LAS BASES DE DATOS FRUTO DE DISPOSITIVOS DEL INTERNET DE LAS COSAS Y LA FUTURA "DATA ACT". ALGUNAS REFLEXIONES SOBRE LA EXCLUSIÓN DE LA TUTELA POR EL DERECHO SUI GENERIS PREVISTA EN ESTA PROPUESTA DE REGLAMENTO.

Esta conclusión no es nueva, sino que reitera una doctrina jurisprudencial iniciada por el Tribunal de Justicia de la Unión Europea en sus sentencias de 9 de noviembre de 2004, asuntos British Horseracing y saga Fixtures Marketing. (2)y(3) Desde 2004, el Alto Tribunal europeo viene a excluir del ámbito de aplicación del derecho sui generis aquellas bases de datos en las que la inversión sustancial se hubiera destinada a la creación ex novo de los datos contenidos en ella, y no así en tareas de recopilación de datos ya existentes y su posterior procesamiento -obtención, verificación y presentación- de dichos contenidos.

Así, por ejemplo, la inversión destinada a la creación de calendarios deportivos -decisiones tales como la de la identidad de los equipos que se enfrentan cada semana, el horario y el estadio del encuentro, que no podrá coincidir con otro encuentro deportivo de un equipo local- quedan fuera de la protección sui generis, por muy abultada que haya sido la inversión hecha en la toma de decisiones sobre la creación de esos datos.

Entre los objetivos principales de la Comisión Europea, identificados en esta Comunicación, se encuentran el de “mejorar el acceso a datos anónimos generados por máquinas: mediante su puesta en común, reutilización y agregación, los datos generados por máquinas se convierten en una fuente de creación de valor, innovación y diversidad de modelos empresariales” y “facilitar e incentivar el intercambio de estos datos: cualquier solución futura debe fomentar un acceso efectivo a los datos”. De ahí que una de las posibles soluciones futuras enunciadas por la Comisión fuera la propia revisión de la Directiva 96/9/CE.

En paralelo, en 2018 se publica la última de las evaluaciones de la Directiva 96/9 llevadas a cabo por la Comisión Europea hasta la fecha -un estudio creado por encargo de la Comisión Europea, redactado, entre otros, por Lionel Bently y Estelle Derclaye-. En dicha evaluación, se concluye que es necesario revisar la Directiva 96/9, para valorar la posible regulación de unas licencias obligatorias que permitan a terceros el uso de las bases de datos tuteladas por el derecho sui generis.

Se advierte en esta evaluación de la necesidad de no alterar la jurisprudencia europea antes citada, pues de lo contrario se podría extender el efecto protector del derecho sui generis a los datos creados por máquinas o captados por sensores -es decir, a las bases de datos que contengan este tipo de datos- y ello podría afectar al necesario equilibrio que ha de reinar entre la tutela de los intereses de los fabricantes de bases de datos y la de los intereses de los usuarios de estas. Se señala también la urgencia de clarificar los conceptos de fabricante de bases de datos y de inversión sustancial y, sobre todo, del estatus que merecen las bases de datos creadas por máquinas.

En este contexto es donde se sitúa -y donde debe interpretarse- el artículo 35 de la propuesta de Data Act -es decir, la Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos), presentada el 23 de febrero de 2022 por la Comisión Europea-. (4) En este precepto, la Data Act se centra en los datos generados u obtenidos a partir del uso de productos o servicios conexos y busca crear un contexto normativo acorde con la actual economía de los datos y el contexto del internet de las cosas, en donde la exclusividad de los datos que son fuente única genera un importante obstáculo para la innovación y el desarrollo de servicios digitales.

Con ese objetivo, el citado artículo 35 de la Propuesta de Reglamento excluye la aplicación del derecho sui generis regulado en el artículo 7 de la Directiva 96/9 a las bases de datos que contengan datos obtenidos o generados por el uso de un producto o un servicio relacionado. Por tanto, en caso de aprobarse, esta norma podría suponer, en principio, una importante modificación de la Directiva de bases de datos, para reducir su actual ámbito de aplicación. Poco más dice el texto del artículo 35, en su estado actual. Para indagar un poco más en su posible sentido debemos irnos a los considerandos 17 y 84 de la Propuesta de Reglamento, sobre los que volveremos más adelante.

