La visión de la UE en materia de datos
Si es cierto aquél dicho que afirma que los datos son el nuevo petróleo, entonces es evidente que de un tiempo a esta parte, se requieren en la Unión Europea (UE) de ciertas capacidades específicas de “extracción, refinación, distribución y comercialización” para poder monetizar los datos sin afectar a consumidores, usuarios finales y a las PyMEs, y respetando el marco de valores y principios europeos en materia de datos.
Ya en 2016, la UE actualizó su regulación de protección de los datos personales[1], regulando su procesamiento[2] y la responsabilidad por su tratamiento[3]. Con la adopción de GDPR[4] en vigor desde hace ya cinco años, la UE se ha posicionado como un faro relevante en materia de datos personales, consagrando, por ejemplo, el derecho de todo interesado a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar[5].
Más allá de los datos personales y GDPR, desde 2020 la visión de la Comisión Europea (CE) es que en una sociedad en la que las personas generarán cantidades cada vez mayores de datos, la manera en que se recogen y utilicen los datos debe situar los intereses de la persona en primer lugar, de conformidad con los valores, los derechos fundamentales y las normas europeos.
Al mismo tiempo, el volumen cada vez mayor de datos industriales no personales y de datos públicos en Europa, junto con el cambio tecnológico en el modo de almacenamiento y tratamiento de los datos, constituirá una fuente potencial de crecimiento e innovación que debe aprovecharse[6].
La CE, con mucho tino, considera que los datos serán un recurso esencial para que las startups y PyMES europeas puedan desarrollar nuevos productos y servicios. Además, la disponibilidad de datos es fundamental para entrenar a los sistemas de inteligencia artificial, y también para alimentar el uso de gemelos digitales.
Ahora bien, la CE es consciente que un pequeño número de grandes empresas de tecnología de China y Estados Unidos posee gran parte de los datos del mundo, lo que puede reducir los incentivos para que surjan, crezcan e innoven en la UE empresas basadas en los datos.
Se afirma que una gran parte de los datos que se manejen en el futuro procederán de aplicaciones industriales y profesionales, de ámbitos de interés público o de aplicaciones IoT, ámbitos en los que la UE es fuerte[7].
Por otro lado, la CE también es consciente de la elevada concentración en la prestación de servicios en la nube y de infraestructuras de datos, y de ciertos desequilibrios de mercado en relación con el acceso a los datos y su utilización, lo que afecta a las PyMEs europeas.
Este problema se ilustra bien con el caso de las plataformas: un pequeño número de actores pueden acumular grandes cantidades de datos que les permiten obtener información importante y ventajas competitivas gracias al volumen y la variedad de los datos que poseen. Además, se afecta la competencia en los mercados en casos específicos, no solo en el mercado relevante per se de provisión de servicios de plataformas digitales, sino también en los distintos mercados específicos de bienes y servicios que también son cubiertos por la plataforma, en particular si la plataforma está activa en dichos mercados conexos -spill-over effects-.
La CE[8] ha multado varias veces a grandes firmas tecnológicas, dado que el alto grado de poder de mercado que genera la “ventaja en materia de datos” puede permitir a los grandes operadores imponer normas sobre la plataforma y condiciones de acceso y uso de los datos, o valerse de dicha ventaja a la hora de desarrollar nuevos servicios y expandirse hacia nuevos mercados[9].
Para intentar resguardar a las PyMEs europeas de las prácticas abusivas de las grandes plataformas extranjeras, en Noviembre de 2022 entró en vigor la Digital Markets Act (DMA)[10], cuyos efectos plenos se verán en Agosto de 2024. La DMA regula a los porteros o gatekeepers, i.e. las 6 grandes plataformas: Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, que ofrecen 22 servicios que quedan regulados por la DMA[11].
Pero en la visión de la CE, además del cuidado y respeto de los datos personales y la regulación de las grandes plataformas, comienzan a aparecer grandes cantidades de datos industriales (datos no personales), datos públicos, y también nuevas formas de tratamiento y gestión de los mismos. Pero ¿cuántos datos?¿dónde están almacenados? La CE indica que el volumen de datos producidos en el mundo escalará desde los 33 zettabytes en 2018 hasta los 175 zettabytes en 2025[12] -es decir 6X de crecimiento-.
Actualmente, el 80% del tratamiento y el análisis de estos datos tiene lugar en centros de datos y en instalaciones informáticas centralizadas, y el 20% restante en objetos conectados inteligentes (IoT), como vehículos, electrodomésticos, robots y en otros tipos de instalaciones informáticas cercanas al usuario: Edge Computing. La CE asume que este mix 80/20 se invertirá tan pronto como en 2025.
Con este escenario en vistas, la CE propuso en 2020 un reglamento para la gobernanza de datos (en adelante, DGA)[13] que fue aprobado en Mayo de 2022 y entró en vigor en Septiembre de 2023[14], la que será objeto de análisis en el presente. La DGA busca apoyar la creación y el desarrollo de espacios de datos europeos comunes en ámbitos estratégicos, en los que participen tanto agentes privados como públicos, en sectores como la salud, el medio ambiente, la energía, la agricultura, la movilidad, las finanzas, la fabricación, la administración pública y las competencias.
Además, en 2022[15], la CE propuso una ley de datos (en adelante, DA) que regulará los usos de datos industriales no personales y personales recabados mediante dispositivos IoT, incluyendo estándares de certificación para smart contracts que automatizan intercambios de datos machine-to-machine[16], y la provisión de servicios de procesamiento o tratamiento de datos[17]. En Junio de 2023, el texto de la DA fue consensuado por el Parlamento Europeo y el Consejo de la Unión, con lo cual una vez aprobado y publicado[18], entrará en vigor a los 20 meses[19].
Afirma la CE que los usuarios de objetos o dispositivos IoT generalmente creen que deben tener plenos derechos sobre los datos que generan, sin embargo, sus derechos no están claros[20]. Además, los fabricantes de estos dispositivos IoT no siempre diseñan sus productos de una manera que permita a los usuarios, tanto profesionales como consumidores, aprovechar al máximo los datos digitales que crean al usar objetos IoT, y esto puede producir una situación desfavorable, en la que no existe una distribución justa de la capacidad de aprovechar datos tan importantes, lo que frena la digitalización y la creación de valor.
Así, la DA buscará poner a disposición más datos en beneficio de las PyMEs, los ciudadanos y las administraciones públicas a través de un conjunto de medidas[21], garantizando precios y comisiones razonables por disponibilizar los datos que se generan mediante estos dispositivos IoT[22]. Por exceder el propósito del presente, en una próxima entrega se hará foco en la DA[23].
