Aunque forma parte de la lista de normas con las que la Unión Europea persigue reordenar su ordenamiento jurídico en aras de aumentar la competitividad de la región – crucial en un entorno geopolítico tenso, protagonizado por aranceles y conflictos bélicos -, la Ley de Datos o Data Act parece haber pasado inadvertida por la opinión pública, obviando esta última el posible revulsivo que puede tener para el tejido empresarial y el mayor empoderamiento de los usuarios respecto al uso de los datos, más allá de los personales.
Aprobado por el Consejo de la Unión Europea el 27 de noviembre de 2023 y en vigor desde el 11 de enero de 2024, no ha sido hasta el pasado 12 de septiembre cuando la Ley de Datos ha comenzado a aplicarse a nivel general. Si bien, en el caso de nuestro país, a medias, puesto que todavía no se ha publicado el proyecto de ley que designa las autoridades competentes para garantizar su aplicación, ni normas que regulen el control y la sanción en caso de incumplimiento.
Desde el despacho de abogados Garrigues recuerdan que la Data Act es una “pieza clave dentro de la estrategia global de la Unión Europea en materia de datos”, formada por el Reglamento de Gobernanza de Datos (RGA), la Ley de Mercados Digitales (DMA), la Ley de Servicios Digitales (DSA) y el Reglamento de Inteligencia Artificial (RIA), todas ellas engranajes para el funcionamiento de un ecosistema digital interoperable. “Su verdadero alcance no está solo en lo que regula, sino en cómo reordena las reglas de juego para el acceso, el uso, la portabilidad y el intercambio de datos en el mercado europeo”, escriben en el blog corporativo.
Entre las novedades, el mayor poder que otorga al usuario sobre la potestad de los datos que se van generando a medida que utiliza un dispositivo conectado, desde un smartphone o un reloj inteligente hasta un sistema de automoción asistida o maquina industrial conectada. Con la Data Act, es posible que un usuario solicite a una compañía el acceso a los datos granulares generados (aquellos que son brutos y no han sido agregados -“transformados”, según la ley-) desde el 12 de septiembre de 2025 y en la calidad y formato en los que son aprovechados por la compañía titular de los mismos.
Y como ocurre con el consentimiento respecto a los datos personales, en lo que respecta a los no personales también se debe solicitar permiso para usarlos. Según exponen desde el despacho BetaLegal, el titular de los mismos tiene prohibido su uso, “salvo contrato expreso con el usuario y acceso solo por el propio usuario a datos granulares” – es decir, únicamente pueden acceder a los datos no personales que han sido agregados- y debe aplicar las llamadas tecnologías de privacidad (PETs), que posibilitan la seudonimización o anonimización en los datos personales que se generen. Imperativo resulta asimismo la creación de interfaces que permitan a los usuarios acceder a esta información, y a terceros, siempre y cuando sean los agregados.
Respecto a cómo pedir permiso, la ley establece que mediante un contrato que siga las indicaciones FRAND, es decir, que las condiciones para compartir datos sean justas (fair), razonables (reasonables) y no discriminatorias (no discriminatory) y donde se incluyan mecanismos transparentes sobre las compensaciones que se otorgan por poner a disposición de otras empresas dichos datos.
Ventaja para las pymes
A la hora de diseñar la norma, las autoridades europeas siempre han recordado que uno de los grandes beneficiados por la Ley de Datos son las pequeñas y medianas empresas europeas, que ganarían músculo competidor frente a las grandes compañías tecnológicas. Coinciden en su análisis los abogados de Garrigues y BetaLegal al recordar que este tipo de empresas quedan exentas de la obligación de compartir los datos que generen sus productos y/o servicios – siempre que no estén vinculadas a una compañía de mayor dimensión-, lo que implica que no tendrán que crear interfaces de acceso a datos para usuarios o terceros ni diseñar sus productos conforme a los requisitos técnicos de acceso establecidos en el artículo 3 de la ley.
Entre las novedades, el mayor poder que otorga al usuario sobre la potestad de los datos que se van generando a medida que utiliza un dispositivo conectado, desde un smartphone o un reloj inteligente hasta un sistema de automoción asistida o máquina industrial conectada
Otro aspecto clave es el establecimiento de condiciones económicas más favorables. Cuando una pyme accede a datos de terceros, la compensación que deba pagar no podrá superar los costes estrictamente necesarios para el formateo, transmisión y almacenamiento de los datos. En situaciones de emergencia pública, tienen además el derecho a reclamar una compensación económica por los datos que proporcionen, a diferencia de las grandes compañías que podrían estar obligadas a ofrecerlos sin coste. La ley también impulsa la alfabetización en materia de datos, promoviendo que las autoridades refuercen las capacidades de las pymes para que puedan comprender mejor el valor de los datos y aprovecharlos en sus actividades.
Otra novedad es la facilidad de la que dispondrán las compañías para cambiar de proveedor de servicios cloud, ya que la ley adjudica a los mismos una serie de obligaciones para reducir los llamados efectos de bloqueo, que según el análisis realizado por la Comisión Europea, se originan por la falta de interoperabilidad técnica entre sistemas y a los altos costes de migración.
Disparidad y complejidad
La puesta en marcha de la Ley de Datos se produce en un entorno complejo a nivel normativo. Según recuerdan desde BetaLegal, no hay un modelo exacto de contrato, por lo que podría haber “cierta disparidad de prácticas y falta de uniformidad entre Estados miembros hasta que la Comisión Europea o el Consejo de Innovación de Datos Europeos (EDIB) promuevan buenas prácticas armonizadas”. Se suma la ardua tarea para las compañías de distinguir los distintos tipos de datos que generan sus productos y servicios (personales y no personales), garantizando que su tratamiento cumple no solo con la Data Act, sino también con el Reglamento General de Protección de Datos (RGPD). Sobre esta última, a tener en cuenta que en caso de conflicto, siempre prevalecerá la segunda.
