normativas

Este obra está bajo una licencia de Creative Commons Reconocimiento-CompartirIgual 4.0 Internacional.

Material complementario

• Cómo implementar CKAN: caso real del portal Aragón Open Data
• DCAT-AP 2.0.1, ¿Cómo ha evolucionado la especificación de referencia europea para la descripción de catálogos de datos abiertos?
• DCAT and DCAT-AP training: General introduction
• DCAT and DCAT-AP training: Basic user
• DCAT and DCAT-AP training: Advanced user

Las guías de la plataforma datos.gob.es están compuestas por una  navegación del portal web datos.gob.es y una guía de mantenimiento y actualización de los conjuntos de datos reutilizables publicados en el Catálogo de datos. Esta segunda guía esta dirigida a los gestores de los organismos públicos que publican los conjuntos de datos y se encargan de su mantenimiento en esta plataforma.

La Agencia Española de Protección de Datos (AEPD) ha lanzado una guía de orientación para fomentar la reutilización de la información del sector público mientras se garantiza la privacidad de los ciudadanos. Con el fin de ofrecer unas directrices que acompañen en la implementación de estas técnicas, la AEPD ha publicado conjuntamente el documento Orientaciones y garantías en los procedimientos de anonimización de datos personales que explica pormenorizadamente cómo ocultar, enmascarar o disociar datos personales con el fin deeliminar o reducir al mínimo los riesgos de reidentificación de los datos anonimizados,permitiendo su divulgación y asegurando que no se vulneren los derechos a la protección de datos de las personas u organizaciones que no deseen ser identificadas, o que hayan puesto el anonimato como condición para ceder sus datos para su publicación. En resumen, una fórmula para compatibilizar el fomento de la reutilización y la normativa reguladora en materia de protección de datos, que asegure que el esfuerzo de reidentificación de los sujetos conlleva un coste suficientemente elevado para que no pueda ser abordado “en términos de relación esfuerzo-beneficio”.

El documento muestra, tanto  los principios a tener en cuenta en un proceso de anonimización en las etapas de diseño del sistema de información(principio de privacidad por defecto, de privacidad objetiva, de plena funcionalidad, etc.), como  las fases del protocolo de actuación en el proceso de anonimización, entre otras las siguientes:  

• Definición del equipo de trabajo detallando las funciones de cada perfil, y garantizando, en la medida de lo posible, que cada miembro desempeñe sus tareas de forma independiente del resto. De esta manera, se evita que un error en un nivel sea revisado y aprobado en un nivel distinto por el mismo agente.
• Análisis de riesgos para gestionar los riesgos resultantes del principio de que ninguna técnica de anonimización puede garantizar en términos absolutos la imposibilidad de reidentificación.
• Definición de objetivos y finalidad de la información anonimizada.
• Preanonimización, eliminación/reducción de variables y anonimización criptográfica a través de técnicas tales como los algoritmos de Hash, algoritmos de cifrado, sello de tiempo, capas de anonimización, etc.
• Creación de un mapa de sistemas de información que asegure entornos segregados para cada tratamiento de datos personales que implique la separación del personal que accede a dicha información.

Por último el documento señala la importancia de formar e informar al personal implicado en los procesos de anonimización y al que trabaja con los datos anonimizados, destaca la necesidad de establecer garantías para proteger los derechos de los interesados (acuerdos de confidencialidad, auditorías del uso de la información anonimizada por parte de su destinatario…) y establece como fundamental la realización de auditorías periódicas de las políticas de anonimización, que deben estar documentadas.

La AEPD ofrece estas orientaciones aún a sabiendas que las mismas capacidades tecnológicas que se utilizan para anonimizar datos personales pueden ser utilizadas para la reidentificación de las personas. Es por ello por lo que insiste en la importancia de contemplar el riesgo como una contingencia latente y sustentar la fortaleza de la anonimización en medidas de evaluación del impacto, organizativas, tecnológicas, etc.; todo ello con el fin de conjugar la puesta a disposición de datos públicos y, a su vez, garantizar la protección de datos personales en la reutilización de la información con fines sociales, científicos y económicos.

La Ley 18/2015, de 9 de julio, por la que se modifica la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, establece que las Administraciones y los organismos públicos tienen la obligación inequívoca de autorizar la reutilización de su información, incluyendo a aquellas instituciones del ámbito cultural como museos, archivos y bibliotecas.

Con el fin de que la puesta a disposición de la información para su reutilización no interfiera con la privacidad de los datos de carácter personal, la Agencia Española de Protección de Datos ha publicado un documento de Orientaciones sobre protección de datos en la reutilización de la información del sector público donde se reúnen aquellos aspectos a tener en cuenta por el sector público a la hora de abrir sus datos de forma compatible con la garantía del derecho fundamental a la protección de datos reconocido en el artículo 18.4 de la Constitución, en el artículo 4.6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal y en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea.