Finalmente, si se entiende que los tokens criptográficos son, en efecto, inputs de datos en redes de registro (inalterable) distribuido públicas, privadas o híbridas -y se hace abstracción de qué representan tales datos así registrados: bitcoins, acciones tokenizadas, dinero electrónico tokenizado, derechos de acceso y uso de servicios, formas de identidad digital de personas, cosas u organizaciones, etc.-, debe también incluirse en la visión europea de datos la propuesta del año 2020 de la CE, que fuera aprobada en Mayo de 2023: el Reglamento de Mercado de Criptoactivos -o MiCAr, en inglés[24], y que entrará en vigor, en sus diversas partes, entre Junio y Diciembre de 2024.
El Reglamento de Gobernanza de Datos
Si los datos son efectivamente el nuevo petróleo, entonces la DGA[25], que crea un nuevo régimen de Data Intermediaries (en adelante, DI) regulará la actividad de las estaciones de servicios (distribución), más no la actividad de refinación ni de extracción[26]. Así, el texto de la DGA se enfoca en intercambios voluntarios y comerciales de datos[27].
Así, la DGA busca impulsar el desarrollo de nuevos intermediarios europeos, que facilitan el intercambio de datos entre tenedores -data holders- y usuarios -data users-, pero de manera neutral, es decir, sin procesar esa información para un fin propio o corporativo, en función de una expresa prohibición de integración vertical y cross-subsidies del Art. 12 DGA[28].
En este sentido, la DGA busca que el “mercado de datos europeo” se desconcentre y diversifique, y a la vez, que se reduzca el poder de mercado de empresas tecnológicas extranjeras -gatekeepers-. A tal fin, crea tres regímenes jurídicos nuevos: (1) reglas para reusar, dentro de la UE, datos en poder de autoridades públicas; (2) la regulación de los servicios de intermediación de datos mediante la DGA; y (3) reglas para el altruismo de datos (donaciones de datos con ciertos fines).
La doctrina especializada ha criticado que una mayor competencia y una menor concentración del mercado europeo de datos se pueda efectivamente conseguir mediante la nueva categoría de DIs[29]. Se ha afirmado que la DGA asume implícitamente que los DIs -intermediarios centralizados- crearán mayor confianza en este incipiente mercado -de momento muy dominado por las Big Tech de EE.UU y China-, eliminando asimetrías de poder y de información, al cumplir un rol neutral entre los sujetos y los usuarios de datos. De hecho, la DGA quiere impulsar fuertemente la creación de DIs europeos.
Ciertamente, esta crítica doctrinaria encuentra fundamento en los nuevos modelos de gestión de datos descentralizados que posibilitan las redes de registro distribuido, y que empoderan al sujeto de los datos de una manera y en una forma que los sistemas centralizados de gestión de información no pueden conseguir, por su propio limitación tecnológica -Web2-.
Por otro lado, y quizás lo más criticable, la DGA asume también que los intermediarios “neutrales” de datos europeos podrán efectivamente desarrollar y escalar un modelo de negocios sin integrarse verticalmente, y que podrán competir con las grandes plataformas que pueden, por ejemplo, decidir no cobrar por sus servicios de intermediación de datos, lo que obligaría a los Tribunales a interpretar el Art. 2(11), DGA[30].
Los Intermediarios de Datos
Los Data intermediaries (DIs) son un nuevo intermediario neutral entre los usuarios y los tenedores de datos, con distintos modelos de negocios (públicos o privados, for profit o non-profit), que cobran suscripciones para acceder a data sets centralizados, o comisiones por transacciones.
Surgen de la mano del movimiento de Open Banking (como trusted third parties, como ilustra el UK Open Banking Implementation Entity), o como custodios de datos como el Genomic England Project, ofreciendo ambientes seguros para análisis de datos o auditoría de datos, aunque la doctrina afirma que no está tan claro que otros servicios -aparte de intermediación- podrán ofrecer[31].
Los DIs pueden estar organizados como organizaciones con data servers centralizados, o totalmente descentralizadas como Ocean Protocol. Los DIs pueden ofrecer servicios de valor agregado como seguridad, autenticación, prevención de fraude, anonimización o seudonimización, además de regulatory compliance services, o servicios de gestión de información personal.
También es posible que los DIs no compartan ni manipulen datos, sino que simplemente ofrezcan una infraestructura tecnológica para interconectar a distintos sujetos y usuarios de datos.
Los DIs también pueden ser data marketplaces -como AWS Data Exchange-, o orquestar ecosistemas de datos abiertos, como propone el considerando 32 de la DGA[32] a través de las cooperativas de datos europeas como Salus Coop, PolyPoly.coop, MIDATA, etc.
Régimen legal de los DIs
La DGA define qué es un servicio de intermediación de datos, pero no define qué son los DIs.
Así, el Art. 2 DGA define el servicio de intermediación de datos es todo servicio cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo, incluidos los servicios destinados al ejercicio de los derechos de los interesados en relación con los datos personales, pero excluidos, al menos, los servicios siguientes:
a) Los servicios que obtengan datos de titulares de datos y que los agreguen, enriquezcan o transformen con el fin de añadirles un valor sustancial y concedan licencias a los usuarios de datos para la utilización de los datos resultantes, sin establecer una relación comercial entre los titulares de datos y los usuarios de datos;
b) Los servicios dedicados a la intermediación de contenido protegido por derechos de autor;
c) Los servicios utilizados exclusivamente por un único titular de datos para permitir la utilización de los datos que obren en poder de dicho titular de datos, o los utilizados por múltiples personas jurídicas en un grupo cerrado, incluyendo también los utilizados en las relaciones con proveedores o con clientes o las colaboraciones establecidas contractualmente, en particular, los que tienen como objetivo principal garantizar las funcionalidades de los objetos y dispositivos conectados al internet de las cosas;
d) los servicios de intercambio de datos ofrecidos por organismos del sector público sin la intención de establecer relaciones comerciales;
Dada esta definición de la actividad de intermediación de datos, Finck sostiene que no todos los servicios de intercambio de datos son DIs, y tampoco todos los proveedores de servicios de intercambio de datos quedan regulados por la DGA[33]. Serán DIs regulados los servicios que: (1) se prestan solo para el propósito de compartir datos[34]; (2) el servicio establece una relación comercial[35]; (3) se prestan a un número no determinado de sujetos y usuarios de datos[36], y (4) la intermediación puede ocurrir técnica, jurídica o por otros medios[37].
