Protección de los datos y la información por propiedad intelectual y figuras afines
| Autor | Aurelio López-Tarruella Martínez |
| Cargo del Autor | Profesor titular Derecho internacional privado. Universidad de Alicante |
| Páginas | 59-110 |
CAPÍTULO II
PROTECCIÓN DE LOS DATOS
Y LA INFORMACIÓN POR PROPIEDAD
INTELECTUAL Y FIGURAS AFINES
I. INTRODUCCIÓN
1. Según se ha explicado en la Introducción, los datos se han conver-
tido en un nuevo activo intangible de enorme valor para las organizaciones
públicas y privadas. Cuantos más datos tiene una organización y mejor es su
calidad, mayores son sus posibilidades de extraer información para mejorar
o crear nuevos productos o servicios; de desarrollar nuevas aplicaciones de
inteligencia artificial; o de explotarlos comercialmente en el mercado. Su pro-
tección, por lo tanto, deviene esencial. Gracias a ella, el “titular de los datos” 180
es el único que puede explotarlos o autorizar a terceros (los “usuarios de da-
tos” 181) su explotación. Si los datos no estuvieran protegidos, cualquiera po-
dría utilizarlos, por lo que perderían su valor y su titular la ventaja competitiva
que le proporcionan. Esta protección debe garantizarse de facto y de iure. Como
veremos, ambos planos están íntimamente relacionados.
180 En la PLGA, se define al “titular de los datos” como “una persona jurídica o un intere-
sado que, de conformidad con la legislación nacional o de la Unión, tiene derecho a conceder
acceso a determinados datos personales o no personales que estén bajo su control, o a compar-
tir tales datos” (art. 2.5).
181 Se entiende como “usuario de datos”, según la mencionada propuesta, a la “persona
física o jurídica que tiene acceso legítimo a determinados datos personales o no personales y
está autorizada a usarlos con fines comerciales o no comerciales” (art. 2.6).
60 Aurelio López-Tarruella Martínez
2. Por protección de facto nos referimos a la adopción de soluciones tec-
nológicas para controlar el acceso a los datos y garantizar su integridad e in-
mutabilidad. Dichas soluciones pueden ser muy diversas pudiendo consistir,
por ejemplo, en un almacenamiento de los datos en un servidor sin conexión
alguna con el mundo exterior al que sólo puede acceder un número limitado
de personas a partir de un sistema de control de acceso (que podría consistir
en passwords, o en sistemas más sofisticados como una firma digital, la huella
digital o reconocimiento facial). No obstante, como se ha explicado en el cap.
I, es habitual que los servidores donde se albergan los datos estén conectados
a Internet, bien porque ello es necesario para su tratamiento por el personal
interno de la compañía titular de los datos, bien porque el acceso a los datos
es imprescindible para prestar el servicio, bien porque los datos deben ser
transferidos a otros servidores, bien porque los datos están almacenados en
servidores de terceras empresas 182. Además, también resulta preciso proteger
los dispositivos o sensores que recogen esos datos y que, cada vez más a menu-
do, analizan esos datos “en el borde”. A nadie escapa que, en estos casos, los
datos están sujetos a mayores amenazas por lo que las medidas tecnológicas de
protección deben ser bastante más sofisticadas, incluyendo la encriptación de
los datos cuando son transferidos de un dispositivo a otro, o la utilización de
tecnología blockchain. No debe extrañar que la ciberseguridad sea una de las
principales preocupaciones tanto de las empresas como de los gobiernos, que
los gastos en este apartado vayan en aumento, y que el sector esté sufriendo
una constante revolución 183.