Tal y como se refiere en el documento, el tratamiento y reutilización de la información del sector público por parte del reutilizador puede comportar la combinación de dicha información con otras fuentes de datos, la utilización de tecnologías de datos masivos (big data) o de minería de datos (data mining) que limitan el seguimiento y control sobre el uso de los datos abiertos públicos y, por ende, lo que podría producir incertidumbre respecto de la privacidad de dicha información. Sin embargo, según la AEPD, estos riesgos asociados no deberían suponer una restricción de la reutilizaciónteniendo en cuenta las ventajas que supone para el conjunto de la sociedad. La guía intenta dar respuesta a esta cuestión, resaltando la importancia de metodologías preventivas como la evaluación de impacto de la reutilización en la protección de datos personales (EIPD) -que analiza los posibles riesgos que puede implicar el tratamiento de los datos personales- y de soluciones proactivas como la anonimización de los datos, así como  las garantías jurídicas e instrumentos jurídicos precisos para recoger estas garantías.

El documento muestra cómo realizar la evaluación de impacto en la protección de datos por parte del organismo que autoriza la reutilización, el cual puede elaborar el análisis de forma autónoma o con la ayuda del reutilizador, sin facilitar, en tal caso, datos sensibles o de carácter personal.

A su vez, el texto indica cómo la anonimización puede reforzarse por medio de compromisos jurídicamente vinculantes como la indicación expresa de prohibir la reidentificación y reutilización de los datos personales en la toma de decisiones. Por último, también incluye algunas medidas de ejemplo para asegurar el cumplimiento de dichas garantías jurídicas: desde las evaluaciones periódicas sobre el riesgo de reidentificación; la realización de auditorías sobre el uso de la información reutilizada o la inclusión de advertencias en los sitios web sobre la reidentificación de los datos personales.

Gracias a esta guía de orientación, la Agencia Española de Protección de Datos abre el camino para difundir buenas prácticas de cara a encontrar la respuesta a uno de los principales riesgos asociados a la reutilización de la información del sector público como es la reidentificación de los ciudadanos, instruyendo a los gestores de las instituciones públicas sobre cómo facilitar los datos abiertos cumpliendo las debidas garantías jurídicas de protección de datos.

Este documento constituye una guía de aplicación de la Norma Técnica de Interoperabilidad de Reutilización de recursos de información del sector público, y como tal, su objetivo es servir como herramienta de apoyo para la aplicación e implementación de lo dispuesto en mencionada norma. La guía incluye tanto citas explícitas al texto de la NTI como explicaciones y contenidos complementarios a aquella. A lo largo del desarrollo de la guía, se presentan y explican con detalle las directrices para que las Administraciones públicas desarrollen sus propias políticas de reutilización de documentos y recursos de información a reconocer dentro de sus ámbitos competenciales.

En los últimos años, se ha vivido en España una auténtica vorágine de normas que han tratado de impulsar la modernización tecnológica del sector público. Al margen de la necesaria actualización según las exigencias de la Unión Europea de la normativa de 2007 que tuvo lugar a través de la Ley 18/2015, de 9 de julio, a finales de 2013 se aprobó una norma general sobre transparencia y acceso a la información pública. Esta norma, además de incluir algunas previsiones específicas sobre reutilización, tiene carácter supletorio para aquellos casos que no están cubiertos por las normativas anteriores. 

Dado el actual contexto tecnológico en que se desenvuelve la gestión administrativa, no cabe duda de que la administración electrónica es una premisa inexcusable en la apertura de la información según los estándares de interoperabilidad que facilitan su reutilización. Desde el punto de vista jurídico, desde el año 2007, España dispone de una regulación legal muy avanzada a nivel internacional que, además, fue reformada en el año 2015 con el fin de seguir avanzando en la modernización tecnológica del sector público.

Sin embargo, a pesar de dicho avance y de las numerosas iniciativas que han tratado de impulsar la reutilización de la información del sector público en España, todavía es necesario profundizar en el papel que desempeña el Derecho a la hora de facilitar la apertura de los datos por parte de las instituciones públicas.  Y es especialmente importante hacerlo a partir de los estándares más avanzados que se están planteando a nivel internacional, como los principios establecidos en la Carta Internacional de Datos Abiertos.

A pesar del desarrollo de la administración electrónica en España, la normativa sigue permitiendo, en muchos ámbitos, la gestión documental  en papel. Esta es una de las principales dificultades que, afortunadamente, está llamada a desaparecer cuando entre en vigor la reforma de 2015 antes citada. No obstante, lo realmente problemático es que las administraciones públicas no están estrictamente obligadas a implantar sistemas de gestión documental que faciliten la reutilización de los datos y que sigan los criterios de interoperabilidad técnica, cumpliendo con sus  “funciones de servicio público”.