Entonces, el Art. 2(11) define qué es un servicio de intermediación de datos, y a su turno el Art. 10 define qué categoría de DIs deberán cumplir con las obligaciones específicas de los Arts. 11 y 12, DGA[38].
El Art. 10 reza: “Servicios de intermediación de datos
La prestación de los siguientes servicios de intermediación de datos deberá cumplir lo dispuesto en el artículo 12 y estará sujeta a un procedimiento de notificación:
a) Servicios de intermediación entre los titulares de datos y los potenciales usuarios de datos, incluida la facilitación de los medios técnicos o de otro tipo para habilitar dichos servicios; estos servicios podrán comprender el intercambio bilateral o multilateral de datos o la creación de plataformas o bases de datos que posibiliten el intercambio o la utilización en común de datos, así como el establecimiento de otra infraestructura específica para la interconexión de los titulares de datos con los usuarios de datos;
b) Servicios de intermediación entre los interesados que deseen facilitar sus datos personales o las personas físicas que deseen facilitar datos no personales y los potenciales usuarios de datos, incluida la facilitación de los medios técnicos o de otro tipo necesarios para habilitar dichos servicios, y, en particular, posibilitar el ejercicio de los derechos de los interesados previstos en el Reglamento (UE) 2016/679;
c) Servicios de cooperativas de datos.”
Deberes de los DIs
Siguiendo a Finck[39], los principales deberes de los DIs son formales y sustantivos. En cuanto a los deberes formales, deben notificar a cada autoridad nacional competente su voluntad de prestar los servicios regulados por DGA. No requieren autorización para operar, pero las autoridades competentes pueden investigar y confirmar que el DI cumple (o no) con los Arts. 11 y 12, para acceder a un sello y a un logo oficial que acredita que el DI cumplen con la DGA. Los DIs deben llevar registros de todas sus actividades de intermediación, y tener un plan de contingencia para casos de insolvencia.
En cuanto a los deberes sustantivos, además del declamado deber de neutralidad -que, entre otras cosas, prohíbe ofrecer servicios de data analytics-, deben cumplir la consecuente prohibición de integración vertical.
Si un DI desea ofrecer servicios como almacenamiento, curación, conversión, anonimización o seudonimización, deberán crear un vehículo legal separado[40]. Los DIs también deben cumplir la normativa antitrust comunitaria, y no deben permitir el intercambio de información comercial sensible entre competidores, estando expresamente prohibidas las ventas atadas de servicios de intermediación junto con otros servicios adicionales provistos por una parte relacionada.
Finalmente, deben garantizarse respecto de sus servicios condiciones de de acceso y trato justo, transparencia y no discriminación, tanto para usuarios como para sujetos de datos, y, notablemente, deben garantizar la interoperabilidad con otros DIs. Y además, cuando intercambian datos de personas físicas (sujetos de datos) con personas jurídicas (usuarios de datos), los DIs asumen un deber legal, un deber fiduciario, de actuar en el mejor interés de los sujetos de los datos. Deben además garantizar que no hay accesos indebidos a los datos por parte de terceros y comunicar eventuales intrusiones.
Conclusiones
Volviendo a la analogía inicial del petróleo y los datos, la DGA busca crear un nuevo mercado europeo de DIs, acorde con los valores europeos, promoviendo que los DIs compitan contra los porteros existentes, los que tienen ya una clara ventaja por el volumen de datos gestionado, y pueden por ende avanzar más rápido en el segmento de la IA, generativa y de otros tipos.
Ahora bien, estos porteros también tienen un historial de infracciones preocupante, que incluye desde multas por abuso de posición dominante hasta casos más groseros como Cambridge Analytica[41].
Habrá que esperar unos años para ver cómo se integran -en la realidad- los disímiles bienes jurídicos protegidos por normas distintas, que regulan distintas etapas desde la extracción, el almacenamiento, el tratamiento, la refinación, el intercambio automático y la distribución de cantidades exponencialmente crecientes de datos, generados por las personas y también por los dispositivos IoT.
Aún distintas -i.e. DGA, GDPR, eIDAS 2[42], DA, DMA y la Ley de IA, entre otras-, todas las normas europeas están orientadas a un mismo fin: promover la competencia y que no se vulneren derechos de los usuarios finales de la tecnología, incluyendo a PyMEs o grandes conglomerados europeos.
De momento, por un lado la doctrina europea ya adelanta que si bien la Digital Markets Act de Septiembre de 2022[43] puede favorecer y promover la aparición de DIs europeos conforme al marco de la DGA, también es cierto que al no existir una prohibición expresa para que los porteros[44] ofrezcan ellos mismos todos -o algunos- servicios de intermediación de datos -vía un SPV dedicado-, es muy previsible que esto ocurra, y entonces, la aclamada neutralidad europea de los DIs puede peligrar. Por otro lado, la propia DMA puede incluso promover que los mismos gatekeepers entren al mercado de intermediación de datos[45].
Citas
(*) Sebastián Heredia Querro es Abogado (UCC), Magíster en Derecho Empresario (U. Austral) y Magíster en Finanzas (ESADE). Es co-fundador de Wootic, una software factory boutique enfocada en DLTs y machine learning
[1] Véase Reglamento (UE) 2016/679, conocido como GDPR, acrónimo en inglés del Reglamento General de Protección de Datos. Confr. https://commission.europa.eu/law/law-topic/data-protection/eu-data-protection-rules_es#abouttheregulationanddataprotection. GDPR se encuentra en proceso de revisión y actualización. Allí se definen como “datos personales”: toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Confr. GDPR, Art. 4(1)
[2] Sobre las formas de procesar datos manual o automáticamente, ampliar en https://commission.europa.eu/law/law-topic/data-protection/reform/what-constitutes-data-processing_es.
[3] Se define como “responsable del tratamiento” a la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros. Confr. GDPR Art. 4(7). Los proveedores de cloud computing son considerados data controllers. Michèle Finck, en Cobwebs of control: the two imaginations of the data controller in EU law, publicado en International Data Privacy Law, Volume 11, Issue 4, November 2021, Pages 333–347, disponible al 15/15/23 en https://academic.oup.com/idpl/article/11/4/333/6355992 cita jurisprudencia alemana y española que interpretó que en una FanPage en Facebook tiene dos data controllers (Facebook y el administrador de la página, aún cuando éste sólo reciba analítica de datos de usuarios anonimizados); ya que el control del responsable no presupone su posibilidad de acceso a los datos; y que la calidad de responsable del tratamiento no depende de la posibilidad de éstos de discernir entre datos personales y no personales.