Pero, antes de ello, nos detendremos en otro punto. Para entender el texto normativo propuesto, debemos estudiar la definición de “producto o servicio relacionado”. El considerando 14 de la Propuesta de Reglamento los define como “ los productos físicos que, a través de sus componentes, obtengan, generen o recopilen datos relativos a su rendimiento, uso o entorno y que puedan comunicar dichos datos mediante un servicio de comunicaciones electrónicas disponible para el público (a menudo denominado «internet de las cosas»)” y, a modo de ejemplo, enumera “vehículos, equipos domésticos y bienes de consumo, productos médicos y sanitarios o maquinaria agrícola e industrial”.

Por tanto, los bienes recopiladores de datos a los que se les aplicará la excepción a la tutela por el derecho sui generis son amplísimos e incluyen buena parte de los productos que empleamos en nuestro día a día, como pueden ser los actuales teléfonos y relojes, televisores y automóviles, que llevan asociado el adjetivo “inteligentes”. Son los llamados dispositivos IoT-por siglas del término inglés “Internet of Things”-.

Hagamos ahora una pausa en la explicación de la Propuesta de Reglamento para llevar estas definiciones a la práctica y reflexionar sobre el valor de mercado de los datos recopilados por este tipo de productos. Pongamos por caso un automóvil comprado recientemente en el que existe algún tipo de conectividad que permite registrar datos tales como nuestros modos de conducción, accidentes, averías, etc. En manos de compañías aseguradoras o del propio fabricante del vehículo esos datos pueden llegar a tener un enorme valor.

Si a ello se suma el empleo ya casi generalizado por las grandes compañías de técnicas de minería y tecnologías de big data, que generan importantes cadenas de valor tras el procesamiento de esos datos con otros muchos datos de los que disponen, nos podemos encontrar con ejemplos como el siguiente. Una compañía aseguradora puede predecir que los clientes de entre 20 y 30 años, con menos de 10 años de experiencia en la conducción, que sean conductores de coches negros de pequeño tamaño configuran el grupo de sujetos más propenso a tener accidentes en España.

De ahí que, si estamos incluidos en esta descripción, es probable que recibamos una notificación de nuestra compañía aseguradora indicándonos la subida de la prima del seguro para el año próximo. Aunque la segmentación del riesgo en el caso de seguros de automóviles se ha hecho tradicionalmente en base a datos relacionados con la persona –principalmente, datos demográficos, años de experiencia y, hasta hace poco, sexo de la persona asegurada- y datos relacionados con el vehículo asegurado –potencia, color, tamaño-, la suma del internet de las cosas y el big data permite ampliar la base de conocimiento para la predicción de siniestros con otros datos valiosos, tanto de la propia conducción del sujeto asegurado –por ejemplo, la aceleración, el frenado, la forma de tomar curvas-, tratados en tiempo real, como de su comparativa con datos provenientes de otros asegurados y de las características de las vías frecuentadas –tipo de carretera, estado del pavimento, etc.- que puedan cumplir un mismo perfil, lo que genera un compendio de datos y predicciones de enorme valor para muchas empresas, entre ellas, las aseguradoras.

Otro ejemplo real es el que se refiere a los seguros de vida asociados al compromiso de hacer deporte: son muchas las personas que utilizan dispositivos y prendas que registran su actividad física u otros indicadores de salud y ya existen compañías de seguros que ofrecen a sus clientes descuentos en las pólizas si emplean este tipo de dispositivos IoT y demuestran un estilo de vida saludable durante el tiempo de vigencia del seguro. Pensemos también a la inversa: si las aseguradoras conocen nuestras constancias vitales pueden emplear estos datos para realiza una discriminación negativa y, por ejemplo, aumentar el precio de la prima del seguro de vida a personas de cuyos datos se pueda inferir una menor esperanza de vida. El valor de mercado de estos datos es, de nuevo, nada desdeñable.

Como complemento de lo anterior, el considerando 17 de la Propuesta de Reglamento afirma “Los datos generados por el uso de un producto o servicio relacionado incluyen los datos registrados por el usuario de manera intencionada. Estos datos incluyen también los generados como subproducto de la intervención del usuario (como los datos de diagnóstico), y los generados sin intervención del usuario (por ejemplo, cuando el producto se encuentra en «modo de espera»), así como los registrados durante los períodos en que el producto esté apagado”.

