El 3 de junio de 2022 se publicó en el DOUE el Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos o Digital Governance Act) que será aplicable a partir del 24 de septiembre de 2023.
Estamos ante una norma compleja, pero de vital importancia en la Economía de los Datos en la Unión Europea y para la apertura de grandes oportunidades de negocio en el ámbito del Open Data. La mayoría de las oportunidades se centra en el desarrollo de soluciones digitales y en servicios de consultoría.
La Economía de Datos
La importancia de la Economía de los Datos se pone de manifiesto por la Comisión Europea en su comunicación de enero de 2017 titulada La construcción de una economía de datos europea, en la que se proponen soluciones para posibilitar su desarrollo dentro de la estrategia del Mercado Único Digital.
Los datos son el elemento central de la transformación digital: sustentan tecnologías como la Inteligencia Artificial, el Big Data, el Blockchain y el Internet de las cosas. La innovación basada en datos genera enormes beneficios en la economía, la medicina, la gestión sostenible del medio ambiente, la agricultura inteligente, el desarrollo de ciudades inteligentes, etc. Según las autoridades comunitarias, el valor generado por la información del sector público crecerá de 52 mil millones de euros en 2018 a 194 mil millones de euros en 2030.
En 2019, Úrsula von der Leyen, Presidenta de la Comisión Europea, declaró: «Los datos y las tecnologías relacionadas se presentan como los ingredientes fundamentales para ayudarnos a encontrar soluciones a los desafíos sociales a los que nos enfrentamos. Para desarrollar este potencial tenemos que encontrar nuestro modo europeo de equilibrar el flujo y el amplio uso de los datos, preservando al mismo tiempo un elevado nivel de privacidad, protección, seguridad y ética».
Un año después, la Comisión Europea en su Comunicación de 19 de febrero de 2020 sobre una Estrategia Europea de Datos describía su visión de un «espacio común europeo de datos» como un mercado interior de datos en el que estos puedan utilizarse independientemente de su ubicación de almacenamiento en la Unión. Lo que se propone es la creación de espacios comunes europeos para el intercambio de datos que pueden abarcar ámbitos tan diferentes como salud, movilidad, producción industrial, servicios financieros, energía o agricultura, así como áreas temáticas como el Pacto Verde Europeo o los espacios europeos de datos para la Administración pública».
La clave para que estos espacios puedan prosperar es hacer que los datos sean fáciles de encontrar, accesibles, interoperables y reutilizables con un alto nivel de ciberseguridad. No obstante, hay datos muy sensibles, como los referidos a la salud de las personas. Para proteger estos datos se establecerán obligaciones como emplear un entorno de tratamiento seguro, limitaciones relativas a la reutilización de datos en terceros países o las categorías de personas facultadas para transferir los datos a terceros países.
Los organismos públicos y otras entidades financiadas con cargo a los presupuestos públicos generan y recogen gran cantidad de datos. La idea de las autoridades comunitarias es que estos generen beneficios a la sociedad mediante su reutilización. Son los llamados Open Data.
Para garantizar condiciones de competencia equitativas en la Economía de los Datos es imprescindible una buena gobernanza en la que las partes interesadas de cada espacio común europeo de datos estén representadas. También son esenciales las garantías sobre datos sensibles estratégicos y el respeto a los valores de la UE en materia de seguridad, protección de datos y consumidores.
Objeto del Reglamento
El Reglamento de Gobernanza de Datos tiene por objeto establecer un marco jurídico para la reutilización, dentro de la Unión, de determinadas categorías de datos que obren en poder de organismos del sector público; un marco de notificación y supervisión para la prestación de servicios de intermediación de datos; un marco para la inscripción voluntaria en un registro de las entidades que recojan y traten datos cedidos con fines altruistas; y un marco para la creación de un Comité Europeo de Innovación en materia de Datos.
Ámbito de aplicación
La reutilización de datos prevista en el Reglamento se aplicará, únicamente, a datos que obren en poder de organismos públicos protegidos por motivos de:
- Confidencialidad comercial, incluidos los secretos comerciales, profesionales o empresariales.
- Confidencialidad estadística.