[4] Para profundizar en GDPR, véase Sebastián Heredia Querro, Smart Contracts: Qué son, para qué sirven y para qué no servirán, 1ra. Ed. 2020, Cathedra Jurídica, apartado 3.5.1.10.3, disponible al 15/12/2023 en https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3875645. Véase también: Michèle Finck, The Limits of the GDPR in the Personalisation Context (May 1, 2020), Max Planck Institute for Innovation & Competition Research Paper No. 21-11, disponible al 15/15/23 en https://ssrn.com/abstract=3830304; de la misma autora: They Who Must Not Be Identified - Distinguishing Personal from Non-Personal Data Under the GDPR, Max Planck Institute for Innovation & Competition Research Paper No. 19-14 disponible al 15/15/23 en https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3462948.
[5] Véase Michèle Finck, Smart Contracts as a Form of Solely Automated Processing Under the GDPR, Max Planck Institute for Innovation & Competition Research Paper No. 19-01, 2019, quien afirma que ya en 1995 -plena Web1- los legisladores europeos estaban preocupados por las machine-based decisions, pero la Data Protection Directive solo prohibió decisiones basadas en perfilamientos generados por procesamiento automático. GDPR, dictada ya en plena Web3, amplió esta visión crítica sobre decisiones donde no intervienen humanos y sólo actúan máquinas. Finck afirma que la prohibición en cuestión puede incluir a los smart contracts que producen efectos jurídicos, es decir, aquéllos que sean smart legal contracts. Aún comprendidos por la prohibición del Art. 22(1), GDPR, ciertos smart legal contracts podrán quedar comprendidos en las excepciones del segundo parágrafo del Art. 22: (i) si la decisión es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento; (ii) está autorizada por el Derecho de la Unión o de los Estados miembros; o (iii) se basa en el consentimiento explícito del interesado.
Ampliar sobre éste concepto en Sebastián Heredia Querro, Smart Contracts: Qué son… o.c.
[6] Comunicación de la CE del 19/02/2020, disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0066
[7] Ibid.
[8] La saga de la CE contra Google ya va por su tercer capítulo. Véase la nota de Jimena Tamayo Velasco, https://diariodecastillayleon.elmundo.es/opinion/jimena-tamayo-velasco/google-vs-comision-europea-quien-es-malo-pelicula/20220212184810041719.html. Véase el caso Android y motores de búsqueda. https://www.infobae.com/america/tecno/2018/07/18/la-union-europea-multo-a-google-con-usd-5-000-millones-por-practicas-ilegales-de-android/. Véase la última demanda antitrust contra Google por prácticas anticompetitivas en el mercado de servicios de publicidad, confr. https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3207
[9] Ibid.
[10] Véase https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32022R1925&qid=1702736416519. El análisis de la DMA excede el alcance del presente.
[11] Confr. https://ec.europa.eu/commission/presscorner/detail/en/IP_23_4328
[12] Comunicación de la CE del 19/02/2020, disponible en https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020DC0066
[13] Acrónimo en inglés de Data Governance Act. Primer borrador de la DGA (2020): https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:52020PC0767
[14] Confr. https://digital-strategy.ec.europa.eu/es/policies/data-governance-act
[15] Confr. https://digital-strategy.ec.europa.eu/en/policies/data-act
[16] Véase, Sebastián Heredia Querro, MiCA 2.0, la regulación de las Finanzas Descentralizadas y la certificación de Smart Contracts, disponible al 15/12/2024 en https://abogados.com.ar/mica-20-la-regulacion-de-las-finanzas-descentralizadas-y-la-certificacion-de-smart-contracts/33885
[17] El borrador de DA los define como un servicio digital -distinto de un servicio de contenidos en línea conforme artículo 2.5 del Reglamento (UE) 2017/1128, prestado a un cliente, que hace posible la administración bajo demanda y un acceso remoto amplio a un conjunto modulable y elástico de recursos informáticos que se pueden compartir, de carácter centralizado, distribuido o muy distribuido. El considerando 71 de la DA agrega que tales servicios incluyen recursos tales como las redes, los servidores u otras infraestructuras virtuales o físicas, sistemas operativos, software, en particular herramientas de desarrollo de software, almacenamiento, aplicaciones y servicios.
[18] El Parlamento aprobó el texto de la DA el 09/11/23. Texto disponible al 15/15/23 en https://bmdv.bund.de/SharedDocs/DE/Anlage/DG/Digitales/eu-data-act-englische-fassung.pdf?__blob=publicationFile.
[19] Confr. https://digital-strategy.ec.europa.eu/es/policies/data-act#:~:text=La%20Ley%20de%20Datos%20es,y%20valores%20de%20la%20UE.&text=La%20Comisión%20adoptó%20el%2023,como%20la%20Ley%20de%20Datos.
[20] Ibid.
[21] Principalmente, con medidas para: (i) aumentar la seguridad jurídica de empresas y usuarios que generan datos sobre quién puede utilizar qué datos y en qué condiciones, e incentivos para que los fabricantes sigan invirtiendo en la generación de datos de alta calidad, buscando facilitar la transferencia de datos entre proveedores de servicios, alentando a más empresas -independientemente de su tamaño-, a participar en la economía de los datos; (ii) evitar abusos contractuales que dificultan el intercambio justo de datos, protegiendo a las PYME; (iii) que los organismos del sector público accedan y utilicen los datos en poder del sector privado que sean necesarios para fines específicos de interés público; (iv) establecer condiciones marco adecuadas para que los clientes puedan cambiar de manera efectiva entre diferentes proveedores de servicios de procesamiento de datos para desbloquear el mercado de la nube de la UE, buscando crear un marco general para una interoperabilidad eficiente de los datos.
Además, la Ley de datos revisa determinados aspectos de la Directiva sobre bases de datos. En particular, aclara el papel del derecho a proteger el contenido de bases de datos sui generis y su aplicación a las bases de datos resultantes de datos generados u obtenidos por dispositivos IoT. Esto garantizará que el equilibrio entre los intereses de los titulares de datos y los usuarios esté en consonancia con los objetivos más amplios de la política de datos de la UE.
