Data Act: la sorpresa silenciosa
Esta norma tiene un gran impacto en el mercado digital, pero está pasando desapercibida para muchos
Decía Mark Twain que lo que te da problemas no es lo que no sabes; lo que te da problemas es lo que creías saber, y resulta que no.
Esto viene a cuento de uno de los muchos reglamentos aprobados por la Unión Europea en el ámbito de la normativa digital: la Data Act, o reglamento de datos. Esta norma tiene un gran impacto en el mercado digital, pero está pasando desapercibida para muchos, oculta tras el subidón de la inteligencia artificial, las exigencias del RGPD o la necesidad perentoria de cumplir con la normativa de ciberseguridad.
Con la Data Act, lo que se persigue es crear espacios europeos de datos compartidos, que permitan incrementar de forma exponencial la innovación y el desarrollo. Para lograr este objetivo, la Data Act incluye una serie de obligaciones para fabricantes de productos digitales que gestionen y traten datos, sean o no personales, derivados del uso que de dichos productos hagan sus clientes. Asimismo, impone obligaciones a los proveedores de servicios cloud que den soporte a la interconexión de los anteriores productos entre sus fabricantes y sus usuarios.
Las obligaciones a las que quedarán sujetos a partir del próximo mes de septiembre serán, principalmente, las siguientes. En el caso de los fabricantes, los clientes de sus productos conectados tendrán derecho a acceder a los datos de uso de otros clientes, para poder mejorar sus propios procesos productivos (este acceso no debe implicar pérdida de know-how, de secretos comerciales o de propiedad intelectual del fabricante). Para asegurar lo anterior, los fabricantes deberán diseñar sus productos de forma que ese intercambio de datos sea posible y, si el diseño del producto no lo permite, deberán reorganizar sus procesos de gestión de información para facilitar dichos datos a los clientes que lo soliciten. Adicionalmente, los fabricantes no podrán utilizar los datos de sus clientes, relativos al uso de productos conectados, salvo que estos lo autoricen de forma expresa.
Por su parte, las obligaciones de proveedores en cloud consistirán, esencialmente, en facilitar que sus clientes puedan cambiar de proveedor sin ningún obstáculo (cloud switching), así como en garantizar la portabilidad de los datos durante dicho cambio.
En esta ocasión, la UE no ha hecho honor a su reputación de “potencia normativa”: la norma no va acompañada de un régimen sancionador, responsabilidad que se ha endilgado a los Estados miembros. Y, por ahora, no hay iniciativa legislativa a estos efectos, ni por parte del gobierno ni de los grupos parlamentarios, aunque es de esperar que la propuesta sancionadora futura vaya en la línea del actual estándar europeo de multas severas en el entorno de normativa digital.
Desde un punto de vista práctico, todos los fabricantes de productos de IoT, así como los proveedores de servicios de tratamiento de datos vinculados a los mismos, van a tener que revisar y reorientar sus procesos productivos y de prestación de servicios, así como proceder a una reordenación profunda de sus condiciones contractuales de venta y servicio. Para facilitar la tarea, las autoridades de la UE están trabajando en modelos contractuales que permitan a estas empresas el cumplimiento de estas obligaciones, sin poner en peligro sus secretos industriales y para evitar situaciones de competencia desleal.
Muchas de las anteriores obligaciones entran en vigor este próximo mes de septiembre, es decir, a la vuelta del verano, aunque para asegurar el cumplimiento de algunas de ellas, el plazo se extiende hasta septiembre de 2026. En cualquier caso, las empresas afectadas por esta norma recordarán la locura y las prisas del 2018 con el cumplimiento de la normativa de protección de datos, y de buen seguro querrán volver a evitarlas.
