¿Saben que existe un Reglamento para la libre circulación de datos NO PERSONALES?.
Siempre se habla del Reglamento General de Protección de Datos –que se refiere a datos personales– pero también existe un Reglamento para los datos NO PERSONALES, del que apenas se habla, así que pensé en hacerles un pequeño resumen para darlo a conocer.
Hablamos del Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea que entró en vigor el 28 de mayo de 2019.
Se compone de nueve artículos y se aplica tanto a personas físicas como jurídicas que presten servicios de tratamiento de datos electrónicos de carácter no personal a usuarios que residan o tengan un establecimiento en la Unión, independientemente de si el proveedor está o no establecido dentro de la Unión.
Es curioso pero el Reglamento para la libre circulación de datos no personales no define el término «datos no personales». De modo que, debemos entender por «datos no personales» aquellos datos que no sean «datos personales» tal y como se definen en el artículo 4 apartado 1 del RGPD.
Los «datos no personales» se pueden clasificar por origen como:
- Datos que originalmente no se relacionan con una persona física identificada o identificable, como por ejemplo los datos sobre mantenimiento de máquinas o los generados en procesos de producción industrial automatizada.
- Datos que, inicialmente, eran datos personales pero que, posteriormente, se convirtieron en anónimos. Los datos dejan de ser anónimos cuando, de alguna manera, pueden relacionarse con una determinada persona, haciendo que sea identificable directa o indirectamente. Cuando esto ocurre los datos deben considerarse «datos personales» resultando de aplicación el RGPD.
En el caso de datos mixtos, es decir, cuando se mezclan «datos personales» y «no personales» hasta el punto de ser imposible su separación se aplicará el RGPD a todo el conjunto, aun cuando los datos personales representen una mínima parte del conjunto de datos.
Para garantizar la libre circulación de datos no personales en la Unión se pretende la eliminación de cualquier obstáculo impuesto por los Estados, salvo que existan razones de seguridad pública que los justifiquen. Antes del 31 de mayo de 2021, los Estados miembros deberán derogar todos los requisitos de localización existentes en leyes, reglamentos, disposiciones y prácticas administrativas, tales como obligaciones, prohibiciones, condiciones, restricciones u otros requisitos, salvo que estén justificados por razones de seguridad pública; así, por ejemplo, queda prohibida cualquier medida que obligue a los proveedores de servicios a almacenar los datos en una localización geográfica específica (que los servidores estén ubicados dentro del Estado) o la obligación de cumplir requisitos técnicos y formatos nacionales específicos o tecnológicos certificados por un Estado miembro concreto.
Otro de los propósitos que persigue el Reglamento es evitar las prácticas de dependencia de un solo proveedor. Esto ocurre cuando el usuario no puede cambiar de proveedor de servicios porque sus datos se encuentran atrapados en el sistema de dicho proveedor (por ejemplo, debido a un formato de datos específico). Se quiere facilitar la portabilidad de los datos para que los usuarios profesionales puedan cambiar fácilmente de proveedor de servicios en la nube o transferir los datos a sus propios sistemas de información. Una mayor libertad de elección en lo relativo a proveedores de servicios se traduce en precios más competitivos y una prestación de servicios a los ciudadanos más eficiente.
La portabilidad abarca a las interacciones de «empresa a empresa» entre un usuario profesional y un proveedor de servicios. Se favorece la autorregulación basada en códigos de conducta, creados por proveedores de servicios y usuarios que se verán completados con cláusulas contractuales tipo. Se fomenta el establecimiento de un formato estructurado, de uso común y de lectura automática que facilite la portabilidad de los datos y el cambio de proveedor, así como el establecimiento de requisitos mínimos de información para garantizar que el usuario, antes de celebrar un contrato de tratamiento de datos, reciba información detallada, clara y transparente relativa a los procedimientos, requisitos técnicos, plazos y costes aplicables para el caso de que desee cambiar de proveedor o transferir los datos a sus propios sistemas informáticos.
La expansión del Internet de las cosas, la Inteligencia Artificial y el aprendizaje automático representan las principales fuentes de datos no personales.
Pueden ampliar la información consultando la Comunicación de la Comisión Europea al Parlamento Europeo y al Consejo de 29/05/2019 de Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea, que encontrarán haciendo clic aquí.