Data Act

Uno de los principales objetivos de Reglamento (UE), del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Reglamento de Datos) consiste en promover el desarrollo de criterios de interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes. A este respecto, el Reglamento entiende la interoperabilidad como:

La capacidad de dos o más espacios de datos o redes de comunicación, sistemas, productos conectados, aplicaciones, servicios de tratamiento de datos o componentes para intercambiar y utilizar datos con el fin de desempeñar sus funciones.

Según afirma expresamente dicha norma “los datos interoperables y de alta calidad de diferentes ámbitos incrementan la competitividad y la innovación, y garantizan un crecimiento económico sostenible”, para lo cual resulta necesario que “los mismos datos pueden utilizarse y reutilizarse para diversos fines y de modo ilimitado, sin pérdida de calidad o cantidad”. Así pues, considera que resulta imprescindible “un enfoque regulador para la interoperabilidad que sea ambicioso y que inspire la innovación para superar la dependencia de un solo proveedor, que obstaculiza la competencia y el desarrollo de nuevos servicios”.

Interoperabilidad y espacios de datos

Esta preocupación ya existía en la Estrategia Europea de Datos, donde la interoperabilidad se consideraba un elemento clave para poner en valor los datos y, de manera singular, para el despliegue de la Inteligencia Artificial. De hecho, la interoperabilidad es una premisa inexcusable para los espacios de datos, de modo que el establecimiento de protocolos adecuados se convierte en esencial para garantizar su potencial, tanto por lo que se refiere a cada uno de los espacios de datos a nivel interno como, asimismo, a la hora de facilitar una integración transversal de varios de ellos.

En este sentido, son frecuentes las iniciativas de estandarización y los encuentros para tratar de establecer unas condiciones específicas de interoperabilidad en este tipo de escenarios, caracterizados por la diversidad de las fuentes de datos. Aunque supone una dificultad añadida, lo cierto es que un enfoque transversal, que integre varios espacios de datos, proporciona un mayor impacto en la generación de servicios de valor añadido y permite crear las condiciones jurídicas adecuadas para la innovación.

Según establece el Reglamento de Datos quienes participen en los espacios de datos y ofrezcan datos o servicios de datos a otros actores que intervengan en los mismos habrán de cumplir una serie de requisitos encaminados, precisamente, a garantizar unas condiciones adecuadas de interoperabilidad y que, de este modo, los datos puedan tratarse conjuntamente. Para ello, se proporcionará una descripción del contenido, la estructura, el formato y otras condiciones de uso de los datos, de manera que se facilite el acceso a los mismos y su compartición de manera automatizada, incluso en tiempo real o permitiendo la descarga masiva cuando proceda.

Conviene tener en cuenta que para los espacios de datos es esencial cumplir con los estándares técnicos y semánticos de interoperabilidad, puesto que una mínima normalización de las condiciones jurídicas facilita enormemente su funcionamiento. En concreto, es de gran importancia asegurar que quien aporte los datos es titular de los derechos necesarios para compartirlos en dicho entorno y, asimismo, poder acreditarlo de manera automatizada.

Interoperabilidad en los servicios de tratamiento de datos

El Reglamento de Datos presta una especial atención a la necesidad de mejorar la interoperabilidad entre los distintos proveedores de servicios de tratamiento de datos, de manera que los clientes puedan beneficiarse de la interacción entre cada uno de ellos, reduciendo así la dependencia de proveedores concretos.

Para ello, en primer lugar, refuerza la obligación de informar que tienen  los proveedores que prestan este tipo de servicios, a las que deberán añadirse aquellas derivadas de la regulación general en materia de suministro de contenidos y servicios digitales. En particular, deberán constar por escrito:

• Las condiciones contractuales relativas a los derechos del cliente, sobre todo en situaciones relacionadas con un posible cambio a otro proveedor o infraestructura.
• Una indicación completa de los datos que podrán exportarse durante el proceso de cambio de proveedor, de manera que el alcance de la obligación de interoperabilidad habrá de estar previamente fijado. Además, dicha información tiene que ofrecerse a través de un registro en línea actualizado que ofrecerá el proveedor de servicios.

