Veo grandes paralelismos entre un huevo de Alien y la Data Act.

De lo poco decente que se le puede sacar a las quite chungas Alien Prometheus, y Covenant es la idea de que el xenomorfo, el alien, es una síntesis de las cualidades originales del desafortunado anfitrión que mata al nacer y de sus cualidades letales marca de la casa.

Que el bicho no siempre es igual que en la totémica primera película, vaya.

En resumen: sabes que esa síntesis va a ser, seguro, compleja de gestionar, pero no puedes saber exactamente el número de patas y mandíbulas que tendrá.

Y eso me inspira la Data Act: un alien que tendrá distintas formas y resultados en distintas industrias.

Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.

En los ratos libres que nos deja esta newsletter, resolvemos movidas complicadas de protección de datos personales (RGPD) y Reglamento de Inteligencia Artificial (RIA o Data Act). Si tienes alguna de esas, haznos así con la manita.

O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com.

¿Ha dicho usted Data Act?

El próximo 12 de septiembre la Data Act, infiltrada calladamente en el sistema jurídico europeo desde hace más de un año, reventará las costillas -jurídicas- de un montón de organizaciones que:

• O bien no saben que el bicho existe,

• O no saben que lo “tienen dentro” desde hace casi dos años -tiempo que lleva “en vigor”, o -lo más probable-

• no han pillado aún el alcance de la norma.

Esta Data Act… ¿Es aún peor que el puñetero RIA?

Sippe.

Desde mi humilde punto de vista, esta norma representa un desafío mayor que el RIA, por las siguientes razones:

• El RIA o AI Act se ha llevado toda el ruido mediático, pero es una norma de seguridad de producto y de aplicación estrecha, no como la Data Act, que aplica de entrada a sectores enteros y tiene la ambición de permitir la aparición de nuevos mercados de datos y servicios.

• El RIA es un horror de principios, excepciones y excepciones a las excepciones y excep… pero se entiende cuando lees el texto.

Pero aterrizar los conceptos de la Data Act, las nuevas obligaciones, y en especial su alcance en casuísticas concretas, en interrelación con el RGPD y el resto de normativa previa, no es nada fácil.

Hacen falta varias lecturas, subrayados, gritos de desesperación, notas, colorines y pérdida de pelo para, simplemente empezar a ver por dónde te da el viento.

Con esta norma va a pasar lo mismo que con el RGPD y el RIA después, pasaremos años revolcándonos en la zona amarilla del esquema Dunning-Kruger hasta que las autoridades vayan matizando conceptos.

“Usted está aquí”

Por eso, desde el fondo del “valle de la desesperación” (“debería preparar oposiciones” en mi versión de ese mítico esquema), me propongo ilustrar con un ejemplo -comprensible espero, para todos- sólo unas cuantas de las novedades, derivadas jurídicas y problemáticas que nos acecharán a todos desde el próximo 12 de septiembre.

Un consejo: lea antes de seguir adelante el post de Sergi Ariño en el blog de Citizen8 sobre la Data Act.

Aunque ya lo hayas leído, léelo, léelo de nuevo.

Introduce parcialmente elementos como qué entiende la norma a sus efectos como “datos”, “datos no personales”, “metadatos”; la aplicación extraterritorial, y las figuras de titular de datos, usuario, fabricante que ilustraré aquí.

Eh! Pero le digo que es mejor que… ¿No me hace caso, no lo lee? Usté sabrá.

Ahora expondré el tema con un caso práctico como los que manejo en mis formaciones. Y luego veremos algunas, sólo algunas de las implicaciones.

El caso “Muskolini”:

Planteamiento.

Muskolini fabrica coches. Unos coches electrónicos monísimos (Muskos) que casi casi, se autoconducen solos.

Por supuesto, para conseguirlo, van equipados por cientos de sensores que van recopilando datos de todos los colores: del funcionamiento de sus distintos componentes, de la conducción de su usuario, de las circunstancias de la circulación, tráfico y peatones a su alrededor, ubicación, velocidad… todo lo que te imagines.

