El Reglamento europeo de Datos: impacto en los secretos empresariales

En esta tribuna analizaremos las implicaciones del Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo, de 13 de diciembre de 2023, sobre normas armonizadas para un acceso justo a los datos y su utilización (el “Reglamento de Datos”) y los secretos empresariales y sus efectos inminentes para las empresas, tanto en las relaciones de empresa a consumidor (“B2C”) como de empresa a empresa (“B2B”), e incluso, frente a los organismos públicos.

El Reglamento de Datos es uno de los pilares del paquete legislativo para la protección de datos (personales y no personales) de la Unión Europea y se enmarca dentro del objetivo de política legislativa de establecer un verdadero mercado interior de datos, incluidos los de naturaleza técnica, en el que los usuarios de productos conectados y servicios relacionados tengan el derecho a compartir datos no personales con destinatarios de datos, estimulando la innovación en los mercados postventa y el desarrollo de servicios totalmente novedosos que utilicen los datos en cuestión.

Con este objetivo, el Reglamento de Datos impone a los sujetos o “titulares de datos” obtenidos a través de una relación contractual con un tercero denominado “usuario” la obligación de dar acceso y poner a disposición tanto del usuario como de terceros por éste designados (denominados “destinatarios”) los datos obtenidos, generados y recogidos −a menudo a través de sensores− mediante un dispositivo, equipamiento o un bien bajo el control del titular de los datos (llamado “producto conectado”) relativos a su rendimiento, uso o entorno; o mediante un servicio digital conectado con el producto −a menudo a través de apps o software− destinado a que éste realice sus funciones (“servicio relacionado”).

Las implicaciones prácticas de esta norma son muy notables. Dos ejemplos. Esta norma permitirá a un empresario (usuario) que en su actividad utilice robots exigir que el fabricante del robot (titular de datos) ponga a disposición de un tercero (destinatario) los datos técnicos necesarios para la reparación o el mantenimiento del robot. O permitirá a un agricultor (usuario) que utilice dispositivos fabricados por distintos proveedores (titulares de datos) conectados a sus cultivos a través de sensores para controlar la humedad ambiental, rendimiento, propensión a plagas, stress hídrico, acidez, etc., que todos ellos den acceso a los datos a un nuevo proveedor (destinatario) para presentarlos en una única interfaz o prestar un servicio distinto a partir de su compilación −por ejemplo, de análisis estadístico−.

La obligación del titular de datos de acceso y puesta a disposición del usuario y el destinatario por éste designado de los datos obtenidos, generados y recogidos mediante productos conectados y servicios relacionados alcanza tanto a los datos brutos como a los que han sido objeto de tratamiento para hacerlos comprensibles e incluye los metadatos necesarios para que puedan ser utilizados.

El ejercicio de este derecho permitirá al usuario, por ejemplo, exigir al fabricante del producto conectado o prestador del servicio relacionado la puesta a disposición de un tercero (“destinatario”) de datos técnicos bajo el control del titular del dato que sean imprescindibles para prestar un servicio de reparación o posventa.

Pues bien, salvo que acredite la concurrencia de circunstancias excepcionales que pudieran ocasionar un grave perjuicio económico, el titular de datos no podrá oponerse al ejercicio por el usuario o el destinatario por éste designado argumentando que los datos objeto de la solicitud de acceso están protegidos como secretos empresariales. Incluso en este caso, el titular de datos deberá atender la solicitud de acceso y puesta a disposición, si bien el titular de datos podrá exigir al usuario o destinatario que preserven la confidencialidad de los datos considerados como secretos empresariales.

A tal fin, el titular de datos deberá identificar los secretos empresariales antes de la divulgación y podrá exigir del usuario o destinatario la adopción de medidas encaminadas a preservar la confidencialidad de los datos, tales como la firma de cláusulas contractuales tipo, de acuerdos de confidencialidad, protocolos de acceso estrictos, normas técnicas y la aplicación de códigos de conducta. En caso de que el destinatario de los datos rechace la adopción de estas medidas, el titular de datos podrá denegar la solicitud de acceso, o interrumpirla, si ya se hubiese iniciado. En ambos casos, deberá motivar su denegación de acceso e informar a la autoridad competente del Estado miembro de la UE de que se trate −pendiente de designación por todos los Estados miembros de la Unión−.

El titular de los datos tendrá derecho a percibir una contraprestación económica por parte del destinatario de los datos por la puesta a disposición de los datos. La contraprestación deberá ser no discriminatoria y razonable y podrá incluir el reembolso de los costes incurridos al poner los datos a disposición del destinatario y un margen.

En definitiva, para cumplir con su obligación de puesta a disposición del destinatario de los datos técnicos, el titular de los datos tiene la obligación de hacer una oferta de licencia contractual de secretos empresariales concretando su objeto, términos y condiciones, incluidas las medidas a observar por el destinatario para preservar la confidencialidad y el canon a abonar como contraprestación.

En el ámbito de las relaciones B2C y B2B entre titulares y destinatarios de datos, el Reglamento de Datos será aplicable a partir del 12 de septiembre de 2025.

*José Miguel Lissén Arbeloa, socio del área de Propiedad Industrial e Intelectual de Bird & Bird.