O convenio para proporcionar datos estatísticos a investigadores no contexto do Regulamento de gobernación de datos

O convenio celebrado polo Instituto Nacional de Estatística (INE), a Axencia Estatal de Administración Tributaria (AEAT), distintas instancias da Seguridade Social, o Servizo Público de Emprego Estatal(SEPE) e o Banco de España para dinamizar o acceso a datos enmárcase nesta estratexia da UE cuxos principios, regras e condicións deben exporse para situala no contexto, subliñar a súa importancia e entender as implicacións do convenio.

Competir desde a garantía dos nosos dereitos

Compítea UE con certa desvantaxe estrutural respecto de Estados Unidos ou a República Popular China. En o lado norteamericano, os procesos de desenvolvemento de tecnoloxías disruptivas no contexto de Internet e, particularmente, o despregamento de buscadores, redes sociais e aplicacións móbiles favoreceron o nacemento dun mercado de data broking no que unhas poucas empresas posúen un poder case monopolístico sobre os datos. Os grandes campións do mundo dixital manexan información practicamente sobre todos os sectores de actividade, grazas a un modelo de negocio baseado na capitalización ou a mercantilización da nosa privacidade e a súa entrada en sectores como a saúde ou as pulseiras de actividade. Cada vez que un usuario fixo unha procura, enviou unha mensaxe de correo electrónico, comentou nunha rede social ou ditou unha mensaxe ao móbil, alimentou esa posición de dominio e sustentou o desenvolvemento de grandes modelos de linguaxe en intelixencia artificial ou o despregamento de ferramentas algorítmicas vinculadas á mercadotecnia neuroemocional.

De o lado chinés, existe un modelo de Internet pechado baixo control estatal, cunha posición de participación e vixilancia sobre as grandes multinacionais locais do sector e apúntase un dominio global sobre o tráfico das redes 5G. Se trata dun Estado vixiante que se converteu en a primeira potencia no despregamento da intelixencia artificial mediante videovigilancia e recoñecemento facial e que manexa unha política de Estado moi clara en materia de despregamento da Intelixencia artificial (IA), xerando vantaxes para competir nesta carreira.

A  UE  parte dunha posición aparentemente desventajosa. Non se trata en absoluto de carencia de talento ou altas capacidades. Gran parte do ecosistema de Internet e das tecnoloxías da información foi desenvolvido en Europa ou por talento europeo. Con todo, o noso mercado non foi capaz de xerar condicións que permitisen a aparición de grandes campións tecnolóxicos capaces de soportar o conxunto da cadea de valor, desde infraestruturas en cloud á dispoñibilidade de grandes volumes de datos que alimentan este ecosistema. Por outra banda, adoptouna UE un compromiso ético, político e xurídico coas liberdades, a equidade e a democracia. Esta posición, que operou como unha sorte de barreira en termos de custos e procesos, integra no seu seo os requirimentos esenciais que require unha transformación dixital democrática, inclusiva e garante das liberdades.

A aposta de Data Governance Act

O substrato xurídico da compartición de datos intégrase por unha complexa estrutura modular que integra o  Regulamento Xeral de Protección de Datos(RGPD) , a  Directiva de datos abertos e reutilización de información do sector público , dátaa  Data Governance Act (DGA) , dátaa Data Act (DÁ) e, no futuro inmediato, a  lei sobre Inteligencia Artificial (RIA) e o Regulamento sobre o Espazo Europeo de Datos Sanitarios (EHDS nas súas siglas en inglés) . As normas deben facilitar a reutilización dos datos, incluídos aqueles baixo o alcance da protección de datos, a propiedade intelectual e o segredo empresarial. Para facelo posible deben operar varios factores, que se expoñen a seguir:

1. A compartición de datos desde a Administración debe crecer exponencialmente e xerar un mercado de datos neste momento monopolizado por compañías foráneas.
2. A soberanía dixital en termos xurídicos será tamén un elemento dinamizador do crecemento na medida na que define regras de mercado baseadas na filosofía da Unión Europea centradas na garantía dos dereitos fundamentais. Iso debería ter unha consecuencia inmediata á hora de definir procesos orientados a xerar produtos seguros e confiables.
3. A soberanía dixital terá á súa vez consecuencias tecnolóxicas relevantes. Os espazos de datos xa sexa públicos, xa sexa promovidos desde dixital hubs ou federacións de nodos, como Gaia X, deben pór os datos ao alcance do investigador individual ou a start up, incluíndo os dashboard de aplicacións e o soporte técnico.
4. O resultado da normativa non é outro que acelerar e incrementar as posibilidades de liberar e compartir datos.  A UE e o convenio que analizamos buscan liberar datos suxeitos a deberes de segredo comercial, propiedade intelectual ou, singularmente, a protección dos datos de carácter persoal, de modo seguro a través de procesos de intermediación en contornas de datos seguros. Esta materia ocupou entre outros á Axencia Española de Protección de Datos ou á Axencia Europea de Ciberseguridade ( ENISA , nas súas siglas en inglés). Iso implica apostar pola anonimización e/ou por contornas de case-anonimización a través de tecnoloxías como a privacidade diferencial, a encriptación homomórfica ou a computación multi-parte .