Al margen de esta importante insuficiencia, la legislación de la RISP tampoco es un ejemplo de exigencia normativa. El empleo por parte de la Ley 37/2007 de expresiones como “velarán porque los documentos a los que se aplica esta normativa puedan ser reutilizados” o la que, dirigida a las entidades que integran el sector público, señala que “promoverán que la puesta a disposición de los documentos para su reutilización así como la tramitación de solicitudes de reutilización se realice por medios electrónicos” no se pueden considerar un buen ejemplo de las obligaciones que pueden exigir jurídicamente los reutilizadores.

La normativa general sobre transparencia y buen gobierno sólo ha realizado una tímida apuesta por impulsar la reutilización de la información del sector público. De hecho, aunque la Ley 19/2013, de 9 de diciembre, establece una clara obligación de utilizar medios telemáticos para publicar la información, solo fija una mera preferencia por los formatos reutilizables a la hora de que las administraciones públicas cumplan con esta previsión legal. En cambio, el Real Decreto 1495/2011, de 24 de octubre, es un ejemplo regulatorio más avanzado acorde a la reforma europea de 2013. Esta normativa sí establece una obligación que no admite duda, aunque se remite a las excepciones y limitaciones que, relacionadas al acceso a la información, se contemplan en la normativa general. Ahora bien, se debe tener en cuenta que en aquellos supuestos en que la documentación no se encuentre en soporte electrónico, quienes quieran reutilizar los datos deberán presentar una solucitud de manera que la reutilización no podrá ser inmediata.

Aunque, desde el 2007 se han realizado grandes progresos en el régimen jurídico relacionados con el acceso y la reutilización de la información del sector público, todavía existen importantes limitaciones, insuficiencias y lagunas que dificultan el trabajo y la innovación del sector infomediario. Ahora bien, las disposiciones analizadas no pueden considerarse ser una traba para aquellas instituciones públicas que apuestan por la apertura de los datos conforme a criterios que faciliten su reutilización. Basta un simple vistazo al catálogo de datos abiertos del sector público español para comprobar el esfuerzo que sí realizan algunas entidades en esta materia, una muestra clara de que el marco normativo no puede ser una excusa.

El próximo octubre tendrá lugar una edición más del Congreso Derecho TICs-SICARM, celebrado en la Facultad de Derecho de la Universidad de Murcia los días 21 y 22 de dicho mes. En esta ocasión, con motivo de la aprobación el pasado 23 de abril del Proyecto Ley que modifica la actual Ley RISP, bajo el lema "La reforma de la legislación española sobre open data: ¿una herramienta de apoyo al emprendedor?”, el encuentro se convertirá en un foro académico donde se debatan los desafíos y obstáculos que supone el marco normativo vigente al mismo tiempo que se expongan las oportunidades que ofrece la nueva regulación.

Entre las temáticas de mayor interés expuestas para el Congreso se encuentra, entre una extensa lista, la fragmentación de las competencias administrativas como barrera para el open linked data; la diversidad de licencias como un problema para la reutilización; nuevos escenarios de innovación y datos abiertos o la web semántica como premisa para la innovación tecnológica en la gestión de la información administrativa.

Todas aquellas personas interesadas en presentar sus escritos y defenderlos públicamente durante sobre el Congreso Derecho TICs-SICARM tienen como fecha límite hasta el 20 de junio, remitiendo sus comunicaciones a través de la dirección electrónica idertec@um.es. Las propuestas seleccionadas se difundirán vía email y en acceso abierto; no obstante, aquéllas que no hayan sido aceptadas podrán ser defendidas mediante un poster académico y se les dará difusión según su calidad evaluada por el comité organizador.  

Los autores seleccionados tendrán hasta el 22 de septiembre para la entrega del texto definitivo de las comunicación para así poder cerrar el programa antes del 10 de octubre, fecha en se presentará la agenda de las dos jornadas del Congreso. 

Con la aparición de nuevos portales de datos abiertos a escala local, regional y nacional, el sector privado y los ciudadanos pueden tener dificultades a la hora de encontrar y reutilizar la información pública.

Bajo este marco, dentro del proyecto europeo JoinUP, un grupo internacional de expertos, entre los que se encuentra el equipo de la Iniciativa Aporta, trabajaron en el desarrollo del DCAT-AP, una especificación diseñada para homogeneizar las descripciones de los conjuntos de datos publicados en los diferentes portales open data. Gracias a ella, se permite la búsqueda cruzada de datos procedentes de diferentes canales, mejorando la identificación de la información pública en Europa más allá de las fronteras geográficas o los sectores de actividad.