- Protección de los derechos de propiedad intelectual de terceros.
- Protección de los datos personales, en la medida en que queden excluidos del ámbito de aplicación de la Directiva (UE) 2019/1024.
Por el contrario, el Reglamento no se aplica a datos en poder de empresas públicas, organismos públicos de radiodifusión y centros culturales y de enseñanza; datos protegidos por motivos de seguridad pública, defensa o seguridad nacional; datos cuya facilitación esté fuera de la misión de servicio público del organismo.
En cualquier caso, el Reglamento no obliga a los organismos públicos a permitir la reutilización de sus datos ni los exime de sus obligaciones en materia de confidencialidad. De hecho, en caso de conflicto entre este Reglamento y el Derecho de protección de datos personales (RGPD) prevale este último.
Puntos de Información Únicos
Los Estados miembros establecerán un Punto de Información Único (o varios, con un coordinador nacional) que actúe como ventanilla única para reutilizadores. Pueden utilizar portales de datos abiertos ya existentes. En España pueden acceder haciendo clic aquí. El catálogo nacional de datos abiertos comprende más de 25.000 conjuntos de datos disponibles para su reutilización.
La Comisión Europea creará un Punto Único Europeo de Acceso que ofrezca un registro electrónico consultable en los Puntos Únicos de Información nacionales, con información adicional sobre cómo solicitar datos a través de dichos puntos. La Unión ya dispone del portal data.europa.eu/es. También creará el Comité Europeo de Innovación en materia de Datos, cuya composición y funciones se describen en los artículos 29 y 30 del Reglamento.
Prohibición de los acuerdos de exclusividad
Se prohíben los acuerdos de reutilización que concedan derechos exclusivos o cuyo objetivo o efecto sea restringir la disponibilidad de los datos para su reutilización por otros, salvo que sean necesarios para prestar un servicio o suministrar un producto de interés general que, de otro modo, no sería posible.
La concesión de un derecho exclusivo debe ser transparente, se dará a conocer públicamente en línea y tendrá una duración máxima de 12 meses.
Condiciones de reutilización
Los organismos nacionales del sector público competentes para conceder o denegar el acceso a datos abiertos publicarán las condiciones en las que se permite su reutilización y el procedimiento para solicitarla a través del Punto Único de Información.
Dichas condiciones no podrán ser discriminatorias, serán transparentes y proporcionadas, estarán justificadas objetivamente en función de las categorías de datos, los fines de la reutilización y la naturaleza de los datos cuya reutilización se permita, y no podrán utilizarse para restringir la competencia.
Los organismos competentes podrán establecer, entre otros requisitos, que se conceda acceso para la reutilización de los datos únicamente cuando se garantice que estos se han anonimizado, en el caso de datos personales, y modificado, agregado o tratado por cualquier otro método de control de la divulgación, en el caso de información comercial de carácter confidencial. El acceso y la reutilización se llevarán a cabo en un entorno de tratamiento seguro, facilitado o controlado por el organismo público.
El organismo competente se reserva el derecho a verificar el proceso, los medios y los resultados del tratamiento de datos efectuado por el reutilizador para preservar la integridad de la protección de datos, y se reserva, también, el derecho a prohibir la utilización de aquellos que contengan información que ponga en peligro los derechos e intereses de terceros.
Se impone al reutilizador la obligación de confidencialidad respecto de los datos. Se prohíbe la reidentificación de cualquier sujeto relacionado con los datos reutilizados. En caso de reutilización no autorizada de datos no personales, el reutilizador informará sin demora y, en su caso, con la ayuda del organismo del sector público, a las personas jurídicas cuyos derechos e intereses puedan verse afectados.
Cuando no sea posible permitir la reutilización de los datos de conformidad con el nuevo Reglamento y no exista ninguna otra base jurídica para transmitirlos, el organismo competente hará todo lo posible por prestar asistencia a los reutilizadores potenciales en la obtención del consentimiento de los interesados, siempre que sea factible y sin acarrear cargas desproporcionadas para dicho organismo.