El Reglamento pretende garantizar que el derecho de los clientes a la libre elección del proveedor de los servicios de datos no se vea afectado por barreras y dificultades derivados de la falta de interoperabilidad. Incluso, la regulación contempla una obligación de proactividad para que el cambio de proveedor tenga lugar sin incidencias en la prestación del servicio al cliente, por lo que les obliga a adoptar aquellas medidas que sean razonables para asegurar una “equivalencia funcional” e, incluso, a ofrecer de manera gratuita interfaces abiertas que faciliten dicho proceso. No obstante, en algún caso –en concreto, cuando se pretenda utilizar en paralelo dos servicios–, se permite al antiguo proveedor repercutir ciertos costes que se le puedan haber generado.

En última instancia, la interoperabilidad de los servicios de tratamiento de datos va más allá de simples aspectos técnicos o semánticos, de manera que se convierte en una premisa inexcusable para asegurar la portabilidad de los activos digitales, garantizar las condiciones de seguridad e integridad de los servicios y, entre otros objetivos, no interferir en la incorporación de las innovaciones tecnológicas, todo ello con un marcado protagonismo de los servicios en la nube.

Contratos inteligentes e interoperabilidad

El Reglamento de Datos también presta una especial atención a las condiciones de interoperabilidad que permitan la ejecución automatizada de los intercambios de datos, para lo cual resulta esencial fijarlas de manera predeterminada. De lo contrario, se verían afectadas las condiciones óptimas de funcionamiento que requiere el entorno digital, especialmente desde el punto de vista de la eficiencia.

La nueva regulación contempla obligaciones específicas para los proveedores de contratos inteligentes y, asimismo, para quienes desplieguen este tipo de herramientas al llevar a cabo su actividad comercial, empresarial o profesional. A tal efecto, se entiende por contrato inteligente aquel

programa informático utilizado para la ejecución automatizada de un acuerdo o de parte de este, que utiliza una secuencia de registros electrónicos de datos y garantiza su integridad y la exactitud de su orden cronológico.

Dichos sujetos han de garantizar que los contratos inteligentes cumplen con las obligaciones que contempla el Reglamento por lo que se refiere a la puesta a disposición de datos y, entre otros aspectos, será imprescindible garantizar “la coherencia con las condiciones del acuerdo de intercambio de datos que ejecuta el contrato inteligente”. En consecuencia, serán responsables del efectivo cumplimiento de tales exigencias, para lo cual deberán llevar a cabo una evaluación de conformidad y expedir una declaración relativa a la observancia de tales requisitos.

Para facilitar el cumplimiento de estas garantías, el Reglamento contempla una presunción de cumplimiento cuando se respeten las normas armonizadas publicadas en el Diario Oficial de la Unión Europea, para lo cual se autoriza a la Comisión a fin de que solicite a organizaciones europeas de normalización la elaboración de disposiciones específicas.

En los últimos cinco años y, en particular desde la Estrategia de 2020, se ha producido un importante avance en la regulación europea que permite afirmar que existen unas condiciones jurídicas adecuadas para garantizar la disponibilidad de los datos de calidad para impulsar la innovación tecnológica. Por lo que se refiere a la interoperabilidad, ya se han dado pasos muy relevantes, especialmente en el sector público, donde podemos encontrar tecnologías disruptivas que pueden resultar de enorme utilidad. Sin embargo, todavía está pendiente el desafío de concretar de manera precisa el alcance de las obligaciones establecidas legalmente.

Por ello el propio Reglamento de Datos habilita a la Comisión para que pueda adoptar especificaciones comunes que garanticen el efectivo cumplimiento de las medidas que contempla si fuera necesario. No obstante, se trata de una medida de carácter subsidiario, ya que previamente se han de intentar otras vías para conseguir la interoperabilidad, como es el caso de la elaboración de normas armonizadas a través de organizaciones de normalización.

En definitiva, a la hora de regular la interoperabilidad se requiere un planteamiento ambicioso, tal y como reconoce el propio Reglamento de Datos, si bien se trata de un proceso complejo que precisa de medidas de ejecución en diferentes niveles que van más allá de la simple aprobación de normas jurídicas, aun cuando dicha legislación suponga un importante avance para dinamizar la innovación en condiciones adecuadas, esto es, más allá de las simples premisas tecnológicas.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

El reciente Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Data Act) incorpora importantes novedades en la normativa europea a la hora de facilitar el acceso a los datos generados por los productos conectados y los servicios relacionados. Además de establecer medidas para impulsar la interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes, la nueva regulación también incorpora una importante novedad al regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.

¿Una nueva orientación en la regulación europea?

