios de tratamiento de datos sujetos a requisitos jurisdiccionales contradictorios para la divulgación de datos, respetando al mismo tiempo las obligaciones internacionales de la UE en la OMC y los acuerdos comerciales bilaterales, incluidos los ámbitos de los servicios, la inversión y los derechos de propiedad intelectual.
Medidas introducidas por la Data Act
Según Luca Bertuzzi, las más relevantes son las siguientes:
- Derecho de acceso
La Ley de Datos introduce el principio de que todo usuario, individuo u organización, debe tener acceso a los datos que ha contribuido a generar. A su vez, los productos conectados y los servicios relacionados, incluidos los asistentes virtuales, deben poner los datos a disposición del usuario de forma accesible por defecto. El usuario podrá utilizar estos datos o compartirlos con terceros de forma gratuita.
Al compartir los datos con terceros, el titular de los datos y el usuario pueden acordar medidas para preservar la confidencialidad de los datos y los secretos comerciales. Los datos transmitidos no pueden utilizarse para desarrollar productos en competencia con el titular de los datos.
En particular, los usuarios o terceros no pueden compartir esos datos con las organizaciones designadas como guardianes en virtud de la Ley de Mercados Digitales (DMA). A su vez, los guardianes de acceso (gatekeepers) tienen prohibido solicitar al usuario que comparta datos con ellos ni recibirlos.
A su vez, los titulares de los datos no podrán poner medios coercitivos ni impedir técnicamente que se compartan los datos y sólo podrán solicitar información para verificar que la petición procede de un usuario o de una parte autorizada.
Para evitar los patrones oscuros (dark patterns) en el tratamiento de los datos, los terceros no podrán "coaccionar, engañar o manipular de ninguna manera al usuario, subvirtiendo o perjudicando la autonomía, la toma de decisiones o las elecciones del usuario, incluso mediante una interfaz digital con el usuario".
Las microempresas y las pequeñas empresas quedan excluidas de estas obligaciones a menos que "dependan económicamente de otra empresa que no tenga la consideración de microempresa o pequeña empresa."
- Obligaciones contractuales injustas
Las cláusulas contractuales relativas al tratamiento de datos deben ser justas, razonables y no discriminatorias, de lo contrario se considerarán nulas. Una cláusula contractual se considera abusiva cuando "se aparta manifiestamente de las buenas prácticas comerciales en el acceso y uso de los datos, y es contraria a la buena fe y a la lealtad de las partes". En este sentido, el proyecto de ley invierte la carga de la prueba afirmando que "cuando la otra empresa considere que las condiciones son discriminatorias, corresponderá al titular de los datos demostrar que no ha habido tal discriminación".
En caso de desacuerdo, las dos partes pueden acudir a los órganos de resolución de conflictos certificados por los Estados miembros, pero sólo se rechazarán los litigios que no haya tratado ya otro órgano o tribunal. Las partes pueden seguir recurriendo a un tribunal nacional.
Las compensaciones por facilitar los datos deben ser razonables y no discriminatorias. En el caso de las PYME, la compensación no debe superar el coste real de la solicitud.
- Acceso del sector público
Los organismos públicos pueden acceder a los datos en circunstancias excepcionales, especialmente para responder a una emergencia pública o cumplir con las obligaciones legales. Las emergencias públicas incluyen las catástrofes naturales, las emergencias de salud pública y los atentados terroristas, mientras que se excluye de esta excepción la utilización de los datos para la investigación por las fuerzas de seguridad.
En caso de emergencia, los datos deben proporcionarse gratuitamente, mientras que el titular de los datos puede solicitar una compensación igual a los costes reales para los demás casos.
Las solicitudes de intercambio de datos deben ser proporcionadas y no perjudicar al titular de los datos. El organismo público no reutilizará los datos obtenidos, pero podrá ponerlos a disposición de la investigación científica.
Cuando sea pertinente, el titular de los datos debe "hacer esfuerzos razonables para seudonimizar los datos".
- Cambio de nube e interoperabilidad
La propuesta señala que SWIPO, una iniciativa no vinculante para facilitar el cambio de nube, "parece no haber afectado a la dinámica del mercado de forma significativa". Por ello, la legislación introduce la obligación de que los contratos contengan cláusulas de apoyo al cambio a la nube, requisitos de interoperabilidad y un periodo de transición para prohibir en última instancia que los proveedores de servicios de procesamiento de datos cobren alguna tasa por el cambio.
Si alguien decide trasladar un servicio operativo, un programa informático o una aplicación de un servicio en la nube a otro, debe gozar de "equivalencia funcional".
Los proveedores deben garantizar la compatibilidad con estándares abiertos o interfaces de interoperabilidad para todos los demás servicios.
La Comisión pedirá a una o varias organizaciones europeas de normalización que elaboren normas armonizadas para la interoperabilidad de los servicios en la nube. Si se considera insuficiente, el ejecutivo de la UE podría adoptar un acto de ejecución que obligue a utilizar especificaciones comunes, normas abiertas o interfaces abiertas.
- Transferencias de datos
Los proveedores de servicios en la nube deben adoptar todas las medidas razonables para evitar el acceso gubernamental o las transferencias de datos no personales que entren en conflicto con la legislación europea o nacional.
Las órdenes judiciales de terceros países sólo serán reconocidas si se basan en un acuerdo internacional. Si el país solicitante cumple ciertas condiciones, se puede compartir la cantidad mínima de datos permitida.
- Ejecución de la normativa
La ejecución se deja en manos de las autoridades competentes designadas por los Estados miembros, y las sanciones se definen también a nivel nacional.