Data Act, un extraordinario desafío para las compañías

Este viernes entra en vigor la gran mayoría de las disposiciones generales del Reglamento de Datos o Data Act, para garantizar a los usuarios, empresas y organismos públicos el acceso a los datos generados al utilizar dispositivos inteligentes conectados, como sistemas de domótica, coches inteligentes, aviones, dispositivos médicos, electrodomésticos o maquinaria industrial, evitando que el control quede exclusivamente en manos de las empresas comercializadoras o fabricantes de dichos dispositivos.

Dado que los datos que producen las maquinas conectadas son generados por los usuarios (personas físicas o jurídicas), la Data Act busca también proteger su posición otorgándoles más derechos, transparencia y control sobre los datos que generan con el uso de dispositivos IoT. De hecho, este reglamento europeo concede dos derechos esenciales al usuario: el derecho a acceder a los datos que ha generado a partir del uso de un producto conectado y el derecho a delegar en un tercero para que solicite el acceso a sus datos a la empresa fabricante del producto.

Esta ventaja sobre el acceso a datos supone un extraordinario desafío competitivo y regulatorio para los fabricantes de dispositivos conectados, pues implica que los datos puedan ser aprovechados por terceros autorizados por el usuario. El reglamento obliga a los fabricantes a compartir la información generada por sus dispositivos con dichos terceros, quienes, a su vez, pueden utilizarla para ofrecer mejores tarifas o servicios al cliente potencial, por ejemplo.

Este modelo de aprovechamiento de datos de la Data Act ha generado controversia, ya que las compañías suelen mostrarse reacias a compartir su información, al considerarla parte esencial de su estrategia y crecimiento. Al mismo tiempo, parte de los requisitos regulatorios del reglamento no sólo han sido cuestionados, sino también sujetos a interpretación, dificultando la implementación de sus obligaciones.

En este sentido, resulta interesante compartir algunos de los retos que plantea la Data Act, así como los principales impactos que tiene esta regulación en la operativa de las compañías:

Datos para compartir: uno de los aspectos fundamentales es identificar qué datos deben compartirse con el usuario o con un tercero designado por éste. Para ello, la empresa debe analizar y conocer al detalle los datos que genera su producto y los servicios asociados al mismo, así como tener en cuenta las excepciones que establece el Reglamento para no compartir cierta información.

Según la “Data Act” no se compartirán aquellos datos que: afecten a la seguridad del producto (debe haber una norma europea o nacional que ampare este requisito de seguridad); su acceso implique un esfuerzo desproporcionado para el titular del dispositivo; estén protegidos por derechos de propiedad intelectual. La aplicación de las excepciones debe estar debidamente justificada y, en algunas ocasiones, deben reportarse a la autoridad competente.

Interoperabilidad: Se trata de otro desafío tecnológico importante ya que, para la implementación exitosa de la “Data Act”, los titulares de dispositivos conectados deben conseguir que los datos estén disponibles en formato estándar permitiendo su uso por los terceros receptores sin barreras tecnológicas.

Sin embargo, la realidad es que tanto la interoperabilidad como los sistemas tecnológicos aún no están preparados para estas implantaciones, por lo que las empresas tendrán que adoptar métodos tradicionales (por ejemplo, en formato Excel).

Prevalencia de la normativa de protección de datos: La cobertura normativa de la Data Act aplica a datos no personales, pero también a datos de carácter personal, por lo que para poder compartir esta información y garantizar que su intercambio se realice de forma segura, se deberá atender a las obligaciones del Reglamento General de Protección de Datos.

Ello implica que las empresas deben ser especialmente cuidadosas a la hora de compartir información, ya que en el caso de que incluya datos personales deberán asegurarse de contar con la base legal oportuna para realizar este tratamiento.

Deber de transparencia: Hay obligaciones que los comerciantes de productos conectados deben cumplir sin excepción. Una de ellas es el deber de transparencia con respecto de sus clientes, a quienes deben informar sobre ciertos aspectos asociados a los dispositivos conectados que utilizan y a los datos que éstos generan. Por ejemplo, han de informar sobre el tipo, formato y volumen estimado de datos que el producto es capaz de generar, entre otra información de interés.

El deber de transparencia tiene un impacto relevante en los precontratos, pues la Data Act exige que dicha información se proporcione de manera previa a la firma del contrato con los clientes. Por tanto, en este caso, será preciso articular un mecanismo para que los clientes actuales conozcan estos aspectos, así como regular un modelo de información pre-contractual para cumplir con el deber de transparencia respecto de os nuevos los clientes que tenga la compañía.

Si bien la Data Act supone un avance significativo en el intercambio de datos y en el beneficio de la competencia del mercado, su aplicación representa un gran desafío práctico para las compañías. Sin embargo, este reglamento es un paso clave en la evolución de la economía digital europea al promover un acceso más equitativo a los datos, fomentar la innovación y proteger los derechos de los usuarios.