Mónica Hernández Latorre. DOMINGO MONFORTE Abogados Asociados

La Unión Europea ha liderado a nivel mundial la innovación legislativa en materia de datos personales y está enfrentando los retos que plantea el equilibrio que supone su protección, ámbito en el que el RGPD 2016/679 es un referente global, junto al fomento del desarrollo de un mercado digital en Europa que permita que los datos, personales o no, sean compartidos, maximizando su valor como un activo esencial para la digitalización europea.

Ello supone, por tanto, un cambio de paradigma que amplía el enfoque desde la simple protección de los datos como un derecho fundamental de los ciudadanos a la optimización de su valor como un importante activo de mercado para los diversos agentes implicados; lo que encuentra su sentido si se tiene en cuenta lo siguiente:

• Se estima que el valor creciente de la economía europea de los datos rondará los 900 millones de euros en los próximos años.
• Los avances tecnológicos relacionados con la conectividad y el Internet de las cosas (IoT), facilitan la generación, accesibilidad, intercambio y comunicabilidad de los datos.
• La innovación basada en los datos genera un aumento considerable en la productividad de las empresas.
•  Los espacios comunes europeos de datos propician el desarrollo de nuevos productos y servicios en el marco de una economía europea digitalizada y competitiva, especialmente en sectores estratégicos o de interés público.

Por todo ello, la Unión Europea tiene entre sus objetivos principales convertirse en líder indiscutible de una sociedad dirigida por los datos (data driven) en beneficio de las empresas, los consumidores y usuarios, los investigadores y las Administraciones Públicas.

La inteligencia artificial, Internet de las Cosas, Blockchain, Big Data, Cloudcomputing son tecnologías intrínsecamente unidas a la operabilidad con datos. Si tenemos en cuenta que la innovación y el desarrollo de las mismas depende, en gran medida, del acceso a datos de calidad se hace necesario un mercado europeo de datos potente y seguro estructurado sobre la base de unas políticas e instrumentos normativos que lo permitan.

De conformidad con los objetivos europeos que configuran la década 2020-2030 como la Década digital de Europa, la Comisión ha determinado su propia “Estrategia Europea de Datos” en la que se enmarcan los tres ejes de la regulación europea en la materia que analizamos a continuación:

En primer lugar, el Reglamento General de Protección de Datos 2016/679, de 27 de abril (“RGPD”), como instrumento esencial y estándar mundial de garantía por lo que se refiere a los datos personales que, según una Comunicación de la Comisión a propósito del mismo, “contribuye a fomentar la innovación digna de confianza, en particular a través de su enfoque y principios basados en el riesgo, como la protección de la privacidad desde el diseño y por defecto”.

Se echa en falta, no obstante, un nivel de protección adecuado para el resto de datos que no se refieren a personas físicas identificadas o identificables, como son los datos empresariales, financieros, industriales o de impacto medioambiental entre otros, que resultan necesarios para la competitividad y el crecimiento económico y social dentro de una Europa adaptada a la era digital. Las normas europeas más recientes a las que nos referimos a continuación engloban ya dentro del concepto de dato a toda representación digital de actos, de hechos o de información, por tanto, datos personales y no personales.

En segundo lugar, el Reglamento de Gobernanza de los Datos (Data Governance Act) aprobado el 30 de mayo de 2022 y que será de aplicación en España a partir del 24 de septiembre de 2023, responde al objetivo de crear las condiciones para el intercambio fiable y seguro de los datos basado en la confianza de los actores implicados, tanto del sector privado como público o los ciudadanos.

Por último, la propuesta de Reglamento de Datos (Data Act) publicada el 23 de febrero de 2022, que propone medidas para crear un mercado único de datos en el que el aumento de la disponibilidad de los mismos en cuanto a cantidad y calidad garantice la necesaria fluidez de su intercambio en beneficio de empresas, sector público e investigador, siempre desde el absoluto respeto a los derechos fundamentales y libertades de los individuos.

Es importante en este punto traer a colación la Declaración Europea sobre los Derechos y Principios Digitales para la Década Digital,  publicada solemnemente por el Parlamento, el Consejo y la Comisión el 23 de enero de 2022, que se refiere a la necesidad de tender a una sociedad digital que sea sostenible y centrada en el ser humano y cuyo fin último sea empoderar a los ciudadanos y a las empresas en el contexto de la digitalización y el uso de las tecnologías y que propugna que la transformación digital debe ajustarse a los valores y normas europeas, pues reconociendo que brinda grandes oportunidades para el crecimiento socioeconómico también presenta grandes riesgos que deben afrontarse, especialmente los que afectan a la seguridad, como los referidos a “la violación de la intimidad y de la seguridad de los datos personales, la proliferación de contenidos nocivos y productos inseguros, así como la desinformación, la ciberdelincuencia y los ciberataques, la explotación y los abusos contra seres humanos, incluidos los niños, la vigilancia masiva, los sesgos algorítmicos que obstaculizan el acceso equitativo y no discriminatorio a la información y el debate democrático, e incluso la abierta censura”.

