regulación

La renovada Estrategia europea de datos tiene como uno de sus principales objetivos superar la actual fragmentación normativa mediante la propuesta de una nueva regulación coloquialmente denominada Reglamento Ómnibus Digital. El objetivo es consolidar y racionalizar en una única norma buena parte de la normativa sobre datos. Entre otras medidas, el Reglamento modifica la Data Act, que por tanto seguiría vigente, pero con una nueva redacción. En otras palabras, el Ómnibus tiene una virtualidad instrumental, ya que es solo un instrumento para modificar otras normas, cuya redacción quedará por tanto actualizada.

Desde que la propuesta se hizo pública en noviembre de 2025, el debate se ha acelerado. Recientemente se ha conocido el dictamen conjunto del Comité Europeo de Protección de Datos (EDPB) y del Supervisor Europeo de Protección de Datos (EDPS) sobre el alcance de dicha iniciativa. El mismo valora positivamente la integración de las reglas del Reglamento de Gobernanza de datos (Data Governance Act) y de la Directiva de datos abiertos en una versión actualizada del Reglamento de Datos (Data Act), por entender que facilita su cumplimiento y también la aplicación coherente de las normas sobre el acceso y la reutilización de los datos generados por las entidades del sector público. Sin embargo, aun cuando reconoce los avances relativos a la armonización de la regulación y la simplificación del cumplimiento normativo, expresa “preocupaciones significativas” por cambios que, sin ser meramente técnicos, generan incertidumbres y afectan a la protección de los datos de carácter personal. A continuación, nos centraremos en algunos de los aspectos más relevantes.

La controversia sobre el concepto de dato de carácter personal

La propuesta de añadir un nuevo párrafo al artículo 4.1 RGPD para matizar cuándo una información es un dato personal es, probablemente, el aspecto más controvertido de la regulación propuesta. Hasta ahora, se entendía que cualquier información que permitiera identificar a una persona era un dato de carácter personal para cualquier sujeto, incluso si solo un tercero tenía los medios para identificarla. La nueva propuesta cambia esta situación. En concreto, se pretende especificar que:

«la información relativa a una persona física no es necesariamente datos personales para cualquier otra persona o entidad por el mero hecho de que otra entidad pueda identificar a esa persona física. La información no será personal para una entidad determinada cuando dicha entidad no pueda identificar a la persona física a la que se refiere la información teniendo en cuenta los medios que razonablemente puedan ser utilizados por dicha entidad. Dicha información no se convierte en personal para dicha entidad por el mero hecho de que un posible destinatario ulterior disponga de medios que razonablemente puedan ser utilizados para identificar a la persona física a la que se refiere la información».

El dictamen advierte que utilizar un enfoque negativo para definir lo que no se entiende por dato personal puede suponer una merma para la seguridad jurídica, esto es, un efecto contrario al que se pretende con la iniciativa. El informe considera que se pueden producir efectos colaterales que, en última instancia, impliquen una pérdida de garantías. Imaginemos los datos de salud que contiene una historia clínica. Según el enfoque actual, dicha información se encuentra sometida al RGPD incluso cuando se desvincule de su titular y, una vez seudonimizada, se ponga en manos de un equipo de investigación o a disposición de las autoridades sanitarias con fines de salud pública. En cambio, si atendemos a la propuesta del Reglamento Ómnibus Digital podría considerarse que, en dichos casos, dejen de considerarse “datos personales” para los citados sujetos que los reciben. En concreto, se hace hincapié en que la reforma incorpora con naturaleza de norma jurídica lo que simplemente es un criterio jurisprudencial adoptado para resolver un caso concreto, lo que lleva a no tener en cuenta el contexto y las singularidades del mismo, además de otras decisiones relevantes del propio Tribunal de Justicia de la Unión Europea (TJUE).

Por otro lado, el dictamen se plantea que la relatividad del concepto utilizado puede suponer una “invitación” a generar estructuras organizativas en el tratamiento de los datos personales con la sola intención de evitar la aplicación de las garantías, límites y condiciones que establece el RGPD. En concreto, al considerar como “no personal” la información que una entidad concreta no puede identificar, aunque otros sujetos sí sean capaces, podría incentivar a los responsables del tratamiento a impulsar soluciones de ingeniería jurídica un tanto forzadas, con el fin de eludir la regulación sin aplicar mecanismos de anonimización real. En concreto, una entidad podría externalizar formalmente aspectos esenciales del tratamiento de la información —como podría ser el acceso a claves de seudonimización  o capacidades de combinación de datos— a otras entidades jurídicamente distintas. De este modo no serían datos personales para ninguna de ellas ya que cada una por sí sola no sería capaz de asociar la información al titular, si bien en la práctica sería sencillo conocer su identidad. La consecuencia de esta seudonimización formal sería la no aplicación de garantías esenciales de la regulación sobre datos personales, como la obligación de realizar una evaluación de impacto o la efectividad de los derechos del titular de los datos.

