¿De quién son los datos del 'big data' e internet de las cosas?

Las cifras que rodean al mundo del 'big data' y de internet de las cosas (IoT) son mareantes. Algunos ejemplos. Google procesa más de 500 millones de búsquedas cada hora. En el año 2020 habrá más de 50.000 millones de dispositivos conectados en el mundo. Las misiones que está preparando la NASA generarán 24TB de datos diarios, más del doble del contenido actual de la Biblioteca del Congreso de EEUU por cada día de misión.

Como se explica en este detallado artículo de Michael Nielsen publicado en BBVA OpenMind, con la infraestructura adecuada los datos se pueden convertir en conocimiento, otorgando a las compañías que posean ambos un gran poder para comprender el mundo. Para apoyar su tesis, Nielsen cita -entre otros- el caso del uso de la información de búsquedas de Google para hacer un seguimiento de los brotes mundiales de gripe.

No hay duda de que los datos son el petróleo del siglo XXI, pero ¿de quién son esos datos? ¿Tiene sentido hablar de propiedad, de titularidad o más bien de uso en base a lo establecido en un determinado acuerdo? Y relacionado con lo anterior, ¿se puede proteger esa 'base de datos' a través de derechos de autor?

Empecemos por abordar un caso concreto: datos personales sobre salud, que posteriormente se anonimizan y se procesan para fines de investigación. En opinión de G. Buttarelli, el supervisor europeo de protección de datos, las organizaciones que usen datos personales para tratamientos no relacionados con el servicio principal que prestan deben compartir la riqueza que genera esa actividad con las personas cuyos datos han procesado. Buttarelli va todavía más lejos y sugiere la creación de unos “espacios personales”, en los que cada individuo pueda guardar su información personal relevante para poder generar algún rendimiento basado en los mismos. El presidente Obama se ha pronunciado recientemente en el mismo sentido: los individuos deben jugar un papel relevante en este debate.

Personalmente, no veo claro ese planteamiento. La normativa de privacidad establece el principio esencial del consentimiento informado y concede una serie de derechos (básicamente acceso, rectificación, cancelación y oposición) a las personas físicas, pero no establece que estas sean propietarias de sus datos, menos aún cuando estos han sido anonimizados, agregados y 'enriquecidos' a través de algoritmos. Otra cosa es que sea la propia empresa que los trata la que voluntariamente decida dar a las personas soberanía en su vida digital, como acaba de anunciar recientemente Telefónica.

Un supuesto diferente sería el de los datos que se generen en una explotación agraria. Aquí no cabría lógicamente hablar de datos personales y se aplicaría lo que disponga el contrato entre la empresa agraria y la plataforma que procesa la información para darle servicios de 'business intelligence'. Entiendo que aquella no podría pretender participar de los beneficios que se generen del tratamiento de dicha información por parte de la empresa que gestiona la plataforma, salvo que el contrato entre ambos le conceda ese derecho. También se podría conseguir esa finalidad a través de otro instrumento legal, como han hecho en EEUU, donde varias entidades han firmado hace unos meses un acuerdo de autorregulación sobre esta materia, en el que se establece que los datos son de los agricultores y cualquier acceso o tratamiento de los mismos deberá hacerse de forma transparente y siempre con su consentimiento informado.

La situación se puede complicar un poco más. Pensemos en una ciudad inteligente de las que ahora están tan de moda. Lo normal en esos casos es que exista una plataforma que procese los datos que se reciben de distintas compañías suministradoras de servicios: tráfico de vehículos, aglomeraciones de personas, consumo eléctrico o de agua según los barrios, recogida de residuos, etc. La plataforma no suele estar gestionada por el propio ayuntamiento sino por un tercero, de acuerdo con sus requerimientos.

La normativa actual no regula específicamente estos supuestos y la jurisprudencia no ha tenido tiempo de pronunciarse

Las preguntas se amontonan. ¿Quién puede reclamar la propiedad o titularidad de esos datos, cada compañía de su parte o el ayuntamiento del resultado agregado? ¿Qué derechos tendría la empresa que gestiona la plataforma? ¿Tiene sentido que esos datos sean abiertos para que cualquier tercero los pueda utilizar para desarrollar sus propias aplicaciones en base a los mismos? Si se generan rendimientos económicos, ¿deben revertir total o parcialmente al ayuntamiento o a los ciudadanos?

Ahora mismo no hay respuesta concluyente para dichas cuestiones. La normativa actual no regula específicamente estos supuestos y la jurisprudencia no ha tenido tiempo de pronunciarse, por lo que habrá que estar atentos a los principios generales de nuestro Código Civil y a lo que se pacte en las relaciones contractuales que se establezcan entre las partes intervinientes. En ausencia de cláusulas específicas, considero que el artículo 348 del Código Civil ampara a cada empresa para “gozar y disponer” de los datos recopilados, siempre que lo haga de una forma que no vulnere la legislación vigente.

Como hemos visto, los datos 'en bruto' son importantes, pero sin el 'hardware' y el 'software' adecuados es difícil obtener algún tipo de rendimiento de los mismos. La ley quiere proteger ese esfuerzo y reconoce un derecho 'sui generis' a quien hace una inversión sustancial para la obtención, verificación o presentación del contenido de una base de datos y permite que su 'fabricante' (en nuestro caso, sería la empresa que ha hecho la inversión en la infraestructura necesaria para tratar los datos de 'big data' o IoT) pueda prohibir la extracción y/o reutilización de la totalidad o de una parte sustancial del contenido de dicha base.

Añadido a lo anterior, la ley 5/98 incorpora al derecho español la normativa europea de protección de bases de datos y permite que sean objeto de propiedad intelectual las bases de datos, que por la selección o disposición de sus contenidos, constituyan creaciones intelectuales. En cualquier caso, es importante destacar que la protección reconocida a esas colecciones se refiere únicamente a su estructura, en cuanto forma de expresión de la selección o disposición de sus contenidos, pero no se extiende a los contenidos propiamente dichos.

En resumen, la legislación vigente lo único que deja claro es que la empresa que pone los medios para elaborar una base de datos tiene una serie de derechos sobre la misma. Por el contrario, en relación con la propiedad o titularidad de los datos que generen el 'big data' y el IoT, no existe una regla explícita, por lo que habrá que estar a los principios generales del derecho así como a lo que se regule en las relaciones contractuales que se establezcan entre las distintas partes intervinientes.

* Alejandro Sánchez del Campo. Soy abogado y trabajo en la intersección entre el derecho y la tecnología. Doy charlas en cursos de posgrado y escribo en Replicante Legal y otras webs sobre las cuestiones jurídicas que plantean la innovación, la robótica y las tecnologías disruptivas. También estoy preparando un libro de próxima aparición. Miembro del Consejo Académico de FIDE.