A aprobación do Regulamento (UE), do Parlamento Europeo e do Consello do 13 de decembro de 2023 sobre normas harmonizadas para un acceso xusto aos datos e a súa utilización (Lei de Datos) supón un importante avance na regulación que a Unión Europea para facilitar a accesibilidade dos datos. Trátase dunha iniciativa xa considerada na Estratexia Europea de Datos que ten como principais finalidades:
- Regular a posta a disposición de datos a favor das entidades públicas en situacións excepcionais.
- Promover o desenvolvemento de criterios de interoperabilidade nos espazos de datos, os servizos de tratamento de datos e os contratos intelixentes.
- E, desde a perspectiva que agora nos interesa, impulsar a posta a disposición dos datos que xeran os produtos e servizos conectados, xa sexa a favor de quen os utilizan ou dos terceiros que estes indiquen.
A este respecto, ante as dificultades dos usuarios no acceso aos datos, o Regulamento trata de facilitar que poidan elixir libremente os provedores de servizos de reparación e outros servizos, xa que se detectou que en moitos ámbitos os fabricantes tentan reservarse a súa utilización en condicións de exclusividade. Entre outras cuestións, preténdese impulsar o dereito do usuario a decidir para que fins e por quen se poden utilizar os datos, sen prexuízo da existencia dunha serie de limitacións e condicionantes que se contemplan no propio Regulamento.
Un importante cambio de orientación na regulación
Mentres que a Directiva de datos abertos e reutilización da información do sector público
e o Regulamento sobre Gobernación de Datos céntranse en establecer regras e garantías que promovan o acceso aos datos en poder das entidades públicas, a nova regulación presta unha especial atención ás relacións entre suxeitos privados. É dicir, permite aos organismos públicos esixir datos a certos suxeitos privados en condicións excepcionais e por razóns de interese público.
Un dos principais obxectivos do Regulamento de Datos consiste en fomentar non só “o desenvolvemento de produtos conectados ou servizos relacionados novos e innovadores e estimular a innovación nos mercados de posventa, senón tamén en estimular o desenvolvemento de servizos totalmente novos que utilicen os datos en cuestión, incluso os baseados en datos procedentes de diversos produtos conectados ou servizos relacionados”.
Para ese efecto, considerouse esencial establecer obrigas claras e precisas para que os fabricantes dos produtos conectados, quen os fornezan e os prestadores de servizos vinculados teñan que compartir cos usuarios os datos xerados.
Que obrigas establecéronse?
Con carácter previo á contratación dos produtos e servizos, o titular dos datos –isto é, o subministrador do produto ou servizo, que pode ser tamén o fabricante – deberá proporcionar ao usuario información sobre:
- A cantidade e as condicións de os datos que se poden xerar
- Como se pode acceder aos este datos
- Como se poden suprimir
A este respecto, esíxese que no deseño dos produtos e os servizos adóptense medidas adecuadas para que, por defecto, os datos sexan accesibles, de maneira gratuíta e directa, sobre todo, nun formato estruturado que permita a súa lectura mecánica.
Con todo, este dereito está sometido a certas condicións e limitacións co fin de garantir que non ven afectados outros bens e intereses xurídicos:
- O titular dos datos non poderá dificultar que o usuario acceda aos seus datos, pero si poderá esixirlle que se identifique, aínda cando teña prohibido conservar a información xerada de maneira indefinida.
- Poderá establecer restricións no contrato cando, a consecuencia do acceso do usuario aos datos, exista un risco para o funcionamento do produto que poida afectar á saúde ou a seguridade das persoas.
- En ningún caso poderá utilizar os datos que se obteñan durante o uso do produto ou a prestación do servizo para polos a disposición dun terceiro, salvo que sexa estritamente imprescindible para o cumprimento do contrato.
- Tamén ten prohibido de maneira expresa utilizar os datos para facer investigacións acerca das circunstancias e a actividade do usuario, como, por exemplo, a súa situación económica.
Pola súa banda, o usuario tamén se ve condicionado por unha serie de obrigas especificamente dirixidas a garantir a boa fe da súa relación xurídica co titular:
- Non ten permitido utilizar os datos para competir con este último, xa sexa de maneira directa ou a través dun terceiro a quen poida proporcionarllos,
- Non pode aproveitar o acceso aos mesmos para realizar investigacións acerca da actividade do fabricante do produto ou, no seu caso, do titular dos datos.
- Xunto con estas obrigas recoñéceselle o dereito a compartir os datos cun terceiro, que só poderá utilizalos para as finalidades que lle autorice. En concreto, non poderá elaborar perfís salvo que sexa necesario para prestar o servizo, nin polos a disposición doutro suxeito ou desenvolver un produto que compita con aquel do que procedan orixinariamente os datos.
En todo caso, a regulación establece unha importante limitación a ter en conta polos usuarios, xa que se exclúe deste réxime ás microempresas e pequenas empresas. Cunha excepción: que recibisen o encargo de desenvolver o produto ou prestar o servizo por parte dun suxeito que si estivese incluído no ámbito de aplicación do Regulamento.
Que garantías contémplanse para asegurar a efectividade desta regulación?
Como sucede con carácter xeral en calquera ámbito, o usuario poderá acudir ante un órgano xudicial para esixir o respecto dos seus dereitos. Ademais, adicionalmente, a nova regulación establece a posibilidade de dirixirse á autoridade designada a nivel estatal para garantir a aplicación e execución das previsións do Regulamento. No caso de que a problemática se refira ao tratamento de datos persoais, tamén poderá exercer os seus dereitos ante a autoridade competente neste ámbito.
A este respecto, a Comisión Europea terá que facer público unha listaxe das correspondentes autoridades a partir da información proporcionada polos Estados. Estes poderán designar máis dunha autoridade, indicando a cal lle corresponde a función de coordinación. Ditas autoridades contarán cos medios suficientes: os seus integrantes haberán de ter a especialización requirida para o desempeño das súas funcións e garantirase a súa imparcialidade, de maneira que non poderán recibir instrucións doutras entidades.
Á marxe desta vía, o titular dos datos e o usuario –ou, no seu caso o terceiro a quen este permita a súa utilización—poderán acordar voluntariamente someterse a un órgano de resolución de litixios certificado, cuxa decisión haberá de adoptarse nun prazo máximo de 90 días. Este órgano deberá acreditarse ante o Estado onde estea establecido. Para iso deberá xustificar a súa imparcialidade, capacidade e independencia. Tamén deberá demostrar que dispón dunhas normas procedimentais adecuadas e que é facilmente accesible por medios electrónicos.
En definitiva, coa nova Lei de Datos non só se estableceu un marco normativo que reforza o acceso dos usuarios aos datos que se xeran polos produtos conectados que adquiren e os servizos vinculados dos que gozan, senón que, ademais, consagráronse unha serie de garantías especificamente dirixidas a asegurar o seu efectivo cumprimento.