Con la normativa sobre reutilización de la información del sector público se pretendía fundamentalmente facilitar el acceso a los datos generados por las entidades del sector público, de manera que se impulsara el desarrollo de servicios de valor añadido basados en la innovación tecnológica. De hecho, tal y como se afirma expresamente en la Directiva de 2019, la reforma que llevó a cabo se justificaba en gran medida por la necesidad de actualizar el marco normativo aplicable a los nuevos desafíos que planteaba la tecnología digital y, en particular, la Inteligencia Artificial o el Internet de las Cosas.

Posteriormente, al amparo de la Estrategia Europea de Datos se aprobó una regulación sobre gobernanza, se han impulsado los espacios de datos y, asimismo, se ha publicado hace tan solo unos meses la Data Act. Esta última implica un importante giro desde el punto de vista de los sujetos afectados ya que, a diferencia de las regulaciones anteriores centradas en las obligaciones de las entidades del sector público, por una parte, disciplina las relaciones entre privados y, por otra, establece una importante medida destinada a que las entidades privadas sean quienes proporcionen datos a los organismos públicos en ciertas condiciones singulares.

¿En qué situaciones han de proporcionarse los datos?

En primer lugar, es necesario enfatizar que la Data Act no tiene por objeto ampliar los supuestos en que las entidades privadas tienen que entregar datos a los organismos públicos en cumplimiento de sus potestades de supervisión y cumplimiento normativo, como puede ser el caso de la prevención, investigación e imposición de sanciones penales o administrativas. Así pues, no afecta a las obligaciones que los sujetos privados ya tengan que cumplir para que, en base a los datos solicitados, los organismos públicos puedan ejerzan su actividad habitual en el ejercicio de una misión de servicio público como las indicadas.

Se trata, en cambio, de una regulación que pretende hacer frente a situaciones excepcionales, imprevisibles y limitadas en el tiempo, que pueden referirse:

• bien a la necesidad de obtener los datos para responder a una emergencia pública que no se encuentren disponibles por medios alternativos en condiciones equivalentes, como puede ser el caso del suministro de datos en entornos y plataformas ya existentes que se hubiesen desplegado para otra finalidad (por ejemplo: prestación de un servicio, ejecución de un proyecto de colaboración…);
• o, en su caso, a la imposibilidad por parte de la entidad pública de disponer de datos específicos para hacer frente a una tarea asignada por la ley y realizada en interés público cuando se hayan agotado todos los demás medios a su disposición, como puede ser el caso de la compra de datos no personales en el mercado por el organismo público, la consulta a una base de datos púbicas o su obtención en base a obligaciones previamente existentes para los sujetos privados.

En este último supuesto, es decir, cuando la necesidad de disponer de los datos no se justifique por la exigencia de responder a situaciones de emergencia, el objeto de la solicitud no podrá referirse a datos de carácter personal salvo que, por la propia naturaleza de la petición, sea imprescindible poder conocer en algún momento la identidad de su titular. En ese caso será necesario proceder a la seudonimización. En consecuencia, dado que los datos no estarían anonimizados, se habrán de tener en cuenta las garantías que establece la normativa sobre protección de datos. En concreto:

• Los datos se tendrán que separar de su titular para que este no pueda ser identificado por otra persona no autorizada.
• Habrán de adoptarse medidas técnicas y organizativas que impidan la reidentificación del titular, salvo  por quien está habilitado para ello cuando resulte necesario.

¿Para qué finalidades no se pueden utilizar los datos?

Salvo que la entidad privada que los proporcione lo hubiese autorizado expresamente, los organismos públicos no pueden emplear los datos para satisfacer una finalidad distinta a la que justificó su puesta a disposición. Sin embargo, en el ámbito de la estadística oficial o cuando se necesiten llevar a cabo actividades de investigación científica o análisis que no puedan realizar por sí mismas las propias entidades públicas que solicitan los datos, se permite que se puedan ceder a otras entidades para realizar dichas actividades. Ahora bien, esta posibilidad presenta importantes limitaciones, ya que dichas actividades deben resultar compatibles con los fines para los que se obtuvieron los datos, lo que impediría por ejemplo utilizar los datos para entrenar algoritmos que luego puedan emplearse para el ejercicio de otras funciones o competencias propias de la entidad pública no relacionadas con la investigación o el análisis. Asimismo, los datos sólo podrán ponerse a disposición de entidades sin ánimo de lucro o que satisfagan fines de interés público como pueden ser las universidades y los organismos públicos de investigación.

