Joaquín Muñoz, abogado: “Las empresas que se adapten mejor a la Data Act podrán crear nuevos servicios con el uso de datos”

Desde el pasado 12 de septiembre la Data Act ha comenzado su aplicación como Reglamento para mejorar la economía digital. Es importante entender que esta fecha forma parte de un calendario escalonado muy bien planificado: las obligaciones de “diseño” se aplicarán a productos y servicios colocados en el mercado a partir del 12 de septiembre de 2026, y las disposiciones sobre términos abusivos se aplicarán a todos los contratos a largo plazo desde el 12 de septiembre de 2027.

En conversación con Economist & Jurist, Joaquín Muñoz, socio responsable de privacidad y protección de datos en Bird & Bird Spain, analiza en profundidad la importancia de la norma que, a su juicio, “en el contexto de la estrategia global europea, el Reglamento Data Act forma parte de los ‘Cinco Grandes’ actos legislativos: la Ley de Inteligencia Artificial (AIA); la Data Act (DA); la Ley de Gobernanza de Datos (DGA); la Ley de Servicios Digitales (DSA); la Ley de Mercados Digitales (DMA); además de medidas de ciberseguridad (NIS2, DORA, Ciberresiliencia, etc.)”.

Economist & Jurist (E&J). – ¿Podría explicar cómo se ha gestado la Data Act y qué papel va a jugar en la economía digital? Al parecer es un elemento clave para una moderna economía digital.

Joaquín Muñoz (J.M.). – La Data Act ha sido el resultado de un proceso legislativo muy meditado que comenzó en febrero de 2022 con la propuesta de la Comisión Europea. La Estrategia Europea de Datos tiene como objetivo desbloquear ‘una riqueza de datos industriales’ para beneficiar a empresas y consumidores, y busca establecer a Europa como un actor digital global con soberanía tecnológica, crear una economía digital justa y competitiva, garantizar la disponibilidad de datos de alta calidad para crear e innovar, y permitir el libre flujo de datos dentro de la Unión Europea y entre sectores.

El proceso legislativo fue intenso: desde febrero de 2022 con la propuesta de la Comisión, pasando por las negociaciones entre el Parlamento Europeo y el Consejo entre febrero y junio de 2023, hasta la adopción formal en noviembre-diciembre de 2023 con publicación en el Diario Oficial el 22 de diciembre de 2023, entrando en vigor el 11 de enero de 2024.

Esta normativa pretende ser un elemento clave para la economía digital del futuro porque busca desbloquear el valor de la información, fomentar la innovación y reforzar la competitividad de las empresas europeas, dando a los usuarios, tanto empresas como consumidores, un mayor control sobre los datos que generan, a la vez que impulsa la creación de nuevos servicios basados en ellos.

Su entrada en vigor es algo muy relevante. Se trata de democratizar el acceso a los datos y hacerlos circular en un ecosistema más abierto y colaborativo. Este es un cambio cultural profundo que va mucho más allá de una simple modificación regulatoria.

Las empresas corren el riesgo de perder competitividad frente a aquellas que logren adaptarse con agilidad y aprovechar el nuevo marco legal para generar valor añadido. Cumplir con la Data Act no debería verse únicamente como una carga regulatoria, sino como una oportunidad estratégica para fortalecer el futuro del negocio.

Este cambio cultural es fundamental para la transformación digital de Europa y para establecer un nuevo paradigma en la economía de datos global.

Para Muñoz, esta normativa va a generar un cambio cultural importante en las empresas. (Imagen: Bird & Bird)

E&J. – En la actualidad más del 80% de los datos están infrautilizados, ¿cómo va a ayudar este Reglamento a su utilización?

J. M. – Efectivamente, según datos de la UE, el 80% de los datos industriales no se utilizan hasta la fecha, lo que representa un potencial sin explotar. Esta cifra es realmente impactante cuando consideramos que el uso de productos conectados y servicios relacionados y el aumento de la disponibilidad de datos para uso comercial e innovación entre empresas podría generar hasta 196.7 mil millones de euros al año para 2028, según la nota de prensa de la Comisión.

El Reglamento aborda esta infrautilización de manera muy directa. Busca revertir la situación donde gran parte de la información generada por productos conectados quedaba bajo control exclusivo de los fabricantes o proveedores de servicios, limitando el potencial de quienes utilizaban los dispositivos.

La Data Act establece reglas básicas comunes sobre acceso “justo” a datos en todos los sectores económicos y supera los obstáculos legales, económicos y técnicos responsables de la infrautilización de datos. Esto significa que los datos que antes permanecían en propiedad de las empresas fabricantes de los productos o servicios ahora podrán circular y generar valor en toda la cadena económica.

