El Reglamento de Gobernanza de Datos (Data Governance Act o DGA por sus siglas en inglés) forma parte de un complejo entramado normativo y de políticas públicas de la Unión Europea, cuyo objetivo último es crear un ecosistema de conjuntos de datos que alimente la transformación digital de los Estados miembros y los objetivos de la Década Digital Europea:

• Una población digitalmente capacitada y profesionales digitales altamente cualificados.
• Infraestructuras digitales seguras y sostenibles.
• Transformación digital de las empresas.
• Digitalización de los servicios públicos.

La opinión pública centra su atención en la inteligencia artificial tanto desde el punto de vista de las oportunidades como, sobre todo, de sus riesgos e incertidumbres. No obstante, el reto es mucho más profundo ya que implica en cada una de las distintas capas a muy diversas tecnologías, productos y servicios cuyo elemento común reside en la necesidad de favorecer la disponibilidad de un alto volumen de datos confiables y de calidad contrastada que soporten su desarrollo.

Fomentar el uso de los datos con la legislación como palanca

En sus inicios la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público (Directiva Open Data), la Directiva 95/46/CE relativa al tratamiento de datos personales y a la libre circulación de estos datos, y posteriormente el Reglamento 2016/679 conocido como Reglamento General de Protección de Datos (RGPD) apostaron por la reutilización de los datos con plena garantía de los derechos. Sin embargo, su interpretación y aplicación generó en la práctica un efecto contrario a sus objetivos primigenios basculando claramente hacia un modelo restrictivo que puede haber operado afectando a los procesos de generación de datos para su explotación. Las grandes plataformas norteamericanas, mediante una estrategia de servicios gratuitos – buscadores, aplicaciones móviles y redes sociales - a cambio de datos personales y con el mero consentimiento, consiguieron el mayor volumen de datos personales en la historia de la humanidad, incluidas imágenes, voz y perfiles de personalidad.

Con el RGPD la Unión Europea quiso eliminar 28 maneras distintas de aplicar prohibiciones y limitaciones al uso de los datos. Ciertamente mejoró la calidad normativa, aunque tal vez los resultados alcanzados no han sido tan satisfactorios como se esperaba y así lo indican documentos como el Digital Economy and Society Index (DESI) 2022 o el Informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe).

Ello ha obligado a un proceso de reingeniería legislativa que de manera expresa y homogénea defina las reglas que hagan posibles los objetivos. La reforma de la Directiva Open Data, la DGA, el Reglamento de Inteligencia Artificial y el futuro Espacio Europeo de Datos Sanitarios (EHDS por sus siglas en inglés), deberán ser leídos desde al menos dos enfoques:

• El primero de ellos es de alto nivel y su función se dirige a preservar nuestros valores constitucionales. La normativa adopta un enfoque centrado en el riesgo y en la garantía de la dignidad y los derechos de las personas, buscando evitar riesgos sistémicos para la democracia y los derechos fundamentales.
• El segundo es operacional, se centra en el desarrollo seguro y responsable del producto. Esta estrategia se basa en la definición de reglas de ingeniería de procesos para el diseño de productos y servicios que hagan de los productos europeos un referente global por su robustez, seguridad y confiabilidad.

Una Guía práctica de la Ley de Gobernanza de Datos

La protección de datos desde el diseño y por defecto, el análisis de riesgos para los derechos fundamentales, el proceso de desarrollo de los sistemas de información de inteligencia artificial de alto riesgo validados por los organismos correspondientes o los procesos de acceso y reutilización de datos de salud son ejemplos de los procesos de ingeniería jurídica y tecnológica que regirán nuestro desarrollo digital. No se trata de procedimientos fáciles de aplicar. De ahí que la Unión Europea realice un esfuerzo significativo en la financiación de proyectos como TEHDAS, EUHubs4Data o Quantum que operen como campo de pruebas. En paralelo se realizan estudios o se publican Guías como la Guía práctica de la Ley de Gobernanza de Datos.

Esta Guía recuerda los objetivos esenciales de la DGA:

• Regular la reutilización de determinados datos de titularidad pública sujetos a los derechos de terceros («datos protegidos», como los datos personales o los datos comerciales confidenciales o susceptibles de propiedad intelectual).
• Impulsar el intercambio de datos mediante la regulación de los proveedores de servicios de intermediación de datos.
• Fomentar el intercambio de datos con fines altruistas.
• Crear el Comité Europeo de Innovación en materia de datos para facilitar el intercambio de mejores prácticas.

La DGA promueve la reutilización segura de datos a través de diversas medidas y salvaguardias. Estas se centran en la reutilización de los datos de organismos del sector público, los servicios de intermediación de datos y el intercambio de datos con fines altruistas.

¿A qué datos aplica? Legitimación para el tratamiento de los datos protegidos en poder de organismos del sector público

En el sector público están protegidos:

• Los datos comerciales confidenciales, como secretos comerciales o conocimientos técnicos.
• Los datos estadísticamente confidenciales.
• Los datos protegidos por el derecho de propiedad intelectual de terceros.
• Los datos personales, en la medida en que dichos datos no entren en el ámbito de aplicación de la Directiva sobre datos abiertos cuando se garantice su anonimización irreversible y no se trate de categorías especiales de datos.

Debe subrayarse un punto de partida esencial: en lo que respecta a los datos personales, se aplican además el Reglamento General de Protección de Datos (RGPD) y las normas sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE). Esto implica que, en caso de colisión entre ellas y la DGA, prevalecerán las primeras.

Por otra parte, la DGA no crea un derecho de reutilización ni una nueva base jurídica en el sentido del RGPD para la reutilización de datos personales. Esto significa que el Derecho del Estado miembro o de la Unión determina si una base de datos o un registro específico que contenga datos protegidos está abierto a la reutilización en general. Cuando esta reutilización sí esté permitida, deberá llevarse a cabo de conformidad con las condiciones establecidas en el Capítulo I de la DGA.

Finalmente quedan excluidos del ámbito de la DGA:

• Datos en posesión de empresas públicas, museos, escuelas y universidades.
• Datos protegidos por razones de seguridad pública, defensa o seguridad nacional.
• Datos que posean los organismos del sector público para fines distintos del desempeño de sus funciones públicas definidas.
• Intercambio de datos entre investigadores con fines de investigación científica no comercial.

Condiciones para la reutilización de los datos

Puede señalarse que en el ámbito de la reutilización de datos del sector público:

▪ La DGA establece normas para la reutilización de datos protegidos, como datos personales, comerciales confidenciales o datos estadísticamente confidenciales.

▪ No crea un derecho general de reutilización, sino que establece condiciones cuando la legislación nacional o de la UE permite dicha reutilización.

▪ Las condiciones de acceso deben ser transparentes, proporcionadas y objetivas, y no deben utilizarse para restringir la competencia. La norma ordena que se promuevan el acceso a los datos por parte de las pymes y las empresas emergentes, y la investigación científica. Se prohíben los acuerdos de exclusividad para la reutilización, excepto en casos específicos de interés público y por un período limitado.

▪ Atribuye a los organismos del sector público el deber de asegurar la preservación de la naturaleza protegida de los datos. Para ello será indispensable el despliegue de metodologías y tecnologías de intermediación. En ellas puede jugar un papel clave, la anonimización y el acceso a través de entornos de tratamiento seguros (Secure processing environments o SPE por sus siglas en inglés). La primera es un factor de eliminación del riesgo, mientras que los SPE pueden definir un ecosistema de tratamiento que ofrezca una oferta integral de servicios a los reutilizadores, desde la catalogación y preparación de los conjuntos de datos hasta su análisis. La Agencia Española de Protección de Datos ha publicado una Aproximación a los espacios de datos desde la perspectiva del RGPD que incluye recomendaciones y metodologías en este ámbito.

