Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Reglamento de Gobernanza de Datos

El 3 de junio de 2022 se publicó en el DOUE el Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos o Digital Governance Act), que será aplicable a partir del 24 de septiembre de 2023.

Estamos ante una norma compleja, pero de vital importancia en la Economía de los Datos en la Unión y en la apertura de grandes oportunidades de negocio en el ámbito del Open Data. La mayoría de las oportunidades se centra en el desarrollo de soluciones digitales y en servicios de consultoría.

La importancia de la Economía de los Datos se pone de manifiesto por la Comisión Europea en su comunicación de enero de 2017 titulada La construcción de una economía de datos europea, en la que se proponen soluciones para posibilitar su desarrollo dentro de la estrategia del mercado único digital.

Que los datos son elementos centrales de transformación es indiscutible. Los datos son la base sobre la que se sustentan tecnologías como la Inteligencia Artificial, Big Dat, Blockchain y el Internet de las cosas.

La innovación basada en los datos reporta enormes beneficios en la economía, la medicina, la gestión sostenible del medio ambiente, la agricultura inteligente, el desarrollo de las Smart cities… Según las autoridades comunitarias, el valor generado por la información del sector público crecerá de 52 mil millones de euros en 2018 a 194 mil millones de euros en 2030. 

En el año 2019, Úrsula von der Leyen, Presidenta de la Comisión Europea, pronunció la siguiente frase: «Los datos y las tecnologías relacionadas se presentan como los ingredientes fundamentales para ayudarnos a encontrar soluciones a los desafíos sociales a los que nos enfrentamos. Para desarrollar este potencial tenemos que encontrar nuestro modo europeo de equilibrar el flujo y el amplio uso de los datos, preservando al mismo tiempo un elevado nivel de privacidad, protección, seguridad y ética».

Un año más tarde, la Comisión Europea en su Comunicación de 19 de febrero de 2020 sobre una Estrategia Europea de Datos describía su visión de un «espacio común europeo de datos» como un mercado interior de datos en el que estos puedan utilizarse independientemente de su ubicación de almacenamiento en la Unión. Lo que se propone es la creación de espacios comunes europeos para el intercambio de datos que pueden abarcar ámbitos tan diferentes como salud, movilidad, producción industrial, servicios financieros, energía o agricultura, así como áreas temáticas como el Pacto Verde Europeo o los espacios europeos de datos para la Administración pública.

La clave para que dichos espacios puedan prosperar es hacer que los datos sean fáciles de encontrar, accesibles, interoperables y reutilizables con un alto nivel de ciberseguridad. No obstante, hay datos muy sensibles, como los referidos a la salud de las personas. Para proteger estos datos muy sensibles se establecerán obligaciones como emplear un entorno de tratamiento seguro, limitaciones relativas a la reutilización de datos en terceros países o las categorías de personas facultadas para transferir los datos a terceros países. 

Los organismos públicos y otras entidades financiadas con cargo a los presupuestos públicos generan y recogen infinidad de datos. La idea de las autoridades comunitarias es que estos reporten beneficios a la sociedad mediante su reutilización. Son los llamados Open Data o Datos Abiertos, de los que les hablé en su día. 

Para establecer y mantener unas condiciones de competencia equitativas en la Economía de los Datos es imprescindible disponer de unas buenas bases de gobernanza, en las que las partes interesadas de un espacio común europeo de datos estén representadas. 

Para impulsar la confianza en la Economía de los Datos en la Unión Europea también es indispensable que se establezcan garantías y controles sobre datos sensibles estratégicos, así como el respeto a las normas y valores de la Unión en cuanto a la seguridad, la protección de datos y de los consumidores.

El Reglamento tiene por objeto establecer un marco jurídico para la reutilización, dentro de la Unión, de determinadas categorías de datos que obren en poder de organismos del sector público, un marco de notificación y supervisión para la prestación de servicios de intermediación de datos, un marco para la inscripción voluntaria en un registro de las entidades que recojan y traten datos cedidos con fines altruistas, y un marco para la creación de un Comité Europeo de Innovación en materia de Datos.

A fin de facilitarles la compresión de la norma, voy a dividir su análisis en diferentes apartados.

Ámbito de aplicación  

La reutilización de datos prevista en el Reglamento se aplicará, únicamente, a datos que obren en poder de organismos públicos protegidos por motivos de:

  1. Confidencialidad comercial, incluidos los secretos comerciales, profesionales o empresariales.
  2. Confidencialidad estadística.
  3. Protección de los derechos de propiedad intelectual de terceros.
  4. Protección de los datos personales, en la medida en que queden excluidos del ámbito de aplicación de la Directiva (UE) 2019/1024.