Muskolini vende además la idea de “inteligencia en enjambre”.

Toda la información observada y/o generada por sus vehículos se trata centralizadamente en Muskolini Inc, así que puede prometer y promete que lo aprendido con cualquier incidente -los Muskos no sufren accidentes- sufrido por un Musko, lo “aprenden” todos los demás, en tiempo real.

Muskolini distribuye o vende sus Muskos a través de una red de concesionarios, concesionarios que también (i) prestan servicios post venta (ej: reparaciones en garantía, revisiones) y (ii) los compra para después alquilarlos.

Además, hay (iii) “talleres” de reparación independientes que arreglan los Muskos sin relación con Muskolini, como ocurre con los vehículos normales.

Usuarios

Estos Muskos entonces pueden ser conducidos por:

1. Su dueño (propietario). “Usuario” en el sentido de la Data Act.

2. Su arrendatario (en caso de alquiler). “Usuario” en el sentido de la Data Act.

Mini-conclusión: para ser “Usuario” necesitas ser titular de un “derecho real” sobre el chisme conectado (o usuario de una app en relación con servicios relacionados, pero eso lo dejamos para otro post).

Interesado-no-Usuario

Y pueden ser usados como pasajeros (no conducidos) por:

• Una persona que sea familiar, amiga o conocida del Usuario del Musko. Esta figura es muy interesante: es un “Interesado” -en el sentido del RGPD-, pero “no Usuario” en el de la Data Act. Un “Interesado-no-usuario”.

También son “Interesados no usuarios”, por poner ejemplos muy muy tontos:

• Los ocupantes de esa vivienda “conectada” que alquilas a través de AirBnB.

• Los empleados de una empresa que utilizan, para cumplir su prestación laboral, dispositivos corporativos conectados (un universo de movidas aquí).

¿Fabricante? ¿Titular de datos? ¿Usuario?

Muskolini fabrica los Muskos y hasta hoy, obtiene y trata los datos producidos por los vehículos. Es Fabricante y “Data Holder” o “Titular de datos” en el sentido de la Data Act.

Ahora piensen que hay muchos Fabricantes que pueden ser pero no son Titulares o Data Holders. Y si quieren serlo (o más importante: si quieren seguir siéndolo en el sentido de seguir teniendo acceso a los datos), tienen hasta el 12 de septiembre para hacer cosas.

Eso lo dejo ahí.

Un concesionario de Muskos no recibe datos en tiempo real de los Muskos, pero como se encarga de las reparaciones, sí accederá a datos, sin duda, a través de los puertos y conexiones del vehículo, como mínimo, cuando hace el diagnóstico.

El concesionario es:

• Un Usuario -respecto del Fabricante- si compra los Muskos para alquilarlos.

• Un Data Holder o Titular respecto de sus arrendatarios (respecto de los datos que trinque de ellos y de su uso del vehículo, if any).

• Es un tercero cuando sólo los repara. Pero, si consigue acceso (ojo: legítimo) a los datos generados por el Musko, también será un Titular frente al Usuario del vehículo.

• Esto mismo ocurre con los talleres independientes.

¿Entonces para qué sirve la Data Act?

Aquí vienen las -a mi modo de ver- principales novedades que sufriremos en menos de un mes:

¿Los Fabricantes y Titulares necesitan ahora un contrato para trincar tus datos? Sí

Fabricantes y Titulares (en nuestro ejemplo Muskolini es ambas cosas) ya no podrán acceder a los datos generados por los Usuarios en el uso de sus Muskos, sin cumplir las obligaciones de la Data Act.

Sustancialmente: (i) firmar un contrato con el Usuario que lo regule.

