El conveni per proporcionar dades estadístiques a investigadors en el context del Reglament de governança de dades

El conveni celebrat per l'Institut Nacional d'Estadística (INE), l'Agència Estatal d'Administració Tributària (AEAT), diferents instàncies de la Seguretat Social, el Servei Públic d'Ocupació Estatal(SEPE) i el Banc d'España per dinamitzar l'accés a dades s'emmarca en aquesta estratègia de la UE els principis de la qual, regles i condicions han d'exposar-se per situar-la en el context, subratllar la seva importància i entendre les implicacions del conveni.

Competir des de la garantia dels nostres drets

La UE competeix amb cert desavantatge estructural respecte d'Estats Units o la República Popular la Xina. En el costat nord-americà, els processos de desenvolupament de tecnologies disruptives en el context d'Internet i, particularment, el desplegament de cercadors, xarxes socials i aplicacions mòbils han afavorit el naixement d'un mercat de data broking en el qual unes poques empreses posseeixen un poder gairebé monopolístico sobre les dades. Els grans campions del món digital manegen informació pràcticament sobre tots els sectors d'activitat, gràcies a un model de negoci basat en la capitalització o la mercantilización de la nostra privadesa i la seva entrada en sectors com la salut o les polseres d'activitat. Cada vegada que un usuari va fer una cerca, va enviar un missatge de correu electrònic, va comentar en una xarxa social o va dictar un missatge al mòbil, va alimentar aquesta posició de domini i va sustentar el desenvolupament de grans models de llenguatge en intel·ligència artificial o el desplegament d'eines algorítmiques vinculades al màrqueting neuroemocional.

De el costat xinès, existeix un model d'Internet tancat sota control estatal, amb una posició de participació i vigilància sobre les grans multinacionals locals del sector i s'apunta un domini global sobre el tráfico de les xarxes 5G. Se tracta d'un Estat vigilant que s'ha convertit en la primera potència en el desplegament de la intel·ligència artificial mitjançant videovigilancia i reconeixement facial i que maneja una política d'Estat molt clara en matèria de desplegament de la Intel·ligència artificial (IA), generant avantatges per competir en aquesta carrera.

La  UE  part d'una posició aparentment desventajosa. No es tracta en absolut de manca de talent o altes capacitats. Gran part de l'ecosistema d'Internet i de les tecnologies de la informació ha estat desenvolupat a Europa o per talent europeu. No obstant això, el nostre mercat no ha estat capaç de generar condicions que permetessin l'aparició de grans campions tecnològics capaços de suportar el conjunt de la cadena de valor, des d'infraestructures en cloud a la disponibilitat de grans volums de dades que alimenten aquest ecosistema. D'altra banda, la UE va adoptar un compromís ètic, polític i jurídic amb les llibertats, l'equitat i la democràcia. Aquesta posició, que ha operat com una sort de barrera en termes de costos i processos, integra en el seu si els requeriments essencials que requereix una transformació digital democràtica, inclusiva i garant de les llibertats.

L'aposta de Data Governance Act

El substrat jurídic de la compartició de dades s'integra per una complexa estructura modular que integra el  Reglament General de Protecció de Dades(RGPD) , la  Directiva de dades obertes i reutilització d'informació del sector públic , la  Data Governance Act (DGA) , la Data Act (DONA) i, en el futur immediat, la  llei sobre Inteligencia Artificial (RIA) i el Reglament sobre l'Espai Europeu de Dades Sanitàries (EHDS en les seves sigles en anglès) . Les normes han de facilitar la reutilització de les dades, inclosos aquells baix l'abast de la protecció de dades, la propietat intel·lectual i el secret empresarial. Per fer-ho possible han d'operar diversos factors, que s'exposen a continuació:

1. La compartició de dades des de l'Administració ha de créixer exponencialment i generar un mercat de dades ara com ara monopolitzat per companyies foranes.
2. La sobirania digital en termes jurídics serà també un element dinamitzador del creixement en la mesura en la qual defineix regles de mercat basades en la filosofia de la Unió Europea centrades en la garantia dels drets fonamentals. Això hauria de tenir una conseqüència immediata a l'hora de definir processos orientats a generar productes segurs/segurs i segurs/segurs.
3. La sobirania digital tindrà al seu torn conseqüències tecnològiques rellevants. Els espais de dades ja sigui públics, ja sigui promoguts des de digital hubs o federacions de nodes, com Gaia X, han de posar les dades a l'abast de l'investigador individual o la start up, incloent els dashboard d'aplicacions i el suport tècnic.
4. El resultat de la normativa no és un altre que accelerar i incrementar les possibilitats d'alliberar i compartir dades.  La UE i el conveni que analitzem cerquen alliberar dades subjectes a deures de secret comercial, propietat intel·lectual o, singularment, la protecció de les dades de caràcter personal, de manera segur a través de processos d'intermediació en entorns de dades segures/segures. Aquesta matèria ha ocupat entre uns altres a l'Agència Agència Espanyola de Protecció de Dades o a l'Agència Europea de Ciberseguretat ( ENISA , en les seves sigles en anglès). Això implica apostar per l'anonimització i/o per entorns de cuasi-anonimització a través de tecnologies com la privadesa diferencial, l'encriptació encriptació homomórfica o la computació multi-part .