[22] El borrador de DA sostiene, en su considerando 44, que con el fin de proteger a las PyMEs de cargas económicas excesivas que les dificultarían comercialmente el desarrollo y la gestión de modelos de negocio innovadores, la compensación o retribución por la puesta a disposición de los datos que pagarían no debe superar el costo directo de la puesta a disposición de los datos y no debe ser discriminatoria. Los costos directos de la puesta a disposición de los datos son aquéllos necesarios para la reproducción de los datos, su difusión por medios electrónicos y su almacenamiento, pero no los costos de recopilación o producción de datos, y además, los costos directos deben limitarse a la parte atribuible a las solicitudes individuales. Los acuerdos a largo plazo entre los titulares de datos y los destinatarios de datos, por ejemplo a través de un modelo de suscripción, podrían reducir los costos relacionados con la puesta a disposición de los datos en transacciones regulares o repetitivas en una relación de negocios.
[23] Otras normativas europeas relevantes en materia de datos que, por evidentes azones de espacio no se abordan aquí son: principalmente, la regulación de servicios digitales a través de la Digital Market Act de 2022 -Reglamento EU 2022/1925-, aplicable a las grandes plataformas, gatekeepers, que consagra el derecho a la portabilidad de datos, la regla de condiciones equitativas y no discriminatorias de acceso, y deberes de interoperabilidad -véase supra nota 10-; un plan de acción europeo para la democracia; la revisión del Reglamento eIDAS de identidad digital; la creación de una unidad informática con foco en ciberseguridad; el Libro Blanco sobre la Inteligencia Artificial y, principalmente, el acuerdo provisional tripartito sobre Ley de IA alcanzado en Diciembre de 2023, y que abre paso a la votación en el Parlamento Europeo. La Ley de IA, la primera del mundo, adopta un enfoque basado en riesgos, promueve la inversión y la innovación en IA, y facilita el desarrollo de un mercado único para las aplicaciones de IA. La Ley de IA prohíbe todos los sistemas de categorización biométrica por creencias políticas, religiosas, filosóficas o por su raza y orientación sexual y también los sistemas que puntúan a las personas en función de su comportamiento o características personales. Se prohíbe la inteligencia artificial capaz de manipular el comportamiento humano. También se prohíben los sistemas para expandir o crear bases de datos faciales captando datos de manera indiscriminada a través de internet o de grabaciones audiovisuales. En los centros de trabajo o las escuelas también estarán prohibidos los sistemas de inteligencia artificial que pueden reconocer las emociones. La Ley de IA aborda los sistemas de inteligencia artificial generativa, los que tendrán que cumplir criterios de transparencia, como especificar si un texto, una canción o una fotografía se han generado a través de la inteligencia artificial y garantizar que los datos que se han empleado para entrenar a los sistemas respetan los derechos de autor. Si bien el borrador de la Ley de 2021 no preveía regular este tipo de sistemas como ChatGPT, las instituciones comunitarias han visto la necesidad de legislarlos: no prohíbe su uso pero establece una serie de criterios para detectar los modelos que pueden generar un alto riesgo en función del contexto en el que se usen y obliga a sus desarrolladores a cumplir con salvaguardas más estrictas antes de sacarlos al mercado. Ampliar en https://digital-strategy.ec.europa.eu/es/policies/european-approach-artificial-intelligence disponible al 15/15/23.
[24] Confr. Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo, de 31/05/23 relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) 1093/2010 y (UE) 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937. Para un análisis detallado de la regulación MiCA, véase Heredia Querro, Sebastián y Bertoni Martín, De prospectus y White Papers: El deber de información del emisor de tokens criptográficos. La posición europea, en Diario La Ley, 28/12/22, Suplemento Especial Blockchain y Derecho, disponible al 15/15/23 en: https://colabogmza.com.ar/wp-content/uploads/2022/12/1672252050521_Diario-28-12-22.pdf
[25] Véase https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32022R0868
[26] En esta analogía, la extracción y la refinación del petróleo -o de los datos- son actividades reguladas en otras normas europeas. Véase supra nota 23.
[27] Si los datos que gestionan los intermediarios regulados por la DGA son personales o sensibles, los intermediarios de datos serán también considerados responsables del tratamiento (data controllers) según la definición de GDPR, y en tal carácter, deberán cumplir también con GDPR, lo que implica, entre otros deberes, respetar los principios y derechos de los sujetos de los datos, entregar a los sujetos de los datos con la información prevista en los Arts. 13 y 14 GDPR y facilitar el ejercicio de los derechos reconocidos en GDPR.
[28] Art. 12. Condiciones para la prestación de servicios de intermediación de datos
La prestación de servicios de intermediación de datos (...) estará sujeta a las condiciones siguientes:
a) los proveedores de servicios de intermediación de datos no podrán utilizar los datos en relación con los que presten sus servicios para fines diferentes de su puesta a disposición de los usuarios de datos y prestarán los servicios de intermediación de datos a través de una persona jurídica distinta;
b) las condiciones contractuales comerciales, incluidas las relativas a los precios, para la prestación de servicios de intermediación de datos a un titular de datos o a un usuario de datos no podrán depender de que el titular de datos o el usuario de datos utilice otros servicios prestados por el mismo proveedor de servicios de intermediación de datos o por una entidad relacionada con él, y, de utilizarlos, no podrán depender de en qué grado el titular de datos o el usuario de datos utilice dichos servicios;
c) los datos recogidos sobre cualquier actividad de una persona física o jurídica a efectos de la prestación de un servicio de intermediación de datos, incluidas la fecha, hora y geolocalización, la duración de la actividad y las conexiones que el usuario del servicio de intermediación de datos establezca con otras personas físicas o jurídicas, solo se utilizarán para el desarrollo de ese servicio de intermediación de datos, lo que puede implicar la utilización de datos para la detección de fraudes o para fines de ciberseguridad, y se pondrán a disposición de los titulares de datos, previa petición;
d) los proveedores de servicios de intermediación de datos intercambiarán los datos en el mismo formato en el que los reciban de parte del interesado o del titular de datos, únicamente los convertirán en formatos específicos con el fin de mejorar la interoperabilidad intrasectorial e intersectorial o si así lo solicita el usuario de datos o si así lo exige el Derecho de la Unión o si es necesario a efectos de la armonización con las normas internacionales o europeas en materia de datos y ofrecerán a los interesados o a los titulares de datos una posibilidad de exclusión en relación con dichas conversiones, a menos que el Derecho de la Unión obligue a realizar dicha conversión;