El grupo internacional de expertos aunó sus esfuerzos en la construcción de un perfil de aplicación de DCAT cumpliendo las siguientes metas: identificación de los elementos esenciales y atributos del DCAT en el contexto europeo; definición de los vocabularios a utilizar en el proyecto y determinación del mínimo necesario de metadatos para el intercambio entre los diferentes portales del continente.  

Con el fin de asegurar la consistencia en la descripción de los metadatos publicados en los portales, se han tenido en cuenta dos escenarios principales para la consecución de los objetivos marcados por el grupo de expertos:

• Los usuarios de los datos no saben con exactitud qué datos están disponibles y qué administraciones públicas los custodian. Para solventar este problema y mejorar la interoperabilidad de la información procedente de diferentes fuentes, es fundamental cuidar la calidad de los metadatos para agilizar y facilitar la búsqueda de la información.
• Los proveedores de datos desean impulsar la reutilización de su información optimizando su acceso y búsqueda. En múltiples ocasiones, publicar online los metadatos es más importante incluso que hacer que la información esté disponible, al permitir que los datos aparezcan en otros portales, ampliando su visibilidad y reduciendo costes. 

DCAT-AP satisface las necesidades de los portales open data europeos al permitir la interoperabilidad semántica con otras aplicaciones reutilizando diccionarios ya definidos como EuroVoc y vocabularios de metadatos como Dublin Core, SDMX o Inspire metadata.

Desde que se traspuso la Directiva 2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público en la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, han sido numerosos los pasos dados para avanzar en la reutilización de información del sector público (RISP). Entre estos pasos, la publicación de reglamentación, guías, documentos explicativos y acciones de difusión y apoyo en materia RISP ha sido una constante.

Con el Real Decreto 1495/2011, de 24 de octubre, por el que se desarrolla la Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público, para el ámbito del sector público estatal, se realiza el desarrollo reglamentario de la Ley 37/2007 anteriormente citada. En este Real Decreto se establecen las obligaciones del sector público estatal, las modalidades de reutilización de los documentos reutilizables y el régimen aplicable a documentos reutilizables sujetos a derechos de propiedad intelectual o con datos personales. La evaluación de las actividades en materia de reutilización de la información pública se fija también en el Real Decreto, fijándose para ello indicadores.

Para ayudar a los órganos del sector público estatal en el cumplimiento del Real Decreto 1495/2011, varias han sido las labores llevadas a cabo desde su publicación. Algunas de ellas son las siguientes:

• La publicación de la Guía de aplicación del Real Decreto 1495/2011, donde se describen  las adaptaciones y tareas de mantenimiento necesarias en sus sistemas de información, los modelos o herramientas a emplear, así como una propuesta de esquema organizativo que apoye y dé soporte a la publicación y puesta a disposición de la información reutilizable.

• La aprobación de la Norma Técnica de Interoperabilidad sobre reutilización de recursos de información, NTI RISP, donde se establecen normas comunes sobre la localización, descripción e identificación de los recursos de información para la reutilización, y la publicación de la Guía de aplicación de la Norma Técnica de Interoperabilidad de Reutilización de Recursos de Información, para ayudar la implementación de la NTI RISP.

• Las jornadas para la  formación y explicación de fundamentos RISP a órganos de las Administraciones

• Apoyo a órganos del sector público estatal en la elaboración de sus planes RISP, en base a una metodología propuesta y afín a ello.

• La publicación de los documentos: Funcionamiento del Catálogo de datos y  Guía para la catalogación de conjuntos de datos para instruir sobre la publicación de conjuntos de datos en el Catálogo de datos.

• Desarrollo de Herramientas para la construcción del espacio RISP, donde se explica los mecanismos para la  federación de catálogos y la visualización de conjuntos de datos en un espacio web propio.

• La recolección y publicación de las Consultas RISP al servicio de soporte a organismos.

• Recolección de buenas prácticas en formatos para la publicación de información reutilizable en función del tipo.

En la actualidad, desde la iniciativa Aporta se continúa ofreciendo el servicio de Soporte a organismos. 

La Norma Técnica de Interoperabilidad de Reutilización de recursos de información establece condiciones comunes sobre selección, identificación, descripción, formato, condiciones de uso y puesta a disposición de los documentos y recursos de información elaborados o custodiados por el sector público, relativos a numerosos ámbitos de interés como la información social, económica, jurídica, turística, sobre empresas, educación, etc., cumpliendo con lo establecido en la Ley 37/2007, de 16 de noviembre.

Estas condiciones tienen el objetivo de facilitar y garantizar el proceso de reutilización de la información de carácter público procedente de las Administraciones públicas, asegurando la persistencia de la información, el uso de formatos así como los términos y condiciones de uso adecuados.