La nueva Economía de la Información, que se está acelerando por el impacto de la pandemia, se basa en un concepto “difuso” desde el punto de vista jurídico, como es el de los “datos”.
Sectores fundamentales para Europa, como el del automóvil, van a cambiar de forma radical en los próximos años su forma de producir como los modelos de negocio gracias a la posibilidad de transmitir datos en tiempo real desde las fábricas o los propios vehículos.
Podemos considerar que un dato “es la representación de información de una manera formalizada, adecuada para la comunicación, la interpretación o el procesamiento”. Los datos son, por tanto, una representación simbólica de un atributo o variable que describe hechos empíricos.
Desde el punto de vista técnico, ya en 1948 un ingeniero de los Bell Labs, llamado Claude Shannon publicó su teoría matemática de la comunicación que creó las bases para poder transmitir información con un mínimo número de datos. Su despliegue se produjo sin un debate profundo sobre la naturaleza jurídica de la propia información. No obstante, sí estuvieron presentes desde el principio conceptos como privacidad o seguridad de la información, inherentes a la propia prestación del servicio de las telecomunicaciones.
Se considera que los datos son el “el nuevo petróleo”. Sin embargo, un dato por si mismo no proporciona mucho valor. Es necesario ponerlo en contexto. Para obtener información de los datos, muchas veces, es necesario su procesamiento. Por eso, como “nuevo petróleo”, necesitamos “refinar” los datos y “transportarlos” para convertirlos en conocimiento útil y de valor.
Si a un dato en bruto, por ejemplo, un número, se le agrega información de contexto (metadatos) por ejemplo, que estamos midiendo temperaturas, éste dato se convierte en información. Pero es necesario, a su vez, considerar un contexto mayor, por ejemplo, el conocer de que estamos hablando de una determinada localidad, para que ésta información se transforme en conocimiento.
En ocasiones para llegar a este conocimiento es necesario un procesamiento de los datos originales a través de las técnicas que ya nos está proporcionando la inteligencia artificial. En este caso, hablamos de algoritmos y de modelos, tanto de aprendizaje como de uso final.
El espíritu de la regulación de los datos es salvaguardar la privacidad y la información sensible. Esta preocupación por la protección de los datos comenzó en los años sesenta del siglo pasado en Estados Unidos, Suecia y Alemania, en paralelo a los avances informáticos, al procesamiento de información y al almacenamiento de datos.
Los datos personales son un “derecho personalísimo” inherente a la persona, como el derecho al honor, a la intimidad, o la propia imagen. Como existe en propiedad intelectual, sobre los “personales” puede existir “derechos de explotación” de contenido económico o patrimonial, que pueden cederse a un tercero, pero nunca se renuncia a los “derechos morales”; es decir un dato de una persona, como su propia imagen, puede tenerlo alguien, pero no puede hacer lo que quiera con él, si afecta a otra persona. La Constitución Española protege como derecho fundamental el del derecho digital, entendido como el dominio que tiene toda persona para decidir sobre el uso que se haga de su dato personal y quién está facultado para ello. Al final, el dato personal se convierte en una manifestación más del derecho de propiedad pero aplicado a toda circunstancia sobre la persona.
Si estamos tratando con datos personales existen dos modelos de negocio básicos, los que utilizan los datos de clientes para prestarles mejor servicio y los que captan datos de clientes, con su aprobación de términos y condiciones, para cedérselos a terceros o, más habitual en los últimos tiempos, dirigir hacia esos clientes publicidad enfocada a su perfil. Lo más habitual es procesar los datos, tanto para cumplir la legislación en aspectos como la anonimización como para obtener un valor adicional.
Europa ha sido la gran referencia en la protección de datos personales a partir de la aplicación, en mayo de 2018 del Reglamento General de Protección de Datos (RGPD). España cuenta con grandes especialistas en el tratamiento de datos personales, como mi colega en Pons IP, José Carlos Erdazoain. Ahora tenemos el reto de definir el marco jurídico que regule los “datos no personales” que son la base de la Industria 4.0 y de la Economía de la Información Empresarial que da título a este artículo.
En 2018, la Comisión Europea aprobó el marco para la libre circulación de datos no personales en Europa, aplicable desde el 28 de Mayo de 2019, que junto con el RGPD, define el marco para la definición de un “espacio europeo común de datos”
El 25 de noviembre de 2020 la Comisión Europea publicó una propuesta para regulación de la gobernanza de datos en Europa, la denominada Data Governance Act (DGA). La DGA promueve que Europa lidere la economía de la información basada en datos no personales, fundamentalmente de la industria. Para ello, se quiere construir un marco europeo de intercambio de datos. La DGA forma parte de una Estrategia Europea de Datos, que incluye una Data Act, que se publicará a finales de 2021. Este marco permitirá a las empresas la explotación de datos a través de intermediarios. Los espacios comunes de intercambio de datos “Common European Data Spaces” son plataformas para promover el intercambio de información y la obtención de nueva información a través del procesamiento de datos”.
