L'aprovació del Reglamente (UE), del Parlament Europeu i del Consell de 13 de desembre de 2023 sobre normes harmonitzades per a un accés just a les dades i la seua utilització (Llei de Dades) suposa un important avanç en la regulació que la Unió Europea per a facilitar l'accessibilitat de les dades. Es tracta d'una iniciativa ja contemplada en Estratègia Europea de Dades que té com a principals finalitats:
- Regular la posada a la disposició de dades a favor de les entitats públiques en situacions excepcionals.
- Promoure el desenvolupament de criteris d'interoperabilitat en els espais de dades, els servicis de tractament de dades i els contractes intel·ligents.
- I, des de la perspectiva que ara ens interessa, impulsar la posada a la disposició de les dades que generen els productes i servicis connectats, ja siga a favor d'els qui els utilitzen o dels tercers que estos indiquen.
Referent a açò, davant les dificultats dels usuaris en l'accés a les dades, el Reglament tracta de facilitar que puguen triar lliurement els proveïdors de servicis de reparació i altres servicis, ja que s'ha detectat que en molts àmbits els fabricants intenten reservar-se la seua utilització en condicions d'exclusivitat. Entre altres qüestions, es pretén impulsar el dret de l'usuari a decidir para quines finalitats i per qui es poden utilitzar les dades, sense perjuí de l'existència d'una sèrie de limitacions i condicionants que es contemplen en el propi Reglament.
Un important canvi d'orientació en la regulació
Mentre que la Directiva de dades obertes i reutilització de la informació del sector públic
i el Reglament sobre Governança de Dades se centren a establir regles i garanties que promoguen l'accés a les dades en poder de les entitats públiques, la nova regulació presta una especial atenció a les relacions entre subjectes privats. És a dir, permet als organismes públics exigir dades a certs subjectes privats en condicions excepcionals i per raons d'interés públic.
Un dels principals objectius del Reglament de Dades consistix a fomentar no solament “el desenvolupament de productes connectats o servicis relacionats nous i innovadors i estimular la innovació en els mercats de posventa, sinó també a estimular el desenvolupament de servicis totalment nous que utilitzen les dades en qüestió, fins i tot els basats en dades procedents de diversos productes connectats o servicis relacionats”.
A este efecte, s'ha considerat essencial establir obligacions clares i precises perquè els fabricants dels productes connectats, els qui els subministren i els prestadors de servicis vinculats hagen de compartir amb els usuaris les dades generades.
Quines obligacions s'han establit?
Amb caràcter previ a la contractació dels productes i servicis, el titular de les dades –açò és, el subministrador del producte o servici, que pot ser també el fabricant – haurà de proporcionar a l'usuari informació sobre:
- La quantitat i les condicions de les dades que es poden generar
- Com es pot accedir a aquestes dades
- Com es poden suprimir
Referent a açò, s'exigix que en el disseny dels productes i els servicis s'adopten mesures adequades perquè, per defecte, les dades siguen accessibles, de manera gratuïta i directa, sobretot, en un format estructurat que permeta la seua lectura mecànica.
No obstant açò, este dret està sotmès a certes condicions i limitacions amb la finalitat de garantir que no es veuen afectats altres béns i interessos jurídics:
- El titular de los datos no podrá dificultar que el usuario acceda a sus datos, pero sí podrá exigirle que se identifique, aun cuando tenga prohibido conservar la información generada de manera indefinida.
- Podrà establir restriccions en el contracte quan, a conseqüència de l'accés de l'usuari a les dades, existisca un risc per al funcionament del producte que puga afectar a la salut o la seguretat de les persones.
- En cap cas podrà utilitzar les dades que s'obtinguen durant l'ús del producte o la prestació del servici per a posar-los a la disposició d'un tercer, llevat que siga estrictament imprescindible per al compliment del contracte.
- També té prohibit de manera expressa utilitzar les dades per a fer indagacions sobre les circumstàncies i l'activitat de l'usuari, com, per exemple, la seua situació econòmica.
Per la seua part, el usuari també es veu condicionat per una sèrie d'obligacions específicament dirigides a garantir la bona fe de la seua relació jurídica amb el titular:
- No té permès utilitzar les dades per a competir amb este últim, ja siga de manera directa o a través d'un tercer a qui puga proporcionar-li'ls,
- No pot aprofitar l'accés als mateixos per a realitzar indagacions sobre l'activitat del fabricant del producte o, si escau, del titular de les dades.
- Juntament amb estes obligacions se li reconeix el dret a compartir les dades amb un tercer, que només podrà utilitzar-los per a les finalitats que li autoritze. En concret, no podrà elaborar perfils llevat que siga necessari per a prestar el servici, ni posar-los a la disposició d'un altre subjecte o desenvolupar un producte que competisca amb aquell del que procedisquen originàriament les dades.
En tot cas, la regulació establix una important limitació a tindre en compte pels usuaris, ja que s'exclou d'este règim a les microempreses i petit empreses. Amb una excepció: que hagueren rebut l'encàrrec de desenvolupar el producte o prestar el servici per part d'un subjecte que sí estiguera inclòs en l'àmbit d'aplicació del Reglament.
Quines garanties es contemplen per a assegurar l'efectivitat d'esta regulació?
Com succeeix amb caràcter general en qualsevol àmbit, l'usuari podrà acudir davant un òrgan judicial per a exigir el respecte dels seus drets. A més, addicionalment, la nova regulació establix la possibilitat de dirigir-se a l'autoritat designada a nivell estatal per a garantir l'aplicació i execució de les previsions del Reglament. En el cas que la problemàtica es referisca al tractament de dades personals, també podrà exercir els seus drets davant l'autoritat competent en este àmbit.
Referent a açò, la Comissió Europea haurà de fer públic un llistat de les corresponents autoritats a partir de la informació proporcionada pels Estats. Estos podran designar més d'una autoritat, indicant a quin li correspon la funció de coordinació. Aquestes autoritats comptaran amb els mitjans suficients: els seus integrants hauran de tindre l'especialització requerida per a l'acompliment de les seues funcions i es garantirà la seua imparcialitat, de manera que no podran rebre instruccions d'altres entitats.
Al marge d'esta via, el titular de les dades i l'usuari –o, si escau el tercer a qui este permeta la seua utilització—podran acordar voluntàriament sotmetre's a un òrgan de resolució de litigis certificat, la decisió dels quals haurà d'adoptar-se en un termini màxim de 90 dies. Aquest òrgan haurà d'acreditar-se davant l'Estat on estiga establit. Per a açò haurà de justificar la seua imparcialitat, capacitat i independència. També haurà de demostrar que disposa d'unes normes procedimentals adequades i que és fàcilment accessible per mitjans electrònics.
En definitiva, amb la nova Llei de Dades no solament s'ha establit un marc normatiu que reforça l'accés dels usuaris a les dades que es generen pels productes connectats que adquirixen i els servicis vinculats dels quals gaudixen, sinó que, a més, s'han consagrat una sèrie de garanties específicament dirigides a assegurar el seu efectiu compliment.