I tot això des de la garantia dels drets fonamentals i l'apoderament de les persones. RGPD, DGA, DONA i EHDS haurien de permetre aconseguir el doble objectiu de generar un mercat europeu de lliure circulació i reutilització de dades protegides. Es garanteix així que les persones i entitats exerceixin els seus drets de control i, alhora sigui possible compartir-los fomentant a més l'altruisme de dades. D'altra banda, RGPD, DGA, EHDS i RIA defineixen límits precisos mitjançant prohibicions d'ús, condicions d'accés reglades i procediments de disseny ètica i jurídicament garantits. Amb una idea que ha de considerar-se central, hi ha una dimensió de l'interès públic o comú que, més enllà de les batalles èpiques de COVID, aconsegueix a les pequeño però essencials aspiracions de l'investigador individual, de l'emprenedor disruptiu, de la PIME que tracta de millorar la seva cadena de valor o de l'Administració innovant processos al servei de les persones.

Espanya aposta per la transformació digital dels espais de dades

El Pla 2025, l'Estratègia d'Intel·ligència Artificial, l'esforç dels fons Next Generation a través dels seus Projectes Estratègics per a la Recuperació i Transformación Económica (PERTES), les Missions de IA i la Carta de Drets Digitals exemplifiquen l'alineament i lideratge d'Espanya en aquest àmbit. Per fer viables aquestes estratègies, és fonamental disposar de dades i entorns segurs/segurs de procés. Ara, a l'Espai Nacional de Dades de Salut, s'uneix el  conveni celebrat entre l'INE, l'AEAT, diferents instàncies de la Seguretat Social, el SEPE i el Banc d'Espanya . Com declara la seva exposició de motius, constitueix un primer i esperançador pas per al desplegament de DGA al nostre país.

Aquestes entitats entenen no solament el valor científic i empresarial de la informació estadística que manegen, sinó també el significatiu creixement de la seva demanda i necessitat. D'altra banda, assumeixen una qüestió qualitativament rellevant: el interès que deriva de la interconnexió de conjunts de dades des del punt de vista del valor que aporten. Per això declaren la seva voluntat de maximitzar el valor afegit de les seves dades permetent l'encreuament o integració quan la recerca es realitzi amb finalitats científiques d'interès públic.

Les claus del conveni per proporcionar dades estadístiques a investigadors amb finalitats científiques d'interès públic

A continuació, es resolen algunes dels dubtes que puguin sorgir pel que fa a aquest conveni.

• Com es pot accedir a les dades?

L'accés a les dades passa per una sol·licitud d'accés a informació creuada que ha de ser individualment acceptada per cada institució. Per a això es tenen en compte certs criteris de valoració que atenen a la naturalesa de les dades i a l'interès de la proposta.

Facilitar aquest accés implica per a les institucions signatàries un esforç de desidentificación i encreuament realitzat per cadascuna d'elles directament o a través de tercers de confiança. El resultat, “depenent del nivell de seguretat del fitxer resultant”, implicarà:

• Un accés directe i autònom.
• Un procés de les dades en un de les sales o centres segurs/segurs que posin a disposició les entitats signatàries.

Algunes de les sales actualment disponibles són:

• INE
• Seguretat Social (SS)
• Banc d'Espanya (BE)

En execució de les previsions de la DGA s'ha habilitat el “ Punt Únic d'Informació Nacional ” (NSIP per les seves sigles en anglès), des d'on ciutadans, empresaris o investigadors, puguin localitzar informació sobre dades protegides del sector públic. Aquest punt es troba disponible en datos.gob.es.

• Quines dades es comparteixen?