Por último, deberán respetarse los derechos de propiedad intelectual. No obstante, los organismos públicos no ejercerán el derecho que les otorga el artículo 7, apartado 1, de la Directiva 96/9/CE a los fabricantes de bases de datos para impedir su reutilización o restringirla más allá de los límites previstos en el nuevo Reglamento.
Transferencias de datos fuera de la Unión Europea
El reutilizador que pretenda transferir datos no personales protegidos a un tercer país debe informar al organismo público y a la persona jurídica afectada de la finalidad y garantías.
La transferencia solo se permitirá con permiso expreso de la persona jurídica o si se cumplen garantías equivalentes (cláusulas contractuales tipo, declaración de equivalencia de la Comisión Europea, etc.). Para categorías especialmente sensibles (salud, energía, etc.) pueden aplicarse condiciones adicionales.
Servicios de intermediación de datos
El Reglamento establece un marco común con el fin de ofrecer un entorno seguro que ayude a empresas y particulares a compartir sus datos en la Unión.
Todo proveedor que quiera prestarlos en la UE debe notificarlo a la autoridad competente del Estado miembro de establecimiento principal. Una vez verificado el cumplimiento, puede utilizar la denominación «proveedor de servicios de intermediación de datos reconocido en la Unión» y el logotipo común en toda la Unión Europea.
En el caso de las empresas, estos servicios podrían adoptar la forma de plataformas digitales, que facilitan el intercambio voluntario de datos y el cumplimiento de las obligaciones legales. Para personas físicas, los proveedores les ayudarán a ejercer sus derechos en materia de protección de datos, informándoles sobre los usos previstos para los datos y las condiciones generales aplicables a dichos usos antes de que los interesados presten su consentimiento.
La Comisión Europea llevará y actualizará periódicamente un registro público de todos los proveedores de servicios de intermediación de datos que presten servicios en la Unión.
Tasas
Los organismos públicos que permitan la reutilización de sus datos podrán cobrar tasas. Dichas tasas deberán ser transparentes, no discriminatorias y proporcionadas y estarán justificadas objetivamente, evitando restringir la competencia. No obstante, dichos organismos podrán ofrecer sus datos con un descuento o de forma gratuita, en particular, a las pymes y empresas emergentes, la sociedad civil y los centros educativos.
Cesión altruista de datos
El Reglamento contempla la cesión altruista, es decir, voluntaria y por el bien común, de datos por parte de empresas y particulares. Por ejemplo: un proyecto de investigación científica desarrollado por una empresa que se desea compartir por ser de interés general.
Aquellas entidades que traten de recopilar datos con fines de interés general sobre la base de la cesión altruista de datos deben estar inscritas en un registro nacional establecido al efecto. Cada autoridad competente llevará y actualizará periódicamente un registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas.
El reglamento regula los registros públicos de organizaciones reconocidas de gestión de datos con fines altruistas, los requisitos y procedimiento de inscripción y los requisitos de transparencia que deben cumplir dichas organizaciones, así como los requisitos específicos para proteger los derechos e intereses de los titulares de datos.
La Comisión Europea completará el Reglamento con un código normativo en el que se establecerán, entre otros, los requisitos de información a los interesados y titulares de datos. La información facilitada será suficientemente detallada, clara y transparente sobre la utilización de los datos, las herramientas para la concesión y revocación del consentimiento y las medidas adoptadas para evitar el uso indebido de los datos compartidos.
Asimismo, la Comisión Europea elaborará un formulario europeo de consentimiento para la cesión de datos con fines altruistas. El formulario permitirá recabar el consentimiento en todos los Estados miembros en un formato uniforme.
Para ayudar a los interesados y a los titulares de datos a identificar fácilmente a estas organizaciones, y aumentar su confianza en ellas, se establecerá un logotipo común que sea reconocible en toda la Unión. El logotipo irá acompañado de un código QR con un enlace al registro público en el que se haya inscrita la organización.
Asimismo, los Estados podrán elaborar políticas nacionales para ayudar a los interesados a la hora de ceder voluntariamente, con fines altruistas, datos personales que les conciernan y que obren en poder de organismos públicos.
No se pierda nuestro podcast sobre el artículo
