Bruselas aprueba el Reglamento de Datos que impulsará el mercado interior europeo digital para empresas y ciudadanos

Los datos personales no son los únicos datos que se almacenan en nuestros dispositivos y que circulan en la red. La Unión Europea (UE) se ha propuesto también regular estos últimos en una norma específica: el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (Reglamento de Datos).

Este Reglamento, publicado el pasado 22 de diciembre en el Diario Oficial de la UE, no solo complementa el Reglamento General de Protección de Datos (RGPD) y la Directiva 2002/58, sino que también introduce conceptos clave como ‘datos’, ‘usuarios’, ‘productos conectados’, y ‘servicios relacionados’, ampliando así el entendimiento y el manejo de la información digital.

Para los expertos en derecho digital consultados por Economist & Jurist, su contenido abarca desde el acceso y uso de los datos por los usuarios hasta la regulación de cláusulas abusivas, mostrando un esfuerzo por equilibrar los derechos de los individuos y las necesidades comerciales.

El nuevo Reglamento de Datos se centra en el acceso y uso de datos generados por productos y servicios digitales. Este Reglamento establece normas para garantizar que los usuarios puedan acceder y utilizar libremente los datos generados por el uso de productos conectados y servicios digitales.

Estos expertos subrayan que, pese a que entrará en aplicación a partir del 12 de septiembre de 2025, es ya el momento de empezar a revisar las políticas y los contratos de los fabricantes, desarrolladores y proveedores de servicios y productos conectados que se comercialicen en la Unión Europea, con independencia de su lugar de origen, y no dejarlo para el final como pasó con el RGPD europeo.

José Leandro Núñez: “Este Reglamento supondrá un avance en la regulación del Internet de las cosas». (Imagen: Audens)

El acceso a datos por defecto

Para José Leandro Núñez, socio de Audens y miembro de la Junta Directiva de ENATIC, “este Reglamento supondrá un avance en la regulación del Internet de las cosas, esos aparatos que están conectados a Internet y que almacenan datos de nosotros, como el coche autónomo, asistente de voz que hay en casa y que nos pone música o los propios relojes inteligentes. Se dirige la información generada por estos u otros aparatos”.

Desde su punto de vista, “lo que trata esta norma es de facilitar el acceso por parte de los usuarios y de otras empresas a esta información para que se pueda usar en otros contextos y al mismo tiempo aportar la información cuando cambias de dispositivo y evitar usos que sean ilícitos por parte de los fabricantes. Se trata de dar más transparencia a esta información que puede ser personal o puede no serlo. Se trata de que esa información que generan esos dispositivos sea accesible tanto para los usuarios como para terceros a los que los usuarios autoricen”.

A su juicio, la utilidad de la norma “nos ofrece una mayor autonomía sobre esa información. Hasta el momento no había ninguna norma en nuestro país, en cuanto a los datos personales de estos dispositivos ya vienen cubiertos por el RGPD de protección de datos que ofrece el derecho de acceso y a la portabilidad, con lo cual podría entenderse que la información estaba cubierta. Ahora tendremos posibilidad de tener acceso a más información que no estaba controlada”.

Al final, “vamos a saber qué tipo de información están recogiendo estas compañías de nosotros y de esa forma vamos a poder ver si esa recogida de información es excesiva, cuál es el alcance para qué se está utilizando, eso nos va a dar más control sobre la información de la que teníamos con anterioridad a la aparición de este Reglamento. No siempre somos conscientes de la información que se maneja de nosotros. En algún momento incluso la podríamos necesitar para cualquier cuestión”.

Con la llegada de este Reglamento, este jurista señala que “puedes, además de mantener esa información cuando cambias de operador, vincularla con otros servicios. Al final se trata de hacer algo parecido a lo que hacen las fintech, aplicaciones financieras que desarrollan servicios financieros utilizando nuevas tecnologías de forma intensiva. Se podrán crear otros servicios donde se podrá cruzar una información con otra y hacer comparativas, opciones que van más allá de los propios fabricantes”.

La llegada de este Reglamento de Datos ya ha acuñado el concepto de acceso de datos desde el diseño, que sigue las tesis del RGPD en materia de proactividad a nivel de privacidad: “se pretende que estos servicios estén abiertos por defecto y se acceda a esa información, pero eso hay que diseñarlo, no es inmediato. Habrá que adaptar software y servidores, de ahí que se haya fijado su entrada en vigor a finales del 2025. Sobre las sanciones, cada Estado tendrá que designar a un regulador que gestione las posibles multas”.

Víctor Salgado aclara que este Reglamento rompe con la tendencia opaca en relación a los datos “a otra cultura más transparente y de libre acceso a los datos por parte de los usuarios y de las empresas y de las propias administraciones públicas». (Imagen: Pintos & Salgado Abogados)

Un cambio de paradigma importante

Para Víctor Salgado, socio director de la boutique legal Pintos & Salgado Abogados, “la nueva economía digital está generando múltiples regulaciones de sus diversas piezas. Si hace unos días fue la AI Act, a finales del mes de diciembre supimos que se había llegado a un acuerdo con el Reglamento Europeo de Datos que explico en mi blog. Es un Reglamento tan complejo como el que se aprobó recientemente sobre Servicios Digitales o el propio RGPD”.