La Comisión, ¿es competente para determinar qué son datos personales?

El dictamen también rechaza el enfoque de la propuesta de habilitar a la Comisión para que, mediante actos de ejecución, especifique en qué casos los datos seudonimizados dejan de ser datos personales para determinadas entidades. Esto supondría dejar la delimitación del alcance de un derecho fundamental en manos de un instrumento jurídico pensado para cuestiones técnicas de aplicación. A este respecto se considera que la delimitación por vía interpretativa de lo que sea y lo que no sea dato de carácter personal debe seguir siendo competencia de las autoridades de control y de los tribunales, pues, de lo contrario, se estaría generando colateralmente más complejidad y, por tanto, incrementando la inseguridad jurídica.

IA y datos sensibles: ¿excepción o puerta abierta?

Como ya explicamos en un comentario previo, en materia de inteligencia artificial (IA), la propuesta de la Comisión presta una especial atención al impacto de la reforma en la protección de datos personales, perspectiva previamente analizada por el EDPB en 2024. En concreto, la Comisión intenta reforzar la seguridad jurídica introduciendo reglas específicas sobre el uso del interés legítimo para entrenar y operar determinados sistemas de IA. El interés legítimo es la base que permitiría a una empresa o entidad entrenar o mejorar un sistema de IA con datos personales, como responsable del tratamiento, sin necesidad de consentimiento de su titular, cuando dicho tratamiento sea necesario para un fin legítimo (por ejemplo, mejorar un modelo, detectar abusos, garantizar una mayor seguridad, optimizar un servicio…), siempre que no deban prevalecer los derechos de las personas titulares de la información y, adicionalmente, se respeten ciertas garantías.

Además, la propuesta añade una excepción adicional para los casos en que aparezcan de forma incidental o residual categorías especiales de datos del artículo 9 RGPD en el ciclo de vida de esos sistemas. Según el apartado 5 que se pretende añadir a dicho precepto:

«se aplicarán las medidas organizativas y técnicas adecuadas para evitar la recogida y, de otro modo, el tratamiento de categorías especiales de datos personales. Cuando, a pesar de la aplicación de dichas medidas, el responsable del tratamiento detecte categorías especiales de datos personales en los conjuntos de datos utilizados para el entrenamiento, la prueba o la validación, o en el sistema o modelo de IA, eliminará dichos datos. Si la supresión de dichos datos requiere un esfuerzo desproporcionado, el responsable del tratamiento protegerá en cualquier caso eficazmente y sin demora indebida dichos datos a fin de que no puedan utilizarse para producir resultados, ni puedan ser divulgados o de cualquier otra forma puestos a disposición de terceros».

En concreto, con la referencia al carácter incidental se trataría de hacer frente a aquellos supuestos en que se traten datos personales de esta singular naturaleza sin ser un objetivo deliberado, es decir, sin que se haya buscado ni pretendido incluirlos: sería el caso, por ejemplo, de un dataset para IA de reconocimiento de imágenes si aparece de forma imprevista una foto que revele orientación sexual o creencias políticas. Siguiendo con el ejemplo, así sucedería si el objetivo fuera identificar objetos, no personas ni rasgos sensibles, pero dentro de miles de fotos, apareciera una imagen en la que alguien lleva una camiseta con un lema político o aparece una pareja del mismo sexo besándose, lo que podría revelar orientación sexual. En este caso, aunque no se pretendiera tratar datos sensibles, sin embargo, las imágenes se han procesado sin pretenderlo de manera deliberada; pero debería impedirse que se divulguen o puedan aparecer indirectamente con ocasión del uso de la herramienta de IA.

Por su parte, el tratamiento residual se refiere a la posibilidad de que, por razones técnicas inevitables, en los modelos de IA puedan quedar “trazas” de los datos sensibles durante todo el ciclo de vida del sistema, incluso tras aplicar filtros de anonimización. Así podría suceder, por ejemplo, al entrenar un chatbot de atención al cliente con conversaciones reales donde haya menciones a problemas médicos en contextos triviales que no constituyan una consulta médica en sentido estricto.