Por tanto, la exclusión del derecho sui generis se aplicaría a aquellas bases de datos creadas por productos y servicios del internet de las cosas tanto si los datos en cuestión son registrados directamente por el usuario como si simplemente son captados por el producto. En otras palabras, se incluyen tanto datos facilitados expresamente por el usuario como los datos observados por el dispositivo. De ahí que el artículo 35 hable de los datos “obtenidos o generados” por el uso de un producto o un servicio del internet de las cosas.

De manera muy relevante en relación con el tema que aquí nos ocupa, este considerando 17 indica: “Estos datos deben contener los datos en la forma y el formato en que son generados por el producto, pero no los resultantes de ningún proceso de software que calcule datos derivados a partir de dichos datos, ya que este proceso puede estar sujeto a derechos de propiedad intelectual”.

De ahí que, a pesar de que el artículo 35 tenga una redacción ciertamente parca e insuficiente, puede inferirse de este considerando 17 que lo excluido del derecho sui generis son simplemente las colecciones de datos recopiladas por los productos IoT, pero no así las posteriores bases de datos cuyos contenidos sean el producto del tratamiento posterior de los datos así recopilados, generalmente mediante diversos programas de ordenador.

Empleando la jerga que se utiliza en la economía de datos, podemos diferenciar cuatro categorías: los datos facilitados expresamente por el usuario, los datos observados, los datos derivados y los datos inferidos. A menudo, los usuarios son conscientes del tratamiento de datos que ellos mismos facilitan (estos son los llamados datos facilitados) o que son captados por el dispositivo del internet de las cosas a través de sus sensores (los llamados datos observados). Sin embargo, la posibilidad de tratar datos personales derivados o datos inferidos es, en general, más desconocida para los usuarios. Datos derivados son aquellos que se obtienen a través del procesamiento de los datos obtenidos y facilitados.

Datos inferidos son aquellos obtenidos a partir del procesamiento analítico de un conjunto amplio de datos entre los que se encuentran datos de múltiples usuarios y diversas fuentes, gracias a técnicas de minería de dato y big data, que permiten crear ciertas tendencias de comportamiento en cada momento o pautas de conducta. Pues bien, de acuerdo con el considerando 17 de la Propuesta de Reglamento, bien podríamos afirmar que la exclusión de la aplicación del derecho sui generis únicamente se aplica a recopilaciones de datos facilitados y observados, pero quedarían fuera de esta exclusión las recopilaciones de datos derivados y de datos inferidos.

Precisamente, en la creación de estos dos últimos tipos de datos -los derivados y los inferidos- radica el éxito de buena parte de las empresas actuales. Pongamos el ejemplo de Nike. Los dispositivos electrónicos de su línea NikePlus (relojes inteligentes, pulsómetros, dispositivos con sensores que conectan zapatillas con teléfonos…) recogen cantidades masivas de información de millones de usuarios.

Información que sirve a la empresa de ropa deportiva para buscar la fidelización de los usuarios a través de retos y objetivos que apelan a la capacidad de superación de estos, creando un vínculo con la marca más allá de la simple venta de material deportivo. Pues bien, las cantidades destinadas a la creación ex novo -por así decirlo, a su cálculo- de datos derivados e inferidos con respecto de los datos facilitados y observados por los dispositivos IoT no estarían excluidas de la tutela por el derecho sui generis.

Bien es verdad, todo sea dicho, que la mera inversión en la creación de esos datos derivados e inferidos no es en sí misma objeto de protección por la Directiva 96/9/CE. Y esto no porque lo diga ahora la Data Act, sino porque ya lo señaló el Tribunal de Justicia de la Unión Europea en la doctrina jurisprudencial creada en 2004 a la que me he referido antes. A saber: toda inversión en la creación ex novo de datos -o de contenidos, en general- está excluida de la tutela por este derecho de propiedad intelectual.

Lo que viene a añadir la actual Propuesta de Reglamento es que, en todo caso, la inversión en la mera recopilación -sin tratamiento posterior- de datos por productos del internet de las cosas no puede ser susceptible de tutela. Sin embargo, el considerando 84 de la Data Act expresa mal esta idea o, si dice bien lo que quiere decir, la Comisión Europea parece ser desconocedora del contenido práctico de la citada doctrina jurisprudencial europea.