El volum i les tipologies de dades que manegen són realment significatius. La nota de premsa de presentació del conveni assenyalava que es podrà accedir a "les bases de microdatos de les quals són titulars l'INE, l'AEAT, la SS i el BE, amb les necessàries garanties de seguretat, secret estadístic, protecció de dades personals i submissió a la Llei vigent. A més de les bases de dades estadístiques procedents de les seves enquestes, l'INE també podrà donar accés a registres administratius, tant als elaborats o coordinats per ell, com als d'una altra titularitat però que l'INE utilitza per elaborar les seves estadístiques (consultant en aquest últim cas totes les sol·licituds d'accés als titulars dels corresponents registres)".

• Qui pot accedir a les dades?

Per concedir l'accés a les dades, es tindran en compte, entre altres aspectes, el règim de confidencialitat aplicable a les dades sol·licitades i el seu marc legal, l'interès social dels resultats que es pretenen obtenir en la recerca, el perfil, trajectòria i publicacions científiques de l'investigador principal i dels investigadors associats o l'historial de projectes de recerca de l'entitat que avala el projecte.

Una de les qüestions que ha previst la DGA en aquesta matèria consisteix a possibilitar l'establiment de contraprestacions econòmiques que assegurin la sostenibilitat del sistema. En qualsevol cas, la clàusula tercera del conveni ha previst la possibilitat de percebre contraprestacions econòmiques dels sol·licitants pels serveis de preparació i posada a la disposició de les dades contingudes a les bases que són de la seva titularitat, segons el previst en la legislació estadística (article 21.3 de la  Llei 12/1989, de 9 de maig, de la Funció Estadística Pública - LFEP ) i en la normativa reguladora de cada institució.

• Quins reptes afronten els sol·licitants d'accés a dades i els signants?

Amb independència de les condicions científiques de la proposta de recerca, és fonamental apel·lar a les institucions que la despleguen per créixer de manera significativa en la qualitat dels seus processos de compliment en matèria de protecció de dades i seguretat de la informació. Però no bastarà amb això, el desplegament de la intel·ligència artificial obliga a incorporar processos addicionals que podem trobar en el document de la Conferència de Rectors d'Universitats Espanyoles  CRUE TIC 360º , abordat en 2023 per al supòsit de la universitat. Si bé és cert que RIA proposa un escenari de menor regulació en la recerca bàsica, també obliga a un desplegament ètic d'alt nivell. I per a això, serà essencial aplicar principis d'ètica de la intel·ligència artificial, amb el model ALTAI  (Assessment List for Trustworthy Artificial Intelligence) o un altre alternatiu, i a l'Anàlisi Análisis de Impacto en els drets fonamentals (FRAIA). Això sense descurar els alts requeriments legals per al desenvolupament de sistemes orientats al mercat. Més enllà, de les declaracions formals del Conveni, les lliçons apreses en projectes europeus ens fan afirmar la necessitat d'un entramat procedimental de verificació jurídica i ètica, basada en l'evidència, sobre els projectes de recerca i les capacitats de les institucions que sol·licitin accés a dades.

Des del punt de vista de les institucions signatàries, a més del repte de la sostenibilitat econòmica del model, prevista i regulada en el conveni, sembla evident la necessitat d'una estratègia d'inversió regulatòria. No ens cap dubte que cada repositori de dades i els processos que els sostenen han comptat amb una avaluació d'impacte relativa a la protecció de dades i amb les metodologies de seguretat vinculades a l'Esquema Nacional. La protecció de dades des del disseny i per defecte o el compliment de les recomanacions sobre anonimització i gestió d'espais de dades a dalt citades seran altres elements considerats. I això es tradueix en processos, però també en persones, -chief data officers, analistes de dades, altres mediadors com a persones delegades de protecció de dades… -, al costat d'un alt nivell d'exigència en seguretat. D'altra banda, el deure transparència respecte de la ciutadania obligarà a disposar de canals eficients i un model molt precís de gestió del risc davant un eventual exercici massiu d'un dret d'oposició al tractament, sense perjudici de la seva viabilitat.

Finalment, l'Agència Espanyola de Protecció de Dades hauria d'aproximar-se a aquest procés de manera proactiva i promocional sense renunciar al seu rol de garant de drets fonamentals, però contribuint al desenvolupament de solucions funcionals. Aquest no és un conveni qualsevol sinó un banc de proves essencial per al futur de la recerca amb dades a Espanya.

Al nostre judici, la declaració més il·lusionant d'aquestes institucions consisteix a entendre el conveni "com l'embrió del futur Sistema d'accés a dades per a la recerca amb finalitats científiques d'interès públic, que haurà de ser conforme a l'estratègia espanyola i europea sobre dades i a la legislació sobre la seva governança, en un marc de desenvolupament d'espais de dades del sector públic, i respectar en tot caso l'autonomia i el règim legal aplicable al Banc d'Espanya".

Font original de la notícia