El Reglamento de Datos y la normativa de protección de datos

El Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, de Gobernanza de Datos (o “Data Governance Act”) y el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización (“Reglamento de Datos” o “Data Act”) son dos regulaciones clave en el marco de la Estrategia Europea de Datos, a través de la cual la Unión Europea trata de establecer y asentar la libre circulación de datos y la creación de un mercado único europeo de datos.

Como sabemos, la Data Governance Act promueve la creación y el desarrollo de espacios comunes europeos de datos en sectores estratégicos. Por su parte, el Reglamento de Datos –que comenzará a ser aplicable en el mes de septiembre de 2025– sienta las reglas del partido, tratando de garantizar la protección de los distintos intereses en juego al mismo tiempo que fomenta el acceso a, y la (re)utilización de, los datos (personales y no personales) que se generan con el uso de dispositivos conectados (vehículos, aparatos domésticos, máquinas industriales, dispositivos sanitarios, asistentes virtuales, etc.) y sus servicios relacionados.

A pesar de que hemos tratado sobre ambas normas en otras entradas (véase, por ejemplo: “DATA ACT: La negociación del texto final a tres bandas”), no habíamos abordado todavía una cuestión que resulta sin embargo relevante: la interacción (y eventual fricción) entre el Reglamento de Datos y la normativa aplicable en materia de protección de datos personales (principal, pero no únicamente, el Reglamento General de Protección de Datos o RGPD).

El Reglamento de Datos establece expresamente que su aplicación se realizará en consonancia con, y en estricto cumplimiento de, la normativa existente en materia de protección de datos personales, como también lo indica la Data Governance Act. De hecho, los Considerandos del primero disponen que, cuando el uso de un producto o servicio relacionado pueda generar datos relativos a un interesado (persona física), el tratamiento de tales datos estará sujeto al RGPD incluso en relación con los datos no personales que pertenezcan a un conjunto de datos cuando los datos personales y los no personales de dicho conjunto estén indisolublemente vinculados. No obstante, de la literalidad del Reglamento de Datos surgen algunos interrogantes relacionados con el encaje de sus disposiciones con el RGPD. Abordamos algunos de ellos a continuación.

Grado de protección de los datos personales en el Reglamento de Datos

El primero de estos interrogantes se refiere al grado de protección que el Reglamento de Datos ofrece en relación con los datos personales de los interesados. Pensemos en los derechos de acceso y de uso –incluida la puesta a disposición de terceros de la elección del usuario– de los datos que se generen a través del uso de un producto conectado o de un servicio relacionado (entre los cuales muy probablemente habrá datos personales).

El texto finalmente adoptado resulta clarificador –a diferencia de las propuestas de redactado que fueron discutidas a lo largo del proceso legislativo correspondiente y en las que nada se indicaba al respecto– en relación con la configuración de los supuestos en los que el usuario de estos productos o servicios sea una entidad jurídica que pone el producto o servicio al alcance de una persona física, el interesado (por ejemplo, un trabajador que utiliza un producto conectado adquirido por su empleador empresario).

En estos escenarios, el usuario será el empresario individual o entidad correspondiente. Tanto el titular como dicho usuario tendrán la consideración de responsables del tratamiento de los datos del interesado, persona física que utiliza el producto conectado o el servicio relacionado. En función de los tratamientos aplicables, el titular y el usuario podrían incluso llegar a ser corresponsables del tratamiento.

El usuario, como responsable del tratamiento, deberá tener una base jurídica válida (como el consentimiento del interesado o su interés legítimo prevalente) que ampare el tratamiento a la hora de solicitar los datos personales generados por el uso de un producto o un servicio relacionado, deberá informar al interesado de los fines del tratamiento y deberá facilitar el ejercicio de sus derechos. El Reglamento de Datos dispone expresamente que en estos supuestos los titulares deberán proporcionar al interesado acceso a los datos que se generen, y señala que sus disposiciones no facilitan que se pongan los datos a disposición de un tercero por el mero hecho de que así lo indique el usuario que no sea un interesado.

Sin embargo, la base jurídica para el titular (a menudo fabricante) será en todo caso la existencia de un acuerdo contractual entre el titular y el usuario (se puede encontrar más información sobre esta relación en la entrada “Data Act: nuevas previsiones entre titulares de datos y usuarios”), del que el interesado no será parte. De hecho, en casos como el señalado, el interesado tampoco será parte del contrato que en su caso se formalice entre el usuario y un destinatario de los datos.

En línea con lo indicado, sería conveniente incluir limitaciones al uso de los datos personales por parte de terceros distintos de los interesados (por ejemplo, limitando los tratamientos ulteriores que puedan realizarse a partir de los mismos datos), y establecer y garantizar un derecho reforzado de información en estos supuestos. A título meramente ilustrativo, si el interesado no conoce el uso que se está haciendo o se hará de sus datos, no podrá ejercer frente al nuevo responsable del tratamiento los derechos que le otorga la normativa. Para más información acerca de las previsiones que la norma introduce en materia de disposiciones contractuales entre titulares y destinatarios se puede consultar la entrada “Data Act: nuevas previsiones para destinatarios de datos”.

Otros interrogantes

Otros posibles interrogantes se refieren a cuestiones de naturaleza más conceptual, como pueden ser el rol que adoptan los actores adicionales que puedan también estar involucrados en el uso de productos conectados o servicios relacionados, o a la necesidad de diferenciar los datos personales y a los datos no personales. A título ilustrativo, el Reglamento de Datos parece no clarificar cuándo un titular de datos actuará en calidad de responsable del tratamiento y cuando actuará como encargado del tratamiento, por lo que resultará necesario analizar cada supuesto a la luz de la normativa de protección de datos. Por otra parte, ¿debe realmente establecerse una protección homogénea para todos los datos con independencia de que se trate de datos personales o de datos no personales? Sabemos que algunas disposiciones de la nueva normativa se dirigen específicamente a los datos no personales, pero en otros supuestos el Reglamento de Datos no diferencia entre datos personales y no personales a la hora de establecer las distintas medidas con las que pretende fomentar la disponibilidad y el uso de los datos, aunando ambos conceptos en un concepto general de “datos”.

Con todo, es evidente que garantizar una coexistencia pacífica entre las distintas normas que resultan aplicables en los escenarios analizados resulta crucial. No obstante, sin perjuicio de las cuestiones que el Reglamento de Datos sí regula expresamente, y como consecuencia lógica de la novedad que caracteriza a esta norma, parece que la adopción de guías, directrices y protocolos por parte de las distintas autoridades competentes –lo que sin duda se irá materializando a medida que se acerque la entrada en vigor del Reglamento de Datos– jugará un papel determinante en la aplicación de la norma y en la garantía de los derechos reconocidos en las distintas normativas que de un modo u otro interactúan con el Reglamento de Datos.