La aprobación del Reglamento (UE), del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos) supone un importante avance en la regulación que la Unión Europea para facilitar la accesibilidad de los datos. Se trata de una iniciativa ya contemplada en la Estrategia Europea de Datos que tiene como principales finalidades:
- Regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.
- Promover el desarrollo de criterios de interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes.
- Y, desde la perspectiva que ahora nos interesa, impulsar la puesta a disposición de los datos que generan los productos y servicios conectados, ya sea a favor de quienes los utilizan o de los terceros que estos indiquen.
A este respecto, ante las dificultades de los usuarios en el acceso a los datos, el Reglamento trata de facilitar que puedan elegir libremente los proveedores de servicios de reparación y otros servicios, ya que se ha detectado que en muchos ámbitos los fabricantes intentan reservarse su utilización en condiciones de exclusividad. Entre otras cuestiones, se pretende impulsar el derecho del usuario a decidir para qué fines y por quién se pueden utilizar los datos, sin perjuicio de la existencia de una serie de limitaciones y condicionantes que se contemplan en el propio Reglamento.
Un importante cambio de orientación en la regulación
Mientras que la Directiva de datos abiertos y reutilización de la información del sector público
y el Reglamento sobre Gobernanza de Datos se centran en establecer reglas y garantías que promuevan el acceso a los datos en poder de las entidades públicas, la nueva regulación presta una especial atención a las relaciones entre sujetos privados. Es decir, permite a los organismos públicos exigir datos a ciertos sujetos privados en condiciones excepcionales y por razones de interés público.
Uno de los principales objetivos del Reglamento de Datos consiste en fomentar no solo “el desarrollo de productos conectados o servicios relacionados nuevos e innovadores y estimular la innovación en los mercados de posventa, sino también en estimular el desarrollo de servicios totalmente novedosos que utilicen los datos en cuestión, incluso los basados en datos procedentes de diversos productos conectados o servicios relacionados”.
A tal efecto, se ha considerado esencial establecer obligaciones claras y precisas para que los fabricantes de los productos conectados, quienes los suministren y los prestadores de servicios vinculados tengan que compartir con los usuarios los datos generados.
¿Qué obligaciones se han establecido?
Con carácter previo a la contratación de los productos y servicios, el titular de los datos –esto es, el suministrador del producto o servicio, que puede ser también el fabricante – deberá proporcionar al usuario información sobre:
- La cantidad y las condiciones de los datos que se pueden generar
- Cómo se puede acceder a dichos datos
- Cómo se pueden suprimir
A este respecto, se exige que en el diseño de los productos y los servicios se adopten medidas adecuadas para que, por defecto, los datos sean accesibles, de manera gratuita y directa, sobre todo, en un formato estructurado que permita su lectura mecánica.
Sin embargo, este derecho está sometido a ciertas condiciones y limitaciones con el fin de garantizar que no se ven afectados otros bienes e intereses jurídicos:
- El titular de los datos no podrá dificultar que el usuario acceda a sus datos, pero sí podrá exigirle que se identifique, aun cuando tenga prohibido conservar la información generada de manera indefinida.
- Podrá establecer restricciones en el contrato cuando, a consecuencia del acceso del usuario a los datos, exista un riesgo para el funcionamiento del producto que pueda afectar a la salud o la seguridad de las personas.
- En ningún caso podrá utilizar los datos que se obtengan durante el uso del producto o la prestación del servicio para ponerlos a disposición de un tercero, salvo que sea estrictamente imprescindible para el cumplimiento del contrato.
- También tiene prohibido de manera expresa utilizar los datos para hacer averiguaciones acerca de las circunstancias y la actividad del usuario, como, por ejemplo, su situación económica.
Por su parte, el usuario también se ve condicionado por una serie de obligaciones específicamente dirigidas a garantizar la buena fe de su relación jurídica con el titular:
- No tiene permitido utilizar los datos para competir con este último, ya sea de manera directa o a través de un tercero a quien pueda proporcionárselos,
- No puede aprovechar el acceso a los mismos para realizar averiguaciones acerca de la actividad del fabricante del producto o, en su caso, del titular de los datos.
- Junto con estas obligaciones se le reconoce el derecho a compartir los datos con un tercero, que sólo podrá utilizarlos para las finalidades que le autorice. En concreto, no podrá elaborar perfiles salvo que sea necesario para prestar el servicio, ni ponerlos a disposición de otro sujeto o desarrollar un producto que compita con aquel del que procedan originariamente los datos.
En todo caso, la regulación establece una importante limitación a tener en cuenta por los usuarios, ya que se excluye de este régimen a las microempresas y pequeñas empresas. Con una excepción: que hubieran recibido el encargo de desarrollar el producto o prestar el servicio por parte de un sujeto que sí estuviera incluido en el ámbito de aplicación del Reglamento.
¿Qué garantías se contemplan para asegurar la efectividad de esta regulación?
Como sucede con carácter general en cualquier ámbito, el usuario podrá acudir ante un órgano judicial para exigir el respeto de sus derechos. Además, adicionalmente, la nueva regulación establece la posibilidad de dirigirse a la autoridad designada a nivel estatal para garantizar la aplicación y ejecución de las previsiones del Reglamento. En el caso de que la problemática se refiera al tratamiento de datos personales, también podrá ejercer sus derechos ante la autoridad competente en este ámbito.
A este respecto, la Comisión Europea tendrá que hacer público un listado de las correspondientes autoridades a partir de la información proporcionada por los Estados. Estos podrán designar más de una autoridad, indicando a cuál le corresponde la función de coordinación. Dichas autoridades contarán con los medios suficientes: sus integrantes habrán de tener la especialización requerida para el desempeño de sus funciones y se garantizará su imparcialidad, de manera que no podrán recibir instrucciones de otras entidades.
Al margen de esta vía, el titular de los datos y el usuario –o, en su caso el tercero a quien este permita su utilización—podrán acordar voluntariamente someterse a un órgano de resolución de litigios certificado, cuya decisión habrá de adoptarse en un plazo máximo de 90 días. Dicho órgano deberá acreditarse ante el Estado donde esté establecido. Para ello deberá justificar su imparcialidad, capacidad e independencia. También deberá demostrar que dispone de unas normas procedimentales adecuadas y que es fácilmente accesible por medios electrónicos.
En definitiva, con la nueva Ley de Datos no sólo se ha establecido un marco normativo que refuerza el acceso de los usuarios a los datos que se generan por los productos conectados que adquieren y los servicios vinculados de los que disfrutan, sino que, además, se han consagrado una serie de garantías específicamente dirigidas a asegurar su efectivo cumplimiento.