▪ Sobre los reutilizadores recaen obligaciones de confidencialidad y no reidentificación de los interesados. En caso de reidentificación de datos personales, el reutilizador debe informar al organismo del sector público y pueden existir obligaciones de notificación de violaciones de seguridad.

▪ En la medida en la que la relación se establece directamente entre el reutilizador y el organismo del sector público pueden existir supuestos en los que éste último deba prestar soporte al primero para el cumplimiento de ciertos deberes:

• Para obtener, si fuera necesario, el consentimiento de las personas interesadas para el tratamiento de los datos personales.
• En caso de utilización no autorizada de datos no personales, el reutilizador deberá informar a las personas jurídicas afectadas. El organismo del sector público que concedió inicialmente el permiso de reutilización podrá prestarle soporte si éste fuera necesario.

▪ Las transferencias internacionales de datos personales se rigen por el RGPD. Para las transferencias internacionales de datos no personales, se requiere que el reutilizador informe al organismo del sector público y se comprometa contractualmente a garantizar la protección de los datos. No obstante, es una cuestión abierta, ya que al igual que sucede en el RGPD, la Comisión Europea está facultada para:

1. Proponer cláusulas contractuales tipo que los organismos del sector público puedan utilizar en sus contratos de transferencia con reutilizadores.

2. Cuando un gran número de solicitudes de reutilización procedentes de países concretos lo justifiquen, adoptar «decisiones de equivalencia» por las que se designe a estos terceros países como proveedores de un nivel de protección de los secretos comerciales o de la propiedad intelectual que pueda considerarse equivalente al previsto en la UE.

3. Adoptar las condiciones que deben aplicarse a las transferencias de datos no personales muy sensibles, como por ejemplo datos sanitarios. En los casos en que la transferencia de dichos datos a terceros países suponga un riesgo para los objetivos de política pública de la UE (en este ejemplo, la salud pública) y con el fin de ayudar a los organismos del sector público que concedan permisos de reutilización, la Comisión establecerá condiciones adicionales que deberán cumplirse antes de que dichos datos puedan transferirse a un tercer país.

▪ Los organismos del sector público pueden cobrar tasas por permitir la reutilización. La estrategia de la DGA se orienta a la sostenibilidad del sistema, ya que las tasas solo deben cubrir los costes derivados de la puesta a disposición de los datos para su reutilización, como los costes de anonimización o de proporcionar un entorno de tratamiento seguro. Esto incluiría los costes de tramitación de las solicitudes de reutilización. Los Estados miembros deben publicar una descripción de las principales categorías de costes y de las normas utilizadas para su imputación.

▪ Se reconoce a las personas físicas o jurídicas directamente afectadas por una decisión de reutilización adoptada por un organismo del sector público el derecho a presentar una reclamación o a interponer un recurso judicial en el Estado miembro de dicho organismo del sector público.

Soporte organizativo

Es perfectamente posible que los organismos del sector público que planteen servicios de intermediación se multipliquen. Se trata de un entorno complejo que requerirá de soporte técnico y jurídico, apoyo y coordinación.

Para ello, los Estados miembros deben designar uno o varios organismos competentes cuya función sea apoyar a los organismos del sector público que concedan la reutilización. Los organismos competentes dispondrán de los recursos jurídicos, financieros, técnicos y humanos adecuados para llevar a cabo las tareas que se les asignen, incluidos los conocimientos técnicos necesarios. No son organismos de supervisión, no ejercen poderes públicos y, por ello, la DGA no establece requisitos específicos en cuanto a su estatuto o forma jurídica. Además, se puede atribuir al organismo competente el mandato de permitir la reutilización por sí mismo.

Finalmente, los Estados deben crear un Punto de información único o ventanilla única. A este Punto le corresponderá transmitir consultas y solicitudes a los organismos pertinentes del sector público y mantener una lista de activos con una visión general de los recursos de datos disponibles (metadatos). El punto único de información podrá conectarse a puntos de información locales, regionales o sectoriales cuando existan. A escala de la UE, la Comisión creó el Registro Europeo de Datos Protegidos en poder del sector público (ERPD), un registro que permite buscar la información recopilada por los puntos únicos de información nacionales con el fin de facilitar aún más la reutilización de datos en el mercado interior y fuera de él.

Los Reglamentos de la UE son normas cuya implementación resulta ciertamente compleja. Por ello se requiere una especial proactividad que contribuya a su correcto entendimiento e implementación. La Guía de la Unión Europea para el despliegue de la Data Governance Act constituye un primer instrumento para ello y permitirá una mayor comprensión de los objetivos y posibilidades que ofrece la DGA.

Los datos son una pieza clave en la economía digital europea. Así lo reconoce la Estrategia de Datos cuyo objetivo es crear un mercado único que permita su libre circulación para fomentar así la transformación digital y la innovación tecnológica. No obstante, alcanzar este objetivo conlleva superar diferentes obstáculos. Uno de los más destacados es la desconfianza que la ciudadanía puede sentir respecto al proceso.

Como respuesta ante esta necesidad, surge la Ley de Gobernanza del Dato o Data Governance Act (DGA), un instrumento horizontal que busca regular la reutilización de datos sobre los que concurren derechos de terceros, e impulsar su intercambio bajo los principios y valores de la Unión Europea. Entre los objetivos de la DGA se encuentra reforzar la confianza de ciudadanos y empresas en que sus datos se reutilicen bajo su control, conforme a unos mínimos estándares jurídicos.

Entre otras cuestiones, la DGA profundiza en el concepto de los intermediarios de datos, para quienes establece un marco de notificación y supervisión. 

¿Qué son los intermediarios de datos?

El concepto de intermediario de datos es relativamente nuevo en la economía de datos, así que existen múltiples definiciones. Si nos centramos en el contexto de la DGA, los proveedores de servicios de intermediación de datos (Data Intermediation Services Providers o DISPs) son aquellos “cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra”.

La Data Governance Act también diferencia entre los Proveedores de servicios de intermediación de datos de las Organizaciones de gestión de datos con fines altruistas reconocidas en la Unión (Data Altruism Organisations Recognised in the Union o RDAOs). Este último concepto describe una relación de intercambio de datos, pero sin buscar un rédito por ello, de forma altruista.

¿Qué tipos de servicios de intermediación de datos existen según la DGA?

Los servicios de intermediarios de datos son una pieza más en la compartición de datos, ya que facilitan a los titulares compartir sus datos para que puedan ser reutilizados. También pueden proporcionar infraestructura técnica y experiencia para respaldar la interoperabilidad entre conjuntos de datos, o actuar como mediadores que negocian acuerdos de intercambio entre partes interesadas en compartir, acceder o agrupar datos.

En el Capítulo III de la Data Governance Act se explican tres tipos de servicios de intermediación de datos:

• Servicios de intermediación entre titulares de datos y sus posibles usuarios, incluyendo la facilitación de los medios técnicos o de otro tipo para habilitar dichos servicios. Podrán comprender el intercambio bilateral o multilateral de datos, así como la creación de plataformas, bases de datos o infraestructuras que posibiliten su intercambio o uso común.
• Servicios de intermediación entre personas físicas que deseen poner a disposición sus datos, ya sean o no personales, con posibles usuarios, incluyendo también los medios técnicos. Estos servicios deben posibilitar el ejercicio de los derechos de los interesados previstos en el Reglamento general de protección de datos (Reglamento 2016/679).
• Cooperativas de datos. Son estructuras organizativas constituidas por sujetos de datos, empresas unipersonales o pymes. Estas entidades ayudan a los miembros de la cooperativa a ejercer sus derechos sobre sus datos.

En resumen, el primer tipo de servicio puede facilitar el intercambio de datos industriales, el segundo se centra principalmente en el intercambio de datos personales y el tercero abarca el intercambio colectivo de datos y los esquemas de gobernanza relacionados.

