Autor: Gian-Lluís Ribechini, Ingeniero Industrial, gianlluis@innogenierum.com
El pasado 12 de enero de 2024 entró en vigor del Reglamento (UE) 2023/2854 “sobre las reglas armonizadas para un acceso justo a los datos y su utilización”, que se conocerá como “Reglamento de Datos” o “Data Act”. Este nuevo reglamento entrará en aplicación el 12 de septiembre del 2025, fecha a partir de la cual será obligatorio con la excepción del Artículo 3, apartado 1 que aplicará a partir del 12 de septiembre del 2026.
El reglamento pretende establecer, para los fabricantes de productos conectados y los proveedores de servicios relacionados con estos productos, un marco armonizado que especifique quién tiene derecho a utilizar los datos del producto conectado o los datos del servicio relacionado, en qué condiciones los podrá utilizar y sobre qué base. Eso supone que se garantizará que los usuarios de un producto conectado o servicio relacionado puedan acceder a los datos generados por el uso de dicho producto conectado o servicio relacionado, y que puedan compartirlos con terceros de su elección.
El reglamento afecta a cualquier producto que obtenga, genere o recoja datos relativos a su uso o a su entorno y que además pueda comunicar esos datos mediante un servicio de comunicaciones electrónicas (p.ej. una red 2G/3G), o que los comunique por una conexión física (p.ej. una conexión Ethernet), o permita un acceso al dispositivo para descargar datos (p.ej. un puerto USB). El reglamento no afecta a los prototipos, aunque yo considero conveniente que en las especificaciones de diseño ya deberían incluirse los elementos para facilitar el posterior cumplimiento del reglamento. Si al final el prototipo funciona como esperamos y hemos de reprogramar el software para cumplir con el reglamento será doble trabajo porque deberemos volver a validar el sistema.
Además, afecta a cualquier servicio digital, distinto de un servicio de comunicaciones electrónicas, incluyendo el software, que esté conectado con el producto que se compra o se alquila, que si no está impide al producto conectado realizar una o varias de sus funciones. Pero también afecta a cualquier servicio o software sea del fabricante o de un tercero que se conecta posteriormente al producto para añadir, actualizar o adaptar las funciones de ese producto.
A tener en cuenta que el reglamento define como usuario tanto una persona física como una persona jurídica que posea o alquile un producto conectado o que reciba servicios relacionados con ese producto conectado.
Las obligaciones de intercambio de datos, de empresa a consumidor o de empresa a empresa, no se aplicarán a los datos generados mediante el uso de productos conectados fabricados o diseñados o servicios relacionados prestados por una microempresa autónoma o pequeña empresa autónoma (de acuerdo con lo que se establece en la Recomendación 2003/361/CE).
Se considera que los datos del producto son los datos que se generan por el uso del producto conectado y que el fabricante ha diseñado para que puedan ser extraídos. P. ej., los datos de geolocalización del dispositivo que tiene integrado un módulo GPS.
Y los datos de servicios relacionados son los datos que se obtienen de las acciones de quién usa el producto, datos que el usuario puede registrar intencionadamente o no al usar el servicio. P. ej. que una aplicación que usemos de realidad aumentada transmita los datos de geolocalización.
Estos dos tipos de datos se deberán poner a disposición del usuario, y este podrá decidir transmitirlos a un tercero para que los use en aplicaciones o servicios que haya desarrollado previo acuerdo entre usuario y tercero.
En el tema de los datos, que es el objetivo de este reglamento, hemos de considerar que los datos que se generan sean por el uso del producto o de un servicio relacionado abarca a cualquier tipo de dato que se genere sea directo o indirecto por el uso del producto o del servicio. Y eso incluye también los datos que se generan cuando no se está usando ese producto pero que el producto genera. El que no se use incluye los modos de espera y apagado. Eso supone que se deberán considerar todos los datos que generan los diferentes sensores o los datos de las aplicaciones que indiquen el estado del hardware o recojan datos de fallos de funcionamiento. Y también los datos que se transmitan sobre otras aplicaciones que se están usando en el producto y no sean del servicio que se está usando en ese momento.
Los datos que se deberán poner a disposición del usuario son los datos brutos (datos fuente o datos primarios), es decir, cualquier dato que se genere sin que haya un tratamiento antes de usarlo o datos que se traten para hacerlos comprensibles y utilizables por los servicios o aplicaciones. Esos datos deben incluir los metadatos pertinentes como el contexto de uso y el sello de tiempo, así como otros metadatos que se sean relevantes para su utilización posterior. Los datos pueden ir combinados con otros datos o ser reformateados para enviarlos en un formato definido por un estándar. Así entraran bajo este reglamento los datos que se recojan en un smartphone en un instante temporal como la localización geográfica, la frecuencia cardiaca, la temperatura; o los datos de una máquina en una fábrica como su localización, su temperatura de funcionamiento, la velocidad de giro de los rotores, la presión de alguno de sus elementos y que se transmitan a un software de control o de análisis por inteligencia artificial.