El dictamen reconoce que, en la práctica, pueden darse tratamientos residuales difíciles de evitar, pero reclama una redacción mucho más estricta y ligada a salvaguardas efectivas a lo largo de toda la vida del sistema. Asimismo, recuerda que ya existen criterios interpretativos adecuados para enmarcar su uso en contextos de IA sin necesidad de añadir una cláusula específica, que podría interpretarse como una habilitación legal de carácter general para entrenar modelos siempre que exista un contrato o un interés comercial abstracto. En este sentido, la recomendación del dictamen es que, si se mantiene la referencia, se acompañe de requisitos claros de evaluación de impacto, documentación y derecho de oposición reforzado. Se trata, en definitiva, de evitar que la reforma acabe consolidando una autorización general para tratar categorías especiales de datos bajo la etiqueta de “incidental” o “residual”.

Finalmente, por lo que se refiere a los tratamientos automatizados de datos personales —impliquen o no el uso de herramientas de IA—, el dictamen propone mantener el principio de prohibición como regla general que la Comisión intenta eliminar. Admite, eso sí, la existencia de un conjunto de excepciones tasadas en las que la automatización pueda estar justificada. Se trata, en definitiva, de evitar que la nueva regulación parezca ofrecer una autorización general simplemente porque exista un contrato con el interesado, aunque la automatización no sea realmente necesaria para ejecutarlo.

El uso de datos biométricos con fines de identificación

Una de las propuestas que reciben una acogida más favorable por parte del dictamen es la nueva excepción propuesta para autorizar el tratamiento de categorías especiales de datos en el contexto de la autenticación biométrica, siempre que el medio de verificación esté bajo el control exclusivo del interesado. Se trata de una cuestión que ha suscitado una relevante polémica en España como consecuencia de la guía práctica difundida por la Agencia Española de Protección de Datos —actualmente en revisión— y las posteriores medidas sancionadoras y de naturaleza restrictiva que se han adoptado por parte de dicha entidad. El dictamen entiende que permitir este tipo de tratamiento, cuando los datos o los medios permanecen en manos del usuario, puede reforzar la seguridad sin añadir riesgos desproporcionados, siempre que se exijan garantías estrictas sobre finalidades, conservación y no reutilización para otros fines.

Datos abiertos y reutilización de la información del sector público

El dictamen establece dos límites claros a la hora de valorar el alcance de la reforma que propone la Comisión para integrar las diversas normas existentes en este ámbito en la nueva versión de la Data Act, cuyo alcance ya explicamos de manera pormenorizada.

En primer lugar, el dictamen enfatiza que la nueva regulación no genera, por sí misma, una obligación adicional ni automática para los organismos públicos de permitir la reutilización de datos de carácter personal, señalando que no constituye una nueva base jurídica autónoma, conforme al artículo 6 RGPD, para legitimar el acceso y su reutilización.

Así pues, una mera solicitud de reutilización bajo la nueva redacción de la Data Act, no bastaría para obligar a una Administración a ceder datos personales, ni tampoco se sustituye la necesidad de acudir a una base legitimadora específica en el RGPD —interés público (art. 6.1.e), consentimiento (art. 6.1.a), obligación legal (art. 6.1.c), etc.— que, en todo caso, ha de ser evaluada caso por caso conforme a los principios de necesidad y proporcionalidad. Todo ello sin perjuicio de que sean aplicables las medidas que ya contemplaba desde su versión inicial la Data Governance Act, y que ahora se integrarían en la nueva versión actualizada de la Data Act.

En segundo lugar, en situaciones de emergencia pública —como podría ser el caso de pandemias, catástrofes naturales o, sin ánimo exhaustivo, ciberataques masivos— la reforma que la Comisión propone para la Data Act habilita el acceso por parte de ciertas autoridades públicas a datos en manos de sujetos privados, tanto personales como no personales, cuando exista una necesidad excepcional de utilizar determinados datos para desempeñar funciones de interés público. En este tipo de situaciones el dictamen propone una gradación estricta de intensidad de las medidas:

• Deberían utilizarse datos anónimos, que por lo tanto estarían fuera del ámbito del RGPD.

• Solo si resultan insuficientes para la necesidad planteada, podría recurrirse a datos personales, pero seudonimizados, es decir, identificables únicamente por quien posea la información adicional necesaria para la reidentificación;

• Reclama la necesaria adopción de medidas técnicas y organizativas adecuadas a lo largo de todo el ciclo de vida del tratamiento: desde la recogida, pasando por el análisis, hasta el borrado cuando ya no sea necesaria su conservación.