e) los servicios de intermediación de datos podrán incluir la oferta de herramientas y servicios específicos adicionales a los titulares de datos o los interesados con el objetivo específico de facilitar el intercambio de los datos, por ejemplo, el almacenamiento temporal, la organización, la conversión, la anonimización y la seudonimización, siempre que tales herramientas y servicios solo se utilicen previa solicitud o aprobación expresas del titular de datos o del interesado, y que las herramientas de terceros ofrecidas en ese contexto no se utilicen para otros fines;
f) los proveedores de servicios de intermediación de datos velarán por que el procedimiento de acceso a sus servicios, incluidos los precios y las condiciones de servicio, sea equitativo, transparente y no discriminatorio, tanto para los interesados como para los titulares de datos y los usuarios de datos;
g) los proveedores de servicios de intermediación de datos dispondrán de procedimientos para impedir prácticas fraudulentas o abusivas de las partes que deseen obtener acceso a través de sus servicios de intermediación de datos;
h) los proveedores de servicios de intermediación de datos se asegurarán en caso de insolvencia, de la continuidad razonable de la prestación de sus servicios de intermediación de datos y, cuando esos servicios de intermediación de datos incluyan el almacenamiento de datos, dispondrán de los mecanismos de garantía necesarios para que los titulares de datos y los usuarios de datos puedan acceder a sus datos, transferirlos o recuperarlos y, cuando presten esos servicios de intermediación entre interesados y usuarios de datos, para permitir que los interesados ejerzan sus derechos;
i) los proveedores de servicios de intermediación de datos adoptarán las medidas adecuadas para garantizar la interoperabilidad con otros servicios de intermediación de datos, entre otros, mediante normas abiertas de uso común en el sector en el que operen los proveedores de servicios de intermediación de datos;
j) los proveedores de servicios de intermediación de datos aplicarán las medidas técnicas, jurídicas y organizativas adecuadas para impedir el acceso a datos no personales o su transferencia cuando dicho acceso o transferencia sean ilícitos con arreglo al Derecho de la Unión o al Derecho nacional del Estado miembro correspondiente;
k) los proveedores de servicios de intermediación de datos informarán sin demora a los titulares de datos en caso de transferencia, acceso o utilización no autorizados de los datos no personales que haya compartido;
l) los proveedores de servicios de intermediación de datos tomarán las medidas necesarias para garantizar un nivel de seguridad adecuado en relación con el almacenamiento, el tratamiento y la transmisión de los datos no personales, y también garantizarán el más elevado nivel de seguridad en relación con el almacenamiento y la transmisión de información sensible desde el punto de vista de la competencia;
m) los proveedores de servicios de intermediación de datos que ofrezcan servicios a los interesados actuarán en el mejor interés de estos cuando faciliten el ejercicio de sus derechos, en particular, informándolos y, cuando corresponda, asesorándolos de manera concisa, transparente, inteligible y fácilmente accesible sobre los usos previstos de los datos por los usuarios de datos y las condiciones generales aplicables a dichos usos antes de que los interesados presten su consentimiento;
n) cuando los proveedores de servicios de intermediación de datos proporcionen herramientas para obtener el consentimiento de los interesados o el permiso para tratar los datos facilitados por los titulares de datos, especificarán, cuando corresponda, el territorio del tercer país en el que se pretenda usar los datos y proporcionarán a los interesados herramientas tanto para otorgar como para retirar su consentimiento, y a los titulares de datos, herramientas tanto para conceder como para retirar los permisos para tratar los datos;
o) los proveedores de servicios de intermediación de datos conservarán un registro de la actividad de intermediación de datos.
[29] Confr. Gabriele Carovano, Michèle Finck, Regulating data intermediaries: The impact of the Data Governance Act on the EU's data economy, Computer Law & Security Review, Volume 50, 2023, 105830, ISSN 0267-3649, https://doi.org/10.1016/j.clsr.2023.105830, disponible al 12/12/23 en https://www.sciencedirect.com/science/article/pii/S0267364923000407
[30] Véase infra apartado 4.
[31] Confr. Gabriele Carovano, Michèle Finck, Regulating data.. o.c.
[32] A fin de aumentar la confianza en dichos servicios de intermediación de datos, concretamente en relación con la utilización de los datos y el cumplimiento de las condiciones impuestas por los interesados y los titulares de datos, es necesario crear un marco regulador a escala de la Unión que establezca requisitos muy armonizados relativos a la prestación fiable de dichos servicios de intermediación de datos, y que sea aplicado por las autoridades competentes. Dicho marco contribuirá a garantizar que los interesados y los titulares de datos, así como los usuarios de datos, tengan un mayor control sobre el acceso a sus datos y su utilización, conforme al Derecho de la Unión. La Comisión también podría fomentar y facilitar la elaboración de códigos de conducta a escala de la Unión, en los que participen las partes interesadas pertinentes, en concreto sobre la interoperabilidad. Independientemente de que el intercambio de datos tenga lugar entre empresas o entre una empresa y el consumidor, los proveedores de servicios de intermediación de datos deben ofrecer una forma novedosa y «europea» de gobernanza de datos, que establezca una separación, en la economía de los datos, entre el suministro, la intermediación y la utilización. Los proveedores de servicios de intermediación de datos también podrían ofrecer una infraestructura técnica específica para la interconexión de los interesados y los titulares de datos con los usuarios de datos. A este respecto, reviste especial importancia configurar dicha infraestructura de tal manera que las pymes y las empresas emergentes no encuentren obstáculos técnicos o de otro tipo para su participación en la economía de los datos.
[33] Confr. Gabriele Carovano, Michèle Finck, Regulating data.. o.c.
[34] El intercambio de datos se define como la facilitación de datos por un interesado o titular de datos a un usuario de datos, directamente o a través de un intermediario y en virtud de un acuerdo voluntario o del Derecho de la Unión o nacional, con el fin de hacer un uso en común o individual de tales datos, por ejemplo, mediante licencias abiertas o mediante licencias comerciales de pago o gratuitas. Se excluyen intercambios de datos que implican contenidos protegidos por derecho de autor, proveedores de cintas consolidadas, proveedores de servicios de información de cuentas, data brokers, consultoras, y proveedores de servicios de valor agregado a los datos. Si quedan incluidos los DIs que permiten el ejercicio de derechos por parte de los sujetos de datos en relación a datos personales, con lo cual se incluyen en DGA los Personal Information Management Systems (PIMS) que asisten a los usuarios a ejercer sus derechos bajo GDPR.
