La Ley de Datos o Data Act es una regulación de la Unión Europea (UE) que pretende facilitar la accesibilidad de los datos de forma horizontal, mediante el establecimiento de directrices para todos los sectores, haciendo hincapié en el acceso justo a los datos, los derechos de los usuarios y la protección de los datos personales.

Entre sus objetivos, explican desde la UE, la norma busca aumentar la seguridad jurídica respecto al acceso y uso de los datos en el marco del Internet de las Cosas (IoT); fomentar el intercambio equitativo de datos; establecer condiciones para que las entidades privadas faciliten datos a los organismos públicos en situaciones excepcionales; promover un marco para la interoperabilidad eficiente de los datos que impulsen el intercambio entre empresas y sectores; así como establecer garantías que posibiliten que los usuarios de servicios de tratamiento de datos puedan cambiar de proveedor.

La realidad es que este reglamento promete ser un punto de inflexión para la industria de datos europea y las empresas deben dar el paso definitivo para prepararse ante las nuevas obligaciones ya que el Data Act empezará a aplicarse el próximo 12 de septiembre de 2025.

Como apunta Begoña Otero, experta en derecho e innovación del Instituto Max Planck & TheGovLab, "a diferencia de un modelo basado en la propiedad exclusiva de los datos, el Data Act se fundamenta en el control del acceso y en la necesidad de desbloquear barreras estructurales que han favorecido históricamente la concentración del poder de datos en manos de los fabricantes de productos conectados y proveedores de servicios relacionados".

Propósito y relevancia

La finalidad principal del reglamento es, prosigue la experta, reducir las asimetrías de poder en el acceso a los datos de IoT y facilitar su intercambio en beneficio de la sociedad y la economía digital. "Esta regulación busca prevenir la creación de monopolios de facto en el control de datos, promoviendo el desarrollo de mercados secundarios y la interoperabilidad de productos y servicios conectados. No obstante, la norma no elimina por completo las barreras de acceso, ya que permite que los titulares de datos mantengan ciertos derechos contractuales y establezcan condiciones de uso", añade.

Entre las cuestiones más relevantes que se regulan en el Data Act y que mayor impacto en la industria tendrán, María González Gordon, socia codirectora de CMS Albiñana & Suárez de Lezo, destaca el acceso a los datos generados por productos conectados, ya que "se establecen normas para el acceso de esos datos por los usuarios de los productos IoT. Así la discusión que se venía teniendo sobre quién es propietario de los datos deja de ser relevante. Pasamos hablar de usuarios, titular y destinatario".

La experta continúa su comentario indicando que también se establecen reglas para el acceso por parte de terceros autorizados por el usuario; se fija que el titular sólo podrá utilizar los datos para aquellos fines para los que haya obtenido consentimiento del usuario; y se asienta que los machine-generated data no tengan protección de las leyes de propiedad intelectual, "lo que es especialmente relevante, porque en caso contrario habría que pagar por ello una suerte de licencia al fabricante de esa base de datos".

González Gordon también destaca que es clave que la Ley de Datos "haya dejado claro que el término usuario incluye tanto a personas físicas como jurídicas, porque para la industria los datos de un individuo tienen un uso limitado, pero los que genera una compañía constituye una ingente cantidad de información a la que acceder y con la que se pueden alimentar modelos y sistemas de IA con gran calidad".

Las dos especialistas comparten su visión sobre las bondades y el interés de esta nueva normativa europea, pero su opinión difiere en ciertos aspectos para una posible falta de concreción del reglamento.

De hecho, Otero señala como un aspecto crítico la falta de la claridad en la definición de datos y cuáles son los que son objeto del régimen de acceso regulado que impone el Data Act. "Sólo los datos en bruto y pretratados están dentro del ámbito del acceso regulado, siempre que el pretratamiento no haya requerido una inversión sustancial. Esta distinción genera incertidumbre, ya que el pretratamiento incluye operaciones como la calibración o eliminación de ruido, pero no queda claro qué otras transformaciones pueden considerarse parte de este proceso sin excluir los datos del régimen de acceso obligatorio", explica la experta del Instituto Max Planck & TheGovLab.

En este punto, María González Gordon identifica que el dato pretratado es un dato crudo, es decir, el output tal y como sale del sensor, y sólo sobre éste es sobre el que se impone la obligación de dar acceso de forma prácticamente gratuita. "En el momento en que el titular aplica su conocimiento y su capacidad tecnológica a esos datos para inferir otros o sacar conclusiones, dejan de ser datos crudos o pretratados, y pasan a ser de derecho sui generis. Es decir, ya no hay obligación de compartirlo con el usuario -y quien este indique-, sino que será el titular el que decida con quién y por cuánto licencia esos outputs inferidos a los que él ha llegado por sus propios medios y capacidades".