En definitiva, de acuerdo con el dictamen conjunto del EDPB y del EDPS, el Reglamento Ómnibus Digital constituye una iniciativa esencial destinada a reforzar un modelo europeo para impulsar la accesibilidad de los datos sin que se vea afectado el derecho a la protección de los datos personales. Más allá del resultado final de la tramitación de esta iniciativa, una vez culminado el proceso legislativo, el dictamen analizado pone de manifiesto la necesidad de prestar especial atención a los modelos de gobernanza de los datos en los proyectos e iniciativas que se impulsen. En particular, resulta esencial afinar sobre todo: las bases jurídicas de los tratamientos de los datos personales, el alcance de los análisis de riesgos y las evaluaciones de impacto, la documentación de las medidas adoptadas para hacer frente al cumplimiento normativo y, en última instancia, la distribución de los roles y el alcance de las obligaciones que correspondan a cada sujeto, todo ello a partir de premisas claras, coherentes y respetuosas con el núcleo del derecho fundamental a la protección de datos.

El reciente Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Data Act) incorpora importantes novedades en la normativa europea a la hora de facilitar el acceso a los datos generados por los productos conectados y los servicios relacionados. Además de establecer medidas para impulsar la interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes, la nueva regulación también incorpora una importante novedad al regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.

¿Una nueva orientación en la regulación europea?

Con la normativa sobre reutilización de la información del sector público se pretendía fundamentalmente facilitar el acceso a los datos generados por las entidades del sector público, de manera que se impulsara el desarrollo de servicios de valor añadido basados en la innovación tecnológica. De hecho, tal y como se afirma expresamente en la Directiva de 2019, la reforma que llevó a cabo se justificaba en gran medida por la necesidad de actualizar el marco normativo aplicable a los nuevos desafíos que planteaba la tecnología digital y, en particular, la Inteligencia Artificial o el Internet de las Cosas.

Posteriormente, al amparo de la Estrategia Europea de Datos se aprobó una regulación sobre gobernanza, se han impulsado los espacios de datos y, asimismo, se ha publicado hace tan solo unos meses la Data Act. Esta última implica un importante giro desde el punto de vista de los sujetos afectados ya que, a diferencia de las regulaciones anteriores centradas en las obligaciones de las entidades del sector público, por una parte, disciplina las relaciones entre privados y, por otra, establece una importante medida destinada a que las entidades privadas sean quienes proporcionen datos a los organismos públicos en ciertas condiciones singulares.

¿En qué situaciones han de proporcionarse los datos?

En primer lugar, es necesario enfatizar que la Data Act no tiene por objeto ampliar los supuestos en que las entidades privadas tienen que entregar datos a los organismos públicos en cumplimiento de sus potestades de supervisión y cumplimiento normativo, como puede ser el caso de la prevención, investigación e imposición de sanciones penales o administrativas. Así pues, no afecta a las obligaciones que los sujetos privados ya tengan que cumplir para que, en base a los datos solicitados, los organismos públicos puedan ejerzan su actividad habitual en el ejercicio de una misión de servicio público como las indicadas.

Se trata, en cambio, de una regulación que pretende hacer frente a situaciones excepcionales, imprevisibles y limitadas en el tiempo, que pueden referirse:

• bien a la necesidad de obtener los datos para responder a una emergencia pública que no se encuentren disponibles por medios alternativos en condiciones equivalentes, como puede ser el caso del suministro de datos en entornos y plataformas ya existentes que se hubiesen desplegado para otra finalidad (por ejemplo: prestación de un servicio, ejecución de un proyecto de colaboración…);
• o, en su caso, a la imposibilidad por parte de la entidad pública de disponer de datos específicos para hacer frente a una tarea asignada por la ley y realizada en interés público cuando se hayan agotado todos los demás medios a su disposición, como puede ser el caso de la compra de datos no personales en el mercado por el organismo público, la consulta a una base de datos púbicas o su obtención en base a obligaciones previamente existentes para los sujetos privados.

En este último supuesto, es decir, cuando la necesidad de disponer de los datos no se justifique por la exigencia de responder a situaciones de emergencia, el objeto de la solicitud no podrá referirse a datos de carácter personal salvo que, por la propia naturaleza de la petición, sea imprescindible poder conocer en algún momento la identidad de su titular. En ese caso será necesario proceder a la seudonimización. En consecuencia, dado que los datos no estarían anonimizados, se habrán de tener en cuenta las garantías que establece la normativa sobre protección de datos. En concreto:

• Los datos se tendrán que separar de su titular para que este no pueda ser identificado por otra persona no autorizada.
• Habrán de adoptarse medidas técnicas y organizativas que impidan la reidentificación del titular, salvo  por quien está habilitado para ello cuando resulte necesario.

¿Para qué finalidades no se pueden utilizar los datos?

