El recent Reglamento (UE) 2023/2854 del Parlament Europeu i del Consell de 13 de desembre de 2023 sobre normes harmonitzades per a un accés just a les dades i la seva utilització (Data Act) incorpora importants novetats en la normativa europea a l'hora de facilitar l'accés a les dades generades pels productes connectats i els serveis relacionats . A més d'establir mesures per impulsar la interoperabilitat als espais de dades, els serveis de tractament de dades i els contractes intel·ligents, la nova regulació també incorpora una important novetat en regular la posada a la disposició de dades a favor de les entitats públiques en situacions excepcionals.
Una nova orientació en la regulació europea?
Amb la normativa sobre reutilització de la informació del sector públic es pretenia fonamentalment facilitar l'accés a les dades generades per les entitats del sector públic, de manera que s'impulsés el desenvolupament de serveis de valor afegit basats en la innovació tecnològica. De fet, tal com s'afirma expressament en la Directiva de 2019 , la reforma que va dur a terme es justificava en gran manera per la necessitat de actualitzar el marc normatiu aplicable als nous desafiaments que plantejava la tecnologia digital i, en particular, la Intel·ligència Artificial o l'Internet de les Coses.
Posteriorment, a l'empara de la Estratègia Europea de Dades es va aprovar una regulació sobre governança , s'han impulsat els espais de dades i, així mateix, s'ha publicat fa tan sol uns mesos la Data Act. Aquesta última implica un important gir des del punt de vista dels subjectes afectats ja que, a diferència de les regulacions anteriors centrades en les obligacions de les entitats del sector públic, d'una banda, disciplina les relacions entre privats i, per una altra, estableix una important mesura destinada al fet que les entitats privades siguin els qui proporcionin dades als organismes públics en certes condicions singulars.
En quines situacions han de proporcionar-se les dades?
En primer lloc, és necessari emfatitzar que la Data Act no té per objecte ampliar els supòsits en què les entitats privades han de lliurar dades als organismes públics en compliment de les seves potestats de supervisió i compliment normatiu, com pot ser el cas de la prevenció, recerca i imposició de sancions penals o administratives. Així doncs, no afecta a les obligacions que els subjectes privats ja hagin de complir perquè, sobre la base de les dades sol·licitades, els organismes públics puguin exerceixin la seva activitat habitual en l'exercici d'una missió de servei públic com les indicades.
Es tracta, en canvi, d'una regulació que pretén fer front a situacions excepcionals, imprevisibles i limitades en el temps, que poden referir-se:
- A la necessitat d'obtenir les dades per respondre a una emergència pública que no es trobin disponibles per mitjans alternatius en condicions equivalents, com pot ser el cas del subministrament de dades en entorns i plataformes ja existents que s'haguessin desplegat per a una altra finalitat (per exemple: prestació d'un servei, execució d'un projecte de col·laboració…);
- A la impossibilitat per part de l'entitat pública de disposar de dades específiques per fer front a una tasca assignada per la llei i realitzada en interès públic quan s'hagin esgotat tots els altres mitjans a la seva disposició, com pot ser el cas de la compra de dades no personals al mercat per l'organisme públic, la consulta a una base de dades púbiques o la seva obtenció sobre la base d'obligacions prèviament existents per als subjectes privats.
En aquest últim supòsit, és a dir, quan la necessitat de disposar de les dades no es justifiqui per l'exigència de respondre a situacions d'emergència, l'objecte de la sol·licitud no podrà referir-se a dades de caràcter personal tret que, per la pròpia naturalesa de la petició, sigui imprescindible poder conèixer en algun moment la identitat del seu titular. En aquest cas serà necessari procedir a la seudonimización. En conseqüència, atès que les dades no estarien anonimizados , s'hauran de tenir en compte les garanties que estableix la normativa sobre protecció de dades. En concret:
- Les dades s'hauran de separar del seu titular perquè aquest no pugui ser identificat per una altra persona no autoritzada.
