La Guía de la Unió Europea per al desplegament de la Data Governance Act: serveis d'intermediació del sector públic

El Reglament de Governança de Datos (Data Governance Act o DGA per les seves sigles en anglès) forma part d'un complex entramat normatiu i de polítiques públiques de la Unió Europea, l'objectiu últim de la qual és crear un ecosistema de conjunts de dades que alimenti la transformació digital dels Estats membres i els objectius de la Dècada Digital Europea:

• Una població digitalment capacitada i professionals digitals altament qualificats.
• Infraestructures digitals segures/segures i sostenibles.
• Transformació digital de les empreses.
• Digitalització dels serveis públics.

L'opinió pública centra la seva atenció en la intel·ligència artificial tant des del punt de vista de les oportunitats com, sobretot, dels seus riscos i incerteses. No obstant això, el repte és molt més profund ja que implica en cadascuna de les diferents capes a molt diverses tecnologies, productes i serveis l'element comú dels quals resideix en la necessitat d'afavorir la disponibilitat d'un alt volum de dades segures/segures i de qualitat contrastada que suportin el seu desenvolupament.

Fomentar l'ús de les dades amb la legislació com a palanca

En els seus inicis la Directiva 2019/1024 relativa a les dades obertes i la reutilització de la informació del sector públic (Directiva Open Data), la Directiva 95/46/CE relativa al tractament de dades personals i a la lliure circulació d'aquestes dades , i posteriorment el Reglament 2016/679 conegut com Reglamento General de Protección de Datos (RGPD) van apostar per la reutilització de les dades amb plena garantia dels drets. No obstant això, la seva interpretació i aplicació va generar en la pràctica un efecte contrari als seus objectius primigenis basculant clarament cap a un model restrictiu que pot haver operat afectant als processos de generació de dades per a la seva explotació. Les grans plataformes nord-americanes, mitjançant una estratègia de serveis gratuïts – cercadors, aplicacions mòbils i xarxes socials - a canvi de dades personals i amb el mer consentiment, van aconseguir el major volum de dades personals en la història de la humanitat, incloses imatges, veu i perfils de personalitat.

Amb el RGPD la Unió Europea va voler eliminar 28 maneres diferents d'aplicar prohibicions i limitacions a l'ús de les dades. Certament va millorar la qualitat normativa, encara que tal vegada els resultats aconseguits no han estat tan satisfactoris com s'esperava i així ho indiquen documents com el Digital Economy and Society Index (DESI) 2022  o l'Informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe ).

Això ha obligat a un procés de reenginyeria legislativa que de manera expressa i homogènia defineixi les regles que facin possibles els objectius. La reforma de la Directiva Open Data, la DGA, el Reglament d'Intel·ligència Artificial i el futur Espai Europeu de Datos Sanitaris (EHDS per les seves sigles en anglès), hauran de ser llegits des d'almenys dos enfocaments:

• El primer d'ells és d'alt nivell i la seva funció es dirigeix a preservar els nostres valors constitucionals. La normativa adopta un enfocament centrat en el risc i en la garantia de la dignitat i els drets de les persones, cercant evitar riscos sistèmics per a la democràcia i els drets fonamentals.
• El segon és operacional, se centra en el desenvolupament segur/segur i responsable del producte. Aquesta estratègia es basa en la definició de regles d'enginyeria de processos per al disseny de productes i serveis que facin dels productes europeus un referent global per la seva robustesa, seguretat i confiabilitat.

Una Guía pràctica de la Llei de Governança de Dades

La protecció de dades des del disseny i per defecte, l'anàlisi de riscos per als drets fonamentals, el procés de desenvolupament dels sistemes d'informació d'intel·ligència artificial d'alt risc validats pels organismes corresponents o els processos d'accés i reutilització de dades de salut són exemples dels processos d'enginyeria jurídica i tecnològica que regiran el nostre desenvolupament digital. No es tracta de procediments fàcils d'aplicar. Per aquest motiu la Unió Europea realitzi un esforç significatiu en el finançament de projectes com  TEHDAS , EUHubs4Data o Quantum  que operin com a camp de proves. En paral·lel es realitzen estudis o es publiquen Guías com la  Guia pràctica de la Llei de Governança de Dades .

Aquesta Guia recorda els objectius essencials de la DGA:

• Regular la reutilització de determinats dades de titularitat pública subjectes als drets de tercers («dades protegides», com les dades personals o les dades comercials confidencials o susceptibles de propietat intel·lectual).
• Impulsar l'intercanvi de dades mitjançant la regulació dels proveïdors de serveis d'intermediació de dades.
• Fomentar l'intercanvi de dades amb finalitats altruistes.
• Crear el Comitè Europeu d'Innovació en matèria de dades per facilitar l'intercanvi de millors pràctiques.