Categorías de intermediarios de datos en detalle:

Para profundizar en estos conceptos, la Comisión Europea ha publicado el informe ‘Mapping the landscape of data intermediaries’, donde se profundiza en los tipos de intermediación de datos existentes. Los hallazgos del informe resaltan la fragmentación y heterogeneidad del campo.

Los tipos de intermediarios de datos van desde los individualistas y orientados a los negocios hasta modelos más colectivos e inclusivos que respaldan una mayor participación en la gobernanza de datos por parte de comunidades y sujetos de datos individuales. Teniendo en cuenta las categorías que se incluyen en la DGA, se describen seis tipos de intermediarios de datos:

Fuente: Traducción del box 4 del informe Mapping the landscape of data intermediaries publicado por la Comisión Europea

A continuación, se describe cada uno de ellos:

1. Sistemas de Gestión de Información Personal (PIMS): proporciona herramientas a individuos para que controlen y dirijan el tratamiento de sus datos.
2. Cooperativas de datos: fomentan la gobernanza democrática a través de acuerdos entre los miembros. Los individuos gestionan sus datos en favor de toda la comunidad.
3. Fideicomisos de datos: establecen mecanismos jurídicos específicos para garantizar la gestión responsable e independiente de los datos entre dos entidades, un intermediario que administra los datos y sus derechos, y un beneficiario y propietario de los datos.
4. Sindicatos de datos: son uniones sectoriales o territoriales entre distintos propietarios de datos que gestionan y protegen los derechos sobre los datos personales generados a través de plataformas tanto por usuarios como por trabajadores.
5. Mercados de datos: impulsan plataformas que permiten poner en contacto la oferta y la demanda de datos o productos/servicios basados en ellos.
6. Grupos de intercambio de datos: son alianzas entre partes interesadas en la compartición de datos para mejorar sus activos (productos de datos, procesos y servicios) aprovechando la complementariedad de los datos puestos en común.

Los tipos de intermediarios de datos difieren según varios parámetros, pero son complementarios y pueden superponerse en ciertos aspectos. Para cada tipo de intermediario de datos presentado, el informe proporciona información sobre cómo funciona, sus características principales, ejemplos seleccionados y consideraciones sobre el modelo de negocio.

Requisitos para los intermediarios de datos en la Unión Europea

La DGA establece reglas de juego para garantizar que los proveedores de servicios de intercambio de datos realizan sus servicios bajo los principios y valores de la Unión Europea (UE). Los proveedores estarán sometidos al ordenamiento jurídico del Estado miembro donde tenga su sede principal. Si se trata de un proveedor no establecido en la UE, debe designar un representante legal en uno de los Estados miembros en los que se ofrezca sus servicios.

Todo proveedor de servicios de intermediación de datos que opere en la UE deberá notificarlo a la autoridad competente. Dicha autoridad será designada por cada Estado y velará porque el proveedor realice su actividad bajo el cumplimiento de las leyes. La notificación incluirá información sobre el nombre del proveedor, naturaleza jurídica (incluyendo información sobre la estructura y las filiales), dirección, sitio web con información sobre sus actividades, persona de contacto y estimación de la fecha de inicio de la actividad. Además, deberá incluir una descripción del servicio de intermediación de datos que lleva a cabo, indicando a la categoría detallada en la DGA a la que pertenecen, es decir, servicios de intermediación entre titulares de datos y usuarios, servicios de intermediación entre sujetos de datos o individuos y usuarios de datos o cooperativas de datos.

Además, en su artículo 12, la DGA estable una serie de condiciones para la prestación de servicios de intermediación de datos. Por ejemplo, los proveedores no podrán utilizar los datos en relación con los que presten sus servicios, sino que se limitarán a su puesta a disposición. Así mismo, deberán respetar los formatos originales y solo podrán hacer transformaciones para mejorar su interoperabilidad. También deberán disponer procedimientos para impedir prácticas fraudulentas o abusivas de los usuarios. Con todo ello se busca garantizar que los servicios sean neutrales, transparentes y no discriminatorios.

Escenarios futuros para los intermediarios de datos

De acuerdo con el informe “Mapping the landscape of data intermediaries”, en el horizonte, el escenario previsto para los intermediarios de datos conlleva superar diversos desafíos:

• Identificar modelos de negocio adecuados que garanticen la sostenibilidad económica.
• Ampliar la demanda de los servicios de intermediación de datos.
• Comprender el requisito de neutralidad establecido por la DGA y cómo podría implementarse.
• Alinear los intermediarios de datos con otros instrumentos de la política de datos de la UE.
• Considerar las necesidades de los desarrolladores y emprendedores.
• Suplir la demanda de los intermediarios de datos.

Para consolidar los intermediarios de datos habrá que seguir realizando más investigaciones que ayuden a definir más profundamente el concepto de intermediarios de datos. Este proceso conllevará evaluar las necesidades de desarrolladores y empresarios sobre asuntos económicos, legales y técnicos que desempeñan un papel en el establecimiento de intermediarios de datos, los incentivos tanto para el lado de la oferta como de la demanda de intermediarios de datos, y las posibles conexiones de estos con otros instrumentos de políticas de datos de la UE.

Transcurridos cuatro años desde la publicación de la Comunicación de la Comisión Europea ‘Una Estrategia de Datos’ (febrero de 2020) ––en la que se establecen las líneas generales de la futura economía de datos de la Unión Europea–– la profusión de normativa relacionada con este ámbito, la creciente importancia de los datos abiertos y el despliegue de iniciativas de todo tipo que inciden en el desarrollo del mismo, aconsejan realizar una revisión que actualice el estado de la cuestión. Así lo pensaron los miembros de la red PromethEUs1 que bajo el título de ‘La Estrategia europea del dato desde una perspectiva multidimensional’ publicaron en junio de 2023 un análisis que desgrana dicha Estrategia desde dos enfoques principales: los aspectos políticos y regulatorios, por un lado, y los aspectos geopolíticos, por otro. Este análisis se complementa con dos capítulos que presentan el impacto económico de la innovación basada en datos y el caso concreto de la digitalización del sector de la salud en el sur de Europa.

El primero de los análisis ––elaborado por el Instituto de Política Pública de Portugal–– parte de la idea principal de que la Unión Europea aspira a crear una economía basada en los datos cuyo centro sean los ciudadanos. Un objetivo que, en parte, se alcanzará implementando las directrices seguidas de actos legislativos como el Reglamento de Gobernanza de Datos (DGA en sus siglas en inglés) y el Reglamento de Datos (Data Act).

Regulaciones a considerar

En esencia, la DGA habilita un marco facilitador del intercambio de datos, promoviendo su disponibilidad y la creación de un entorno fiable y seguro donde materializar nuevos servicios y productos innovadores. De entre sus principales medidas destacan tres aspectos:

1. Una reutilización más extensa de información protegida que obra en manos del sector público (con pleno respeto a su privacidad y confidencialidad).
2. Un marco para el fomento de servicios neutrales de intermediación de datos, garante de la soberanía del dato.
3. Unos mecanismos para la cesión altruista de datos.

La DA, por su parte, tiene por objeto establecer reglas armonizadas sobre el acceso y el uso equitativo de los datos, hacer frente a los desequilibrios en las relaciones contractuales entre proveedores y usuarios en lo relativo a la propiedad y uso de los mismos, promover su interoperabilidad y portabilidad eficiente, así como garantizar unas condiciones mínimas para los usuarios de servicios de tratamiento de datos.

Otros textos normativos inciden, directa o indirectamente, en el objetivo global descrito e interactúan de forma significativa tanto con las referidas DGA y DA, como con la regulación sectorial específica. Entre ellas, la Directiva de Datos Abiertos (2019), la Declaración de Derechos Digitales (2022), la Ley de Mercados Digitales, la Ley de Servicios Digitales, o las propuestas para la Ley de Inteligencia Artificial, para la directiva de responsabilidad en materia de IA y para la Ley de infraestructuras de Gigabit. Todo ello sin olvidar la forma en que influyen decisivamente en este ámbito tanto el Reglamento de Protección de Datos Personales (2016), como la Directiva sobre la privacidad y las comunicaciones electrónicas (2002) que será sustituida por el próximo Reglamento en la misma materia.