- Hauran d'adoptar-se mesures tècniques i organitzatives que impedeixin la reidentificación del titular, salvo per qui està habilitat per a això quan resulti necessari.
Para quines finalitats no es poden utilitzar les dades?
Tret que l'entitat privada que els proporcioni l'hagués autoritzat expressament, els organismes públics no poden emprar les dades per satisfer una finalitat diferent a la qual va justificar la seva posada a disposició. No obstant això, en l'àmbit de l'estadística oficial o quan es necessitin dur a terme activitats de recerca científica o anàlisi que no puguin realitzar per si mateixes les pròpies entitats públiques que sol·liciten les dades, es permet que es puguin cedir a altres entitats per realitzar aquestes activitats. Ara bé, aquesta possibilitat presenta importants limitacions, ja que aquestes activitats han de resultar compatibles amb les finalitats pels quals es van obtenir les dades, la qual cosa impediria per exemple utilitzar les dades per entrenar algorismes que després puguin emprar-se per a l'exercici d'altres funcions o competències pròpies de l'entitat pública no relacionades amb la recerca o l'anàlisi. Així mateix, les dades només podran posar-se a la disposició d'entitats sense ànim de lucre o que satisfacin finalitats d'interès públic com poden ser les universitats i els organismes públics de recerca.
Tampoc es podran utilitzar les dades per desenvolupar o millorar productes i serveis relacionats amb l'entitat que els entrega, ni compartir-los amb tercers per a aquestes finalitats. Això impediria, per exemple, que utilitzin les dades per entrenar sistemes d'Intel·ligència Artificial per part de l'entitat pública o un dels seus contractistes que afectin negativament a fi de l'activitat habitual de l'entitat que els va proporcionar.
Finalment, les dades obtingudes en aplicació d'aquesta regulació no poden posar-se a la disposició d'altres subjectes a l'empara de la normativa sobre dades obertes i reutilització del sector públic, de manera que la seva aplicació queda exclosa expressament.
Quines garanties s'estableixen per al titular de les dades obligat a lliurar-los?
La petició de les dades haurà de formular-se per l'organisme públic mitjançant una sol·licitud formal en la qual caldrà determinar les dades necessàries i justificar per què es dirigeix a l'entitat que rep el requeriment. A més, serà imprescindible explicar les raons excepcionals que sustentin la sol·licitud i, en concret, per què no és possible obtenir les dades per una altra via.
Amb caràcter general, el titular de les dades té dret a formular una reclamació enfront de la sol·licitud de les dades, que haurà de dirigir a l'autoritat competent designada per cada Estat per garantir l'aplicació del Reglament i que figurarà en el registre que estableixi la Comissió Europea.
Finalment, en certs casos, es reconeix al titular de les dades el dret a sol·licitar una compensació raonable pels costos i un marge raonable necessari per posar les dades a la disposició de l'entitat pública, si bé aquesta última pot impugnar la compensació sol·licitada davant l'autoritat abans referida. No obstant això, quan la petició d'accés a les dades es justifiqui en la necessitat de respondre a emergències públiques o la salvaguarda d'un interès públic significatiu, no es contempla compensació alguna als titulars de les dades. Est seria el cas d'un esdeveniment d'origen natural (terratrèmols, riuades…) o situacions imprevistes i greus que afecten al normal funcionament social en àmbits essencials com la salut o l'ordre públic.
En definitiva, l'obligació de proporcionar dades a les entitats públiques per part dels subjectes privats en aquests casos va més enllà de l'objectiu d'impulsar un mercat únic de dades a nivell de la Unió Europea, finalitat que en gran manera havia sustentat l'avanç en la regulació en matèria de dades en els últims anys. No obstant això, la gravetat de la situació generada com a conseqüència del Covid-19 ha evidenciat la necessitat d'establir un marc normatiu general que garanteixi que les entitats públiques puguin disposar de les dades necessàries per fer front a situacions excepcionals per raons d'interès públic. En tot cas, l'efectivitat d'aquestes mesures només podrà comprovar-se a partir de setembre de 2025, quan està prevista la seva efectiva aplicació.