¿Saben que existe un Reglamento para la libre circulación de datos NO PERSONALES?
Siempre se habla del Reglamento General de Protección de Datos –que se refiere a datos personales– pero también existe un Reglamento para los datos NO PERSONALES, del que apenas se habla, así que pensé en hacerles un pequeño resumen para darlo a conocer.
Hablamos del Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea que entró en vigor el 18 de diciembre de 2018, si bien empezará a aplicarse a partir del 28 de mayo de 2019.
Se compone de nueve artículos y se aplica tanto a personas físicas como jurídicas que presten servicios de tratamiento de datos electrónicos no personales a usuarios que residan o tengan un establecimiento en la Unión Europea, independientemente de si el proveedor dentro o fuera de la Unión.
Es curioso pero el Reglamento para la libre circulación de datos no personales no define el término «datos no personales». De modo que, debemos entender por «datos no personales» aquellos datos que no sean «datos personales» tal y como se definen en el artículo 4 apartado 1 del RGPD, es decir, información que no se relacione con una persona física identificada o identificable.
Los «datos no personales» se pueden clasificar, según su origen, en dos categorías principales:
- Datos que originalmente no se relacionan con una persona física identificada o identificable, como los datos sobre mantenimiento de máquinas o los generados en procesos de producción industrial automatizada.
- Datos que inicialmente eran datos personales, pero que han sido anonimizados de manera irreversible. Sin embargo, si estos datos pueden reidentificarse de alguna forma —directa o indirectamente— mediante técnicas adicionales, dejan de ser anónimos y se convierten en datos personales, aplicándose entonces el RGPD en su totalidad.
En el caso de conjuntos de datos mixtos, donde los datos personales y no personales se entremezclan de tal manera que resulta imposible separarlos sin esfuerzo desproporcionado, se aplicará el RGPD al conjunto completo, incluso si los datos personales representan solo una fracción mínima. Esta aproximación garantiza una protección integral y evita lagunas regulatorias, como se detalla en las orientaciones de la Comisión Europea.
Para asegurar la libre circulación de datos no personales en la Unión Europea, el reglamento busca eliminar cualquier obstáculo impuesto por los Estados miembros, excepto aquellos justificados por razones de seguridad pública. Antes del 31 de mayo de 2021, los Estados miembros debieron derogar todos los requisitos de localización de datos existentes en sus leyes, reglamentos o prácticas administrativas, salvo excepciones por seguridad pública. Esto incluye prohibiciones como obligar a los proveedores a almacenar datos en servidores ubicados en un territorio específico o exigir formatos técnicos nacionales certificados. A día de hoy, esta derogación se ha implementado en gran medida, contribuyendo a un mercado digital más integrado, aunque el Paquete Ómnibus Digital de 2025 propone codificar estas prohibiciones directamente en el Data Act para mayor coherencia.
Otro objetivo clave del reglamento es combatir las prácticas de dependencia de un solo proveedor (conocidas como «vendor lock-in»), donde los usuarios quedan atrapados en un sistema debido a formatos de datos propietarios o incompatibilidades técnicas. Para ello, se promueve la portabilidad de datos, permitiendo a los usuarios profesionales cambiar de proveedor de servicios en la nube o transferir datos a sus propios sistemas con mayor facilidad. Esto fomenta la competencia, reduce precios y mejora la eficiencia en la prestación de servicios digitales para los ciudadanos y empresas.
La portabilidad se centra en interacciones B2B (empresa a empresa) entre usuarios profesionales y proveedores de servicios. Se incentiva la autorregulación basada en códigos de conducta elaborados por proveedores de servicios y usuarios, que se verán complementados con cláusulas contractuales tipo. Además, se fomenta el establecimiento de un formato estructurado, de uso común y de lectura automática que facilite la portabilidad de los datos y el cambio de proveedor, así como el establecimiento de requisitos mínimos de información para garantizar que el usuario, antes de celebrar un contrato de tratamiento de datos, reciba información detallada, clara y transparente relativa a los procedimientos, requisitos técnicos, plazos y costes aplicables para el caso de que desee cambiar de proveedor o transferir los datos a sus propios sistemas informáticos.
La expansión del Internet de las Cosas (IoT), la inteligencia artificial (IA), el aprendizaje automático y otras tecnologías emergentes, como el big data y la computación en la nube, representan las principales fuentes de datos no personales en la actualidad. Estas innovaciones generan volúmenes masivos de datos que impulsan la economía digital, y el reglamento asegura su libre flujo para maximizar su potencial económico y social.
Pueden ampliar la información consultando la Comunicación de la Comisión Europea al Parlamento Europeo y al Consejo de 29/05/2019 de Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea, que encontrarán haciendo clic aquí.
No se pierda nuestro podcast sobre el artículo