Tampoco se podrán utilizar los datos para desarrollar o mejorar productos y servicios relacionados con la entidad que los entrega, ni compartirlos con terceros para dichos fines. Esto impediría, por ejemplo, que utilicen los datos para entrenar sistemas de Inteligencia Artificial por parte de la entidad pública o uno de sus contratistas que afecten negativamente al objeto de la actividad habitual de la entidad que los proporcionó.

Por último, los datos obtenidos en aplicación de esta regulación no pueden ponerse a disposición de otros sujetos al amparo de la normativa sobre datos abiertos y reutilización del sector público, de manera que su aplicación queda excluida expresamente.

¿Qué garantías se establecen para el titular de los datos obligado a entregarlos?

La petición de los datos deberá formularse por el organismo público mediante una solicitud formal en la que será preciso determinar los datos necesarios y justificar por qué se dirige a la entidad que recibe el requerimiento. Además, será imprescindible explicar las razones excepcionales que sustenten la solicitud y, en concreto, por qué no es posible obtener los datos por otra vía.

Con carácter general, el titular de los datos tiene derecho a formular una reclamación frente a la solicitud de los datos, que habrá de dirigir a la autoridad competente designada por cada Estado para garantizar la aplicación del Reglamento y que figurará en el registro que establezca la Comisión Europea.

Finalmente, en ciertos casos, se reconoce al titular de los datos el derecho a solicitar una compensación razonable por los costes y un margen razonable necesario para poner los datos a disposición de la entidad pública, si bien esta última puede impugnar la compensación solicitada ante la autoridad antes referida. Sin embargo, cuando la petición de acceso a los datos se justifique en la necesidad de responder a emergencias públicas o la salvaguarda de un interés público significativo, no se contempla compensación alguna a los titulares de los datos. Este sería el caso de un acontecimiento de origen natural (terremotos, riadas…) o situaciones imprevistas y graves que afectan al normal funcionamiento social en ámbitos esenciales como la salud o el orden público.

En definitiva, la obligación de proporcionar datos a las entidades públicas por parte de los sujetos privados en estos casos va más allá del objetivo de impulsar un mercado único de datos a nivel de la Unión Europea, finalidad que en gran medida había sustentado el avance en la regulación en materia de datos en los últimos años. Sin embargo, la gravedad de la situación generada como consecuencia del COVID-19 ha evidenciado la necesidad de establecer un marco normativo general que garantice que las entidades públicas puedan disponer de los datos necesarios para hacer frente a situaciones excepcionales por razones de interés público. En todo caso, la efectividad de estas medidas sólo podrá comprobarse a partir de septiembre de 2025, cuando está prevista su efectiva aplicación.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

La aprobación del Reglamento (UE), del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos) supone un importante avance en la regulación que la Unión Europea para facilitar la accesibilidad de los datos. Se trata de una iniciativa ya contemplada en la Estrategia Europea de Datos que tiene como principales finalidades:

• Regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.
• Promover el desarrollo de criterios de interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes.
• Y, desde la perspectiva que ahora nos interesa, impulsar la puesta a disposición de los datos que generan los productos y servicios conectados, ya sea a favor de quienes los utilizan o de los terceros que estos indiquen.

A este respecto, ante las dificultades de los usuarios en el acceso a los datos, el Reglamento trata de facilitar que puedan elegir libremente los proveedores de servicios de reparación y otros servicios, ya que se ha detectado que en muchos ámbitos los fabricantes intentan reservarse su utilización en condiciones de exclusividad. Entre otras cuestiones, se pretende impulsar el derecho del usuario a decidir para qué fines y por quién se pueden utilizar los datos, sin perjuicio de la existencia de una serie de limitaciones y condicionantes que se contemplan en el propio Reglamento.

Un importante cambio de orientación en la regulación

Mientras que la Directiva de datos abiertos y reutilización de la información del sector público y el Reglamento sobre Gobernanza de Datos se centran en establecer reglas y garantías que promuevan el acceso a los datos en poder de las entidades públicas, la nueva regulación presta una especial atención a las relaciones entre sujetos privados. Es decir, permite a los organismos públicos exigir datos a ciertos sujetos privados en condiciones excepcionales y por razones de interés público.

Uno de los principales objetivos del Reglamento de Datos consiste en fomentar no solo “el desarrollo de productos conectados o servicios relacionados nuevos e innovadores y estimular la innovación en los mercados de posventa, sino también en estimular el desarrollo de servicios totalmente novedosos que utilicen los datos en cuestión, incluso los basados en datos procedentes de diversos productos conectados o servicios relacionados”.