E todo iso desde a garantía dos dereitos fundamentais e o empoderamiento das persoas. RGPD, DGA, DÁ e EHDS deberían permitir alcanzar o dobre obxectivo de xerar un mercado europeo de libre circulación e reutilización de datos protexidos. Garántese así que as persoas e entidades exerzan os seus dereitos de control e, á vez sexa posible compartilos fomentando ademais o altruísmo de datos. Por outra banda, RGPD, DGA, EHDS e RIA definen límites precisos mediante prohibicións de uso, condicións de acceso reguladas e procedementos de deseño ética e xuridicamente garantidos. Cunha idea que debe considerarse central, hai unha dimensión do interese público ou común que, máis aló das batallas épicas de COVID, alcanza ao pequenas pero esenciais aspiracións do investigador individual, do emprendedor disruptivo, da PEME que trata de mellorar a súa cadea de valor ou da Administración innovando procesos ao servizo das persoas.

España aposta pola transformación dixital dos espazos de datos

O Plan 2025, a Estratexia de Intelixencia Artificial, o esforzo dos fondos Next Generation a través dos seus Proxectos Estratéxicos para a Recuperación e Transformación Económica (PERTES), as Misións de IA e a Carta de Dereitos Dixitais ejemplifican o aliñamento e liderado de España neste ámbito. Para facer viables estas estratexias, é fundamental dispor de datos e contornas seguras de proceso. Agora, ao Espazo Nacional de Datos de Saúde, únese o  convenio celebrado entre o INE, a AEAT, distintas instancias da Seguridade Social, o SEPE e o Banco de España . Como declara a súa exposición de motivos, constitúe un primeiro e esperanzador paso para o despregamento de DGA no noso país.

Estas entidades entenden non só o valor científico e empresarial da información estatística que manexan, senón tamén o significativo crecemento da súa demanda e necesidade. Por outra banda, asumen unha cuestión cualitativamente relevante: o interese que deriva da interconexión de conxuntos de datos desde o punto de vista do valor que achegan. Por iso declaran a súa vontade de maximizar o valor engadido dos seus datos permitindo o cruzamento ou integración cando a investigación se realice con fins científicos de interese público.

As claves do convenio para proporcionar datos estatísticos a investigadores con fins científicos de interese público

A seguir, resólvense algunhas das dúbidas que poidan xurdir con respecto a este convenio.

• Como se pode acceder aos datos?

O acceso aos datos pasa por unha solicitude de acceso a información cruzada que debe ser individualmente aceptada por cada institución. Para iso téñense en conta certos criterios de valoración que atenden á natureza dos datos e ao interese da proposta.

Facilitar este acceso implica para as institucións asinantes un esforzo de desidentificación e cruzamento realizado por cada unha delas directamente ou a través de terceiros de confianza. O resultado, “dependendo do nivel de seguridade do ficheiro resultante”, implicará:

• Un acceso directo e autónomo.
• Un proceso dos datos nun das salas ou centros seguros que poñan a disposición as entidades asinantes.

Algunhas das salas actualmente dispoñibles son:

• INE
• Seguridade Social (SS)
• Banco de España (BE)

En execución das previsións da DGA habilitouse o “ Punto Único de Información Nacional ” (NSIP polas súas siglas en inglés), desde onde cidadáns, empresarios ou investigadores, poidan localizar información sobre datos protexidos do sector público. Este punto atópase dispoñible en datos.gob.es.

• Que datos compártense?

O volume e as tipoloxías de datos que manexan son realmente significativos. A nota de prensa de presentación do convenio sinalaba que se poderá acceder a "as bases de microdatos das que son titulares o INE, a AEAT, a SS e o BE, coas necesarias garantías de seguridade, segredo estatístico, protección de datos persoais e sometemento á Lei vixente. Ademais das bases de datos estatísticas procedentes das súas enquisas, o INE tamén poderá dar acceso a rexistros administrativos, tanto aos elaborados ou coordinados por el, como aos doutra titularidade pero que o INE utiliza para elaborar as súas estatísticas (consultando neste último caso todas as solicitudes de acceso aos titulares dos correspondentes rexistros)".