Y antes de firmar nada, tendrán que (ii) informar a sus usuarios de cosas como:

• qué datos se generan,

• si se almacenan en el propio dispositivo o en remoto en un servidor y el plazo de conservación;

• cómo acceder a ellos y/o suprimirlos, y

• sus condiciones de utilización (y cesión a terceros).

Esto es la información previa a la firma del contrato que regule esos accesos (del Usuario) y usos -y cesiones, léase ventas de datos- (del Titular).

Y quien dice Muskos dice Roombas, Alexas, TVs conectadas, satisfyers conectados, juguetes, gafotas de IA, Ray-ban Meta, etc....

Esperen toneladas de emails como en el reconsent de 2018 con ideacas tipo “si sigues utilizando mi cacharro, consientes en esto, esto otro y todo esto de más allá” que tendrás que escrutar pinchando en este enlace de aquí a un texto de 14.000 palabras.

La movida está servida porque esto tendrá un pasar entre empresas, pero cuando el usuario sea consumidor, ¡¡Glups!!.

La cosa se va a poner divertida, divertida: los consentimientos tácitos, modificaciones uniliterales de contrato e imposición de condiciones abusivas se llevan fatal con el Derecho de protección del consumidor.

El derecho de “Act-ceso”: Entregando datos no personales a los Usuarios… sin ganar dinero

Cada Usuario de un Musko o chisme conectado (no sólo las personas físicas como usted, también las jurídicas como el concesionario) tienen derecho a recibir los datos generados por sus Muskos. Personales y no personales.

Y a recibirlos de forma sencilla, gratuita y segura. En formato estructurado y susceptible de lectura mecánica.

¿Cómo? De acuerdo con las condiciones previstas en ese contrato que Muskolini tiene que poner delante a sus usuarios, condiciones que deben respetar las restricciones impuestas por la Data Act.

Muskolini puede limitar y regular el uso de los datos -no personales- objeto de cesión con -a su vez-ciertos límites.

Y puede cobrar a los usuarios empresas por darles esos datos, pero no a los particulares. Esto tiene su miga también.

A su vez, el concesionario que compra Muskos para alquilarlos (que es Usuario frente a Muskolini) está sujeto, como Titular a las solicitudes de datos de sus Usuarios arrendatarios.

Pero… ¿Pueden hacer lo que quieran con los datos no personales de mis cacharros?

Este tema es complicado y hará correr ríos de tinta. Hay múltiples limitaciones pre-entrega y post-entrega. Aquí sólo un par de cosillas.

Fun-fact: una empresa usuaria competidora no puede solicitar directamente los datos de un producto conectado y utilizarlos para desarrollar otro producto que le haga la competencia…

Pero… ¿Saben lo que sí se puede hacer?

Una organización puede convencer o incentivar a usuarios particulares para que ejerciten sus derechos, obtengan los datos de uso de esos cacharros… y se los entreguen a ella.

Piensen en el campo que se abre para las OCUs, Facuas, comparadores de precios, reviewers de productos… y para la academia.

Este opción está vedada a los “Gatekeepers” designados de acuerdo con la DMA.

El RGPD prevalece sobre la Data Act y la Data Act… no sirve como base legal a los efectos de la Data Act

Una de las grandes joyacas de la norma es que:

• La Data Act se declara expresamente supeditada a la primacía del RGPD y luego

• Reconoce que la propia Data Act no constituye una base legal para la cesión de datos personales.

Es decir: Yo conduzco un Musko y me llevo de viaje a la mejor amiga de mi hija. La voy a buscar al colegio, porque hay un estupendo punto de carga.

Pues bien:

• Yo puedo pedir los datos -estos en general no son personales- de enganche, carga y consumo (los que tenga disponibles) a Iberdrola o la titular del servicio de carga.

• Yo puedo pedir los datos -estos en general no son personales- de enganche, carga y consumo (los que tenga disponibles) a la empresa comercializadora de la app que gestiona la carga y el pago, si utilizo una.