Ciertamente, como se ha explicado en el anterior capítulo, la adopción
de estas medidas tecnológicas de protección puede no deberse exclusivamen-
te a la propia preocupación de la organización por proteger sus datos, sino
que puede venir impuesta por el ordenamiento jurídico en atención a los al-
tos riesgos que implican su utilización. Tal es el caso, en particular, cuando los
datos que posee la organización tengan carácter personal. En este sentido,
debe recordarse la obligación impuesta a los responsables del tratamiento por
el Art. 24 RGDP de adoptar las medidas técnicas y organizativas apropiadas a
fin de garantizar el cumplimiento del Reglamento. Además, deben tenerse en
cuenta las obligaciones especiales de protección de los datos y la información
relativas a servicios esenciales establecidas en la Directiva 2016/1148, las reco-
gidas en normativas sectoriales, y las propuestas en las PLGD y PRIA. En fin, la
doctrina ha sostenido que, con carácter general, garantizar la protección de
los datos y la información frente a ciberataques es una obligación de cualquier
182 Una clasificación de las medidas tecnológicas que las empresas pueden adoptar para
proteger sus datos puede encontrarse en REIMSBACH-KOUNATZE, C. (2021), pp. 50-54.
183 ENISA (2020), Threat Landscape 2020, disponible en https://www.enisa.europa.eu/
topics/threat-risk-management/threats-and-trends
Propiedad intelectual e innovación basada en los datos 61
empresa que encuentra su fundamento en la obligación general de diligencia
3. Esta protección de facto de los datos está complementada con la protec-
ción de iure. De hecho, la primera sirve de poco sin la segunda. La protección
jurídica es la que garantiza que, si la protección de facto falla y alguien obtiene
o accede ilícitamente a los datos, el titular de los datos dispone de mecanis-
mos para perseguir al infractor ante las autoridades competentes 185.
Esta protección jurídica resulta fundamental en aquellos supuestos en los
que la propia naturaleza de los datos o la información que posee una empresa
obliga a ponerlos en Internet a disposición del público en general para poder
monetizarlos o sacarles provecho. Piénsese en plataformas como Wikipedia
o YouTube, en las que los usuarios pueden disfrutar de contenidos digitales
gratuitamente, con o sin publicidad añadida; o bases de datos de imágenes
que los usuarios pueden descargar a cambio de una remuneración; o platafor-
mas en las que se ponen a disposición conjuntos de datos ya procesados que
las empresas infomediarias pueden descargarse, de forma gratuita o a cambio
de una remuneración, para prestar servicios de análisis de datos, o entrenar
modelos de inteligencia artificial. Que toda esta información esté a disposi-
ción del público no significa que no esté protegida jurídicamente: su titular
es el que decide las condiciones bajo las cuales esa información puede ser
explotada.
Se podría pensar que la protección jurídica carece de relevancia en aque-
llos supuestos en los que el titular de los datos únicamente tiene interés en
explotar esos datos para llevar a cabo innovación in house. Esto no es así. Para
empezar, incluso en estos casos, las actividades técnicas para la explotación de
los datos generalmente no las llevará a cabo el propio titular, sino una o varias
empresas externas pertenecientes al sector infomediario, es decir, especiali-
zadas en esas tareas. Estas actividades pueden ir desde la digitalización de la
información de una organización, hasta su tratamiento mediante herramien-
tas de IA, pasando por todas las etapas intermedias como el limpiado de datos
o su etiquetado. En otras ocasiones, puede surgir la necesidad de compartir
esos datos con otras empresas. Esto puede ocurrir, por ejemplo, en entornos
de Industria 4.0 cuando la adquisición de nuevas soluciones tecnológicas obli-
184 PEREZ BES, F. (2019), “Nuevas obligaciones de ciberseguridad y la responsabilidad
de la protección de la propiedad intelectual en el sector farmacéutico”, Comunicaciones en propie-
dad industrial y derecho de la competencia, vol. 88, pp. 83 ss, esp. 88.
185 Ciertamente, en ocasiones, la persecución del infractor resulta extremadamente difí-
cil o incluso imposible por las posibilidades con las que cuentan estas personas para enmasca-
ran su identidad e, incluso, la localización de los ordenadores desde los que han accedido a la
información.
Para continuar leyendo
Solicita tu prueba