En su Preámbulo considera que dicha transformación debe abordarse de manera plenamente conforme con los derechos fundamentales, como la protección de datos o la ausencia de discriminación, la protección de los consumidores y con los principios de neutralidad tecnológica y de la red e inclusividad, reforzando la dimensión humana del ecosistema digital.

Este llamado “humanismo digital” queda patente cuando inmediatamente a continuación establece que “aspiramos a promover una vía europea para la transformación digital basada en los valores europeos y los derechos fundamentales de la UE, que sitúe a las personas en el centro, reafirme los derechos humanos universales y beneficie a todas las personas, empresas y a la sociedad en su conjunto”.

Desde este profundo respeto a los derechos fundamentales reconocidos en la Unión  se incardina la nueva regulación europea, debiendo interpretarse el reciente Reglamento de Gobernanza de Datos y la propuesta de Reglamento sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos), de manera armónica con el Reglamento de Protección de Datos así como con las normas sobre ciberseguridad, pues como reconoce la citada Declaración, la transformación digital no debe implicar un retroceso en los derechos de las personas y de las organizaciones en las que se integra  y “lo que es ilegal fuera de línea es ilegal en línea”.

A partir de estas líneas rojas, el Reglamento de Gobernanza de Datos trata de promover las condiciones adecuadas para que se desarrolle un mercado digital europeo fuerte y potente, teniendo en cuenta que la confianza de todos los agentes implicados constituye una premisa indiscutible. Su articulación la efectúa a través de tres medidas principales:

• En primer lugar, favoreciendo la reutilización de los datos generados o almacenados por los diversos organismos o entidades del sector público desde la base de que dichos datos deben beneficiar a la sociedad en su conjunto.

Aunque ya desde la publicación de la Directiva de Datos Abiertos y la reutilización de la información del sector público de 20 de junio de 2019 se preveía esta posibilidad, no abarcaba a determinadas categorías de datos especialmente protegidos, como los datos personales y los datos comercialmente confidenciales, como secretos comerciales o datos afectados por derechos de propiedad intelectual; a partir de este Reglamento, ya pueden reutilizarse estos datos protegidos con las salvaguardas que establece su propio articulado además de las que fije la legislación nacional o europea sobre la materia de que se trate (anonimización de cualquier dato personal y la modificación, agregación o cualquier otro tratamiento necesario de aquellos datos que contengan información comercial confidencial) proporcionando un entorno de tratamiento seguro y controlado.

Se reconoce además a cada Estado miembro la posibilidad de autorizar el acceso a dichos datos para su reutilización en las condiciones que se establezcan, pero establece reglas sobre transparencia y no discriminación, prohibiendo la exclusividad en su concesión y permitiendo el establecimiento de tasas por este servicio siempre que sean proporcionadas, equitativas, transparentes y estén objetivamente justificadas, sin que en ningún caso puedan resultar restrictivas de la competencia.

Para facilitar la implementación de esta medida, la Comisión creará un punto de acceso único con un registro electrónico de los datos de que dispone el sector público.

• En segundo lugar, regulando los servicios de intermediación de datos como agentes esenciales para la consecución de un mercado europeo de datos transparente y confiable.

Estos intermediarios establecerán relaciones comerciales para el intercambio de datos recabándolos del cedente transmisor para que sean adquiridos por terceros interesados receptores de los mismos.

Resulta interesante la amplitud con la que prevé el Reglamento el objeto de esta intermediación configurada como onerosa, permitiendo tanto los intercambios bilaterales como multilaterales, incluso la creación de plataformas o bases de datos que los faciliten.

Se establece, por tanto, expresamente, la posibilidad de monetización de los datos tanto por empresas como por personas físicas, cuestión esta última polémica en la doctrina y que puede generar dificultades en cuanto a su necesario engranaje con la protección de los datos personales.

Otra novedad destacable es el concepto de “titular de datos” como toda persona física o jurídica que, según el derecho de la Unión o la regulación nacional aplicable, tenga derecho a conceder acceso a determinados datos personales o no personales o a compartirlos. Con ello abre la posibilidad de considerar titular de los datos a personas distintas del interesado al que se refieren los mismos, que tengan facultades de decisión y explotación, lo que genera algunas cuestiones e incertidumbres en cuanto a las facultades de disposición de los datos en cuestión por dicho “titular”.

Por último, el Reglamento se preocupa de los requisitos exigibles a los intermediarios, que serán controlables por la correspondiente autoridad nacional de supervisión, la cual tendrá facultades sancionatorias, pudiendo llegar incluso a suspender o cesar la actividad de los intermediarios de que se trate.

• En tercer lugar, mediante la regulación del mercado altruista de datos.

Se trata de favorecer el intercambio voluntario de datos cuya base legitimadora sea el consentimiento del interesado cuando se trate de datos personales o del titular de los datos en el caso de datos no personales, sin ánimo de lucro y con fines de interés general, como apoyar la “investigación en el ámbito sanitario, la lucha contra el cambio climático, la mejora de la movilidad, la facilitación del desarrollo, elaboración y difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos, la elaboración de políticas públicas o la investigación científica de interés general”.

