Suscribirse a regulación
La obligación de proporcionar datos a las entidades públicas en situaciones excepcionales en el Reglamento de Datos (Data Act)
Blog

El reciente Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Data Act) incorpora importantes novedades en la normativa europea a la hora de facilitar el acceso a los datos generados por los productos conectados y los servicios relacionados. Además de establecer medidas para impulsar la interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes, la nueva regulación también incorpora una importante novedad al regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.

¿Una nueva orientación en la regulación europea?

Con la normativa sobre reutilización de la información del sector público se pretendía fundamentalmente facilitar el acceso a los datos generados por las entidades del sector público, de manera que se impulsara el desarrollo de servicios de valor añadido basados en la innovación tecnológica. De hecho, tal y como se afirma expresamente en la Directiva de 2019, la reforma que llevó a cabo se justificaba en gran medida por la necesidad de actualizar el marco normativo aplicable a los nuevos desafíos que planteaba la tecnología digital y, en particular, la Inteligencia Artificial o el Internet de las Cosas.

Posteriormente, al amparo de la Estrategia Europea de Datos se aprobó una regulación sobre gobernanza, se han impulsado los espacios de datos y, asimismo, se ha publicado hace tan solo unos meses la Data Act. Esta última implica un importante giro desde el punto de vista de los sujetos afectados ya que, a diferencia de las regulaciones anteriores centradas en las obligaciones de las entidades del sector público, por una parte, disciplina las relaciones entre privados y, por otra, establece una importante medida destinada a que las entidades privadas sean quienes proporcionen datos a los organismos públicos en ciertas condiciones singulares.

¿En qué situaciones han de proporcionarse los datos?

En primer lugar, es necesario enfatizar que la Data Act no tiene por objeto ampliar los supuestos en que las entidades privadas tienen que entregar datos a los organismos públicos en cumplimiento de sus potestades de supervisión y cumplimiento normativo, como puede ser el caso de la prevención, investigación e imposición de sanciones penales o administrativas. Así pues, no afecta a las obligaciones que los sujetos privados ya tengan que cumplir para que, en base a los datos solicitados, los organismos públicos puedan ejerzan su actividad habitual en el ejercicio de una misión de servicio público como las indicadas.

Se trata, en cambio, de una regulación que pretende hacer frente a situaciones excepcionales, imprevisibles y limitadas en el tiempo, que pueden referirse:

  • bien a la necesidad de obtener los datos para responder a una emergencia pública que no se encuentren disponibles por medios alternativos en condiciones equivalentes, como puede ser el caso del suministro de datos en entornos y plataformas ya existentes que se hubiesen desplegado para otra finalidad (por ejemplo: prestación de un servicio, ejecución de un proyecto de colaboración…);
  • o, en su caso, a la imposibilidad por parte de la entidad pública de disponer de datos específicos para hacer frente a una tarea asignada por la ley y realizada en interés público cuando se hayan agotado todos los demás medios a su disposición, como puede ser el caso de la compra de datos no personales en el mercado por el organismo público, la consulta a una base de datos púbicas o su obtención en base a obligaciones previamente existentes para los sujetos privados.

En este último supuesto, es decir, cuando la necesidad de disponer de los datos no se justifique por la exigencia de responder a situaciones de emergencia, el objeto de la solicitud no podrá referirse a datos de carácter personal salvo que, por la propia naturaleza de la petición, sea imprescindible poder conocer en algún momento la identidad de su titular. En ese caso será necesario proceder a la seudonimización. En consecuencia, dado que los datos no estarían anonimizados, se habrán de tener en cuenta las garantías que establece la normativa sobre protección de datos. En concreto:

  • Los datos se tendrán que separar de su titular para que este no pueda ser identificado por otra persona no autorizada.
  • Habrán de adoptarse medidas técnicas y organizativas que impidan la reidentificación del titular, salvo  por quien está habilitado para ello cuando resulte necesario.