Salvo que la entidad privada que los proporcione lo hubiese autorizado expresamente, los organismos públicos no pueden emplear los datos para satisfacer una finalidad distinta a la que justificó su puesta a disposición. Sin embargo, en el ámbito de la estadística oficial o cuando se necesiten llevar a cabo actividades de investigación científica o análisis que no puedan realizar por sí mismas las propias entidades públicas que solicitan los datos, se permite que se puedan ceder a otras entidades para realizar dichas actividades. Ahora bien, esta posibilidad presenta importantes limitaciones, ya que dichas actividades deben resultar compatibles con los fines para los que se obtuvieron los datos, lo que impediría por ejemplo utilizar los datos para entrenar algoritmos que luego puedan emplearse para el ejercicio de otras funciones o competencias propias de la entidad pública no relacionadas con la investigación o el análisis. Asimismo, los datos sólo podrán ponerse a disposición de entidades sin ánimo de lucro o que satisfagan fines de interés público como pueden ser las universidades y los organismos públicos de investigación.

Tampoco se podrán utilizar los datos para desarrollar o mejorar productos y servicios relacionados con la entidad que los entrega, ni compartirlos con terceros para dichos fines. Esto impediría, por ejemplo, que utilicen los datos para entrenar sistemas de Inteligencia Artificial por parte de la entidad pública o uno de sus contratistas que afecten negativamente al objeto de la actividad habitual de la entidad que los proporcionó.

Por último, los datos obtenidos en aplicación de esta regulación no pueden ponerse a disposición de otros sujetos al amparo de la normativa sobre datos abiertos y reutilización del sector público, de manera que su aplicación queda excluida expresamente.

¿Qué garantías se establecen para el titular de los datos obligado a entregarlos?

La petición de los datos deberá formularse por el organismo público mediante una solicitud formal en la que será preciso determinar los datos necesarios y justificar por qué se dirige a la entidad que recibe el requerimiento. Además, será imprescindible explicar las razones excepcionales que sustenten la solicitud y, en concreto, por qué no es posible obtener los datos por otra vía.

Con carácter general, el titular de los datos tiene derecho a formular una reclamación frente a la solicitud de los datos, que habrá de dirigir a la autoridad competente designada por cada Estado para garantizar la aplicación del Reglamento y que figurará en el registro que establezca la Comisión Europea.

Finalmente, en ciertos casos, se reconoce al titular de los datos el derecho a solicitar una compensación razonable por los costes y un margen razonable necesario para poner los datos a disposición de la entidad pública, si bien esta última puede impugnar la compensación solicitada ante la autoridad antes referida. Sin embargo, cuando la petición de acceso a los datos se justifique en la necesidad de responder a emergencias públicas o la salvaguarda de un interés público significativo, no se contempla compensación alguna a los titulares de los datos. Este sería el caso de un acontecimiento de origen natural (terremotos, riadas…) o situaciones imprevistas y graves que afectan al normal funcionamiento social en ámbitos esenciales como la salud o el orden público.

En definitiva, la obligación de proporcionar datos a las entidades públicas por parte de los sujetos privados en estos casos va más allá del objetivo de impulsar un mercado único de datos a nivel de la Unión Europea, finalidad que en gran medida había sustentado el avance en la regulación en materia de datos en los últimos años. Sin embargo, la gravedad de la situación generada como consecuencia del COVID-19 ha evidenciado la necesidad de establecer un marco normativo general que garantice que las entidades públicas puedan disponer de los datos necesarios para hacer frente a situaciones excepcionales por razones de interés público. En todo caso, la efectividad de estas medidas sólo podrá comprobarse a partir de septiembre de 2025, cuando está prevista su efectiva aplicación.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

La aprobación del Reglamento (UE), del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos) supone un importante avance en la regulación que la Unión Europea para facilitar la accesibilidad de los datos. Se trata de una iniciativa ya contemplada en la Estrategia Europea de Datos que tiene como principales finalidades:

• Regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.
• Promover el desarrollo de criterios de interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes.
• Y, desde la perspectiva que ahora nos interesa, impulsar la puesta a disposición de los datos que generan los productos y servicios conectados, ya sea a favor de quienes los utilizan o de los terceros que estos indiquen.

A este respecto, ante las dificultades de los usuarios en el acceso a los datos, el Reglamento trata de facilitar que puedan elegir libremente los proveedores de servicios de reparación y otros servicios, ya que se ha detectado que en muchos ámbitos los fabricantes intentan reservarse su utilización en condiciones de exclusividad. Entre otras cuestiones, se pretende impulsar el derecho del usuario a decidir para qué fines y por quién se pueden utilizar los datos, sin perjuicio de la existencia de una serie de limitaciones y condicionantes que se contemplan en el propio Reglamento.