A tal efecto, se ha considerado esencial establecer obligaciones claras y precisas  para que los fabricantes de los productos conectados, quienes los suministren y los prestadores de servicios vinculados tengan que compartir con los usuarios los datos generados.

¿Qué obligaciones se han establecido?

Con carácter previo a la contratación de los productos y servicios, el titular de los datos –esto es, el suministrador del producto o servicio, que puede ser también el fabricante –‑‑, deberá proporcionar al usuario información sobre:

• La cantidad y las condiciones de los datos que se pueden generar
• Cómo se puede acceder a dichos datos
• Cómo se pueden suprimir

A este respecto, se exige que en el diseño de los productos y los servicios se adopten medidas adecuadas para que, por defecto, los datos sean accesibles, de manera gratuita y directa, sobre todo, en un formato estructurado que permita su lectura mecánica.

Sin embargo, este derecho está sometido a ciertas condiciones y limitaciones con el fin de garantizar que no se ven afectados otros bienes e intereses jurídicos:

• El titular de los datos no podrá dificultar que el usuario acceda a sus datos, pero sí podrá exigirle que se identifique, aun cuando tenga prohibido conservar la información generada de manera indefinida.
• Podrá establecer restricciones en el contrato cuando, a consecuencia del acceso del usuario a los datos, exista un riesgo para el funcionamiento del producto que pueda afectar a la salud o la seguridad de las personas.
• En ningún caso podrá utilizar los datos que se obtengan durante el uso del producto o la prestación del servicio para ponerlos a disposición de un tercero, salvo que sea estrictamente imprescindible para el cumplimiento del contrato.
• También tiene prohibido de manera expresa utilizar los datos para hacer averiguaciones acerca de las circunstancias y la actividad del usuario, como, por ejemplo, su situación económica.

Por su parte, el usuario también se ve condicionado por una serie de obligaciones específicamente dirigidas a garantizar la buena fe de su relación jurídica con el titular:

• No tiene permitido utilizar los datos para competir con este último, ya sea de manera directa o a través de un tercero a quien pueda proporcionárselos,
• No puede aprovechar el acceso a los mismos para realizar averiguaciones acerca de la actividad del fabricante del producto o, en su caso, del titular de los datos.
• Junto con estas obligaciones se le reconoce el derecho a compartir los datos con un tercero, que sólo podrá utilizarlos para las finalidades que le autorice. En concreto, no podrá elaborar perfiles salvo que sea necesario para prestar el servicio, ni ponerlos  a disposición de otro sujeto o desarrollar un producto que compita con aquel del que procedan originariamente los datos.

En todo caso, la regulación establece una importante limitación a tener en cuenta por los usuarios, ya que se excluye de este régimen a las microempresas y pequeñas empresas. Con una excepción: que hubieran recibido el encargo de desarrollar el producto o prestar el servicio por parte de un sujeto que sí estuviera incluido en el ámbito de aplicación del Reglamento.

¿Qué garantías se contemplan para asegurar la efectividad de esta regulación?

Como sucede con carácter general en cualquier ámbito, el usuario podrá acudir ante un órgano judicial para exigir el respeto de sus derechos. Además, adicionalmente, la nueva regulación establece la posibilidad de dirigirse a la autoridad designada a nivel estatal para garantizar la aplicación y ejecución de las previsiones del Reglamento. En el caso de que la problemática se refiera al tratamiento de datos personales, también podrá ejercer sus derechos ante la autoridad competente en este ámbito.

A este respecto, la Comisión Europea tendrá que hacer público un listado de las correspondientes autoridades a partir de la información proporcionada por los Estados. Estos podrán designar más de una autoridad, indicando a cuál le corresponde la función de coordinación. Dichas autoridades contarán con los medios suficientes: sus integrantes habrán de tener la especialización requerida para el desempeño de sus funciones y se garantizará su imparcialidad, de manera que no podrán recibir instrucciones de otras entidades.

Al margen de esta vía, el titular de los datos y el usuario –o, en su caso el tercero a quien este permita su utilización—podrán acordar voluntariamente someterse a un órgano de resolución de litigios certificado, cuya decisión habrá de adoptarse en un plazo máximo de 90 días. Dicho órgano deberá acreditarse ante el Estado donde esté establecido. Para ello deberá justificar su imparcialidad, capacidad e independencia. También deberá demostrar que dispone de unas normas procedimentales adecuadas y que es fácilmente accesible por medios electrónicos.