Efectos de la estrategia europea de datos

Efectuado el repaso de los aspectos que consideran más relevantes de dicha regulación, el documento de PromethEUs destaca tres dimensiones en cuanto a los efectos de la Estrategia europea de los Datos: la política, la económica y la propiamente regulatoria. Efectos, por otro lado, que esperan sean positivos en términos generales, pese a que reconocen la existencia de incertidumbre en relación con las leyes asociadas y su implementación práctica.

Dimensión política

En la dimensión política, los autores destacan el papel que jugarán tanto la Comisión Europea, como el Comité Europeo de Innovación en materia de Datos (EDIB en sus siglas en inglés) previsto en el artículo 29 de la DGA. El EDIB ostenta un papel de coordinación imprescindible que se tendrá que desplegar, igualmente, en relación con los Estados miembro y las respectivas autoridades competentes. En este sentido, advierten los autores, la falta de coordinación puede llevar a un marco institucional heterogéneo que puede retrasar la implementación de la Estrategia. Recomiendan, además, que se establezcan directrices claras e incluso guías que prevengan de la posible confusión en cuanto a los requisitos y eventuales penalizaciones que impongan los Estados.

Dimensión económica

En la dimensión económica, destaca el informe que la Comisión espera un claro impacto positivo y citan un estudio de la OCDE que estima que el acceso y compartición de datos generará beneficios sociales y económicos por un valor de entre el 0,1 y el 1,5% del GDP en el sector público de datos; que alcanzaría entre el 1 y el 2,5% (algunos estudios lo elevan al 4%) sumando el privado. La Comisión, explica el documento, estima que el incremento de la disponibilidad de datos para el uso comercial y la innovación entre empresas, así como para consumidores y compañías usuarias de productos conectados y servicios relacionados, pueden generar hasta 196.700 millones de euros al año en 2028. Solo la aplicación de la DA creará hasta 2,2 millones de empleos en el periodo 2024-2028.

En este sentido, y en relación con el objetivo de la Estrategia de impulsar la competitividad y la inversión en I+D, dicen los autores que la DGA y la DA deberían crear confianza para la compartición de datos B2B; y que la idea central sería que las compañías no focalicen sus recursos y su modelo de negocio exclusivamente en el mantenimiento interno de sus datos, sino en la creación de valor mediante la transformación y combinación de datos. Igualmente, en relación con las pymes, apuntan la necesidad de reducir las barreras de acceso y especialmente los costes de cumplimento que puede inducir la DA. Incluso considerando que las pymes están protegidas en muchos aspectos, explican, dichos costes pueden ser un revés para muchas empresas. Así, aseguran, mientras que para algunos pueden significar costes financieros añadidos, para otros pueden significar un total rediseño de los modelos de negocio de la compañía.

Dimensión regulatoria

Por último, en cuanto a la dimensión regulatoria, los autores señalan que la implementación de la DA y la DGA va a requerir de cuerpos regulatorios bien capacitados para el abundante trabajo que emanará de aquellas. La creación de cuerpos efectivos requerirá ––explican–– de una significativa inversión en recursos humanos y habilidades. Alertan, por otro lado, del riesgo de solapamiento de atribuciones entre administraciones públicas y reguladores en áreas como la protección de datos, la ciberseguridad, la infraestructura de red y los temas de competencia. Por lo cual, concluyen, será primordial, entre otras cuestiones, una adecuada coordinación de actividades.

Efectivamente, coordinación es un concepto clave a todos los niveles. La evolución que experimente la Economía del Dato ––tanto a nivel de la Unión como globalmente–– está vinculada, sea cual sea el ámbito analizado, a ese imprescindible factor. Un factor aplicable a cómo se implemente y despliegue la Estrategia Europea, auténtica batuta que está marcando el paso de este proceso. Pero también aplicable a la forma en la que se interrelacionen las múltiples normativas concernidas y, en consecuencia, a la imprescindible actuación armonizada de las autoridades y organismos que las apliquen en sus respectivos ámbitos de competencia. En definitiva, una coordinación que, como la batuta virtuosa del director de orquesta, permita una ejecución exitosa de la partitura. Una partitura ––la Estrategia Europea–– que se traduzca en la melodía vigorosa que promete la Economía del Dato, como ya demuestran los indicadores y registros que perfilan su imparable evolución.       

1.PromethEUs es una red de think tanks compuesto por el Institute of Public Policy (Portugal); el Real Instituto Elcano (España); el Istituto per la Competitività I-Com (Italia); y la  Foundation for Economic & Industrial Research - IOBE (Grecia).

Como dicta la tradición, el fin de año es un buen momento para reflexionar sobre nuestras metas y objetivos de cara a la nueva etapa que comienza tras las campanadas. En materia de datos, el inicio de un nuevo año también brinda oportunidades para trazar un futuro interoperable y digital que habilite el desarrollo de una economía del dato robusta, un escenario que beneficie tanto a investigadores como administraciones públicas o empresas privadas, así como que repercuta positivamente en el ciudadano como cliente final de muchas operaciones realizadas con datos, optimizando y reduciendo los tiempos de tramitación. Para lograr este fin, existe la Estrategia europea de datos que persigue desbloquear el potencial de los datos a través de, entre otras, la Ley de Datos (Data Act, en inglés) que recoge un conjunto de medidas relacionadas con el acceso y uso equitativo de los datos asegurando así mismo que el dato manejado sea de calidad, esté debidamente securizado, etc.

Como solución a esta necesidad, este último año se han publicado las especificaciones UNE de datos que son recursos normativos e informativos para implantar procesos comunes de gobierno, gestión y calidad del dato. Estas especificaciones, respaldadas por la Oficina del Dato, establecen estándares para disponer de datos bien gobernados (UNE 0077), gestionados (UNE 0078) y con niveles adecuados de calidad (UNE0079), permitiendo así mismo un crecimiento sostenible en la organización durante la implantación de los distintos procesos. Además de estas tres especificaciones, la especificación UNE 0080 define una guía y proceso de evaluación de madurez para medir el grado de implantación de los procesos de gobierno, gestión, y calidad del dato. Por su parte, la UNE 0081 también establece un proceso de evaluación del activo de datos en sí, es decir, de los conjuntos de datos, independientemente de su naturaleza o tipología; en resumen, su contenido está estrechamente relacionado con la UNE 0079 porque recoge unas características de calidad de los datos. La adopción de todas ellas puede proporcionar múltiples beneficios. En este post, analizamos cuáles son y cómo sería el proceso para cada especificación.

Así, con la mirada puesta en el futuro, planteamos un propósito de año nuevo: la aplicación de las especificaciones UNE del dato a una organización.

¿Qué ventajas tiene su aplicación y cómo puedo acceder a ellas?

En la era actual, donde el gobierno y la gestión eficiente de los datos se han convertido en un pilar fundamental para el éxito organizacional, la implementación de las especificaciones UNE sobre datos emerge como un faro guía hacia la excelencia marcando el camino a seguir. Estas especificaciones describen rigurosos procesos estandarizados que ofrecen a las organizaciones la posibilidad de construir una estructura robusta y confiable para el manejo de sus datos e información a lo largo de todo su ciclo de vida.