Para las empresas industriales este tipo de espacios permitirá obtener información, por ejemplo, sobre el funcionamiento de una determinada máquina. Para las PYMES permitirá la creación de nuevos modelos de negocio a partir del procesamiento de datos de terceros, generalizando lo que ya se estaba haciendo, por ejemplo, con las iniciativas Open Data de las grandes ciudades.
Estamos asistiendo a la convergencia del mundo industrial y del mundo digital basada en la transmisión de la información de los datos de los procesos industriales a través de las redes de comunicación. La realidad es que hasta ahora, estos datos no salían de las fábricas.
A partir de los datos no personales tenemos nuevos modelos de negocio basados en el pago por uso, en el mantenimiento predictivo o en las economías de escala de las plataformas.
Para que éstos procedimientos se hagan con todas las garantías la industria reclama
- Unas redes de telecomunicación seguras, que ya está abordando desde la ciberseguridad.
- Una regulación que favorezca el intercambio de información, como la promovida por la Comisión Europea.
- Una aplicación de las normas que propiedad industrial que sean garantistas para asegurar la privacidad de la información, sino que aseguren un incremento de la productividad de la industria europea. Este tema todavía está pendiente de abordar.
El debate sobre la propiedad de los datos no personales comenzó en Alemania a partir de la creación del propio concepto de Industria 4.0 en 2011 en ese país. Los académicos y reguladores alemanes han examinado a fondo el tema y han llegado a plantear la posibilidad de un nuevo tipo de “derecho de propiedad” para los datos. Los defensores de esta idea consideran que el corpus europeo sobre el tema no es suficiente al basarse en una tradición civil de salvaguarda de los datos personales que no contempla, por ejemplo, la generación de datos por máquinas. Por otra parte, el marco tradicional se basa en conceptos como una única base de datos cuando en un caso de negocio determinado se manejan multitud de fuentes, o en datos de fuentes públicas.
Respecto a los procedimientos de protección de los datos no personales, tendríamos “a priori” cuatro opciones:
- Protección como derecho de autor, o copyright.
- Protección de las bases de datos como propiedad intelectual.
- Protección como secreto empresarial.
- Protección de los elementos de generación de los datos.
1.- Respecto a los derechos de autor, los acuerdos sobre derechos de propiedad industrial (ADPIC) de la Organización Mundial de Comercio (OMC) excluyeron expresamente los datos de la protección de Copyright. No obstante, en el marco de la iniciativa del “Mercado Único Digital”, la Comisión, abrió el camino de protección de datos e información como copyright, a partir de la protección de derechos de autor de las noticias de prensa. Esto significa que los hechos y las noticias estarían protegidos por derechos de autor auxiliares contra cualquier tipo de uso digital (contrario a la declaración inicial anterior, según la cual los datos y la información como tales quedarían excluidos de la protección de los derechos de autor). No obstante, la propia naturaleza de los datos industriales, generados muchas veces por máquinas, hace que el propio concepto de derechos de autor no sea muy apropiado.
2.- Respecto a la protección de las bases de datos la Ley de Propiedad Intelectual española define las bases de datos como, «las colecciones de obras, de datos, o de otros elementos independientes dispuestos de manera sistemática o metódica y accesibles individualmente por medios electrónicos o de otra forma.».
Dicho lo anterior, la creatividad en (i) la ordenación de los datos de la base concreta, (ii) el almacenamiento, (iii) los criterios de selección, etc. determinará si la misma es o no es «original» a efectos de su protección en materia de propiedad intelectual. Así:
- Si la base de datos revistiese carácter original, sería posible inscribir la titularidad de la base de datos por un derecho de autor de propiedad intelectual.
- Si la base de datos no fuera original, podríamos inscribir su titularidad por un derecho sui géneris de propiedad intelectual, que viene a proteger la inversión realizada por el fabricante, sin que se requiera por tanto prueba de originalidad. Decimos fabricante porque ya no se trataría de su autor.
Desde mi experiencia técnica considero que esta interpretación sobre como podemos proteger los datos, a partir de la mera protección de las bases de datos ha quedado obsoleta por el avance de la técnica y de hecho, la Comisión ha iniciado una revisión de la Directiva sobre bases de datos que probablemente en una tecnología de bases de datos que ya no corresponde al uso de datos en el contexto de la IoT y los macrodatos, caracterizado por servicios de datos en tiempo real. Por lo tanto, a día de hoy, tampoco sería la mejor opción para proteger los datos no personales.
3.- En relación con la protección de datos y la información como la secreto empresarial, la Directiva Europea, y la correspondiente Ley Española considera que el régimen de secreto comercial puede, en principio, proteger cualquier tipo de información que (i) sea secreta; (ii) tiene valor económico debido a su secreto; y (ii) y está sujeto a las medidas de seguridad adecuadas.
En el caso de los procesos industriales basados en Internet de las Cosas o Inteligencia Artificial, la protección de los secretos comerciales es bastante flexible: otorga protección a piezas individuales de información sin ningún requisito de originalidad; no distingue entre los tipos de datos que podrían protegerse (aunque no todas las leyes de los Estados miembros han tratado los secretos comerciales como una categoría abierta de cualquier información que sea confidencial); la protección es potencialmente ilimitada en el tiempo, los requisitos de protección pueden ser difíciles de cumplir en el contexto de los procesos de datos en tiempo real.