¿Para qué finalidades no se pueden utilizar los datos?

Salvo que la entidad privada que los proporcione lo hubiese autorizado expresamente, los organismos públicos no pueden emplear los datos para satisfacer una finalidad distinta a la que justificó su puesta a disposición. Sin embargo, en el ámbito de la estadística oficial o cuando se necesiten llevar a cabo actividades de investigación científica o análisis que no puedan realizar por sí mismas las propias entidades públicas que solicitan los datos, se permite que se puedan ceder a otras entidades para realizar dichas actividades. Ahora bien, esta posibilidad presenta importantes limitaciones, ya que dichas actividades deben resultar compatibles con los fines para los que se obtuvieron los datos, lo que impediría por ejemplo utilizar los datos para entrenar algoritmos que luego puedan emplearse para el ejercicio de otras funciones o competencias propias de la entidad pública no relacionadas con la investigación o el análisis. Asimismo, los datos sólo podrán ponerse a disposición de entidades sin ánimo de lucro o que satisfagan fines de interés público como pueden ser las universidades y los organismos públicos de investigación.

Tampoco se podrán utilizar los datos para desarrollar o mejorar productos y servicios relacionados con la entidad que los entrega, ni compartirlos con terceros para dichos fines. Esto impediría, por ejemplo, que utilicen los datos para entrenar sistemas de Inteligencia Artificial por parte de la entidad pública o uno de sus contratistas que afecten negativamente al objeto de la actividad habitual de la entidad que los proporcionó.

Por último, los datos obtenidos en aplicación de esta regulación no pueden ponerse a disposición de otros sujetos al amparo de la normativa sobre datos abiertos y reutilización del sector público, de manera que su aplicación queda excluida expresamente.

¿Qué garantías se establecen para el titular de los datos obligado a entregarlos?

La petición de los datos deberá formularse por el organismo público mediante una solicitud formal en la que será preciso determinar los datos necesarios y justificar por qué se dirige a la entidad que recibe el requerimiento. Además, será imprescindible explicar las razones excepcionales que sustenten la solicitud y, en concreto, por qué no es posible obtener los datos por otra vía.

Con carácter general, el titular de los datos tiene derecho a formular una reclamación frente a la solicitud de los datos, que habrá de dirigir a la autoridad competente designada por cada Estado para garantizar la aplicación del Reglamento y que figurará en el registro que establezca la Comisión Europea.

Finalmente, en ciertos casos, se reconoce al titular de los datos el derecho a solicitar una compensación razonable por los costes y un margen razonable necesario para poner los datos a disposición de la entidad pública, si bien esta última puede impugnar la compensación solicitada ante la autoridad antes referida. Sin embargo, cuando la petición de acceso a los datos se justifique en la necesidad de responder a emergencias públicas o la salvaguarda de un interés público significativo, no se contempla compensación alguna a los titulares de los datos. Este sería el caso de un acontecimiento de origen natural (terremotos, riadas…) o situaciones imprevistas y graves que afectan al normal funcionamiento social en ámbitos esenciales como la salud o el orden público.

 

En definitiva, la obligación de proporcionar datos a las entidades públicas por parte de los sujetos privados en estos casos va más allá del objetivo de impulsar un mercado único de datos a nivel de la Unión Europea, finalidad que en gran medida había sustentado el avance en la regulación en materia de datos en los últimos años. Sin embargo, la gravedad de la situación generada como consecuencia del COVID-19 ha evidenciado la necesidad de establecer un marco normativo general que garantice que las entidades públicas puedan disponer de los datos necesarios para hacer frente a situaciones excepcionales por razones de interés público. En todo caso, la efectividad de estas medidas sólo podrá comprobarse a partir de septiembre de 2025, cuando está prevista su efectiva aplicación.