Por el contrario, el Reglamento no se aplicará a los datos que obren en poder de empresas públicas, organismos públicos de radiodifusión y centros culturales y de enseñanza. Tampoco se aplicará a los datos que obren en poder de organismos del sector público que estén protegidos por motivos de seguridad pública, defensa o seguridad nacional, o los datos cuya facilitación constituya una actividad ajena al ámbito de la misión de servicio público de los organismos del sector público de que se trate.

En cualquier caso, el Reglamento no obliga a los organismos públicos a permitir la reutilización de sus datos ni los exime de sus obligaciones en materia de confidencialidad. De hecho, en caso de conflicto entre el Reglamento y el Derecho en materia de protección de datos personales prevale este último.

Puntos de Información Únicos

Para incentivar la reutilización de datos que obren en poder de organismos del sector público, los Estados miembros establecerán un Punto de Información Único. Son válidas las modalidades prácticas ya existentes como los portales de datos abiertos (pueden acceder al de España haciendo clic aquí. El catálogo nacional de datos abiertos comprende más de 25.000 conjuntos de datos disponibles para su reutilización).

Por su parte, la Comisión creará un punto único europeo de acceso que ofrezca un registro electrónico de datos consultable en los puntos únicos de información nacionales con información adicional sobre cómo solicitar datos a través de dichos puntos. La Unión ya dispone de un portal (data.europa.eu/es) que podría servir como plataforma.

También creará el Comité Europeo de Innovación en materia de Datos, cuya composición y funciones se describen en los artículos 29 y 30 del Reglamento.

Prohibición de los acuerdos de exclusividad

El Reglamento prohíbe los acuerdos de reutilización por los que se concedan derechos exclusivos, o cuyo objetivo o efecto sea restringir la disponibilidad de los datos para su reutilización por otros, salvo que lo exija la prestación de un servicio o el suministro de un producto de interés general que, de otro modo, no sería posible. 

La concesión de un derecho exclusivo, incluidas las razones por las que sea necesaria su concesión, se hará de forma transparente y se dará a conocer públicamente en línea, de una forma compatible con el Derecho de la Unión en materia de contratación pública.

El tiempo máximo de duración de un derecho exclusivo a reutilizar los datos será de doce meses. 

Condiciones de reutilización 

Los organismos nacionales del sector público competentes para conceder o denegar el acceso a los datos abiertos publicarán las condiciones en las que se permite su reutilización y el procedimiento para solicitarla a través del Punto Único de Información. Esto no es novedad, ya se está haciendo.

Dichas condiciones no podrán ser discriminatorias, serán transparentes y proporcionadas, estarán justificadas objetivamente respecto de las categorías de datos, fines de la reutilización y naturaleza de los datos cuya reutilización se permita y no podrán utilizarse para restringir la competencia.

Los organismos competentes podrán establecer, entre otros requisitos, que se conceda acceso para la reutilización de los datos únicamente cuando se garantice que los datos se han anonimizado, en el caso de los datos personales, y modificado, agregado o tratado por cualquier otro método de control de la divulgación, en el caso de la información comercial de carácter confidencial, y que el acceso y reutilización se lleven a cabo en un entorno de tratamiento seguro, facilitado o controlado por el organismo público.

El organismo competente se reserva el derecho a verificar el proceso, los medios y los resultados del tratamiento de datos efectuado por el reutilizador para preservar la integridad de la protección de datos y se reserva, también, el derecho a prohibir la utilización de aquellos que contengan información que ponga en peligro los derechos e intereses de terceros. 

Se impone al reutilizador la obligación de confidencialidad de los datos. Se prohíbe la reidentificación de cualquier sujeto relacionado con los datos reutilizados. En el caso de reutilización no autorizada de datos no personales, el reutilizador informará sin demora y, en su caso, con la ayuda del organismo del sector público, a las personas jurídicas cuyos derechos e intereses puedan verse afectados.

Cuando no pueda permitirse la reutilización de los datos de conformidad con el nuevo Reglamento y no exista ninguna otra base jurídica para transmitir los datos, el organismo competente del sector público hará todo lo posible para prestar asistencia a los reutilizadores potenciales en la obtención del consentimiento de los interesados, siempre que sea factible y sin acarrear cargas desproporcionadas para dicho organismo. 

Por último, únicamente se permitirá la reutilización de datos con la condición de cumplir los derechos de propiedad intelectual. No obstante, los organismos públicos no ejercerán el derecho que les otorga el artículo 7 apartado 1 de la Directiva 96/9/CE a los fabricantes de bases de datos para impedir la reutilización de datos o para restringirla más allá de los límites previstos en el nuevo Reglamento.