En definitiva, con la nueva Ley de Datos no sólo se ha establecido un marco normativo que refuerza el acceso de los usuarios a los datos que se generan por los productos conectados que adquieren y los servicios vinculados de los que disfrutan, sino que, además, se han consagrado una serie de garantías específicamente dirigidas a asegurar su efectivo cumplimiento.

Descarga la infografía en PDF aquí

Esta infografía también está disponible en dos páginas

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

Transcurridos cuatro años desde la publicación de la Comunicación de la Comisión Europea ‘Una Estrategia de Datos’ (febrero de 2020) ––en la que se establecen las líneas generales de la futura economía de datos de la Unión Europea–– la profusión de normativa relacionada con este ámbito, la creciente importancia de los datos abiertos y el despliegue de iniciativas de todo tipo que inciden en el desarrollo del mismo, aconsejan realizar una revisión que actualice el estado de la cuestión. Así lo pensaron los miembros de la red PromethEUs1 que bajo el título de ‘La Estrategia europea del dato desde una perspectiva multidimensional’ publicaron en junio de 2023 un análisis que desgrana dicha Estrategia desde dos enfoques principales: los aspectos políticos y regulatorios, por un lado, y los aspectos geopolíticos, por otro. Este análisis se complementa con dos capítulos que presentan el impacto económico de la innovación basada en datos y el caso concreto de la digitalización del sector de la salud en el sur de Europa.

El primero de los análisis ––elaborado por el Instituto de Política Pública de Portugal–– parte de la idea principal de que la Unión Europea aspira a crear una economía basada en los datos cuyo centro sean los ciudadanos. Un objetivo que, en parte, se alcanzará implementando las directrices seguidas de actos legislativos como el Reglamento de Gobernanza de Datos (DGA en sus siglas en inglés) y el Reglamento de Datos (Data Act).

Regulaciones a considerar

En esencia, la DGA habilita un marco facilitador del intercambio de datos, promoviendo su disponibilidad y la creación de un entorno fiable y seguro donde materializar nuevos servicios y productos innovadores. De entre sus principales medidas destacan tres aspectos:

1. Una reutilización más extensa de información protegida que obra en manos del sector público (con pleno respeto a su privacidad y confidencialidad).
2. Un marco para el fomento de servicios neutrales de intermediación de datos, garante de la soberanía del dato.
3. Unos mecanismos para la cesión altruista de datos.

La DA, por su parte, tiene por objeto establecer reglas armonizadas sobre el acceso y el uso equitativo de los datos, hacer frente a los desequilibrios en las relaciones contractuales entre proveedores y usuarios en lo relativo a la propiedad y uso de los mismos, promover su interoperabilidad y portabilidad eficiente, así como garantizar unas condiciones mínimas para los usuarios de servicios de tratamiento de datos.

Otros textos normativos inciden, directa o indirectamente, en el objetivo global descrito e interactúan de forma significativa tanto con las referidas DGA y DA, como con la regulación sectorial específica. Entre ellas, la Directiva de Datos Abiertos (2019), la Declaración de Derechos Digitales (2022), la Ley de Mercados Digitales, la Ley de Servicios Digitales, o las propuestas para la Ley de Inteligencia Artificial, para la directiva de responsabilidad en materia de IA y para la Ley de infraestructuras de Gigabit. Todo ello sin olvidar la forma en que influyen decisivamente en este ámbito tanto el Reglamento de Protección de Datos Personales (2016), como la Directiva sobre la privacidad y las comunicaciones electrónicas (2002) que será sustituida por el próximo Reglamento en la misma materia.

Efectos de la estrategia europea de datos

Efectuado el repaso de los aspectos que consideran más relevantes de dicha regulación, el documento de PromethEUs destaca tres dimensiones en cuanto a los efectos de la Estrategia europea de los Datos: la política, la económica y la propiamente regulatoria. Efectos, por otro lado, que esperan sean positivos en términos generales, pese a que reconocen la existencia de incertidumbre en relación con las leyes asociadas y su implementación práctica.

Dimensión política

En la dimensión política, los autores destacan el papel que jugarán tanto la Comisión Europea, como el Comité Europeo de Innovación en materia de Datos (EDIB en sus siglas en inglés) previsto en el artículo 29 de la DGA. El EDIB ostenta un papel de coordinación imprescindible que se tendrá que desplegar, igualmente, en relación con los Estados miembro y las respectivas autoridades competentes. En este sentido, advierten los autores, la falta de coordinación puede llevar a un marco institucional heterogéneo que puede retrasar la implementación de la Estrategia. Recomiendan, además, que se establezcan directrices claras e incluso guías que prevengan de la posible confusión en cuanto a los requisitos y eventuales penalizaciones que impongan los Estados.

