O recente Regulamento (UE) 2023/2854 do Parlamento Europeo e do Consello do 13 de decembro de 2023 sobre normas harmonizadas para un acceso xusto aos datos e a súa utilización (Data Act) incorpora importantes novidades na normativa europea á hora de facilitar o acceso aos datos xerados polos produtos conectados e os servizos relacionados . Ademais de establecer medidas para impulsar a interoperabilidade nos espazos de datos, os servizos de tratamento de datos e os contratos intelixentes, a nova regulación tamén incorpora unha importante novidade a o regular a posta a disposición de datos a favor das entidades públicas en situacións excepcionais.
Unha nova orientación na regulación europea?
Coa normativa sobre reutilización da información do sector público pretendíase fundamentalmente facilitar o acceso aos datos xerados polas entidades do sector público, de maneira que se impulsase o desenvolvemento de servizos de valor engadido baseados na innovación tecnolóxica. De feito, tal e como se afirma expresamente en a Directiva de 2019 , a reforma que levou a cabo xustificábase en gran medida pola necesidade de actualizar o marco normativo aplicable aos novos desafíos que expuña a tecnoloxía dixital e, en particular, a Intelixencia Artificial ou a Internet das Cousas.
Posteriormente, ao abeiro de a Estratexia Europea de Datos aprobouse unha regulación sobre gobernación , impulsáronse os espazos de datos e, así mesmo, publicouse hai tan só uns meses dátaa Act. Esta última implica un importante xiro desde o punto de vista dos suxeitos afectados xa que, a diferenza das regulacións anteriores centradas nas obrigas das entidades do sector público, por unha banda, disciplina as relacións entre privados e, por outra, establece unha importante medida destinada a que as entidades privadas sexan quen proporcionen datos aos organismos públicos en certas condicións singulares.
En que situacións han de proporcionarse os datos?
En primeiro lugar, é necesario salientar que a Data Act non ten por obxecto ampliar os supostos en que as entidades privadas teñen que entregar datos aos organismos públicos en cumprimento das súas potestades de supervisión e cumprimento normativo, como pode ser o caso de a prevención, investigación e imposición de sancións penais ou administrativas. Así pois, non afecta as obrigas que os suxeitos privados xa teñan que cumprir para que, con base nos datos solicitados, os organismos públicos poidan exerzan a súa actividade habitual no exercicio dunha misión de servizo público como as indicadas.
Trátase, en cambio, dunha regulación que pretende facer fronte a situacións excepcionais, imprevisibles e limitadas no tempo, que poden referirse:
- Á necesidade de obter os datos para responder a unha emerxencia pública que non se atopen dispoñibles por medios alternativos en condicións equivalentes, como pode ser o caso da subministración de datos en contornas e plataformas xa existentes que se despregaron para outra finalidade (por exemplo: prestación dun servizo, execución dun proxecto de colaboración…);
- Á imposibilidade por parte da entidade pública de dispor de datos específicos para facer fronte a unha tarefa asignada pola lei e realizada en interese público cando se esgotaron todos os demais medios ao seu dispor, como pode ser o caso da compra de datos non persoais no mercado polo organismo público, a consulta a unha base de datos púbicas ou a súa obtención con base en obrigas previamente existentes para os suxeitos privados.
Neste último suposto, é dicir, cando a necesidade de dispor dos datos non se xustifique pola esixencia de responder a situacións de emerxencia, o obxecto da solicitude non poderá referirse a datos de carácter persoal salvo que, pola propia natureza do pedimento, sexa imprescindible poder coñecer nalgún momento a identidade do seu titular. Nese caso será necesario proceder a a seudonimización. En consecuencia, dado que os datos non estarían anonimizados , haberanse de ter en conta as garantías que establece a normativa sobre protección de datos. En concreto:
- Os datos teranse que separar do seu titular para que este non poida ser identificado por outra persoa non autorizada.
- Haberán de adoptarse medidas técnicas e organizativas que impidan a reidentificación do titular, salvo por quen está habilitado para iso cando resulte necesario.
Para que finalidades non se poden utilizar os datos?
Salvo que a entidade privada que os proporcione o autorizase expresamente, os organismos públicos non poden empregar os datos para satisfacer unha finalidade distinta á que xustificou a súa posta a disposición. Con todo, no ámbito da estatística oficial ou cando se necesiten levar a cabo actividades de investigación científica ou análise que non poidan realizar por si mesmas as propias entidades públicas que solicitan os datos, permítese que se poidan ceder a outras entidades para realizar as ditas actividades. Agora ben, esta posibilidade presenta importantes limitacións, xa que ditas actividades deben resultar compatibles cos fins para os que se obtiveron os datos, o que impediría por exemplo utilizar os datos para adestrar algoritmos que logo poidan empregarse para o exercicio doutras funcións ou competencias propias da entidade pública non relacionadas coa investigación ou a análise. Así mesmo, os datos só poderán porse a disposición de entidades sen ánimo de lucro ou que satisfagan fins de interese público como poden ser as universidades e os organismos públicos de investigación.
Tampouco se poderán utilizar os datos para desenvolver ou mellorar produtos e servizos relacionados coa entidade que a entrega, nin compartilos con terceiros para o este fin. Isto impediría, por exemplo, que utilicen os datos para adestrar sistemas de Intelixencia Artificial por parte da entidade pública ou un dos seus contratistas que afecten negativamente co obxecto da actividade habitual da entidade que os proporcionou.
Por último, os datos obtidos en aplicación desta regulación non poden porse a disposición doutros suxeitos ao abeiro da normativa sobre datos abertos e reutilización do sector público, de maneira que a súa aplicación queda excluída expresamente.
Que garantías establécense para o titular dos datos obrigado a entregalos?
O pedimento dos datos deberá formularse polo organismo público mediante unha solicitude formal na que será preciso determinar os datos necesarios e xustificar por que se dirixe á entidade que recibe o requirimento. Ademais, será imprescindible explicar as razóns excepcionais que sustenten a solicitude e, en concreto, por que non é posible obter os datos por outra vía.
Con carácter xeral, o titular dos datos ten dereito a formular unha reclamación fronte á solicitude dos datos, que haberá de dirixir á autoridade competente designada por cada Estado para garantir a aplicación do Regulamento e que figurará no rexistro que estableza a Comisión Europea.
Finalmente, en certos casos, recoñécese ao titular dos datos o dereito a solicitar unha compensación razoable polos custos e unha marxe razoable necesario para pór os datos a disposición da entidade pública, aínda que esta última pode impugnar a compensación solicitada ante a autoridade antes referida. Con todo, cando o pedimento de acceso aos datos xustifíquese na necesidade de responder a emerxencias públicas ou a salvagarda dun interese público significativo, non se contempla compensación algunha aos titulares dos datos. Este sería o caso dun acontecemento de orixe natural (terremotos, riadas…) ou situacións imprevistas e graves que afectan ao normal funcionamento social en ámbitos esenciais como a saúde ou a orde pública.
En definitiva, a obriga de proporcionar datos ás entidades públicas por parte dos suxeitos privados nestes casos vai máis aló do obxectivo de impulsar un mercado único de datos a nivel da Unión Europea, finalidade que en gran medida sustentara o avance na regulación en materia de datos nos últimos anos. Con todo, a gravidade da situación xerada como consecuencia da Covid-19 evidenciou a necesidade de establecer un marco normativo xeneral que garanta que as entidades públicas poidan dispor dos datos necesarios para facer fronte a situacións excepcionais por razóns de interese público. En todo caso, a efectividade destas medidas só poderá comprobarse a partir de setembro de 2025, cando está prevista a súa efectiva aplicación.