Un importante cambio de orientación en la regulación

Mientras que la Directiva de datos abiertos y reutilización de la información del sector público y el Reglamento sobre Gobernanza de Datos se centran en establecer reglas y garantías que promuevan el acceso a los datos en poder de las entidades públicas, la nueva regulación presta una especial atención a las relaciones entre sujetos privados. Es decir, permite a los organismos públicos exigir datos a ciertos sujetos privados en condiciones excepcionales y por razones de interés público.

Uno de los principales objetivos del Reglamento de Datos consiste en fomentar no solo “el desarrollo de productos conectados o servicios relacionados nuevos e innovadores y estimular la innovación en los mercados de posventa, sino también en estimular el desarrollo de servicios totalmente novedosos que utilicen los datos en cuestión, incluso los basados en datos procedentes de diversos productos conectados o servicios relacionados”.

A tal efecto, se ha considerado esencial establecer obligaciones claras y precisas  para que los fabricantes de los productos conectados, quienes los suministren y los prestadores de servicios vinculados tengan que compartir con los usuarios los datos generados.

¿Qué obligaciones se han establecido?

Con carácter previo a la contratación de los productos y servicios, el titular de los datos –esto es, el suministrador del producto o servicio, que puede ser también el fabricante –‑‑, deberá proporcionar al usuario información sobre:

• La cantidad y las condiciones de los datos que se pueden generar
• Cómo se puede acceder a dichos datos
• Cómo se pueden suprimir

A este respecto, se exige que en el diseño de los productos y los servicios se adopten medidas adecuadas para que, por defecto, los datos sean accesibles, de manera gratuita y directa, sobre todo, en un formato estructurado que permita su lectura mecánica.

Sin embargo, este derecho está sometido a ciertas condiciones y limitaciones con el fin de garantizar que no se ven afectados otros bienes e intereses jurídicos:

• El titular de los datos no podrá dificultar que el usuario acceda a sus datos, pero sí podrá exigirle que se identifique, aun cuando tenga prohibido conservar la información generada de manera indefinida.
• Podrá establecer restricciones en el contrato cuando, a consecuencia del acceso del usuario a los datos, exista un riesgo para el funcionamiento del producto que pueda afectar a la salud o la seguridad de las personas.
• En ningún caso podrá utilizar los datos que se obtengan durante el uso del producto o la prestación del servicio para ponerlos a disposición de un tercero, salvo que sea estrictamente imprescindible para el cumplimiento del contrato.
• También tiene prohibido de manera expresa utilizar los datos para hacer averiguaciones acerca de las circunstancias y la actividad del usuario, como, por ejemplo, su situación económica.

Por su parte, el usuario también se ve condicionado por una serie de obligaciones específicamente dirigidas a garantizar la buena fe de su relación jurídica con el titular:

• No tiene permitido utilizar los datos para competir con este último, ya sea de manera directa o a través de un tercero a quien pueda proporcionárselos,
• No puede aprovechar el acceso a los mismos para realizar averiguaciones acerca de la actividad del fabricante del producto o, en su caso, del titular de los datos.
• Junto con estas obligaciones se le reconoce el derecho a compartir los datos con un tercero, que sólo podrá utilizarlos para las finalidades que le autorice. En concreto, no podrá elaborar perfiles salvo que sea necesario para prestar el servicio, ni ponerlos  a disposición de otro sujeto o desarrollar un producto que compita con aquel del que procedan originariamente los datos.

En todo caso, la regulación establece una importante limitación a tener en cuenta por los usuarios, ya que se excluye de este régimen a las microempresas y pequeñas empresas. Con una excepción: que hubieran recibido el encargo de desarrollar el producto o prestar el servicio por parte de un sujeto que sí estuviera incluido en el ámbito de aplicación del Reglamento.

¿Qué garantías se contemplan para asegurar la efectividad de esta regulación?

Como sucede con carácter general en cualquier ámbito, el usuario podrá acudir ante un órgano judicial para exigir el respeto de sus derechos. Además, adicionalmente, la nueva regulación establece la posibilidad de dirigirse a la autoridad designada a nivel estatal para garantizar la aplicación y ejecución de las previsiones del Reglamento. En el caso de que la problemática se refiera al tratamiento de datos personales, también podrá ejercer sus derechos ante la autoridad competente en este ámbito.

A este respecto, la Comisión Europea tendrá que hacer público un listado de las correspondientes autoridades a partir de la información proporcionada por los Estados. Estos podrán designar más de una autoridad, indicando a cuál le corresponde la función de coordinación. Dichas autoridades contarán con los medios suficientes: sus integrantes habrán de tener la especialización requerida para el desempeño de sus funciones y se garantizará su imparcialidad, de manera que no podrán recibir instrucciones de otras entidades.