Al adoptar las especificaciones UNE, no solo se garantiza la calidad y seguridad de los datos, sino que también se constituye una base sólida y adecuada para la toma de decisiones informadas enriqueciendo los procesos organizacionales con buenas prácticas de datos. Por lo tanto, toda organización que decida abrazar estas normativas de cara al nuevo año estará acercándose a la innovación, la eficiencia y la confianza en el gobierno y la gestión de datos; así como preparándose para afrontar los desafíos y oportunidades que depara el futuro digital. La aplicación de especificaciones UNE no solo es un compromiso con la calidad, sino una inversión estratégica que pavimenta el camino hacia el éxito sostenible en un entorno empresarial cada vez más competitivo y dinámico porque:

• Maximiza la aportación de valor a la estrategia de negocio
• Minimiza riesgos en el tratamiento del dato
• Optimiza las tareas evitando trabajos innecesarios
• Establece marcos homogéneos de referencia y certificación
• Facilita la compartición de información con confianza y soberanía

El contenido de las guías puede visualizarse de forma libre y gratuita desde el portal de AENOR a través del enlace que figura a continuación accediendo al apartado de compra y marcando “lectura” en el desplegable en el que aparece preseleccionado “pdf”. El acceso a esta familia de especificaciones UNE del dato está patrocinado por la Secretaría de Estado de Digitalización e Inteligencia Artificial, Dirección General del Dato. Aunque la visualización requiere registro previo, se aplica un descuento del 100% sobre el total del precio que se aplica en el momento de finalizar la compra. Tras finalizar la compra se podrá acceder a la norma o normas seleccionadas desde el área de cliente en el apartado mis productos.

• ESPECIFICACION UNE 0077:2023
• ESPECIFICACION UNE 0078:2023
• ESPECIFICACION UNE 0079:2023
• ESPECIFICACIÓN UNE 0080:2023
• ESPECIFICACIÓN UNE 0081:2023

Desde datos.gob.es nos hemos hecho eco del contenido de las mismas y hemos preparado diferentes recursos didácticos como esta infografía o este vídeo explicativo.

¿Cómo se aplican a una organización?

Una vez tomada la decisión de abordar la implantación de estas especificaciones, surge un interrogante crucial: ¿Cuál es la manera más efectiva de hacerlo? La respuesta a esta cuestión dependerá de la situación inicial (marcada por una evaluación inicial de madurez), el tipo de organización y los recursos disponibles en el momento de establecer el plan director o plan de implantación. No obstante, en datos.gob.es, hemos publicado una serie de contenidos elaborados por expertos en tecnologías ligadas a la economía del dato datos.gob.es, hemos publicado una serie de contenidos elaborados por expertos en tecnologías ligadas a la economía del dato que te acompañarán en el proceso.

Antes de empezar, es importante conocer los diferentes procesos que constituyen cada una de las especificaciones UNE sobre datos. En esta imagen se exponen cuáles son.

Una vez entendido lo básico, la serie de contenidos ‘Aplicación de las especificaciones UNE sobre datos’ abordan un ejercicio práctico, desglosado en tres posts, sobre un caso de uso especifico: la aplicación de estas especificaciones a los datos abiertos. Como ejemplo, se define una necesidad que tiene el Ayuntamiento ficticio de Vistabella: avanzar en la publicación en abierto de información de transporte público y eventos culturales.

• En el primer post de la serie, se destaca la importancia de utilizar la especificación UNE 0077 de gobierno del dato para establecer mecanismos aprobados que respalden la apertura y publicación de los datos abiertos. A través de este primer contenido, se realiza un repaso de los procesos necesarios para alinear la estrategia organizacional de tal manera que se logre conseguir la máxima transparencia y calidad de los servicios públicos mediante la reutilización de información.
• El segundo artículo de la serie se sumerge en la norma UNE 0079 de gestión de calidad de los datos y su aplicación en el contexto de los datos abiertos. Este contenido subraya que la calidad de los datos abiertos va más allá de los principios FAIR y destaca la importancia de evaluar la calidad mediante criterios objetivos. A través del ejercicio práctico, se explora cómo el Ayuntamiento de Vistabella aborda los procesos de la UNE para mejorar la calidad de los datos abiertos como parte de su estrategia para potenciar la publicación de datos sobre transporte público y eventos culturales.
• Por último, la norma UNE 0078 sobre gestión de datos se explica en un tercer artículo en el que se presenta el proceso de Compartición, Intermediación e Integración de Datos (CIIDat) para la publicación de datos abiertos, combinado con plantillas específicas.

En conjunto, estos tres artículos ofrecen una guía para que cualquier organización avance con éxito hacia la publicación en abierto de información clave, asegurando la coherencia y calidad de los datos. Al seguir estos pasos, las organizaciones estarán preparadas para cumplir con los estándares normativos con todas las ventajas que supone.

Para finalizar, abrazar el propósito de año nuevo de aplicar las especificaciones UNE sobre datos representa un compromiso estratégico y visionario para cualquier organización que, además, estará alineado con la Estrategia europea de datos y la hoja de ruta europea que persigue configurar un futuro digital líder a nivel mundial.

Dos de las regulaciones más relevantes de la Unión Europea en materia de datos articularán en breve el contorno jurídico que delimitará el desarrollo de la economía del dato en los próximos años. El Data Governance Act (DGA) es plenamente aplicable desde el pasado 24 de septiembre de 2023, mientras que la redacción de la Data Act (DA) fue aprobada el pasado 27 de noviembre.  

No son las únicas, pues el marco jurídico ya incluye otras normas importantes que regulan materias que se interconectan, revelando así el enfoque proactivo de la Unión Europea en el establecimiento de unas reglas de juego acordes con las necesidades de la ciudadanía y las empresas europeas. Unas pautas que ofrecen el entorno de seguridad jurídico necesario para lograr el objetivo último de impulsar un Mercado Único Digital europeo. 

En el caso de la DGA y la DA, las negociaciones para su aprobación han puesto de manifiesto que sus objetivos eran compartidos por los grupos de interés concernidos. Para ambas, el dato constituye un elemento central para la transformación digital, y comparten el interés en eliminar o reducir las barreras y obstáculos para su compartición. Asumen así que la innovación basada en los datos reportará enormes beneficios a los ciudadanos y a la economía. Por tanto, crear marcos jurídicos que faciliten dichos procesos es un objetivo común para empresas, instituciones y ciudadanía. 

Las aportaciones realizadas desde el mundo académico, empresarial y asociativo han sido abundantes y enriquecedoras, tanto para la fase de elaboración de las normas, como para lo que será su implementación y desarrollo en la práctica. Una de las cuestiones más reiteradas es la preocupación por la forma en que interactuarán las distintas normas de ese ‘paquete normativo digital’. Particularmente importante es la interacción con el Reglamento General de Protección de Datos, razón por la cual DGA y DA han establecido líneas generales sobre la preeminencia de dicho reglamento en caso de conflicto. En este sentido, el incremento de la normativa no impide que surjan situaciones concretas en la práctica alrededor de conceptos clave del ámbito de los datos personales, como el consentimiento, los fines del tratamiento, la anonimización, o la portabilidad.  

Otra de las cuestiones resaltadas tiene que ver con la búsqueda de sinergias entre esta normativa y los modelos de negocio de datos actuales o futuros. El objetivo general reconocido es el de impulsar el desarrollo de los espacios de datos y de la economía del dato en su conjunto. Esta meta será más cercana en la medida en que la ‘carga regulatoria’ no reduzca los incentivos de las empresas a invertir en recopilar y gestionar datos; que no debilite la posición competitiva de las empresas europeas (protegiendo adecuadamente los secretos comerciales, los derechos de propiedad intelectual y la confidencialidad); y que haya un equilibrio adecuado entre los intereses generales y los empresariales. 

El caso de la Data Governance Act 

En el caso de la DGA, las disposiciones relacionadas con los servicios de intermediación de datos ––una de las partes centrales del reglamento–– ocuparon una parte significativa de los análisis previos realizados. Se planteaba, por ejemplo, hasta qué punto podrían competir las PYMEs y empresas de nueva creación con las grandes compañías tecnológicas en la prestación de estos servicios; o si, al exigir la separación estructural que se le requiere a los proveedores de servicios de intermediación de datos (a través de una persona jurídica separada), pudieran darse problemas relacionados con otras funcionalidades de las mismas empresas.   