Y aquí viene lo realmente grasioso:

• Yo -Usuario (Data Act) e Interesado (RGPD)- puedo pedir mis datos personales captados por el Musko (y los de mi hija, en su representación). Esto es relevante: el chisme sabe dónde vives, dónde trabajas, si vas a sitios caros o baratos a comer y de vacaciones, si viajas demasiado y vives como un perro, si conduces bien o eres un Fernando Alonso, si quedas en hoteles para cosas entre semana.

Muskolini deberá darme mis datos no personales de acuerdo con el contrato firmado conmigo como Usuario, o en otro caso, mis datos personales de acuerdo con mi derecho legal de acceso.

Necesitarás una base legal más grande

Y aquí se acaban las certidumbres “usuales” y hay que tirar de soluciones “raras” (curiosamente: nuestra especialidad).

En los ejemplos a continuación, el Titular (Muskolini y/o la empresa de renting) tendrá la responsabilidad de:

1. Valorar si existe base legal suficiente del Usuario-Interesado o del Interesado no Usuario que le soliciten acceso a sus datos personales (o de terceros, en su caso).

2. Ya de lo de cerciorarse de la identidad de esas personas sin meter la pata, ni hablamos.

Por ejemplo:

• La mejor amiga de mi hija (o su representante legal, sus padres) pueden pedir sus datos personales captados por mi Musko a Muskolini (si he comprado el coche) o al concesionario (si lo he alquilado) o a mí, si los he obtenido de alguno de los anteriores. Porque el Usuario que ejerce el derecho de Act-cceso sobre datos personales (o no personales que, en sus manos, se conviertan en personales) se erige en "Responsable espontáneo" a efectos del RGPD -salvo excepción doméstica- y en "Titular", a efectos de la Data Act.

• Idem respecto de todos los niños que entren o salgan del cole y sean captados por las cámaras o sensores del Musko.

• Idem respecto de cualquier transeúnte captado por el Musko, parado o en marcha.

Responsable, corresponsable, encargado

Si el Musko es alquilado, tanto el Usuario como el Interesado no usuario tendrán que dirigirse separadamente a cada uno de los data holders (Muskolini como fabricante y concesionario como empresa de renting) para reclamar sus datos.

Normalmente un fabricante que no quiera líos subcontratará con un tercero todo el tema de la plataforma para canalizar la entrega (y venta) de datos. No hace falta decir aquí que no será sencillo distinguir responsable, de corresponsable, de encargado de tratamiento…

…Sobre todo si el tercero se reserva capacidades de AI training o similares para sus cosas.

Ni es arriesgado predecir que, hasta que empiecen las denuncias y las yoyas, todo el mundo se postulará como mero encargado de tratamiento con los argumentos delulu de siempre.

La doctrina Scania

El próximo 4 de septiembre conoceremos la sentencia del TJUE sobre el caso EDPS vs SRB que inauguró hace tres años la “interpretación subjetiva” del dato personal y que cristalizó en la “doctrina Scania” en sentencias como Scania o IAB Europe.

No esperamos sorpresas en lo fundamental, más allá de ratificar lo ya declarado reiteradamente. Aunque no nos extrañaría algún capote al EDPS.

La doctrina Scania, una vez procesada por el común de los mortales, cambiará la forma de aplicar tanto el RGPD, como la Data Act.

Me dejo el 99% de las cosas en el tintero pero…

...Ya está bien por hoy

Estas son sólo unas pocas de las doscientas derivadas que resultan de la Data Act.

Esperen más posts como este, porque el tema es rico-rico y las movidas y gracietas salen solas.

Si el tema les achucha y necesitan ayuda, reach out!

Además, avanzado septiembre ofreceremos una formación específica con el ya mencionado Sergi Ariño -que lleva dándole vueltas a esto bastante más tiempo que yo-.

Muy buen finde y reincorporasió al curro.

Jorge García Herrero

Abogado y Delegado de Protección de Datos