En cambio, no serán objeto de este reglamento todos los datos que se generen por parte del sistema de inteligencia artificial o de la app que analice los datos del smartphone y haga recomendaciones de p.ej. hábitos saludable que es el valor añadido que genera el titular de los datos. Esos datos podrán ponerse a disposición del usuario o de un tercero si existe acuerdo entre usuario y el titular de esos datos.
El reglamento también establece que el usuario tendrá derechos de acceso a los datos que se generen por medio de asistentes virtuales que sea proporcionado por un tercero diferente del fabricante del producto conectado. Los derechos de acceso serán sobre los datos que se generen por el uso del producto conectado o por el servicio relacionado y la interacción entre producto y servicio que se produzca por medio del asistente virtual. En cambio, los datos del asistente virtual que no estén relacionados con ese uso no estarán sujetos a cumplir con ese reglamento.
Considero relevante el siguiente párrafo del reglamento: “Por lo tanto, es necesario garantizar que los productos conectados se diseñen y fabriquen —y que los servicios relacionados se diseñen y presten— de manera que los datos de los productos y los datos de los servicios relacionados, incluidos los metadatos asociados necesarios para interpretar y utilizar dichos datos, también a efectos de extraerlos, utilizarlos o compartirlos, siempre sean accesibles para el usuario fácilmente y de forma segura, gratuitamente, en un formato completo, estructurado, de utilización habitual y de lectura mecánica.”. Esto supone que los que desarrollen productos conectados, servicios relacionados o asistentes virtuales deberán tener una especificación para los datos del usuario que cumpla con lo descrito en el párrafo citado.
Con respecto al producto conectado el reglamento establece que antes de celebrar un contrato de compraventa, alquiler o arrendamiento se deberá proporcionar al usuario la información sobre todos los datos del producto que el producto conectado será capaz de generar. Esa información deberá incluir el tipo de dato, el formato y el volumen estimado de esos datos. Todo ello de forma clara y comprensible. Eso podría dar lugar a un anexo en contrato en el que se especifique cuáles son las estructuras de los datos, sus formatos, el vocabulario de los datos o los valores especiales, las taxonomías, los sistemas por los que se clasifican o las listas de los códigos que se usan en esos datos. Y también la información “clara, suficiente y pertinente” sobre cómo pueden almacenarse, extraerse o acceder a los datos. Aquí será necesario un trabajo de colaboración entre los ingenieros y los abogados.
Con respecto de los datos disponibles por el usuario se le reconoce el derecho de ser libre para utilizarlos para cualquier fin licito. Eso supone que pueda proporcionarlos a un tercero que ofrezca un servicio postventa que pueda estar en competencia con un servicio prestado por el titular de los datos, que es quién recoge, utiliza y pone a disposición los datos del producto o de los servicios relacionados.
El legislador considera que el derecho a facilitar que terceros dispongan de los datos de un producto conectado o un servicio relacionado va a fomentar el desarrollo de nuevos productos conectados o de nuevos servicios relacionados, pero también va a incentivar la innovación en los mercados de postventa facilitando la aparición de competidores. Ahora bien, el reglamento prohíbe utilizar los datos del usuario por parte de un tercero para desarrollar un producto conectado que sea competidor del producto del que se han recogido los datos.
Por lo que se refiere a los terceros que desarrollen nuevos servicios relacionados el reglamento determina que solo deben acceder a la información mínima necesaria para poder prestar el servicio que ha solicitado el usuario, esto es por el principio de minimización de datos. Para el usuario debe ser fácil tanto autorizar el acceso a un tercero, como denegar o interrumpir el acceso a sus datos. Tanto los terceros como los titulares de los datos no deberán dificultar el acceso y activación de las diferentes opciones; no podrán ofrecer opciones no neutras basadas en ofrecimientos monetarios, coacciones, engaños o manipulación. Eso supone que no podrán usar elementos engañosos en el diseño de los interfaces digitales con el objetivo de impedir la activación de las opciones de interrupción o denegación del servicio, o facilitar la aceptación irreflexiva del servicio. Esto tendrá especial relevancia si los usuarios son consumidores vulnerables.
El reglamento también regula el uso de contratos inteligentes para la ejecución automatizada de los acuerdos de intercambio de datos, y para ello establece los requisitos esenciales que deberán cumplir los terceros que desarrollen contratos inteligentes. En este caso los proveedores de contratos inteligentes o los profesionales que despliegue contratos inteligentes para terceros deberá realizar una evaluación de conformidad y expedir una declaración UE de conformidad.
Para la entrada en aplicación de este nuevo reglamento aún falta más de un año pero considero conveniente que tanto los fabricantes de productos conectados como los proveedores de servicios relacionados con esos productos, que tengan la obligación de cumplir con este reglamento, deberían entender lo que supone y como deberán implementarlo. Y tal como he escrito en un párrafo anterior, será conveniente crear un equipo con profesionales del área técnica y profesionales del área legal para cubrir todos los aspectos del reglamento.
Finalmente, aunque el reglamento aún no es obligatorio, ya esta en vigor, por lo que nada impide que los nuevos productos y servicios que se estén desarrollando o se vayan a desarrollar antes de la fecha de aplicación ya se hagan teniendo en cuenta sus requisitos y obligaciones.