En la misma línea, se plantea si una economía de los datos más descentralizada requiere nuevos intermediarios, o si bajo la nueva formulación jurídica, pueden estos competir con éxito en los mercados de datos a través de modelos de negocio alternativos no integrados verticalmente.  

Consideraciones al despliegue de la Data Act 

En relación con la DA, la redacción final de la norma clarificó su alcance, la definición de conceptos y la categorización de los datos, como así se había sugerido desde la industria. La aplicación sectorial concreta que se desarrolle a posteriori irá definiendo, aún más, aquellos conceptos e interpretaciones que aporten la deseable seguridad jurídica. 

Seguridad jurídica que se ha esgrimido también en relación con los secretos comerciales, el derecho de propiedad intelectual y la confidencialidad; aspecto que el Reglamento trata de abordar con salvaguardas dirigidas a evitar los usos indebidos y el fraude.  

Otros aspectos que centraron la atención fueron las compensaciones por puesta a disposición; los procedimientos de resolución de conflictos; lo previsto sobre cláusulas contractuales abusivas (dirigidas a compensar el desequilibrio en el poder de negociación); la puesta a disposición de datos en caso de necesidad excepcional; y, finalmente, las disposiciones sobre el cambio de un proveedor de servicio de tratamiento de datos a otro. 

Un punto de partida positivo 

El punto de partida, en cualquier caso, es positivo. La economía de los datos en la Unión Europea se afianza sobre la base de la Estrategia Europea de Datos, y el paquete normativo que la desarrolla. Existen además ejemplos prácticos del potencial de los ecosistemas industriales que se están desplegando en torno a los Espacios Europeos Comunes de Datos en sectores como el turismo, la movilidad y logística, el agroalimentario, entre otros. Además, iniciativas que aglutinan intereses públicos y privados en este ámbito están avanzando de forma muy importante en el despliegue de los fundamentos técnicos y de gobernanza, el fortalecimiento de la posición competitiva de las empresas europeas, y la consecución del objetivo final de un mercado único de datos en la Unión Europea. 

Accede aquí una versión ampliada de esta nota.

Un espacio de datos es un marco de desarrollo que permite la creación de un ecosistema completo proporcionando una estructura organizativa, normativa, técnica y de gobernanza con el objetivo de facilitar el intercambio confiable y seguro de distintos activos de datos para el beneficio común de todos los actores implicados y asegurando que se cumpla con toda la normativa y leyes aplicables. Los espacios de datos son, además, un elemento clave de la nueva estrategia de datos de la Unión Europea y una pieza imprescindible a la hora de materializar el objetivo del mercado único de datos europeo.

Como parte de esta estrategia, la Unión Europea está actualmente explorando la creación de varios pilotos de espacios de datos en algunos sectores y dominios estratégicos: sanidad, industria, agricultura, finanzas, movilidad, Pacto Verde, energía, Administración pública y competencias. Estos espacios de datos ofrecen un gran potencial a la hora de ayudar a las organizaciones a mejorar en la toma de decisiones, aumentar la innovación, desarrollar nuevos productos, servicios y modelos de negocio, reducir costes y evitar duplicar esfuerzos. Sin embargo, la creación de un espacio de datos exitoso no es una actividad trivial y requiere analizar cuidadosamente los casos de uso primero y enfrentarse después a grandes desafíos en los ámbitos de negocio, legal, operativo, funcional, tecnológico y de gobernanza.

Es por ello que, como medida de apoyo, se ha creado también el Centro de Soporte para los Espacios de Datos (Data Spaces Support Centre o DSSC), un órgano que se encarga de proporcionar orientación, herramientas y recursos a todas aquellas organizaciones interesadas en crear nuevos espacios de datos o participar en ellos. Uno de los primeros recursos elaborados por el DSSC ha sido precisamente el kit de iniciación a los espacios de datos, cuya versión final se ha publicado recientemente y que proporciona una guía inicial básica para entender cuáles son los elementos básicos de un espacio de datos y cómo afrontar los diferentes desafíos que se plantean a la hora de construirlos. Repasamos a continuación algunas de las principales pautas y recomendaciones que nos ofrece este kit de iniciación.

El valor de los espacios de datos y sus modelos de negocio

Los espacios de datos pueden resultar una alternativa real a las plataformas unidireccionales actuales, generando modelos de negocio basados en los efectos de red que dan respuesta tanto a la oferta como a la demanda de datos. Entre los distintos patrones de modelo de negocio existentes en los espacios de datos podemos encontrar:

• Reparto de costes: todos los participantes ahorran tiempo y dinero al compartir los datos con un objetivo común, como por ejemplo la red inteligente de proveedores conectados SCSN.
• Innovación conjunta:  la innovación sólo es posible si se comparten los datos al no disponer ninguno de los participantes de los datos completos de forma individual, como por ejemplo en la plataforma Eona-X de movilidad, transporte y turismo.
• Fuerzas combinadas:  distintos actores se unen para evitar que un único agente pueda dominar un determinado espacio, como en la red de datos de fabricación EuPro Gigant.
• Mercado compartido: actores que tienen intereses comunes comparten datos entre sí para poder beneficiarse mutuamente, como por ejemplo la red de automoción Catena-X.
• Mayor bien común: cuando los sectores público y privado comparten datos con una finalidad social, como por ejemplo en el espacio de datos de movilidad que en España se desarrolla a través del Grupo de Trabajo de Movilidad del Hub Gaia-X.

Los aspectos legales

La parte legal de los espacios de datos puede constituir un gran desafío al moverse estos necesariamente entre múltiples marcos legales y regulaciones, tanto nacionales como europeos. Para afrontar este reto, el Data Spaces Support Centre propone la elaboración de un marco de referencia compuesto de tres instrumentos principales:

• Los marcos jurídicos transversales que serán de aplicación a todos los espacios de datos, como la ley contractual, la protección de datos, la propiedad intelectual, las leyes de competencia o las de ciberseguridad.
• Los aspectos organizativos a considerar a la hora de establecer modelos y mecanismos para la gobernanza de los datos en cada caso específico.
• La dimensión contractual a tener en cuenta a la hora de intercambiar datos y los acuerdos y términos de uso que se deben establecer para que eso sea posible.

Las actividades operativas

El diseño de las actividades operativas deberá abordar los acuerdos que posibiliten el funcionamiento organizativo del espacio de datos, como por ejemplo pautas para la incorporación de nuevos participantes, sobre la toma de decisiones y para la resolución de conflictos.

Además, se deberán también tener en cuenta las operaciones de carácter empresarial, como la racionalización y automatización de procesos, las tareas de marketing y las actividades de sensibilización, que son también componentes importantes de las actividades operativas.

Funcionalidad de los espacios de datos

Los espacios de datos compartirán una serie de componentes básicos (o building blocks) que serán los que ofrezcan la funcionalidad mínima esperada de los mismos, incluyendo al menos los siguientes elementos:

• Interoperabilidad: modelos de datos y formatos, interfaces de intercambio de datos y origen y trazabilidad.
• Confianza: gestión de la identidad, control de acceso y uso e intercambios de datos seguros.
• Valor del dato: metadatos y protocolos de localización, contabilidad del uso de los datos y servicios de publicación y comerciales.
• Gobernanza: acuerdos de cooperación y de nivel de servicio y modelos de continuidad.

Si bien cabe esperar que estos componentes sean comunes a todos los espacios de datos y ofrezcan una funcionalidad similar, cada espacio de datos en particular podrá tomar las decisiones de diseño que estime más oportunas a la hora de implementarlos y llevarlos a cabo.

Aspectos tecnológicos

Los espacios de datos están diseñados de manera que sean agnósticos en cuanto a la tecnología, es decir, que se definen únicamente en términos de funcionalidad y con libertad en cuanto a la elección de las tecnologías específicas para su implementación. En este escenario será importante establecer referencias claras en cuanto a:

• Una base formal de estándares de facto que se deberán seguir.
• Especificaciones que sirvan como referencia para las distintas implementaciones.
• Implementaciones de código abierto de los componentes básicos llevadas a cabo por otros agentes.