«La Data Act establece reglas básicas comunes sobre acceso ‘justo’ a datos en todos los sectores económicos y supera los obstáculos legales, económicos técnicos responsables de la infrautilización de datos»

E&J. – Los pilares de esa norma son la interoperabilidad en espacios europeos y la portabilidad en la nube junto con internet de las cosas, ¿qué puede decirnos de ello?

J. M. – Exactamente, estos son pilares fundamentales. La interoperabilidad es crucial en la Data Act, por eso le dedica el Capítulo VIII específicamente y habrá actos delegados e implementadores que cubrirán los requisitos de interoperabilidad de datos, de mecanismos de intercambio de datos y espacios de datos.

Los requisitos de cambio de proveedor incluyen que los proveedores de servicios de procesamiento de datos deberán tomar las medidas previstas en los artículos 25, 26, 27, 29 y 30 para permitir a los clientes cambiar a otro servicio de procesamiento de datos del mismo tipo o a una solución local, prohibiendo prácticas como obstáculos para la terminación de contratos de servicio; obstáculos para la conclusión de un acuerdo con otro proveedor; inhibir la transferencia de datos del usuario a un nuevo proveedor.

Respecto al internet de las cosas, los productos conectados se definen como aquellos que obtienen, generan o recopilan datos sobre su uso o entorno y que pueden comunicar datos a través de un servicio de comunicación electrónica, conexión física o acceso en el dispositivo.

Hoy en día está muy extendido el uso de estos dispositivos conectados, permitiendo en la mayoría de los casos únicamente una interacción en los entornos del fabricante de dichos dispositivos. La Data Act va a favorecer que los usuarios puedan disponer de los datos generados por estos dispositivos en otros entornos privados o de proveedores distintos al fabricante.

Muñoz, en una jornada formativa, cree que se abre una oportunidad de negocio para las empresas con la Data Act. (Imagen: Bird & Bird)

E&J. – ¿Qué nos puede decir de las obligaciones que plantea a las empresas en cuanto a información precontractual y diseño y acceso?

J. M. – Las obligaciones son muy específicas y transformadoras. En cuanto al diseño, la más relevante es el principio de data by design: los dispositivos y servicios deberán diseñarse de manera que los datos sean accesibles desde el inicio.

Los requisitos de acceso desde el diseño establecen que los productos conectados y servicios relacionados deben diseñarse y fabricarse de tal manera que los datos relevantes (incluidos metadatos) estén disponibles por defecto para el usuario (gratuitos, legibles por máquina, etc.), y si no se puede acceder directamente a los datos, los poseedores de datos deberán ponerlos a disposición sin demora indebida.

En información precontractual, las obligaciones de transparencia requieren que antes de la compra, alquiler o arrendamiento, el fabricante/proveedor de servicios/poseedor de datos (respectivamente) debe proporcionar información relacionada con datos, incluyendo: tipo, formato y volumen que el producto puede generar; naturaleza del almacenamiento de datos (remoto, en dispositivo, retención); cómo acceder, recuperar o eliminar datos, incluidos términos de uso y calidad del servicio; usos adicionales de datos; identidad y datos de contacto del poseedor de datos.

«Con el principio data by design, los dispositivos y servicios deberán diseñarse de manera que los datos sean accesibles desde el inicio»

Para garantizar el cumplimiento, las empresas deben trabajar con equipos técnicos para diseñar y fabricar productos conectados y servicios relacionados de manera que los datos del producto sean directamente accesibles por defecto por usuarios consumidores y corporativos.

E&J. – ¿Cómo afecta la Data Act al compartir datos con terceros?

J. M. – El intercambio con terceros es uno de los aspectos más innovadores de la normativa. Para compartir datos con destinatarios terceros, tiene que ser a petición del usuario, y gratuito para el usuario, bajo condiciones similares al intercambio de datos con usuarios (es decir, sin demora indebida, legible por máquina, misma calidad que el poseedor), requiriendo contrato entre el poseedor de datos y el destinatario de datos donde el poseedor de datos puede aplicar términos al acceso de datos, pero estos deben ser justos, razonables y no discriminatorios, y el poseedor de datos puede solicitar compensación (por ejemplo, de costes y un margen).

El Capítulo III establece el enfoque FRAND (justo, razonable y no discriminatorio), que es fundamental para garantizar que el intercambio de datos no se convierta en una barrera competitiva.