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

calendar icon
El acceso por los usuarios a los datos de los productos conectados y los servicios relacionados en el nuevo Reglamento europeo de Datos (Data Act)
Blog

La aprobación del Reglamento (UE), del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Ley de Datos) supone un importante avance en la regulación que la Unión Europea para facilitar la accesibilidad de los datos. Se trata de una iniciativa ya contemplada en la Estrategia Europea de Datos que tiene como principales finalidades:

  • Regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.
  • Promover el desarrollo de criterios de interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes.
  • Y, desde la perspectiva que ahora nos interesa, impulsar la puesta a disposición de los datos que generan los productos y servicios conectados, ya sea a favor de quienes los utilizan o de los terceros que estos indiquen.

A este respecto, ante las dificultades de los usuarios en el acceso a los datos, el Reglamento trata de facilitar que puedan elegir libremente los proveedores de servicios de reparación y otros servicios, ya que se ha detectado que en muchos ámbitos los fabricantes intentan reservarse su utilización en condiciones de exclusividad. Entre otras cuestiones, se pretende impulsar el derecho del usuario a decidir para qué fines y por quién se pueden utilizar los datos, sin perjuicio de la existencia de una serie de limitaciones y condicionantes que se contemplan en el propio Reglamento.

Un importante cambio de orientación en la regulación

Mientras que la Directiva de datos abiertos y reutilización de la información del sector público y el Reglamento sobre Gobernanza de Datos se centran en establecer reglas y garantías que promuevan el acceso a los datos en poder de las entidades públicas, la nueva regulación presta una especial atención a las relaciones entre sujetos privados. Es decir, permite a los organismos públicos exigir datos a ciertos sujetos privados en condiciones excepcionales y por razones de interés público.

Uno de los principales objetivos del Reglamento de Datos consiste en fomentar no solo “el desarrollo de productos conectados o servicios relacionados nuevos e innovadores y estimular la innovación en los mercados de posventa, sino también en estimular el desarrollo de servicios totalmente novedosos que utilicen los datos en cuestión, incluso los basados en datos procedentes de diversos productos conectados o servicios relacionados”.

A tal efecto, se ha considerado esencial establecer obligaciones claras y precisas  para que los fabricantes de los productos conectados, quienes los suministren y los prestadores de servicios vinculados tengan que compartir con los usuarios los datos generados.

¿Qué obligaciones se han establecido?

Con carácter previo a la contratación de los productos y servicios, el titular de los datos –esto es, el suministrador del producto o servicio, que puede ser también el fabricante –‑‑, deberá proporcionar al usuario información sobre:

  • La cantidad y las condiciones de los datos que se pueden generar
  • Cómo se puede acceder a dichos datos
  • Cómo se pueden suprimir

A este respecto, se exige que en el diseño de los productos y los servicios se adopten medidas adecuadas para que, por defecto, los datos sean accesibles, de manera gratuita y directa, sobre todo, en un formato estructurado que permita su lectura mecánica.

Sin embargo, este derecho está sometido a ciertas condiciones y limitaciones con el fin de garantizar que no se ven afectados otros bienes e intereses jurídicos:

  • El titular de los datos no podrá dificultar que el usuario acceda a sus datos, pero sí podrá exigirle que se identifique, aun cuando tenga prohibido conservar la información generada de manera indefinida.
  • Podrá establecer restricciones en el contrato cuando, a consecuencia del acceso del usuario a los datos, exista un riesgo para el funcionamiento del producto que pueda afectar a la salud o la seguridad de las personas.
  • En ningún caso podrá utilizar los datos que se obtengan durante el uso del producto o la prestación del servicio para ponerlos a disposición de un tercero, salvo que sea estrictamente imprescindible para el cumplimiento del contrato.
  • También tiene prohibido de manera expresa utilizar los datos para hacer averiguaciones acerca de las circunstancias y la actividad del usuario, como, por ejemplo, su situación económica.