Al margen de esta vía, el titular de los datos y el usuario –o, en su caso el tercero a quien este permita su utilización—podrán acordar voluntariamente someterse a un órgano de resolución de litigios certificado, cuya decisión habrá de adoptarse en un plazo máximo de 90 días. Dicho órgano deberá acreditarse ante el Estado donde esté establecido. Para ello deberá justificar su imparcialidad, capacidad e independencia. También deberá demostrar que dispone de unas normas procedimentales adecuadas y que es fácilmente accesible por medios electrónicos.

En definitiva, con la nueva Ley de Datos no sólo se ha establecido un marco normativo que refuerza el acceso de los usuarios a los datos que se generan por los productos conectados que adquieren y los servicios vinculados de los que disfrutan, sino que, además, se han consagrado una serie de garantías específicamente dirigidas a asegurar su efectivo cumplimiento.

Descarga la infografía en PDF aquí

Esta infografía también está disponible en dos páginas

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

Motivación

De acuerdo con la Propuesta de Ley de datos europea los datos son un componente fundamental de la economía digital y un recurso esencial para garantizar las transiciones ecológica y digital. En los últimos años, el volumen de datos generados por seres humanos y máquinas ha experimentado un aumento exponencial. Es esencial desbloquear el potencial de estos datos mediante la creación de oportunidades para su reutilización, eliminando obstáculos al desarrollo de la economía del dato y respetando las normas y los valores europeos. En consonancia con la misión de reducir la brecha digital, se deben impulsar medidas que permitan que todos se beneficien de estas oportunidades de manera justa y equitativa.

Sin embargo, un inconveniente de la alta disponibilidad de datos es que a medida que se acumulan más datos, se genera un caos cuando éstos no se gestionan correctamente.  El incremento del volumen de datos en velocidad, escala y variedad implica, a su vez, una mayor dificultad para asegurar su calidad. Y en situaciones de niveles inadecuados de calidad de datos, conforme las técnicas analíticas utilizadas para procesar los conjuntos de datos se vuelven más sofisticadas, los individuos y comunidades pueden resultar afectados de nuevas e inesperadas formas.

En este escenario cambiante, se hace necesario establecer procesos comunes aplicables a los activos de datos de toda organización a lo largo de su ciclo de vida maximizando su valor mediante iniciativas de gobierno de datos que aseguren un enfoque estructurado, gestionado, coherente y estandarizado a todas las actividades, operaciones y servicios relacionados con datos.  En definitiva, se debe asegurar que la definición, creación, almacenamiento, mantenimiento, acceso y uso de los datos (gestión de los datos) se hace siguiendo una estrategia de datos alineada con las estrategias organizacionales (gobierno de los datos), y que los datos que se utilizan son adecuados para el uso que se pretende (calidad de los datos).

Especificaciones UNE de Gobierno, gestión y calidad del dato

La Oficina del Dato, unidad encargada de dinamizar la compartición, la gestión y el uso de los datos a lo largo de todos los sectores productivos de la Economía y Sociedad española, para dar respuesta a la necesidad de contar con un marco de referencia que dé soporte tanto a organismos públicos como privados en sus esfuerzos de realizar un adecuado Gobierno, gestión y calidad del dato, ha patrocinado, promovido y participado en la generación de especificaciones nacionales UNE al respecto.

Las especificaciones UNE 0077:2023 Gobierno del dato, UNE 0078:2023 Gestión del dato y UNE 0079:2023 Gestión de la calidad del dato están concebidas para ser aplicadas de forma conjunta, habilitando la concepción de un marco de referencia sólido y armonizado que fomente la adopción de prácticas sostenibles y efectivas alrededor del dato.

La coordinación es impulsada por el gobierno del dato que establece los mecanismos necesarios para asegurar el uso y explotación adecuado de los datos mediante la implantación y ejecución de los procesos de gestión del dato y procesos de gestión de calidad del dato, todo ello de acuerdo con las necesidades del oportuno proceso de negocio, y teniendo en cuenta las limitaciones y posibilidades de las organizaciones que utilizan los datos.

Cada especificación normativa se presenta con un enfoque orientado a procesos y cada uno de los procesos presentados se describe atendiendo a su contribución a los siete componentes de un sistema de gobierno y gestión del dato, tal como se introduce en COBIT 2019:

• Proceso, detallando su propósito, resultado, tareas y productos conforme a la Norma ISO 8000-61.
• Principios, políticas y marcos de referencia.
• Estructuras organizativas, que identifican los órganos de gobierno y toma de decisiones de los datos.
• Información, que se requiere y se genera en cada uno de los procesos.
• Cultura, ética y comportamiento, como conjunto de conductas individuales y colectivas de las personas y de la organización.
• Personas, habilidades y competencias necesarias para poder completar todas las actividades y la toma de decisiones y acciones correctivas.
• Servicios, infraestructuras y aplicaciones incluye lo relacionado con las tecnologías para dar soporte a los procesos de gestión de datos, gestión de calidad de datos y gobierno de datos.

