L'aprovació del Reglamente (UE), del Parlament Europeu i del Consell de 13 de desembre de 2023 sobre normes harmonitzades per a un accés just a les dades i la seua utilització (Llei de Dades) suposa un important avanç en la regulació que la Unió Europea per a facilitar l'accessibilitat de les dades. Es tracta d'una iniciativa ja contemplada en Estratègia Europea de Dades que té com a principals finalitats:
- Regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.
- Promoure el desenvolupament de criteris d'interoperabilitat en els espais de dades, els servicis de tractament de dades i els contractes intel·ligents.
- I, des de la perspectiva que ara ens interessa, impulsar la posada a la disposició de les dades que generen els productes i servicis connectats, ja siga a favor d'els qui els utilitzen o dels tercers que estos indiquen.
Referent a açò, davant les dificultats dels usuaris en l'accés a les dades, el Reglament tracta de facilitar que puguen triar lliurement els proveïdors de servicis de reparació i altres servicis, ja que s'ha detectat que en molts àmbits els fabricants intenten reservar-se la seua utilització en condicions d'exclusivitat. Entre altres qüestions, es pretén impulsar el dret de l'usuari a decidir para quines finalitats i per qui es poden utilitzar les dades, sense perjuí de l'existència d'una sèrie de limitacions i condicionants que es contemplen en el propi Reglament.
Un important canvi d'orientació en la regulació
Mentre que la Directiva de dades obertes i reutilització de la informació del sector públic
i el Reglament sobre Governança de Dades se centren a establir regles i garanties que promoguen l'accés a les dades en poder de les entitats públiques, la nova regulació presta una especial atenció a les relacions entre subjectes privats. És a dir, permet als organismes públics exigir dades a certs subjectes privats en condicions excepcionals i per raons d'interés públic.
Un dels principals objectius del Reglament de Dades consistix a fomentar no solament “el desenvolupament de productes connectats o servicis relacionats nous i innovadors i estimular la innovació en els mercats de posventa, sinó també a estimular el desenvolupament de servicis totalment nous que utilitzen les dades en qüestió, fins i tot els basats en dades procedents de diversos productes connectats o servicis relacionats”.
A este efecte, s'ha considerat essencial establir obligacions clares i precises perquè els fabricants dels productes connectats, els qui els subministren i els prestadors de servicis vinculats hagen de compartir amb els usuaris les dades generades.
Quines obligacions s'han establit?
Amb caràcter previ a la contractació dels productes i servicis, el titular de les dades –açò és, el subministrador del producte o servici, que pot ser també el fabricant – haurà de proporcionar a l'usuari informació sobre:
- La quantitat i les condicions de les dades que es poden generar
- Com es pot accedir a aquestes dades
- Com es poden suprimir
Referent a açò, s'exigix que en el disseny dels productes i els servicis s'adopten mesures adequades perquè, per defecte, les dades siguen accessibles, de manera gratuïta i directa, sobretot, en un format estructurat que permeta la seua lectura mecànica.
No obstant açò, este dret està sotmès a certes condicions i limitacions amb la finalitat de garantir que no es veuen afectats altres béns i interessos jurídics:
- El titular de les dades no podrà dificultar que l'usuari accedisca a les seues dades, però sí podrà exigir-li que s'identifique, tot i que tinga prohibit conservar la informació generada de manera indefinida.
- Podrà establir restriccions en el contracte quan, a conseqüència de l'accés de l'usuari a les dades, existisca un risc per al funcionament del producte que puga afectar a la salut o la seguretat de les persones.
- En cap cas podrà utilitzar les dades que s'obtinguen durant l'ús del producte o la prestació del servici per a posar-los a la disposició d'un tercer, llevat que siga estrictament imprescindible per al compliment del contracte.
- També té prohibit de manera expressa utilitzar les dades per a fer indagacions sobre les circumstàncies i l'activitat de l'usuari, com, per exemple, la seua situació econòmica.
Per la seua part, el usuari també es veu condicionat per una sèrie d'obligacions específicament dirigides a garantir la bona fe de la seua relació jurídica amb el titular:
- No té permès utilitzar les dades per a competir amb este últim, ja siga de manera directa o a través d'un tercer a qui puga proporcionar-li'ls,
- No pot aprofitar l'accés als mateixos per a realitzar indagacions sobre l'activitat del fabricant del producte o, si escau, del titular de les dades.
- Juntament amb estes obligacions se li reconeix el dret a compartir les dades amb un tercer, que només podrà utilitzar-los per a les finalitats que li autoritze. En concret, no podrà elaborar perfils llevat que siga necessari per a prestar el servici, ni posar-los a la disposició d'un altre subjecte o desenvolupar un producte que competisca amb aquell del que procedisquen originàriament les dades.
En todo caso, la regulación establece una importante limitación a tener en cuenta por los usuarios, ya que se excluye de este régimen a las microempresas y pequeñas empresas. Con una excepción: que hubieran recibido el encargo de desarrollar el producto o prestar el servicio por parte de un sujeto que sí estuviera incluido en el ámbito de aplicación del Reglamento.
Quines garanties es contemplen per a assegurar l'efectivitat d'esta regulació?
Com succeeix amb caràcter general en qualsevol àmbit, l'usuari podrà acudir davant un òrgan judicial per a exigir el respecte dels seus drets. A més, addicionalment, la nova regulació establix la possibilitat de dirigir-se a l'autoritat designada a nivell estatal per a garantir l'aplicació i execució de les previsions del Reglament. En el cas que la problemàtica es referisca al tractament de dades personals, també podrà exercir els seus drets davant l'autoritat competent en este àmbit.
Referent a açò, la Comissió Europea haurà de fer públic un llistat de les corresponents autoritats a partir de la informació proporcionada pels Estats. Estos podran designar més d'una autoritat, indicant a quin li correspon la funció de coordinació. Aquestes autoritats comptaran amb els mitjans suficients: els seus integrants hauran de tindre l'especialització requerida per a l'acompliment de les seues funcions i es garantirà la seua imparcialitat, de manera que no podran rebre instruccions d'altres entitats.
Al margen de esta vía, el titular de los datos y el usuario –o, en su caso el tercero a quien este permita su utilización—podrán acordar voluntariamente someterse a un órgano de resolución de litigios certificado, cuya decisión habrá de adoptarse en un plazo máximo de 90 días. Dicho órgano deberá acreditarse ante el Estado donde esté establecido. Para ello deberá justificar su imparcialidad, capacidad e independencia. También deberá demostrar que dispone de unas normas procedimentales adecuadas y que es fácilmente accesible por medios electrónicos.
En definitiva, con la nueva Ley de Datos no sólo se ha establecido un marco normativo que refuerza el acceso de los usuarios a los datos que se generan por los productos conectados que adquieren y los servicios vinculados de los que disfrutan, sino que, además, se han consagrado una serie de garantías específicamente dirigidas a asegurar su efectivo cumplimiento.