Dimensión económica

En la dimensión económica, destaca el informe que la Comisión espera un claro impacto positivo y citan un estudio de la OCDE que estima que el acceso y compartición de datos generará beneficios sociales y económicos por un valor de entre el 0,1 y el 1,5% del GDP en el sector público de datos; que alcanzaría entre el 1 y el 2,5% (algunos estudios lo elevan al 4%) sumando el privado. La Comisión, explica el documento, estima que el incremento de la disponibilidad de datos para el uso comercial y la innovación entre empresas, así como para consumidores y compañías usuarias de productos conectados y servicios relacionados, pueden generar hasta 196.700 millones de euros al año en 2028. Solo la aplicación de la DA creará hasta 2,2 millones de empleos en el periodo 2024-2028.

En este sentido, y en relación con el objetivo de la Estrategia de impulsar la competitividad y la inversión en I+D, dicen los autores que la DGA y la DA deberían crear confianza para la compartición de datos B2B; y que la idea central sería que las compañías no focalicen sus recursos y su modelo de negocio exclusivamente en el mantenimiento interno de sus datos, sino en la creación de valor mediante la transformación y combinación de datos. Igualmente, en relación con las pymes, apuntan la necesidad de reducir las barreras de acceso y especialmente los costes de cumplimento que puede inducir la DA. Incluso considerando que las pymes están protegidas en muchos aspectos, explican, dichos costes pueden ser un revés para muchas empresas. Así, aseguran, mientras que para algunos pueden significar costes financieros añadidos, para otros pueden significar un total rediseño de los modelos de negocio de la compañía.

Dimensión regulatoria

Por último, en cuanto a la dimensión regulatoria, los autores señalan que la implementación de la DA y la DGA va a requerir de cuerpos regulatorios bien capacitados para el abundante trabajo que emanará de aquellas. La creación de cuerpos efectivos requerirá ––explican–– de una significativa inversión en recursos humanos y habilidades. Alertan, por otro lado, del riesgo de solapamiento de atribuciones entre administraciones públicas y reguladores en áreas como la protección de datos, la ciberseguridad, la infraestructura de red y los temas de competencia. Por lo cual, concluyen, será primordial, entre otras cuestiones, una adecuada coordinación de actividades.

Efectivamente, coordinación es un concepto clave a todos los niveles. La evolución que experimente la Economía del Dato ––tanto a nivel de la Unión como globalmente–– está vinculada, sea cual sea el ámbito analizado, a ese imprescindible factor. Un factor aplicable a cómo se implemente y despliegue la Estrategia Europea, auténtica batuta que está marcando el paso de este proceso. Pero también aplicable a la forma en la que se interrelacionen las múltiples normativas concernidas y, en consecuencia, a la imprescindible actuación armonizada de las autoridades y organismos que las apliquen en sus respectivos ámbitos de competencia. En definitiva, una coordinación que, como la batuta virtuosa del director de orquesta, permita una ejecución exitosa de la partitura. Una partitura ––la Estrategia Europea–– que se traduzca en la melodía vigorosa que promete la Economía del Dato, como ya demuestran los indicadores y registros que perfilan su imparable evolución.       

1.PromethEUs es una red de think tanks compuesto por el Institute of Public Policy (Portugal); el Real Instituto Elcano (España); el Istituto per la Competitività I-Com (Italia); y la  Foundation for Economic & Industrial Research - IOBE (Grecia).

Dos de las regulaciones más relevantes de la Unión Europea en materia de datos articularán en breve el contorno jurídico que delimitará el desarrollo de la economía del dato en los próximos años. El Data Governance Act (DGA) es plenamente aplicable desde el pasado 24 de septiembre de 2023, mientras que la redacción de la Data Act (DA) fue aprobada el pasado 27 de noviembre.  

No son las únicas, pues el marco jurídico ya incluye otras normas importantes que regulan materias que se interconectan, revelando así el enfoque proactivo de la Unión Europea en el establecimiento de unas reglas de juego acordes con las necesidades de la ciudadanía y las empresas europeas. Unas pautas que ofrecen el entorno de seguridad jurídico necesario para lograr el objetivo último de impulsar un Mercado Único Digital europeo. 