Especificación UNE 0077:2023 Gobierno del dato

La especificación UNE 0077:2023 cubre aspectos relativos al gobierno del dato. Se describe la creación de un gobierno del dato con que evaluar, dirigir y monitorizar el uso de los datos de una organización, de forma que contribuyan al buen desempeño de la misma, obteniendo el mayor valor de los datos, a la vez que mitigando los riesgos derivados de su uso. El gobierno del dato tiene por tanto un carácter estratégico, mientras que la gestión del dato tiene un carácter más orientado a materializar los objetivos marcados en la estrategia.

La realización de un adecuado gobierno del dato implica el correcto desempeño siguientes procesos:

1. Establecimiento de la estrategia del dato
2. Establecimiento de políticas, buenas prácticas y procedimientos del dato
3. Establecimiento de estructuras organizativas
4. Optimización de los riesgos de los datos
5. Optimización del valor de los datos

Especificación UNE 0078:2023 Gestión del dato

La especificación UNE 0078:2023 cubre los aspectos relativos a gestión del dato. La gestión del dato se define como el conjunto de actividades encaminadas a garantizar la entrega exitosa de datos relevantes y con niveles de calidad adecuados a los agentes involucrados a lo largo del ciclo de vida del dato, dando soporte a los procesos de negocio establecidos en la estrategia organizativa, siguiendo las directrices del gobierno del dato, y de acuerdo con los principios de la gestión de la calidad del dato.

La realización de una adecuada gestión del dato involucra el desarrollo de trece procesos:

1. Procesamiento del dato
2. Gestión de la infraestructura tecnológica
3. Gestión de requisitos del dato
4. Gestión de la configuración del dato
5. Gestión de datos histórico
6. Gestión de seguridad del dato
7. Gestión del metadato
8. Gestión de la arquitectura y diseño del dato
9. Compartición, intermediación e integración del dato
10. Gestión del dato maestro
11. Gestión de recursos humanos
12. Gestión del ciclo de vida del dato
13. Análisis del dato

Especificación UNE 0079:2023 Gestión de la calidad del dato

La especificación UNE 0079:2023 cubre los procesos de gestión de la calidad del dato necesarios para establecer un marco de mejora de la calidad de los datos. La gestión de la calidad del dato se define como el conjunto de actividades encaminadas a asegurar que los datos tienen niveles de calidad adecuados para el uso que permita satisfacer la estrategia de una organización. Contar con datos de calidad permitirá obtener de los datos el máximo potencial a través de los procesos de negocio de una organización

De acuerdo con el circulo de mejora continua PDCA de Deming, la gestión de la calidad del dato involucra cuatro procesos:

1. Planificación de calidad del dato,
2. Control y monitorización de calidad del dato,
3. Aseguramiento de calidad del dato, y
4. Mejora de calidad del dato.

Los procesos de gestión de la calidad del dato están destinados a conseguir que los datos cumplan con los requisitos de calidad del dato expresados conforme al estándar ISO/IEC 25012.

Modelo de madurez

Como marco de aplicación conjunto de las diferentes especificaciones se esboza un modelo de madurez en datos, consistente con él, que integra los procesos de gobierno, gestión y gestión de la calidad del dato mostrando cómo se puede llevar a cabo la implantación progresiva de los procesos y sus capacidades, definiendo un camino de mejora y excelencia a lo largo de diferentes niveles para llegar a ser una organización madura en datos.

La Oficina del Dato promoverá la generación de la especificación UNE 0080 para proporcionar un modelo de evaluación de la madurez en datos que sea conforme con el contenido de las especificaciones de gobierno, gestión y gestión de la calidad del dato y el citado marco.

El contenido de esta guía puede descargarse de forma libre y gratuita desde el portal de AENOR a través del enlace que figura a continuación accediendo al apartado de compra. El acceso a esta familia de especificaciones UNE del dato está patrocinado por la Secretaría de Estado de Digitalización e Inteligencia Artificial, Dirección General del Dato. Aunque la descarga requiere registro previo, se aplica un descuento del 100% sobre el total del precio que se aplica en el momento de finalizar la compra. Tras finalizar la compra se podrá acceder a la norma o normas seleccionadas desde el área de cliente en el apartado mis productos.

• ESPECIFICACION UNE 0077:2023
• ESPECIFICACION UNE 0078:2023
• ESPECIFICACION UNE 0079:2023