La protección de datos personales en el borrador del Reglamento de Gobernanza de los Datos (Data Governance Act)

Fecha de la noticia: 30-09-2021

datos personales

Desde la publicación inicial del borrador de Reglamento europeo sobre Gobernanza de los Datos se han ido sucediendo diversos trámites en el seno del procedimiento establecido para su aprobación, entre los cuales destacan algunos informes de singular relevancia. Por lo que se refiere a la incidencia de la propuesta sobre el derecho a la protección de datos de carácter personal podemos destacar los elaborados por algunos organismos europeos con la finalidad de ofrecer su opinión acerca de la normativa propuesta por la Comisión.

  • Por una parte, el pasado mes de julio se hizo público el elaborado por el Consejo Económico y Social, donde se destaca la importancia de salvaguardar los derechos fundamentales, advirtiendo que “la protección adecuada de estos derechos se ve amenazada por el uso distorsionado de datos recabados libremente bajo un consentimiento que no siempre se obtiene siguiendo procedimientos sencillos”.
  • Por otra parte, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos han emitido un informe conjunto con el que pretenden ofrecer al legislador europeo orientaciones para que el futuro Reglamento sobre gobernanza de los datos “encaje plenamente con la legislación de la UE en materia de protección de datos personales, para así fomentar la confianza en la economía digital y dar el mismo amparo que garantiza el Derecho de la UE”. ¿Cuáles son las principales indicaciones que incluye el informe?

A través de sus correspondientes informes, varios organismos de la UE enfatizan la necesidad de garantizar la protección de datos personales en el futuro Reglamento sobre Gobernanza de los datos

Condiciones para la licitud del tratamiento

Una de las principales dificultades a la hora de reutilizar la información del sector público es su vinculación con personas físicas que se encuentren plenamente identificadas o, incluso, pudieran serlo. En estos casos nos encontraríamos ante datos de carácter personal y, en consecuencia, resultaría de aplicación la normativa que tiene por objeto la protección de este derecho fundamental en el ámbito de toda la Unión Europea: el Reglamento 2016/679, de 27 de abril, general sobre protección de datos (RGDP).

Con carácter general, tanto la difusión de los datos por parte de las entidades públicas como, asimismo, el tratamiento que lleven a cabo los reutilizadores han de respetar los principios que contempla el artículo 5 RGPD. En concreto, es necesario asegurar la minimización de los datos, respetar la limitación temporal del tratamiento o, entre otras obligaciones, garantizar su exactitud y su integridad, así como la confidencialidad. Especial importancia merece la prohibición de uso de los datos para fines incompatibles con respecto a los que inicialmente justificaron la recogida de la información, sobre todo si tenemos en cuenta que con frecuencia se habrán obtenido sin necesidad de contar con el consentimiento de la persona titular de los datos, al justificarse su tratamiento para la realización de actividades de interés público.

La difusión y reutilización de la información del sector público debe respetar los requisitos y las obligaciones que contempla el Reglamento General de protección de Datos (RGDP)

Seudonimización y anonimización

El informe conjunto del Comité y el Supervisor enfatiza que ambas técnicas no pueden confundirse y, en consecuencia, las garantías aplicables son distintas en cada caso. En concreto, esta distinción ha de tenerse en cuenta por la respectiva entidad pública a la hora de evaluar la viabilidad de la reutilización desde la perspectiva de la protección de datos.

  • La anonimización supone que, al no existir vinculación con las personas físicas, los datos puedan utilizarse sin sujeción a la normativa sobre protección de datos.
  • Por el contrario, en la seudonimización sí sería posible la reidentificación del titular, en la medida que se dispone de información adicional que así lo permite. Por tanto, en este supuesto el tratamiento de la información sí estaría sujeto a la normativa sobre protección de datos.

En consecuencia, cuando se reutilicen datos seudonimizados será imprescindible fundamentar el tratamiento en alguna de las condiciones de licitud que contemplan los artículos 6 y 9 del RGPD, cumplir con los principios antes referidos, adoptar las medidas de seguridad adecuadas y, asimismo, respetar las obligaciones de transparencia a que se refieren los artículos 12 a 14 RGPD, condición esta última de singular importancia para facilitar el ejercicio de sus derechos a los titulares de los datos.

En todo caso, siempre que sea compatible con la finalidad principal a la que se destina el uso de los datos, la seudonimización es sin duda una medida razonable incluso cuando se disponga de una base jurídica adecuada para proceder al tratamiento de los datos personales sin necesidad de consentimiento del titular, puesto que se trata de una solución que refuerza su posición jurídica frente al uso de los datos por un tercero. Así se muestra, por ejemplo, en la regulación legal que admite la reutilización de los datos de salud para fines de investigación, supuesto en el que una de las condiciones imprescindibles consiste precisamente en que los datos se encuentren seudonimizados en ciertas condiciones. De este modo se permite garantizar la reidentificación cuando sea precisa por razones asistenciales y, al mismo tiempo, se limita el impacto de la reutilización en la esfera jurídica del titular de la información.

En los casos en los que se recurra a la seudoanimización, también será necesario cumplir la normativa de protección de datos

Proveedores de intercambio de datos y donación de datos

Se trata de una de las principales novedades del borrador de Reglamento. Por lo que se refiere a los proveedores, el dictamen conjunto del Supervisor y el Comité enfatiza la necesidad de reforzar los controles previos al inicio de su actividad y, por otra parte, garantizar que proporcionan la información adecuada a los titulares de la información, debiendo además prestarse una especial atención a los principios de protección de datos desde el diseño y por defecto, transparencia y limitación de la finalidad. Destaca asimismo la importancia de asegurar que dichos proveedores asistan de manera eficaz a los particulares en el ejercicio de los derechos que reconocen los artículos 15 a 22 RGPD, así como la conveniencia de que se fomente su adhesión a códigos de conducta formalizados.

En cuanto a la donación de datos con fines altruistas, dado que la base jurídica aplicable para admitir la reutilización sería el consentimiento, el informe mantiene que es necesario mejorar la regulación propuesta de manera que se fijen con mayor precisión cuáles serían los fines de interés general a los que se podría destinar la reutilización de los datos. De lo contrario, considera el informe que se pondría en riesgo la seguridad jurídica y el nivel de protección de los datos personales que garantiza el RGPD, en particular por lo que se refiere al principio según el cual los datos se recogerán con fines determinados, explícitos y legítimos (artículo 5 RGPD)

Para poder reutilizar datos personales obtenidos de la donación con fines altruistas será necesario contar con el consentimiento del afectado para el fin concreto.

En definitiva, una de las principales razones que justifican el Reglamento sobre Gobernanza de los Datos consiste precisamente en la necesidad de establecer una nueva regulación para aquellos conjuntos de datos sobre los que concurren derechos de terceros que dificultan su reutilización, tal y como sucede singularmente con la protección de los datos de carácter personal. Por tanto, aun cuando resulte de gran importancia apostar decididamente por impulsar la economía basada en los datos, no por ello puede olvidarse que el modelo europeo se fundamenta precisamente en la protección y defensa de los derechos fundamentales y las libertades públicas, lo que necesariamente implica que las medidas que contempla el RGPD se encuentren en la base de dicho modelo como han recordado en su dictamen el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.


Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec).

Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.