Impulso de la disposición de los datos generados por productos y servicios conectados en la Ley de datos: visual que resume los puntos anteriores

Por su parte, el usuario también se ve condicionado por una serie de obligaciones específicamente dirigidas a garantizar la buena fe de su relación jurídica con el titular:

  • No tiene permitido utilizar los datos para competir con este último, ya sea de manera directa o a través de un tercero a quien pueda proporcionárselos,
  • No puede aprovechar el acceso a los mismos para realizar averiguaciones acerca de la actividad del fabricante del producto o, en su caso, del titular de los datos.
  • Junto con estas obligaciones se le reconoce el derecho a compartir los datos con un tercero, que sólo podrá utilizarlos para las finalidades que le autorice. En concreto, no podrá elaborar perfiles salvo que sea necesario para prestar el servicio, ni ponerlos  a disposición de otro sujeto o desarrollar un producto que compita con aquel del que procedan originariamente los datos.

En todo caso, la regulación establece una importante limitación a tener en cuenta por los usuarios, ya que se excluye de este régimen a las microempresas y pequeñas empresas. Con una excepción: que hubieran recibido el encargo de desarrollar el producto o prestar el servicio por parte de un sujeto que sí estuviera incluido en el ámbito de aplicación del Reglamento.

¿Qué garantías se contemplan para asegurar la efectividad de esta regulación?

Como sucede con carácter general en cualquier ámbito, el usuario podrá acudir ante un órgano judicial para exigir el respeto de sus derechos. Además, adicionalmente, la nueva regulación establece la posibilidad de dirigirse a la autoridad designada a nivel estatal para garantizar la aplicación y ejecución de las previsiones del Reglamento. En el caso de que la problemática se refiera al tratamiento de datos personales, también podrá ejercer sus derechos ante la autoridad competente en este ámbito.

A este respecto, la Comisión Europea tendrá que hacer público un listado de las correspondientes autoridades a partir de la información proporcionada por los Estados. Estos podrán designar más de una autoridad, indicando a cuál le corresponde la función de coordinación. Dichas autoridades contarán con los medios suficientes: sus integrantes habrán de tener la especialización requerida para el desempeño de sus funciones y se garantizará su imparcialidad, de manera que no podrán recibir instrucciones de otras entidades.

Al margen de esta vía, el titular de los datos y el usuario –o, en su caso el tercero a quien este permita su utilización—podrán acordar voluntariamente someterse a un órgano de resolución de litigios certificado, cuya decisión habrá de adoptarse en un plazo máximo de 90 días. Dicho órgano deberá acreditarse ante el Estado donde esté establecido. Para ello deberá justificar su imparcialidad, capacidad e independencia. También deberá demostrar que dispone de unas normas procedimentales adecuadas y que es fácilmente accesible por medios electrónicos.

En definitiva, con la nueva Ley de Datos no sólo se ha establecido un marco normativo que refuerza el acceso de los usuarios a los datos que se generan por los productos conectados que adquieren y los servicios vinculados de los que disfrutan, sino que, además, se han consagrado una serie de garantías específicamente dirigidas a asegurar su efectivo cumplimiento.

Descarga la infografía en PDF aquí

Esta infografía también está disponible en dos páginas

Contenido elaborado por Julián Valero, catedrático de la Universidad de Murcia y Coordinador del Grupo de Investigación “Innovación, Derecho y Tecnología” (iDerTec). Los contenidos y los puntos de vista reflejados en esta publicación son responsabilidad exclusiva de su autor.

calendar icon
Especificaciones UNE – Gobierno, gestión y calidad del dato
Blog

Motivación

De acuerdo con la Propuesta de Ley de datos europea los datos son un componente fundamental de la economía digital y un recurso esencial para garantizar las transiciones ecológica y digital. En los últimos años, el volumen de datos generados por seres humanos y máquinas ha experimentado un aumento exponencial. Es esencial desbloquear el potencial de estos datos mediante la creación de oportunidades para su reutilización, eliminando obstáculos al desarrollo de la economía del dato y respetando las normas y los valores europeos. En consonancia con la misión de reducir la brecha digital, se deben impulsar medidas que permitan que todos se beneficien de estas oportunidades de manera justa y equitativa.