Gobernanza de los espacios de datos

Para diseñar, poner en marcha y mantener un espacio de datos es necesario que múltiples organizaciones colaboren de forma conjunta y en diferentes funciones. Esto requiere que estas entidades construyan una visión común de los aspectos clave de dicha colaboración a través de un marco de gobernanza.

Para ello, se deberá llevar a cabo un ejercicio de diseño conjunto a través del cual los actores interesados lleguen a la formalización de una serie de acuerdos que definan los aspectos estratégicos y operativos clave, como las cuestiones legales, la descripción de la red de participantes, el código de conducta, los términos y condiciones de uso, los acuerdos de constitución y adhesión al espacio de datos o el modelo de gobierno.

En un futuro próximo el centro de soporte DSSC identificará los componentes básicos de cada una de las dimensiones descritas anteriormente y proporcionará orientación adicional para cada uno de ellos a través de la elaboración de un plan común (o blueprint) para los espacios de datos. Así pues, si os estáis planteando participar en alguna de las iniciativas de espacios de datos que se están poniendo en marcha, pero no tenéis muy claro por dónde empezar, entonces este kit básico de iniciación os resultará sin duda un recurso valioso a la hora de comprender los conceptos básicos – junto con el glosario que explica toda la terminología relacionada. Tampoco olvidéis subscribiros al boletín de noticias del centro de soporte para estar al tanto de todas las novedades, documentación y los servicios de apoyo que ofrece.

Contenido elaborado por Carlos Iglesias, Open data Researcher y consultor, World Wide Web Foundation.

Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

Desde la publicación inicial del borrador de Reglamento europeo sobre Gobernanza de los Datos se han ido sucediendo diversos trámites en el seno del procedimiento establecido para su aprobación, entre los cuales destacan algunos informes de singular relevancia. Por lo que se refiere a la incidencia de la propuesta sobre el derecho a la protección de datos de carácter personal podemos destacar los elaborados por algunos organismos europeos con la finalidad de ofrecer su opinión acerca de la normativa propuesta por la Comisión.

• Por una parte, el pasado mes de julio se hizo público el elaborado por el Consejo Económico y Social, donde se destaca la importancia de salvaguardar los derechos fundamentales, advirtiendo que “la protección adecuada de estos derechos se ve amenazada por el uso distorsionado de datos recabados libremente bajo un consentimiento que no siempre se obtiene siguiendo procedimientos sencillos”.
• Por otra parte, el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos han emitido un informe conjunto con el que pretenden ofrecer al legislador europeo orientaciones para que el futuro Reglamento sobre gobernanza de los datos “encaje plenamente con la legislación de la UE en materia de protección de datos personales, para así fomentar la confianza en la economía digital y dar el mismo amparo que garantiza el Derecho de la UE”. ¿Cuáles son las principales indicaciones que incluye el informe?

A través de sus correspondientes informes, varios organismos de la UE enfatizan la necesidad de garantizar la protección de datos personales en el futuro Reglamento sobre Gobernanza de los datos

Condiciones para la licitud del tratamiento

Una de las principales dificultades a la hora de reutilizar la información del sector público es su vinculación con personas físicas que se encuentren plenamente identificadas o, incluso, pudieran serlo. En estos casos nos encontraríamos ante datos de carácter personal y, en consecuencia, resultaría de aplicación la normativa que tiene por objeto la protección de este derecho fundamental en el ámbito de toda la Unión Europea: el Reglamento 2016/679, de 27 de abril, general sobre protección de datos (RGDP).

Con carácter general, tanto la difusión de los datos por parte de las entidades públicas como, asimismo, el tratamiento que lleven a cabo los reutilizadores han de respetar los principios que contempla el artículo 5 RGPD. En concreto, es necesario asegurar la minimización de los datos, respetar la limitación temporal del tratamiento o, entre otras obligaciones, garantizar su exactitud y su integridad, así como la confidencialidad. Especial importancia merece la prohibición de uso de los datos para fines incompatibles con respecto a los que inicialmente justificaron la recogida de la información, sobre todo si tenemos en cuenta que con frecuencia se habrán obtenido sin necesidad de contar con el consentimiento de la persona titular de los datos, al justificarse su tratamiento para la realización de actividades de interés público.

La difusión y reutilización de la información del sector público debe respetar los requisitos y las obligaciones que contempla el Reglamento General de protección de Datos (RGDP)

Seudonimización y anonimización

El informe conjunto del Comité y el Supervisor enfatiza que ambas técnicas no pueden confundirse y, en consecuencia, las garantías aplicables son distintas en cada caso. En concreto, esta distinción ha de tenerse en cuenta por la respectiva entidad pública a la hora de evaluar la viabilidad de la reutilización desde la perspectiva de la protección de datos.

• La anonimización supone que, al no existir vinculación con las personas físicas, los datos puedan utilizarse sin sujeción a la normativa sobre protección de datos.
• Por el contrario, en la seudonimización sí sería posible la reidentificación del titular, en la medida que se dispone de información adicional que así lo permite. Por tanto, en este supuesto el tratamiento de la información sí estaría sujeto a la normativa sobre protección de datos.

En consecuencia, cuando se reutilicen datos seudonimizados será imprescindible fundamentar el tratamiento en alguna de las condiciones de licitud que contemplan los artículos 6 y 9 del RGPD, cumplir con los principios antes referidos, adoptar las medidas de seguridad adecuadas y, asimismo, respetar las obligaciones de transparencia a que se refieren los artículos 12 a 14 RGPD, condición esta última de singular importancia para facilitar el ejercicio de sus derechos a los titulares de los datos.

En todo caso, siempre que sea compatible con la finalidad principal a la que se destina el uso de los datos, la seudonimización es sin duda una medida razonable incluso cuando se disponga de una base jurídica adecuada para proceder al tratamiento de los datos personales sin necesidad de consentimiento del titular, puesto que se trata de una solución que refuerza su posición jurídica frente al uso de los datos por un tercero. Así se muestra, por ejemplo, en la regulación legal que admite la reutilización de los datos de salud para fines de investigación, supuesto en el que una de las condiciones imprescindibles consiste precisamente en que los datos se encuentren seudonimizados en ciertas condiciones. De este modo se permite garantizar la reidentificación cuando sea precisa por razones asistenciales y, al mismo tiempo, se limita el impacto de la reutilización en la esfera jurídica del titular de la información.

En los casos en los que se recurra a la seudoanimización, también será necesario cumplir la normativa de protección de datos

Proveedores de intercambio de datos y donación de datos

Se trata de una de las principales novedades del borrador de Reglamento. Por lo que se refiere a los proveedores, el dictamen conjunto del Supervisor y el Comité enfatiza la necesidad de reforzar los controles previos al inicio de su actividad y, por otra parte, garantizar que proporcionan la información adecuada a los titulares de la información, debiendo además prestarse una especial atención a los principios de protección de datos desde el diseño y por defecto, transparencia y limitación de la finalidad. Destaca asimismo la importancia de asegurar que dichos proveedores asistan de manera eficaz a los particulares en el ejercicio de los derechos que reconocen los artículos 15 a 22 RGPD, así como la conveniencia de que se fomente su adhesión a códigos de conducta formalizados.

En cuanto a la donación de datos con fines altruistas, dado que la base jurídica aplicable para admitir la reutilización sería el consentimiento, el informe mantiene que es necesario mejorar la regulación propuesta de manera que se fijen con mayor precisión cuáles serían los fines de interés general a los que se podría destinar la reutilización de los datos. De lo contrario, considera el informe que se pondría en riesgo la seguridad jurídica y el nivel de protección de los datos personales que garantiza el RGPD, en particular por lo que se refiere al principio según el cual los datos se recogerán con fines determinados, explícitos y legítimos (artículo 5 RGPD)

Para poder reutilizar datos personales obtenidos de la donación con fines altruistas será necesario contar con el consentimiento del afectado para el fin concreto.