• Quen pode acceder aos datos?

Para conceder o acceso aos datos, teranse en conta, entre outros aspectos, o réxime de confidencialidade aplicable aos datos solicitados e o seu marco legal, o interese social dos resultados que se pretenden obter na investigación, o perfil, traxectoria e publicacións científicas do investigador principal e dos investigadores asociados ou o historial de proxectos de investigación da entidade que avala o proxecto.

Una de las cuestiones que ha previsto la DGA en esta materia consiste en posibilitar el establecimiento de contraprestaciones económicas que aseguren la sostenibilidad del sistema. En cualquier caso, la cláusula tercera del convenio ha previsto la posibilidad de percibir contraprestaciones económicas de los solicitantes por los servicios de preparación y puesta a disposición de los datos contenidos en las bases que son de su titularidad, según lo previsto en la legislación estadística (artículo 21.3 de la  Lei 12/1989, do 9 de maio, da Función Estatística Pública - LFEP ) e na normativa reguladora de cada institución.

• Que retos afrontan os solicitantes de acceso a datos e os asinantes?

Con independencia de las condiciones científicas de la propuesta de investigación, es fundamental apelar a las instituciones que la despliegan para crecer de modo significativo en la calidade dos seus procesos de cumprimento en materia de protección de datos e seguridade da información. Pero no bastará con ello, el despliegue de la inteligencia artificial obliga a incorporar procesos adicionales que podemos encontrar en el documento de la Conferencia de Rectores de Universidades Españolas  CRUE TIC 360º , abordado en 2023 para o suposto da universidade. Aínda que é certo que RIA propón un escenario de menor regulación na investigación básica, tamén obriga a un despregamento ético de alto nivel. E para iso, será esencial aplicar principios de ética da intelixencia artificial, co modelo ALTAI  (Assessment List for Trustworthy Artificial Intelligence) ou outro alternativo, e á Análisis de Impacto nos dereitos fundamentais (FRAIA). Iso sen descoidar os altos requirimentos legais para o desenvolvemento de sistemas orientados ao mercado. Máis aló, das declaracións formais do Convenio, as leccións aprendidas en proxectos proxectos europeos fannos afirmar a necesidade dunha armazón procedimental de verificación xurídica e ética, baseada na evidencia, sobre os proxectos de investigación e as capacidades das institucións que soliciten acceso a datos.

Desde o punto de vista das institucións asinantes, ademais do reto da sustentabilidade económica do modelo, prevista y regulada en el convenio, parece evidente la necesidad de una estrategia de investimento regulatoria. Non nos cabe dúbida que cada repositorio de datos e os procesos que os sosteñen contaron cunha avaliación de impacto relativa á protección de datos e coas metodoloxías de seguridade vinculadas ao Esquema Nacional. A protección de datos desde o deseño e por defecto ou o cumprimento das recomendacións sobre anonimización e xestión de espazos de datos arriba citadas serán outros elementos considerados. E iso tradúcese en procesos, pero tamén en persoas, -chief data officers, analistas de datos, outros mediadores como persoas delegadas de protección de datos… -, xunto a un alto nivel de esixencia en seguridade. Por outra banda, o deber de transparencia respecto da cidadanía obrigará a dispor de canles eficientes e un modelo moi preciso de xestión do risco ante un eventual exercicio masivo dun dereito de oposición ao tratamento, sen prexuízo da súa viabilidade.

Por último, a Axencia Española de Protección de Datos debería aproximarse a este proceso de modo proactivo e promocional sen renunciar ao seu rol de garante de dereitos fundamentais, pero contribuíndo ao desenvolvemento de solucións funcionais. Este non é un convenio calquera senón un banco de probas esencial para o futuro da investigación con datos en España.

A nuestro juicio, la declaración más ilusionante de estas instituciones consiste en entender el convenio "como el embrión del futuro Sistema de acceso a datos para la investigación con fines científicos de interés público, que deberá ser conforme a la estrategia española y europea sobre datos y a la legislación sobre su gobernanza, en un marco de desarrollo de espacios de datos del sector público, y respetar en todo caso la autonomía y el régimen legal aplicable al Banco de España".

Fonte orixinal da noticia