En el caso de la DGA y la DA, las negociaciones para su aprobación han puesto de manifiesto que sus objetivos eran compartidos por los grupos de interés concernidos. Para ambas, el dato constituye un elemento central para la transformación digital, y comparten el interés en eliminar o reducir las barreras y obstáculos para su compartición. Asumen así que la innovación basada en los datos reportará enormes beneficios a los ciudadanos y a la economía. Por tanto, crear marcos jurídicos que faciliten dichos procesos es un objetivo común para empresas, instituciones y ciudadanía. 

Las aportaciones realizadas desde el mundo académico, empresarial y asociativo han sido abundantes y enriquecedoras, tanto para la fase de elaboración de las normas, como para lo que será su implementación y desarrollo en la práctica. Una de las cuestiones más reiteradas es la preocupación por la forma en que interactuarán las distintas normas de ese ‘paquete normativo digital’. Particularmente importante es la interacción con el Reglamento General de Protección de Datos, razón por la cual DGA y DA han establecido líneas generales sobre la preeminencia de dicho reglamento en caso de conflicto. En este sentido, el incremento de la normativa no impide que surjan situaciones concretas en la práctica alrededor de conceptos clave del ámbito de los datos personales, como el consentimiento, los fines del tratamiento, la anonimización, o la portabilidad.  

Otra de las cuestiones resaltadas tiene que ver con la búsqueda de sinergias entre esta normativa y los modelos de negocio de datos actuales o futuros. El objetivo general reconocido es el de impulsar el desarrollo de los espacios de datos y de la economía del dato en su conjunto. Esta meta será más cercana en la medida en que la ‘carga regulatoria’ no reduzca los incentivos de las empresas a invertir en recopilar y gestionar datos; que no debilite la posición competitiva de las empresas europeas (protegiendo adecuadamente los secretos comerciales, los derechos de propiedad intelectual y la confidencialidad); y que haya un equilibrio adecuado entre los intereses generales y los empresariales. 

El caso de la Data Governance Act 

En el caso de la DGA, las disposiciones relacionadas con los servicios de intermediación de datos ––una de las partes centrales del reglamento–– ocuparon una parte significativa de los análisis previos realizados. Se planteaba, por ejemplo, hasta qué punto podrían competir las PYMEs y empresas de nueva creación con las grandes compañías tecnológicas en la prestación de estos servicios; o si, al exigir la separación estructural que se le requiere a los proveedores de servicios de intermediación de datos (a través de una persona jurídica separada), pudieran darse problemas relacionados con otras funcionalidades de las mismas empresas.   

En la misma línea, se plantea si una economía de los datos más descentralizada requiere nuevos intermediarios, o si bajo la nueva formulación jurídica, pueden estos competir con éxito en los mercados de datos a través de modelos de negocio alternativos no integrados verticalmente.  

Consideraciones al despliegue de la Data Act 

En relación con la DA, la redacción final de la norma clarificó su alcance, la definición de conceptos y la categorización de los datos, como así se había sugerido desde la industria. La aplicación sectorial concreta que se desarrolle a posteriori irá definiendo, aún más, aquellos conceptos e interpretaciones que aporten la deseable seguridad jurídica. 

Seguridad jurídica que se ha esgrimido también en relación con los secretos comerciales, el derecho de propiedad intelectual y la confidencialidad; aspecto que el Reglamento trata de abordar con salvaguardas dirigidas a evitar los usos indebidos y el fraude.  

Otros aspectos que centraron la atención fueron las compensaciones por puesta a disposición; los procedimientos de resolución de conflictos; lo previsto sobre cláusulas contractuales abusivas (dirigidas a compensar el desequilibrio en el poder de negociación); la puesta a disposición de datos en caso de necesidad excepcional; y, finalmente, las disposiciones sobre el cambio de un proveedor de servicio de tratamiento de datos a otro. 

Un punto de partida positivo 

El punto de partida, en cualquier caso, es positivo. La economía de los datos en la Unión Europea se afianza sobre la base de la Estrategia Europea de Datos, y el paquete normativo que la desarrolla. Existen además ejemplos prácticos del potencial de los ecosistemas industriales que se están desplegando en torno a los Espacios Europeos Comunes de Datos en sectores como el turismo, la movilidad y logística, el agroalimentario, entre otros. Además, iniciativas que aglutinan intereses públicos y privados en este ámbito están avanzando de forma muy importante en el despliegue de los fundamentos técnicos y de gobernanza, el fortalecimiento de la posición competitiva de las empresas europeas, y la consecución del objetivo final de un mercado único de datos en la Unión Europea. 

Accede aquí una versión ampliada de esta nota.