Desde su punto de vista, esta normativa “viene a complementar todo el acervo comunitario anterior que la UE desde hace veinte años viene construyendo, con un afán de regular de manera uniforme cuestiones que son esenciales. Eso hace que hayan dejado la directiva porque percibían que en la trasposición había alteraciones de un país a otro. Esta es una aplicación directa con tiempo para adaptarse porque en este caso se habla de septiembre del 2025 para su entrada en vigor”.

A su juicio, este Reglamento de Datos es un cambio de paradigma que rompe con la tendencia opaca en relación a los datos “a otra cultura más transparente y de libre acceso a los datos por parte de los usuarios y de las empresas y de las propias administraciones públicas. Supone un hito importante y engloba en lo que son los datos personales que ya estaban en el RGPD, pero sobre todo se aplica a los datos no personales. De ahí la gran ambición de la UE de regular la economía del dato, donde el papel de esos datos es crucial”.

En su opinión, “el control de los datos y garantizar a los ciudadanos el libre acceso a esos datos por parte de los usuarios que los generamos en la UE nos va a empoderar de forma importante frente a los que tradicionalmente fabrican los productos y desarrollan las aplicaciones que nos vienen de fuera. Se excluye de su aplicación a las microempresas de estar obligado, así como a las grandes plataformas como destinatarios de datos”.

Respecto a la adaptación al Reglamento, “hay que hacerlo lo antes posible. Lo primero es entender la norma. Está en vigor desde veinte días desde su aprobación, pero su aplicación no será hasta finales del 2025. Hay que diseñar o rediseñar los productos y servicios que comercializamos para que encaje en dicho Reglamento. Eso nos obliga a aplicar la privacidad por diseño a todo tipo de datos. Se trata de que todos los datos se pongan a disposición del usuario para que los pueda utilizar o compartir con otras entidades”.

Logrado ese acceso a los datos, “el usuario pueda hacer la explotación de sus datos y desarrollar distintos productos y servicios a partir de ellos. El límite estaría en que ese producto o servicio no hiciera la competencia a ese mismo producto del que hemos extraído esos datos. A nivel contractual deberán reconocerse estos derechos para que exista la posibilidad de recurrir por vía judicial. El Reglamento permite la ejecución de los smart contracts o contratos inteligentes que podrán ser ejecutables de forma más flexible”.

Ruth Benito: “Habrá que ver cómo se combina ese acceso de datos con la protección al secreto empresarial de las empresas”. (Imagen: Elzaburu)

Protección del secreto empresarial

Para Ruth Benito, of counsel de Protección de Datos y Privacidad de Elzaburu, la importancia de este Reglamento Europeo de Datos “es que aquí de lo que trata la UE es de buscar un equilibrio entre varios derechos que afectan a distintos agentes en toda la cadena de información. Aquí están inmersos los propios desarrolladores y el derecho a la libre competencia, pero salvaguardando el secreto empresarial, el derecho de propiedad intelectual e industrial y también el derecho a la protección de datos”.

En su opinión, “este Reglamento es una derivada lógica de la Ley de Gobernanza de Datos. Fundamentalmente, lo que busca es que todos puedan competir en una mayor igualdad de condiciones, que no haya tanta diferencia entre las grandes corporaciones que manejan tanta información y clientes que, a su vez, manejan esa información. Lo que se pretende es democratizar ese acceso a la información, pero es una tarea difícil; veremos si el Reglamento lo consigue y está bien enfocado.”

Desde su punto de vista, “hasta que no nos pongamos a trabajar no sabremos si realmente este Reglamento va a ser efectivo para lo que se ha creado, o incluso pudiera ser contraproducente en algún punto. Va a ser complejo buscar y lograr ese equilibrio al final».

Respecto a la adaptación de las empresas, hay algo más de un año para adaptarse al mismo. “Es complejo. Uno de los puntos más polémicos es cuando se habla del diseño por defecto de forma transparente y accesible para el propio cliente o titular de los datos. También es complejo. En principio, las pequeñas empresas están exentas de dicha obligación, pero las grandes compañías tendrán que hacerlo para que el cliente pueda acceder a esos datos de forma estructurada y fácilmente accesible. Habrá que ver cómo se proporciona ese acceso y hasta dónde”, apunta.

Al final se trata de compaginar “ese derecho de acceso de los clientes al propio secreto empresarial de la compañía. Este es uno de los temas más importantes. Su incidencia sobre este secreto empresarial va a ser notable porque refuerza la normativa escasa que había en nuestro país frente a otras jurisdicciones como EEUU que lo tienen más avanzado. El Reglamento obligará a ser más transparentes a las empresas y a facilitar más información a sus clientes. Tendrán que desarrollar mecanismos para proteger sus secretos empresariales.”

Respecto a la trasposición de dicho Reglamento en nuestro país, Ruth cree que es una práctica extendida en nuestro país dejar las cosas casi para el último momento. “Ya pasó con el RGPD de protección de datos que entró en vigor en mayo del 2018 y previsiblemente pasará con este Reglamento de Datos que se anuncia su aprobación desde Bruselas. Habrá que estar pendiente del clausulado contractual tipo que se apruebe en la UE y las medidas internas que adopten las empresas. Las cargas regulatorias llegan al sector empresarial y cuesta digerir este tipo de obligaciones legales», concluye.