Pretratamiento

Otra cuestión complicada tiene que ver con qué constituye exactamente una inversión sustancial de los datos pretratados, que los dejaría fuera de aquellos que son objeto del régimen de acceso regulado por el reglamento europeo. Esta falta de criterios claros sobre la inversión podría facilitar, indica Otero, que los titulares de datos argumenten que ciertos costes superan el umbral permitido, restringiendo el acceso a los datos.

"Estas ambigüedades podrían generar disputas legales prolongadas y una aplicación desigual de la normativa en distintos sectores. Es especialmente problemática para el desarrollo de sistemas de inteligencia artificial (IA), que dependen de grandes volúmenes de datos diversos y accesibles. Si los titulares de datos pueden limitar el acceso alegando pretratamiento o inversión significativa, muchas empresas que desarrollan IA, especialmente start up y pymes, podrían enfrentar barreras significativas para obtener datos de calidad, reduciendo su capacidad para innovar y competir con actores dominantes que ya controlan grandes volúmenes de datos", afirma.

La socia codirectora de CMS Albiñana & Suárez de Lezo hace hincapié en este aspecto y aclara que el término inversión sustancial ya se había empleado en otra norma anterior, en la directiva de bases de datos de 1996, y ha sido examinado en varias ocasiones por el Tribunal de Justicia de la Unión Europea, además de por los tribunales de muchos estados miembros, incluido España.

"La inversión sustancial es una cuestión que hay que examinar caso a caso, por eso no se debe incluir una definición cerrada y fija. Imaginémonos una start up. La inversión sustancial que puede hacer nunca debería ser la misma que se espere de una gran multinacional. Lo importante es que inversión sustancial se ha declarado que tiene que examinarse en términos cuantitativos o cualitativos -medios financieros y/o empleo de tiempo, esfuerzo y energía-; y la inversión se tiene que realizar en las tareas de obtención, verificación o presentación del dataset", expone a modo de conclusión María González Gordon.

¿Qué pasos deben dar las empresas?

El Data Act va a suponer un cambio fundamental en la gestión de los datos IoT en Europa, ofreciendo nuevas oportunidades para la innovación y la competencia, pero también imponiendo desafíos regulatorios y contractuales significativos. Aunque pueda parecer obvio, hay que destacar que esta nueva legislación se alinea con las iniciativas estratégicas que el Gobierno español está impulsando en materia de digitalización, inteligencia artificial y sostenibilidad. Frente a esta nueva realidad, las empresas españolas debieran optar por una adaptación temprana a este nuevo marco normativo para evitar riesgos y maximizar beneficios.

Luis Ignacio Vicente, consejero estratégico en Pons IP, identifica que la revisión de contratos "debe convertirse en una prioridad, asegurando que las cláusulas de acceso y uso de datos estén alineadas con las disposiciones del reglamento y evitando posibles ambigüedades que puedan derivar en disputas legales. Asimismo, la protección de la propiedad intelectual y los secretos empresariales requerirá estrategias más sofisticadas, dado que el acceso regulado a los datos puede generar tensiones entre la apertura y la confidencialidad de la información clave para el negocio".

En ese mismo concepto de identificación y revisión se centra María González Gordon, socia codirectora de CMS Albiñana & Suárez de Lezo, que explica que el primer paso para las compañías es determinar "claramente y de forma separada sus bases de datos: aquellas con datos crudos y aquellas con datos tratados y sujetas a derecho 'sui generis'. Y dentro de las de datos crudos identificar cuáles son secretos empresariales, y adoptar las medidas adecuadas, para que cuando llegue el momento puedan acreditarlo fácilmente".

Más allá del cumplimiento normativo, el Data Act abre la puerta a un ecosistema digital más equitativo, pero para que se traduzca en ventajas competitivas, es "necesario que las empresas adopten un enfoque estratégico en la gestión de datos, invirtiendo en tecnologías que garanticen la trazabilidad y el cumplimiento regulatorio. La capacidad de navegar con éxito este entorno regulatorio determinará qué compañías logran consolidarse en la nueva economía del dato en Europa y cuáles se ven limitadas por barreras contractuales y técnicas que aún persisten en el marco normativo", prosigue el consejero estratégico en Pons IP.

Finalmente, González Gordon alerta de que es esencial que las compañías empiecen "ya a preparar las medidas de seguimiento sobre los usos posteriores de los datos. Septiembre está a la vuelta de la esquina y todo esto tarda en prepararse".

Fuente: https://www.expansion.com/

LINK DE LA NOTICIA