La adopción formal de la Ley de Datos (Data Act) por el Consejo de la Unión Europea, el 27 de noviembre de 2023, representa un importante avance en la regulación de datos dentro del bloque. Esta nueva regulación, adoptada tras la aprobación previa del Parlamento Europeo, introduce normas armonizadas sobre el acceso justo y el uso de datos, con el objetivo de fomentar la innovación y facilitar el intercambio de datos entre proveedores de servicios.
Obligaciones de Compartir Datos: Una de las características clave del Data Act es la introducción de varias obligaciones de compartir datos. Los fabricantes de productos conectados y los proveedores de servicios relacionados en la UE deben garantizar el “acceso por diseño” al usuario a los datos del producto y a los datos de servicio relacionados. Esto incluye metadata relevante y el acceso debe ser fácil, seguro, gratuito y, cuando sea técnicamente factible, directamente accesible.
- Los “datos de producto” se definen como aquellos generados por el uso de un producto conectado que el fabricante diseñó para que un usuario, titular de datos o tercero puedan recuperarlos a través de un servicio de comunicaciones electrónicas.
- Los “datos de servicio relacionados” representan la digitalización de acciones del usuario o eventos relacionados con el producto conectado, registrados intencionalmente por el usuario o generados como subproducto durante la provisión de un servicio asociado por parte del proveedor.
- Además, cuando el usuario no pueda acceder directamente a esos datos, el titular debe poner a disposición del usuario los “datos fácilmente accesibles” y los metadatos necesarios para interpretarlos y utilizarlos.
- Estos datos deben estar disponibles en un formato estructurado, común, legible por máquina; de manera fácil, segura y en tiempo real (cuando sea relevante y técnicamente factible); y sin costo para el usuario y, si este lo solicita, para un tercero.
- Si bien el concepto de “usuario” incluye a una persona física, también contempla a personas jurídicas y por tanto aplica a relaciones B2B.
Compartir Datos con Entidades Públicas: El acto legislativo obliga a los titulares de datos que son personas jurídicas a compartir datos y metadata asociada con entidades públicas, la Comisión Europea, el Banco Central Europeo y los cuerpos de la Unión, en situaciones de necesidad excepcional, como emergencias públicas o la producción de estadísticas oficiales.
Acuerdos de Compartir Datos: En relación con los acuerdos de compartir datos en relaciones B2B, el Data Act restringe la libertad contractual. Las condiciones de compartir datos entre titulares de datos y receptores deben ser justas, razonables, transparentes y no discriminatorias, y, salvo solicitud del usuario, no exclusivas.
Obligaciones de Cambio de Proveedores en la Nube y Requisitos Contractuales: Los proveedores de servicios de procesamiento de datos deben garantizar que sus clientes puedan cambiar a diferentes servicios de procesamiento de datos de otro proveedor, a un sistema local o usar varios proveedores al mismo tiempo. El acto también establece un conjunto de requisitos mínimos para los acuerdos de clientes de servicios de procesamiento de datos.
Restricciones de Transferencia para Datos No Personales: El Data Act contiene medidas para asegurar que los datos no personales no sean transferidos fuera del Área Económica Europea sin protección suficiente de derechos de propiedad intelectual, secretos comerciales y otros intereses de la UE.
Interoperabilidad y Requisitos Esenciales: Se establecen varios requisitos de interoperabilidad, incluyendo servicios de procesamiento de datos y participantes en espacios de datos. La nueva regulación también establece requisitos mínimos para los contratos inteligentes.
Sanciones y Aplicación: En cuanto a la protección de datos personales, el Data Act se refiere a las autoridades de protección de datos y sus tareas y poderes bajo el GDPR. Para los datos no personales, corresponde a los Estados miembros determinar la autoridad o autoridades competentes para la supervisión y aplicación, y establecer las sanciones aplicables.
Cambios Clave en la Versión Final: La versión final adoptada del Data Act contiene varios cambios con respecto al acto propuesto originalmente, incluyendo la clarificación del alcance de los datos cubiertos y el equilibrio entre la protección de secretos comerciales, derechos de propiedad intelectual y los objetivos del Data Act.
El Data Act entrará en vigor tras su publicación en el Diario Oficial, lo que se espera que ocurra pronto. La mayoría de las disposiciones dentro del Data Act se aplicarán 20 meses después de su entrada en vigor, probablemente en agosto de 2025. Las organizaciones deberían comenzar a revisar sus acuerdos de compartición de datos.
Con información de: Council of the European Union y DLA Piper.
Artículo redactado con asistencia de diversas inteligencias artificiales generativas con supervisión humana (redacción AD).