Este considerando dicta lo siguiente: “Con el fin de eliminar el riesgo de que titulares de datos que están en bases de datos obtenidos o generados por medio de componentes físicos, como sensores, de un producto conectado y de un servicio relacionado reclamen el derecho sui generis en virtud del artículo 7 de la Directiva 96/9/CE cuando dichas bases de datos no pueden acogerse al derecho sui generis, obstaculizando de este modo el ejercicio efectivo del derecho de los usuarios a acceder y utilizar los datos y el derecho a compartir datos con terceros en virtud del presente Reglamento, el presente Reglamento debe aclarar que el derecho sui generis no es aplicable a dichas bases de datos, ya que no se cumplirían los requisitos de protección”.

¿Desde cuándo un fabricante que destina una inversión sustancial en una recopilación de datos obtenidos por un dispositivo IoT -fabricado o comercializado por él- no va a gozar de la tutela por el derecho sui generis? No tendría derecho a esta tutela si la inversión se destinase a la creación desde cero de los datos, pero no así si la inversión se refiere a recopilar datos creados, por ejemplo, con la actividad deportiva del usuario del dispositivo.

En este caso, existe inversión en la obtención -en el sentido del artículo 7 de la Directiva 96/9/CE-, que no en la creación, y dicha inversión en la obtención habrá de quedar tutelada, de acuerdo con esta Directiva, siempre que sea sustancial. Por tanto, es necesario que la Comisión Europea recalque que aunque, conforme a la interpretación jurisprudencial europea vigente, estas bases de datos sí cumplan los requisitos para la protección por el derecho sui generis -el quid de la cuestión está en el subrayado-, la Data Act las excluye expresamente de dicha tutela, y lo hace para ponderar los intereses de los fabricantes de estas bases de datos con los derechos de los usuarios de los dispositivos y con la razón de ser de la economía de los datos, es decir, la potencial creación de nuevos productos y servicios que empleen dichos datos, sin que un posible derecho sui generis pueda desincentivar o bloquear nuevos nichos de mercado. Esta exclusión, por tanto, es una decisión de política legislativa, y no es una consecuencia lógica del texto de la Directiva 96/9/ce, ni de la interpretación que el Tribunal de Justicia de la Unión Europea ha hecho, hasta la fecha, de esta Directiva.

Más allá de este importante apunte, lo que esta entrada busca señalar es que esta exclusión planteada por la Comisión Europea en la futura Data Act puede no tener la elevada relevancia económica o práctica que se espera. Ello porque las empresas fabricantes y comercializadoras de productos y servicios del internet de las cosas no solamente invierten en sensores que capten este tipo de datos, sino que también destinan inversiones muy elevadas -sustanciales, por emplear el término de la Directiva de bases de datos- en el posterior tratamiento de los datos para crear recopilaciones de datos inferidos y derivados, que empleen en su propio funcionamiento empresarial o que comercialicen a otras empresas que puedan tener interés en ellos.

Precisamente este segundo tipo de inversión sí estaría dentro del ámbito de tutela por el derecho sui generis, por poner subsumirse en los conceptos de inversión en la obtención, en la verificación y/o en la presentación de los contenidos de la base de datos, previstos en el artículo 7 de la Directiva 96/9. Por ello, si se pretende excluir la tutela de este segundo tipo de bases de datos, será necesario modificar la redacción del artículo 35 y/o de los considerandos 17 y 84 de la Data Act para dejar claro que el derecho sui generis no podrá aplicarse ni a las recopilaciones de datos facilitados expresamente por el usuario o de datos observados por los dispositivos inteligentes, ni tampoco a las recopilaciones de datos derivados e inferidos.

Está por ver si el texto que finalmente se apruebe y, sobre todo, la interpretación que el Tribunal de Justicia de la Unión Europea haga de él está en la línea de lo que, de forma embrionaria, he tratado de exponer en esta entrada.

(1) https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52017DC0009&from=ES

(2) https://eur-lex.europa.eu/legal-content/ES/ALL/?uri=CELEX%3A62002CJ0203

(3) https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A62002CJ0444 ; https://curia.europa.eu/juris/document/document.jsf?text=&docid=49634&pageIndex=0&doclang=es&mode=lst&dir=&occ=first&part=1&cid=584233 ; y https://curia.europa.eu/juris/document/document.jsf?text=&docid=49636&pageIndex=0&doclang=es&mode=lst&dir=&occ=first&part=1&cid=584233

(4) https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52022PC0068&from=EN