Sin embargo, un inconveniente de la alta disponibilidad de datos es que a medida que se acumulan más datos, se genera un caos cuando éstos no se gestionan correctamente.  El incremento del volumen de datos en velocidad, escala y variedad implica, a su vez, una mayor dificultad para asegurar su calidad. Y en situaciones de niveles inadecuados de calidad de datos, conforme las técnicas analíticas utilizadas para procesar los conjuntos de datos se vuelven más sofisticadas, los individuos y comunidades pueden resultar afectados de nuevas e inesperadas formas.

En este escenario cambiante, se hace necesario establecer procesos comunes aplicables a los activos de datos de toda organización a lo largo de su ciclo de vida maximizando su valor mediante iniciativas de gobierno de datos que aseguren un enfoque estructurado, gestionado, coherente y estandarizado a todas las actividades, operaciones y servicios relacionados con datos.  En definitiva, se debe asegurar que la definición, creación, almacenamiento, mantenimiento, acceso y uso de los datos (gestión de los datos) se hace siguiendo una estrategia de datos alineada con las estrategias organizacionales (gobierno de los datos), y que los datos que se utilizan son adecuados para el uso que se pretende (calidad de los datos).

Especificaciones UNE de Gobierno, gestión y calidad del dato

La Oficina del Dato, unidad encargada de dinamizar la compartición, la gestión y el uso de los datos a lo largo de todos los sectores productivos de la Economía y Sociedad española, para dar respuesta a la necesidad de contar con un marco de referencia que dé soporte tanto a organismos públicos como privados en sus esfuerzos de realizar un adecuado Gobierno, gestión y calidad del dato, ha patrocinado, promovido y participado en la generación de especificaciones nacionales UNE al respecto.

Las especificaciones UNE 0077:2023 Gobierno del dato, UNE 0078:2023 Gestión del dato y UNE 0079:2023 Gestión de la calidad del dato están concebidas para ser aplicadas de forma conjunta, habilitando la concepción de un marco de referencia sólido y armonizado que fomente la adopción de prácticas sostenibles y efectivas alrededor del dato.

La coordinación es impulsada por el gobierno del dato que establece los mecanismos necesarios para asegurar el uso y explotación adecuado de los datos mediante la implantación y ejecución de los procesos de gestión del dato y procesos de gestión de calidad del dato, todo ello de acuerdo con las necesidades del oportuno proceso de negocio, y teniendo en cuenta las limitaciones y posibilidades de las organizaciones que utilizan los datos.

Cada especificación normativa se presenta con un enfoque orientado a procesos y cada uno de los procesos presentados se describe atendiendo a su contribución a los siete componentes de un sistema de gobierno y gestión del dato, tal como se introduce en COBIT 2019:

  • Proceso, detallando su propósito, resultado, tareas y productos conforme a la Norma ISO 8000-61.
  • Principios, políticas y marcos de referencia.
  • Estructuras organizativas, que identifican los órganos de gobierno y toma de decisiones de los datos.
  • Información, que se requiere y se genera en cada uno de los procesos.
  • Cultura, ética y comportamiento, como conjunto de conductas individuales y colectivas de las personas y de la organización.
  • Personas, habilidades y competencias necesarias para poder completar todas las actividades y la toma de decisiones y acciones correctivas.
  • Servicios, infraestructuras y aplicaciones incluye lo relacionado con las tecnologías para dar soporte a los procesos de gestión de datos, gestión de calidad de datos y gobierno de datos.

Especificación UNE 0077:2023 Gobierno del dato

La especificación UNE 0077:2023 cubre aspectos relativos al gobierno del dato. Se describe la creación de un gobierno del dato con que evaluar, dirigir y monitorizar el uso de los datos de una organización, de forma que contribuyan al buen desempeño de la misma, obteniendo el mayor valor de los datos, a la vez que mitigando los riesgos derivados de su uso. El gobierno del dato tiene por tanto un carácter estratégico, mientras que la gestión del dato tiene un carácter más orientado a materializar los objetivos marcados en la estrategia.