[35] La DGA no aplica en casos de data altruism, es decir, DIs estructurados como non-profit. También se excluyen los servicios ofrecidos por el sector público, salvo que exista una relación comercial. Finck presume que los servicios ofrecidos parcialmente de manera gratuita quedan comprendidos en DGA. Tampoco está claro si los data trusts, donde las relaciones comerciales son tripartitas a través del trustee y no directas entre sujeto-usuario, quedan comprendidos en la DGA, aunque Finck arriesga que sí. El considerando 28 de DGA reza: “El presente Reglamento debe aplicarse a los servicios cuyo objeto sea establecer relaciones comerciales con el fin de intercambiar datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo, también con el fin de ejercer los derechos de los interesados en relación con los datos personales. Cuando las empresas u otras entidades ofrezcan múltiples servicios relacionados con los datos, solo las actividades que se refieren directamente a la prestación de servicios de intermediación de datos deben quedar comprendidas en el ámbito de aplicación del presente Reglamento. Los servicios de almacenamiento en la nube, de análisis, el software de intercambio de datos, los navegadores, los complementos para navegadores o los servicios de correo electrónico no deben considerarse servicios de intermediación de datos en el sentido de lo dispuesto en el presente Reglamento, siempre que dichos servicios solo suministren herramientas técnicas para que los interesados o los titulares de datos intercambien datos con terceros, pero el suministro de dichas herramientas no se use con el objeto de establecer una relación comercial entre titulares de datos y usuarios de datos, ni permita al proveedor de servicios de intermediación de datos obtener información sobre el establecimiento de relaciones comerciales con el fin de intercambiar datos. Algunos ejemplos de servicios de intermediación de datos serían los mercados de datos en los que las empresas podrían poner datos a disposición de terceros, facilitadores de ecosistemas de intercambio de datos abiertos a todas las partes interesadas, por ejemplo, en el contexto de espacios comunes europeos de datos, así como conjuntos de datos creados en común por varias personas físicas o jurídicas con la intención de conceder licencias para la utilización de dichos conjuntos de datos a todas las partes interesadas, de manera que todos los participantes que contribuyan a su puesta en común reciban una gratificación por su contribución.
Esto excluiría los servicios que obtienen datos de titulares de datos y que los agregan, enriquecen o transforman con el fin de añadirles un valor sustancial y conceden licencias a los usuarios de datos para la utilización de los datos resultantes, sin establecer una relación comercial entre los titulares de datos y los usuarios de datos. Esto excluiría también los servicios que utilice exclusivamente un único titular de datos para permitir la utilización de los datos que obren en poder de dicho titular de datos, o los que utilicen múltiples personas jurídicas en un grupo cerrado, incluida la utilización en las relaciones con proveedores o con clientes o las colaboraciones establecidas contractualmente, en particular, los que tienen como objetivo principal garantizar las funcionalidades de los objetos y dispositivos conectados al internet de las cosas.”
[36] El Art. 2.11.(c) y el considerando 28 excluyen de DGA los servicios de intermediación usados en un ecosistema cerrado -closed group- o para uso interno de un data holder, por ejemplo BMW CarDataPlatform. También quedan excluidos los data exchange platforms usados por un único data holder para permitir a terceros que usen los datos en entornos IoT, solo para asegurar las funcionalidades de los dispositivos conectados. Según Finck, la redacción se enfoca más en los controles de acceso a los datos, que en métricas de cantidad de usuarios.
[37] Dada la redacción abierta de este cuarto requisito, y al no haber un umbral mínimo como lo tiene la Data Act (Art. 7), Finck considera que cualquier tipo de empresa, incluso un estudio de abogados, podría facilitar acuerdos de intercambio de datos entre múltiples partes, y quedarían obligados a cumplir con DGA. El Art. 7 de la Data Act reza:
“Ámbito de aplicación de las obligaciones de intercambio de datos de empresa a consumidor y de empresa a empresa
Las obligaciones del presente capítulo no se aplicarán a los datos generados por el uso de productos fabricados o servicios relacionados prestados por empresas que se consideren microempresas o pequeñas empresas, tal como se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE, siempre que dichas empresas no tengan empresas asociadas o empresas vinculadas, según la definición del artículo 3 del anexo de la Recomendación 2003/361/CE, que no puedan considerarse microempresas o pequeñas empresas.
Cuando el presente Reglamento se refiera a productos o servicios relacionados, se entenderá que dicha referencia incluye también a los asistentes virtuales, en la medida en que se utilicen para acceder a un producto o servicio relacionado o para controlarlo.”
[38] Finck sostiene que la redacción del Art. 2 DGA no es feliz, dado que permite invocar que la no inclusión expresa de un tipo de DI en el Art. 10, lo eximiría de cumplir con la DGA, tal el caso, por ejemplo, de las cooperativas de datos, que no están nombradas expresamente en el Art. 2.
[39] Gabriele Carovano, Michèle Finck, Regulating data.. o.c.
[40] El considerando 33 de la DGA afirma que resulta importante posibilitar un entorno competitivo para el intercambio de datos. Para mejorar la confianza en los servicios de intermediación de datos y el control de los titulares de datos, los interesados y los usuarios de datos resulta clave la neutralidad de los proveedores de esos servicios respecto a los datos intercambiados entre los titulares de datos o los interesados y los usuarios de datos. Por consiguiente, es necesario que los proveedores de servicios de intermediación de datos actúen únicamente como intermediarios en las transacciones y no usen los datos intercambiados para ningún otro fin. Las condiciones contractuales, incluidos los precios, de la prestación de servicios de intermediación de datos no deben depender de si el potencial titular de datos o usuario de datos emplea otros servicios prestados por el mismo proveedor de servicios de intermediación de datos o por una entidad relacionada con él, tales como el almacenamiento en la nube, el análisis, la inteligencia artificial u otras aplicaciones basadas en datos, ni tampoco puede depender de cómo emplee esos otros servicios el titular de datos o el usuario de datos. Ello también exige una separación estructural entre el servicio de intermediación de datos y cualquier otro servicio prestado, a fin de evitar conflictos de intereses. Esto supone que los servicios de intermediación de datos deben prestarse a través de una entidad jurídica que sea independiente de las demás actividades del proveedor de dichos servicios. No obstante, los proveedores de servicios de intermediación de datos deben poder usar los datos facilitados por el titular de datos para la mejora de sus servicios de intermediación de datos. Los proveedores de servicios de intermediación de datos deben poder poner a disposición de los titulares de datos, los interesados o los usuarios de datos herramientas propias o de terceros a fin de facilitar el intercambio de datos como, por ejemplo, herramientas para la conversión o la organización de datos, únicamente previa solicitud o aprobación expresas del interesado o del titular de datos. Las herramientas de terceros ofrecidas en ese contexto no deben utilizar datos con fines ajenos a los relacionados con los servicios de intermediación de datos. Los proveedores de servicios de intermediación de datos que actúen de intermediarios entre personas físicas en calidad de interesados y personas jurídicas en calidad de usuarios de datos deben estar sujetos, además, a obligaciones fiduciarias para con las personas físicas, a fin de asegurar que actúen en el mejor interés de los interesados. Las cuestiones de responsabilidad por todos los daños y perjuicios materiales e inmateriales derivados de cualquier conducta del proveedor de servicios de intermediación de datos podrían abordarse en el contrato pertinente, con arreglo a los regímenes nacionales de responsabilidad.