Transferencias de datos fuera de la Unión Europea

Cuando un reutilizador tenga la intención de transferir datos no personales protegidos a un tercer país informará al organismo competente de su intención y de la finalidad de la transferencia.

El reutilizador también informará a la persona jurídica cuyos derechos e intereses puedan verse afectados, de la finalidad y de las garantías adecuadas. No se permitirá la reutilización a menos que la persona jurídica conceda su permiso a dicha transferencia.

Servicios de intermediación

Los servicios de intermediación de datos no son una novedad, pero el Reglamento establece un marco común con el fin de ofrecer un entorno seguro que ayude a empresas y particulares a compartir sus datos en la Unión.

Todo proveedor de servicios de intermediación que tenga intención de prestar estos servicios de intermediación de datos presentará una notificación a la autoridad competente. Cada Estado miembro designará a una o varias autoridades competentes para desempeñar las funciones relacionadas con este procedimiento de notificación. La información que se facilitará con la notificación a la autoridad competente se detalla en el artículo 11.6 del Reglamento. 

Confirmado el cumplimiento de los requisitos legales por la autoridad competente, el interesado podrá usar, en sus comunicaciones orales y escritas, la denominación «proveedor de servicios de intermediación de datos reconocido en la Unión», así como un logotipo común en toda la Unión.

El Reglamento establece en su artículo 12 una serie de condiciones para la prestación de servicios de intermediación de datos, que son de obligado cumplimiento.

En el caso de personas físicas, los proveedores de servicios de intermediación les ayudarán a ejercer sus derechos en materia de protección de datos, informándoles sobre los usos previstos para los datos y las condiciones generales aplicables a dichos usos antes de que los interesados presten su consentimiento.

En el caso de las empresas, estos servicios podrían adoptar la forma de plataformas digitales, que facilitan el intercambio voluntario de datos y el cumplimiento de las obligaciones legales. 

La Comisión llevará y actualizará periódicamente un registro público de todos los proveedores de servicios de intermediación de datos que presten servicios en la Unión.

Tasas

Los organismos públicos que permitan la reutilización de sus datos podrán cobrar tasas. Dichas tasas deberán ser transparentes, no discriminatorias y proporcionadas y estarán justificadas objetivamente, evitando restringir la competencia. 

No obstante, dichos organismos podrán ofrecer sus datos con un descuento o de forma gratuita, en particular, a las pymes y empresas emergentes, la sociedad civil y los centros educativos. 

Cesión altruista de datos

El Reglamento contempla la cesión altruista, es decir, voluntaria y por el bien común, de datos por parte de empresas y particulares. Por ejemplo: un proyecto de investigación científica desarrollado por una empresa que se desea compartir por ser de interés general.

Aquellas entidades que traten de recopilar datos con fines de interés general sobre la base de la cesión altruista de datos deben estar inscritas en un registro nacional establecido al efecto.

Cada autoridad competente llevará y actualizará periódicamente un registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas.

El reglamento regula los registros públicos de organizaciones reconocidas de gestión de datos con fines altruistas, los requisitos y procedimiento de inscripción y los requisitos de transparencia que deben cumplir dichas organizaciones, así como los requisitos específicos para proteger los derechos e intereses de los titulares de datos.

La Comisión completará el Reglamento con un código normativo en el que se establecerán, entre otros, los requisitos de información a los interesados y titulares de datos. La información facilitada será suficientemente detallada, clara y transparente sobre la utilización de los datos, las herramientas para la concesión y revocación del consentimiento y las medidas adoptadas para evitar el uso indebido de los datos compartidos.

Asimismo, la Comisión elaborará un formulario europeo de consentimiento para la cesión de datos con fines altruistas. El formulario permitirá recabar el consentimiento en todos los Estados miembros en un formato uniforme.

Para ayudar a los interesados y a los titulares de datos a identificar fácilmente a estas organizaciones, y aumentar su confianza en ellas, se establecerá un logotipo común que sea reconocible en toda la Unión. El logotipo irá acompañado de un código QR con un enlace al registro público en el que se haya inscrita la organización.

Asimismo, los Estados podrán elaborar políticas nacionales para ayudar a los interesados a la hora de ceder voluntariamente, con fines altruistas, datos personales que les conciernan y que obren en poder de organismos públicos.

El Reglamento, cuando entre en vigor, será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Más información (lectura recomendada)

Datos Abiertos u Open Data

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).