La Comisión Europea deberá elaborar un formulario europeo de consentimiento para la cesión a cualquier organización que esté previamente inscrita en un registro nacional de organizaciones de altruismo de datos creado al efecto.

 Respecto a las transferencias internacionales de datos, establece medidas de igual naturaleza que las fijadas previamente por el RGPD para luchar contra las cesiones ilícitas, como la posible adopción de decisiones de adecuación para los terceros países que ofrezcan garantías adecuadas y similares a las europeas para el uso de los datos, o, en su defecto, mediante el establecimiento de cláusulas contractuales tipo.

A pocos meses de la entrada en vigor en España de esta importante normativa, se plantea entre los operadores jurídicos la cuestión de si cumplirá las expectativas creadas como escenario regulatorio adecuado para que la innovación fundamentada en el big data tenga lugar.

El otro gran pilar en materia de regulación europea de datos es la propuesta de Reglamento de datos (Data Act) y se propone facilitar el acceso al mercado de datos suficientes y de calidad que puedan nutrir las tecnologías e innovación.

Así, establece la obligatoriedad de que los productos se diseñen y fabriquen y los servicios se presten de forma que los datos generados por su uso sean, por defecto, accesibles con facilidad y seguridad para el usuario, el cual podrá solicitar incluso que se compartan con terceros y debe disponer de información previa detallada sobre esta prerrogativa.

Aunque los beneficios que la aplicación de esta normativa va a suponer respecto a los servicios de posventa y reparación de los productos y otros nuevos servicios de valor añadido son claros, también obligará a considerar diversos retos en cuanto a la protección de la propiedad intelectual e industrial, secretos comerciales y confidencialidad de los fabricantes y titulares de los datos.

El legislador europeo considera que vale la pena afrontarlos en aras de limitar la dependencia actual que existe respecto de los diseñadores o fabricantes de productos, y los obstáculos a la entrada en el mercado de nuevos actores que puedan innovar o mejorar los existentes, regulando diversas medidas para controlar dichos riesgos, como es la imposibilidad por el usuario de utilizar dichos datos obtenidos por aplicación del nuevo Reglamento, para desarrollar aplicaciones que compitan con aquellas de las que tienen origen los datos.

También resulta destacable en esta regulación, para combatir los desequilibrios contractuales entre empresas, la prohibición de las cláusulas abusivas relativas al acceso y uso de datos impuestas unilateralmente a microempresas, pequeñas o medianas empresas, estableciendo los supuestos en que serán consideradas como tales y fijando reglas de inversión de la carga de la prueba a favor de la parte que se haya visto perjudicada por la cláusula de que se trate.

Otro aspecto novedoso es la posibilidad por parte de la Administración Pública, bajo determinadas condiciones, de acceder a los datos que sean necesarios en casos de situaciones excepcionales, estableciendo para los titulares de datos la obligatoriedad de la puesta a disposición de los mismos por cuestión de interés público.

Por último, como medida para facilitar la interconexión e interoperabilidad de los datos, se establece para los operadores de espacios de datos la exigencia de cumplir una serie de requisitos mínimos, así como también se regulan unas determinadas condiciones para la puesta a disposición de los datos, que deben cumplir los smart contracts ejecutados por programas informáticos.

Esta normativa europea de ámbito general se complementa con las propuestas referidas a sectores específicos estratégicos o de interés público, que buscan crear espacios seguros de datos disponibles en los mismos, como la Propuesta de Reglamento de Espacio Europeo de Datos Sanitarios, o las que se refieren a la energía sostenible, la movilidad, el ámbito financiero o el sector público entre otros.

Todas estas propuestas legislativas  desarrollan la Estrategia Europea de Datos y suponen un importante avance que coloca a Europa a la cabeza en esta materia, aunque precisamente por su novedad, generan dificultades interpretativas y de adecuación con las normas vigentes en protección de datos así como con las restantes propuestas reglamentarias que tratan de implementar la digitalización en Europa, como las relativas a la Inteligencia Artificial o las que tratan de generar para los ciudadanos europeos una identidad digital segura.

Respecto a ésta última, y en clave española, cabe traer a colación las recientes declaraciones de Mar España, la directora de la Agencia Española de Protección de Datos que, mostrando su preocupación por la salud digital y la hipersexualización de la infancia se ha referido al próximo establecimiento de un mecanismo de verificación de edad basado en una identidad digital segura.

Todas las cuestiones que genere la nueva normativa europea se irán  resolviendo con su aplicación práctica y las resoluciones de los tribunales nacionales y europeos, y requieren una cuidadosa atención, pues una mala gestión del tratamiento de los datos por las empresas puede derivar en consecuencias legales además de afectar a su reputación y competitividad, ya que se trata de una de las fuentes de información más valiosa.