La realización de un adecuado gobierno del dato implica el correcto desempeño siguientes procesos:

  1. Establecimiento de la estrategia del dato
  2. Establecimiento de políticas, buenas prácticas y procedimientos del dato
  3. Establecimiento de estructuras organizativas
  4. Optimización de los riesgos de los datos
  5. Optimización del valor de los datos

Especificación UNE 0078:2023 Gestión del dato

La especificación UNE 0078:2023 cubre los aspectos relativos a gestión del dato. La gestión del dato se define como el conjunto de actividades encaminadas a garantizar la entrega exitosa de datos relevantes y con niveles de calidad adecuados a los agentes involucrados a lo largo del ciclo de vida del dato, dando soporte a los procesos de negocio establecidos en la estrategia organizativa, siguiendo las directrices del gobierno del dato, y de acuerdo con los principios de la gestión de la calidad del dato.

La realización de una adecuada gestión del dato involucra el desarrollo de trece procesos:

  1. Procesamiento del dato
  2. Gestión de la infraestructura tecnológica
  3. Gestión de requisitos del dato
  4. Gestión de la configuración del dato
  5. Gestión de datos histórico
  6. Gestión de seguridad del dato
  7. Gestión del metadato
  8. Gestión de la arquitectura y diseño del dato
  9. Compartición, intermediación e integración del dato
  10. Gestión del dato maestro
  11. Gestión de recursos humanos
  12. Gestión del ciclo de vida del dato
  13. Análisis del dato

Especificación UNE 0079:2023 Gestión de la calidad del dato

La especificación UNE 0079:2023 cubre los procesos de gestión de la calidad del dato necesarios para establecer un marco de mejora de la calidad de los datos. La gestión de la calidad del dato se define como el conjunto de actividades encaminadas a asegurar que los datos tienen niveles de calidad adecuados para el uso que permita satisfacer la estrategia de una organización. Contar con datos de calidad permitirá obtener de los datos el máximo potencial a través de los procesos de negocio de una organización

De acuerdo con el circulo de mejora continua PDCA de Deming, la gestión de la calidad del dato involucra cuatro procesos:

  1. Planificación de calidad del dato,
  2. Control y monitorización de calidad del dato,
  3. Aseguramiento de calidad del dato, y
  4. Mejora de calidad del dato.

Los procesos de gestión de la calidad del dato están destinados a conseguir que los datos cumplan con los requisitos de calidad del dato expresados conforme al estándar ISO/IEC 25012.

Modelo de madurez

Como marco de aplicación conjunto de las diferentes especificaciones se esboza un modelo de madurez en datos, consistente con él, que integra los procesos de gobierno, gestión y gestión de la calidad del dato mostrando cómo se puede llevar a cabo la implantación progresiva de los procesos y sus capacidades, definiendo un camino de mejora y excelencia a lo largo de diferentes niveles para llegar a ser una organización madura en datos.

La Oficina del Dato promoverá la generación de la especificación UNE 0080 para proporcionar un modelo de evaluación de la madurez en datos que sea conforme con el contenido de las especificaciones de gobierno, gestión y gestión de la calidad del dato y el citado marco.

El contenido de esta guía puede descargarse de forma libre y gratuita desde el portal de AENOR a través del enlace que figura a continuación accediendo al apartado de compra. El acceso a esta familia de especificaciones UNE del dato está patrocinado por la Secretaría de Estado de Digitalización e Inteligencia Artificial, Dirección General del Dato. Aunque la descarga requiere registro previo, se aplica un descuento del 100% sobre el total del precio que se aplica en el momento de finalizar la compra. Tras finalizar la compra se podrá acceder a la norma o normas seleccionadas desde el área de cliente en el apartado mis productos.

calendar icon