En definitiva, una de las principales razones que justifican el Reglamento sobre Gobernanza de los Datos consiste precisamente en la necesidad de establecer una nueva regulación para aquellos conjuntos de datos sobre los que concurren derechos de terceros que dificultan su reutilización, tal y como sucede singularmente con la protección de los datos de carácter personal. Por tanto, aun cuando resulte de gran importancia apostar decididamente por impulsar la economía basada en los datos, no por ello puede olvidarse que el modelo europeo se fundamenta precisamente en la protección y defensa de los derechos fundamentales y las libertades públicas, lo que necesariamente implica que las medidas que contempla el RGPD se encuentren en la base de dicho modelo como han recordado en su dictamen el Comité Europeo de Protección de Datos y el Supervisor Europeo de Protección de Datos.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec).

Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

Actualizado 02/02/2024

En 2020 se hizo pública la propuesta para un Reglamento del Parlamento Europeo y del Consejo sobre gobernanza de los datos en el ámbito europeo (Data Governance Act). Se trata de una iniciativa que ya estaba anunciada en la Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones titulada “Una Estrategia Europea de Datos”, uno de cuyos principales objetivos consiste en promover un mercado único de los datos que favorezca la agilidad en su manejo y, al mismo tiempo, se base en los principios y valores de la UE.

El texto de esta propuesta vino precedido de un proceso de consulta pública con amplia participación, especialmente por lo que respecta al modelo de gobernanza de datos (sección 2.1) donde se han contabilizado casi ochocientas aportaciones. Asimismo, como se destaca en el propio preámbulo de la propuesta, las opciones regulatorias finalmente adoptadas tuvieron en cuenta el análisis previo en el que se analizaron las diferentes alternativas posibles para conseguir los objetivos que se pretenden alcanzar.

Aunque esta  iniciativa fue valorada inicialmente de manera positiva, lo cierto es que podría suscitar dudas acerca de su necesidad ya que, un año antes, se aprobó la Directiva (UE) 2019/1024, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público.

¿Por qué entonces una nueva normativa?

En primer lugar, la propuesta adquiere la forma de Reglamento —y no una nueva Directiva— para establecer un régimen de aplicación directa de carácter obligatorio en toda la Unión a través del cual se pretende armonizar el mercado interior de la UE, dado el riesgo de que la regulación unilateral de los Estados termine por fragmentarlo si no existe una mínima armonización que ayude a impulsar servicios digitales transfronterizos. No obstante, se respeta la competencia de los Estados miembros por lo que se refiere a las medidas organizativas a adoptar y, asimismo, su capacidad de legislar en materia de acceso a la información del sector público, de manera que el Reglamento no afectará a las normas estatales vigentes en dicho ámbito.

En segundo lugar, es necesario advertir que se trata de una norma complementaria de la Directiva de 2019 ante la constatación de que la consecución de los objetivos antes indicados requiere de un planteamiento que supere las limitaciones de las que aquella parte. En concreto, se trata de establecer una nueva regulación para aquellos conjuntos de datos sobre los que concurren derechos de terceros que dificultan su reutilización, tal y como sucede singularmente con la protección de los datos de carácter personal, la propiedad intelectual o, en entre otros bienes jurídicos, la confidencialidad estadística o comercial. En efecto, la concurrencia de estas barreras jurídicas puede dificultar seriamente —e incluso impedir— la reutilización de datos de enorme valor a la hora de poner en marcha proyectos de gran impacto en el actual contexto social y tecnológico, como los relativos a la investigación y los basados en la innovación que requiere la transformación digital. Con las medidas que incorpora la propuesta de Reglamento se pretende ofrecer soluciones específicamente dirigidas a afrontar dichos obstáculos, incorporando mecanismos que doten de mayor seguridad jurídica y, por tanto, refuercen la confianza de los titulares de los referidos derechos e intereses.

Asimismo, se pretende establecer una serie de mecanismos idénticos en toda la Unión con los que impulsar la reutilización, tal y como sucede con:

• El establecimiento de un régimen de notificación de los proveedores de servicios de intercambio de datos, que serán neutrales, es decir, no podrán utilizar los datos para otras finalidades que no sean ponerlos a disposición de los reutilizadores. Asimismo, los servicios que presten habrán de ser transparentes y no discriminatorios.
• El impulso del altruismo para facilitar voluntariamente el uso de los datos para el bien común, contemplándose la puesta en marcha de un formulario a nivel europeo que facilite la prestación del consentimiento para su cesión.
• La obligación de que los Estados establezcan un punto único de información que, además, deberá disponer de un registro donde presentar las solicitudes de reutilización de manera que, una vez recibidas, se remitan a los organismos y entidades correspondientes para que las resuelvan en el plazo máximo de dos meses.
• La creación a nivel europeo de un comité de expertos con el objetivo de facilitar la reutilización que, además, tendrá funciones de asesoramiento de la Comisión.

¿En qué se concretan las mayores garantías jurídicas del Reglamento?

Teniendo en cuenta estos objetivos, la iniciativa pretende sentar las bases para construir un modelo de gobernanza europea de los datos basado en la transparencia y la neutralidad como contrapeso a las tendencias que se plantean desde otros ámbitos. En concreto, se pretende establecer un marco regulatorio que refuerce la confianza de ciudadanos, empresas y otras organizaciones en que sus datos van a ser reutilizados conforme a unos mínimos estándares jurídicos, facilitando de esta manera el control sobre los usos que se realicen por terceros. Así, entre las principales novedades de la propuesta:

• Se obliga a que los organismos públicos que permitan la reutilización de este tipo de datos afectados por derechos e intereses de terceros adopten las medidas técnicas, organizativas y jurídicas que garanticen su protección.
• Se establece la facultad de que los organismos públicos impongan la obligación de que sólo se puedan reutilizar datos sometidos a un “pretratamiento” que consiste en anonimizarlos, seudonimizarlos o, en su caso, suprimir información confidencial.
• Se contempla que la reutilización sólo se admita en entornos directamente controlados por el organismo público si no existiera otra alternativa que pueda satisfacer las necesidades del reutilizador.
• Se reconoce a los organismos públicos la facultad de prohibir la utilización de aquellos resultados del tratamiento de los datos que contenga información que ponga en peligro los derechos e intereses de terceros.
• Se facilita la colaboración de los organismos púbicos en la recopilación del consentimiento por parte de los sujetos titulares de los datos sin que los reutilizadores tengan un contacto directo con ellos.
• Se establecen condiciones y garantías efectivas para los supuestos en que el tratamiento de los datos vaya a tener lugar fuera de la Unión Europea, entre las que se encuentran la aceptación expresa del sometimiento a la jurisdicción del Estado donde se encuentre el organismo del sector público que facilitó la reutilización.

Tal y como ha enfatizado la Comisión Europea en una Comunicación realizada en 2020 con ocasión de la revisión llevada a cabo tras dos años de aplicación del Reglamento General de Protección de Datos, con sus previsiones se “contribuye a fomentar la innovación digna de confianza, en particular a través de su enfoque y principios basados en el riesgo, como la protección de la privacidad desde el diseño y por defecto”. Este es, precisamente, el enfoque de la nueva propuesta: establecer las bases de un modelo normativo sustentado en la protección de los derechos e intereses afectados, facilitando así las condiciones jurídicas óptimas que permitan impulsar la reutilización de la información del sector público con las garantías adecuadas.

En la siguiente infografía, se recoge un resumen de los principales aspectos de la DGA. Haz clic en las imágenes para ir a las distintas versiones:

Versión en dos páginas                                                      Versión en una página

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec).

Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.