[41] Ampliar en https://www.bbc.com/mundo/noticias-43472797
[42] Véase https://ec.europa.eu/commission/presscorner/detail/es/ip_23_5651
[43] Véase https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32022R1925&qid=1702736416519
[44] El Art. 2, DMA los define como una empresa prestadora de servicios básicos de plataforma, los que a su turno son cualquiera de los siguientes elementos: a) servicios de intermediación en línea; b) motores de búsqueda enlínea; c) servicios de redes sociales en línea; d) servicios de plataforma de intercambio de vídeos; e) servicios de comunicaciones interpersonales independientes de la numeración; f) sistemas operativos; g) navegadores web; h) asistentes virtuales; i) servicios de computación en nube; y j) servicios de publicidad en línea, incluidas las redes de publicidad, las plataformas de intercambio de publicidad y cualquier otro servicio de intermediación publicitaria, prestados por una empresa que preste cualquiera de los servicios básicos de plataforma enumerados.
[45] Véase Michèle Finck y Gabriele Carovano, Regulating data intermediaries: the impact of the Data Governance Act ON THE EU’s data economy, p. 17, disponible al 15/15/2023 en https://www.sciencedirect.com/science/article/pii/S0267364923000407. Finck sostiene que los Arts. 6(2), 6(9) y 13 de la DMA permiten la creación de entidades separadas por parte de los gatekeepers, que asuman el rol de DIs. Las citadas normas disponen:
6(2). “El guardián de acceso no utilizará, en competencia con los usuarios profesionales, ningún dato que no sea públicamente accesible generado o proporcionado por dichos usuarios profesionales en el contexto de su uso de los servicios básicos de plataforma pertinentes o de los servicios prestados junto con los servicios básicos de plataforma pertinentes, o en apoyo de tales servicios, incluidos los datos generados o proporcionados por los clientes de dichos usuarios profesionales (...) los datos que no sean públicamente accesibles incluirán todos los datos agregados y desagregados generados por los usuarios profesionales que puedan inferirse o recopilarse a través de las actividades comerciales de los usuarios profesionales o sus usuarios finales, entre ellos los datos sobre los clics, las búsquedas, las visualizaciones y la voz, en los servicios básicos de plataforma pertinentes o en los servicios prestados junto con los servicios básicos de plataforma del guardián de acceso pertinentes, o en apoyo de tales servicios.”
6(9). “El guardián de acceso proporcionará a los usuarios finales y a terceros autorizados por un usuario final, a petición de estos y de forma gratuita, la portabilidad efectiva de los datos proporcionados por el usuario final o generados por la actividad del usuario final en el contexto del uso del servicio básico de plataforma pertinente, por ejemplo proporcionando instrumentos gratuitos para facilitar el ejercicio efectivo de dicha portabilidad de los datos, así como acceso continuo y en tiempo real a tales datos.”
13(1). “Una empresa prestadora de servicios básicos de plataforma no segmentará, dividirá, subdividirá, fragmentará o separará servicios a través de medios contractuales, comerciales, técnicos o de otro tipo con el fin de eludir los umbrales cuantitativos establecidos en el artículo 3, apartado 2. Ninguna de estas prácticas de una empresa impedirá que la Comisión la designe guardián de acceso con arreglo al artículo 3, apartado 4.
2. La Comisión, cuando sospeche que una empresa prestadora de servicios básicos de plataforma incurre en alguna de las prácticas establecidas en el apartado 1, podrá exigir a dicha empresa toda información que considere necesaria para determinar si la empresa de que se trate ha incurrido en dicha práctica.
3. Los guardianes de acceso garantizarán que se cumplen plena y eficazmente las obligaciones establecidas en los artículos 5, 6 y 7.
4. Los guardianes de acceso no incurrirán en ningún comportamiento que menoscabe el cumplimiento eficaz de las obligaciones establecidas en los artículos 5, 6 y 7, con independencia de que ese comportamiento sea contractual, comercial, técnico o de cualquier otra naturaleza, o consista en el recurso a técnicas basadas en el comportamiento o al diseño de interfaces.
5. Cuando se requiera el consentimiento para la recogida, el tratamiento, el cruce y la puesta en común de datos personales para garantizar el cumplimiento del presente Reglamento, los guardianes de acceso adoptarán las medidas necesarias para permitir a los usuarios profesionales obtener directamente el consentimiento necesario para su tratamiento, cuando dicho consentimiento se exija en virtud del Reglamento (UE) 2016/679 o de la Directiva 2002/58/CE, o para cumplir con las normas y principios de protección de datos y privacidad de la Unión de otras maneras, por ejemplo proporcionando a los usuarios profesionales datos debidamente anonimizados cuando sea conveniente. Los guardianes de acceso no harán que la obtención de ese consentimiento por parte del usuario profesional sea más gravosa que para sus propios servicios.
6. Los guardianes de acceso no degradarán las condiciones o la calidad de ninguno de los servicios básicos de plataforma prestados a los usuarios profesionales o los usuarios finales que se acojan a los derechos u opciones establecidos en los artículos 5, 6 y 7, ni dificultará indebidamente el ejercicio de esos derechos u opciones, incluido el hecho de ofrecer a los usuarios finales opciones de una manera que no sea neutra, o de subvertir la autonomía y la toma de decisiones o la capacidad de elección de los usuarios finales o de los usuarios profesionales a través de la estructura, el diseño, la función o el modo de funcionamiento de la interfaz de usuario o sus componentes.
7. Cuando los guardianes de acceso eludan o intenten eludir cualesquiera de las obligaciones establecidas en los artículos 5, 6 o 7 de la forma descrita en los apartados 4, 5 y 6 del presente artículo, la Comisión podrá incoar un procedimiento con arreglo al artículo 20 y adoptar un acto de ejecución con arreglo al artículo 8, apartado 2, en el que se especifiquen las medidas que deberán adoptar los guardianes de acceso.
8. El apartado 6 del presente artículo se entenderá sin perjuicio de las competencias atribuidas a la Comisión en virtud de los artículos 29, 30 y 31.
Opinión
PASBBA
opinión
ver todosNORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law
Eskenazi Corp