Las empresas deben adoptar una política de precios ad hoc que puede suponer requerir que las empresas terceras compensen por acceder a datos del producto; la compensación debe ser no discriminatoria y razonable y puede incluir un margen.

Junto a Luis Alfonso Manzano y Mariano Santos, Joaquín Muñoz configura la coordinación del Latam Desk de Bird & Bird a nivel global. (Imagen: Bird & Bird)

E&J. – ¿Qué oportunidades de negocio abre a nivel de marco legal?

J. M. – Las oportunidades son enormes y transformadoras. Más allá del cumplimiento, la Data Act abre la puerta a nuevas oportunidades de negocio. Las empresas podrán crear servicios adicionales basados en datos, mejorar la personalización de sus ofertas, explorar colaboraciones con terceros y, en definitiva, transformar la información en un activo estratégico de primer nivel que impulse su crecimiento.

Las empresas usuarias podrán también obtener la información que su servicio o maquinaria conectada produce y emplearla para optimizar su eficiencia operativa, contratar servicios de mantenimiento predictivo, desarrollar soluciones complementarias, o facilitar la reparación y el mantenimiento.

Por su parte, las empresas de servicios de mantenimiento y reparación se beneficiarán enormemente al poder acceder a los datos de diagnóstico y rendimiento de productos de diferentes fabricantes, mejorando su capacidad de servicio y compitiendo de igual a igual con los servicios oficiales.

Según la Comisión Europea, esto permitirá que los proveedores de servicios de mercado mejoren sus servicios, innoven y compitan en igualdad de condiciones con servicios comparables ofrecidos por fabricantes, permitiendo a los usuarios optar por proveedores de reparación y mantenimiento más baratos.

E&J. – ¿Cómo deben prepararse estas empresas para cumplir con esta nueva estrategia digital y qué conexiones tiene con alguna otra normativa existente en la actualidad?

J. M. – La preparación debe ser integral y comenzar ya si no se ha hecho aún. Aunque las obligaciones de diseño y fabricación se aplicarán a productos conectados y servicios relacionados ofrecidos en el mercado después del 12 de septiembre de 2026, el trabajo de adaptación ya debería estar en marcha para cumplir con la fecha límite.

«Las empresas deben adaptarse de forma integral a la entrada de la Data Act con distintas medidas, entre las cuales destaca auditar los sistemas de datos»

Los pasos clave incluyen: auditar los sistemas de datos identificando qué información generan sus productos y servicios; revisar contratos y políticas internas ajustándolos a los nuevos requisitos; implementar soluciones técnicas que hagan posible el acceso y la portabilidad de los datos de manera segura y eficiente; formar al personal, ya que equipos legales, técnicos, comerciales y de desarrollo de producto deben comprender las implicaciones.

En cuanto a conexiones con otras normativas, la Data Act opera dentro de un marco de regulación de datos horizontal y vertical que incluye legislación específica sectorial que complementa la Data Act, incluyendo el espacio europeo de datos de salud (EHDS), el marco para el acceso a datos financieros (FIDA), y el esperado acceso a datos de vehículos.

Es crucial entender que la Data Act opera sin perjuicio de los actos legales de la Unión y nacionales que prevén la protección de los derechos de propiedad intelectual, y mantiene conexiones importantes con el GDPR en materia de protección de datos personales.

Para este jurista, con esta nueva normativa «los dispositivos y servicios deberán diseñarse de manera que los datos sean accesibles desde el inicio». (Imagen: Bird & Bird)

E&J. – ¿Qué beneficios plantea para los usuarios?

J. M. – Los beneficios para los usuarios son sustanciales y van más allá del simple acceso a datos. Los usuarios tienen amplios derechos de acceso donde los poseedores de datos deben proporcionar a los usuarios datos fácilmente disponibles y metadatos relevantes a través de solicitud electrónica simple, sin diseño engañoso y el acceso debe ser gratuito, en formato comúnmente usado y legible por máquina, de la misma calidad, y cuando sea relevante y técnicamente factible, continuo y en tiempo real.

Esto permite que los usuarios de productos conectados (incluyendo consumidores y empresas) opten por proveedores de reparación y mantenimiento más baratos o mantengan y reparen ellos mismos, beneficiándose de precios más bajos en el mercado. Según la Comisión Europea, esto podría extender la vida útil de los productos conectados, contribuyendo así a los objetivos del Pacto Verde.

Para usuarios empresariales, si una organización es usuaria de productos como maquinaria industrial, vehículos, dispositivos IoT o electrodomésticos inteligentes, el reglamento le otorga el derecho a acceder a los datos que generan los dispositivos que utiliza.