La realidad es que los datos recopilados por sensores o dispositivos inteligentes deben reutilizarse y combinarse con datos de muchos fabricantes de dispositivos: el secreto no siempre se puede confirmar. Si una base de datos está siendo licenciada bajo confidencialidad a una multitud de empresas en un sector en particular, esto podría hacerla «generalmente conocida» en los círculos relevantes.
En cuanto al valor comercial, no está claro que los datos individuales generados por máquinas y dispositivos interconectados puedan tener valor comercial como datos individuales. En cambio, muchos datos se considerarán valiosos solo si forman parte de conjuntos de datos más grandes. Además, es dudoso que los datos brutos tengan un valor “per se” o más bien solo un valor potencial. Este análisis probablemente se basa en el sector (por ejemplo, los datos personales tienden a tener un alto valor comercial en el contexto de la publicidad conductual y los macrodatos). Finalmente, es cuestionable si siempre será posible establecer un vínculo causal entre el secreto de la información y el valor comercial.
Los datos deben compartirse entre los diversos actores de la cadena de valor de los datos y deben estar sujetos a suficientes medidas de protección para mantenerlos en secreto. La Directiva no da ninguna orientación sobre lo que pueden constituir pasos razonables (esta evaluación debe hacerse por referencia a las circunstancias). Sin embargo, al menos en algunas jurisdicciones es posible confiar en los acuerdos de confidencialidad como medidas de seguridad. Sin embargo, podría ser particularmente difícil asignar protección a un solo actor que controle el secreto comercial, donde interactúan una multitud de jugadores de datos.
En lo que respecta a la propiedad, la Directiva se refiere a que el titular de un secreto comercial es la persona que controla legalmente esa información. Sin embargo, introduce un derecho efectivo de control sobre los datos (otorgando protección de una «posesión» de facto) sin dejar de ser neutral en la cuestión de la propiedad de la información. No establece de hecho un sistema de derechos de propiedad (aunque deja a los Estados miembros en libertad de introducir disposiciones de mayor alcance e introducir derechos de propiedad en los datos). Hay que tener en cuenta que en una cadena de producción industrial intervienen muchos agentes y no es fácil delimitar este concepto de propiedad. En los últimos meses hemos pasado de eludir en las negociaciones contractuales estos puntos a una defensa numantina de la propiedad de los datos que derivará hacia modelos de compartición de la información generada.
En cuanto al alcance de la protección, la Directiva no llega tan lejos como para introducir un nuevo derecho absoluto de propiedad industrial para los secretos empresariales y, de hecho, la protección es relativa, es decir, solo contra la apropiación indebida. El descubrimiento independiente de la misma información y la ingeniería inversa son legales. La Directiva otorga recursos frente a terceros destinatarios de los datos si sabían o debían haber sabido que la persona que se los transmitía no estaba autorizada para hacerlo. Se puede considerar que esta protección se adapta mejor a los fines de la economía de datos, al centrarse en la forma específica en que un tercero ha adquirido ilegalmente acceso a los datos permitiendo así un régimen de propiedad más flexible (con los límites descritos anteriormente).
De acuerdo con este planteamiento, la protección de datos no personales como secreto empresarial sí tendría sentido cuando no hay intención de publicar esta información, por ejemplo, en los espacios comunes de datos que promueve la Comisión Europea.
4.- El último punto a considerar, respecto a la propiedad de los datos no personales, está relacionado con los procedimientos utilizados para la obtención y procesamiento de los datos. Estos mecanismos serían la “refinería” que tratan los datos en bruto para ser procesados y podemos utilizar las leyes de la propiedad industrial e intelectual para conocer la titularidad y el derecho de uso de la “refinería” que transforma datos en bruto en datos procesados. En este caso, estaríamos hablando, por ejemplo, de patentes de algoritmos o de procedimientos de extracción de la información. Esta aproximación sería la más sólida en este momento entiendo que la generación de datos industriales es un proceso continuo y que tendría más valor el procedimiento de generación de datos, que los datos por si mismos.
Mi doble rol de consejero de dos empresas líderes en sus campos, ASTI, la mayor empresa europea de robótica móvil, y de Pons IP, la mayor agencia de propiedad industrial de España, hace que vea cada día la oportunidad de tener una visión estratégica de la propiedad industrial para ayudar a promover este intercambio de conocimiento. Los últimos tiempos han demostrado el valor estratégico de la industria para Europa; pues bien, ahora estamos ante la oportunidad de promover un tejido productivo que cree nuevos negocios a partir de un intercambio eficiente de la información. La industria es garantista en cuanto a la confidencialidad de la información y al control del proceso productivo. Por lo tanto, es necesario definir, desde la propiedad industrial, ese marco claro para el intercambio de conocimiento y la generación de valor. Europa, y España en particular, puede liderar este camino.
Luis Ignacio Vicente. Strategic Counsel PONS IP.