La DGA promou la reutilització segura/segura de dades a través de diverses mesures i salvaguardias . Aquestes se centren en la reutilització de les dades d'organismes del sector públic, els serveis d'intermediació de dades i l'intercanvi de dades amb finalitats altruistes.

A quines dades aplica? Legitimación per al tractament de les dades protegides en poder d'organismes del sector públic

En el sector públic estan protegits:

• Les dades comercials confidencials, com a secrets comercials o coneixements tècnics.
• Les dades estadísticament confidencials.
• Les dades protegides pel dret de propietat intel·lectual de tercers.
• Les dades personals, en la mesura en què aquestes dades no entrin en l'àmbit d'aplicació de la Directiva sobre dades obertes quan es garanteixi la seva anonimització irreversible i no es tracti de categories especials de dades.

Ha de subratllar-se un punt de partida essencial: pel que fa a les dades personals, s'apliquen a més el Reglament General de Protecció de Dades (RGPD) i les normes sobre la privadesa i les comunicacions electròniques (Directiva 2002/58/CE) . Això implica que, en cas de col·lisió entre elles i la DGA, prevaldran les primeres.

D'altra banda, la DGA no crea un dret de reutilització ni una nova base jurídica en el sentit del RGPD per a la reutilització de dades personals. Això significa que el Dret de l'Estat membre o de la Unió determina si una base de dades o un registre específic que contingui dades protegides està obert a la reutilització en general. Quan aquesta reutilització sí estigui permesa, haurà de dur-se a terme de conformitat amb les condicions establertes en el Capítol I de la DGA.

Finalment queden exclosos de l'àmbit de la DGA:

• Dades en possessió d'empreses públiques, museus, escoles i universitats.
• Dades protegides per raons de seguretat pública, defensa o seguretat nacional.
• Dades que posseeixin els organismes del sector públic per a finalitats diferents de l'acompliment de les seves funcions públiques definides.
• Intercanvi de dades entre investigadors amb finalitats de recerca científica no comercial.

Condicions per a la reutilització de les dades

Pot assenyalar-se que en l'àmbit de la reutilització de dades del sector públic:

• La DGA estableix normes per a la reutilització de dades protegides, com a dades personals, comercials confidencials o dades estadísticament confidencials.
• No crea un dret general de reutilització, sinó que estableix condicions quan la legislació nacional o de la UE permet aquesta reutilització.
• Les condicions d'accés han de ser transparents, proporcionades i objectivas, i no han d'utilitzar-se per restringir la competència. La norma ordena que es promoguin l'accés a les dades per part de les pimes i les empreses emergents, i la recerca científica. Es prohibeixen els acords d'exclusivitat per a la reutilització, excepte en casos específics d'interès públic i per un període limitat.
• Atribueix als organismes del sector públic el deure assegurar la preservació de la naturalesa protegida de les dades. Per a això serà indispensable el desplegament de metodologies i tecnologies d'intermediació. En elles pot jugar un paper clau, l'anonimització i l'accés a través d'entorns de tractament segurs/segurs (Secure processing environments o SPE per les seves sigles en anglès). La primera és un factor d'eliminació del risc, mentre que els SPE poden definir un ecosistema de tractament que ofereixi una oferta integral de serveis als reutilitzadors, des de la catalogació i preparació dels conjunts de dades fins a la seva anàlisi. L'Agència Espanyola de Protecció de Dades ha publicat una  Aproximació als espais de dades des de la perspectiva del RGPD  que inclou recomanacions i metodologies en aquest àmbit.
• Sobre els reutilitzadors recauen obligacions de confidencialitat i no reidentificación dels interessats. En cas de reidentificación de dades personals, el reutilitzador ha d'informar a l'organisme del sector públic i poden existir obligacions de notificació de violacions de seguretat.
• En la mesura en la qual la relació s'estableix directament entre el reutilitzador i l'organisme del sector públic poden existir suposats en els quals aquest últim hagi de prestar suport al primer per al compliment de certs deures:
  • Per obtenir, si fos necessari, el consentiment de les persones interessades per al tractament de les dades personals.
  • En cas d'utilització no autoritzada de dades no personals, el reutilitzador haurà d'informar a les persones jurídiques afectades. L'organisme del sector públic que va concedir inicialment el permís de reutilització podrà prestar-li suporti si aquest fos necessari.
• Les transferències internacionals de dades personals es regeixen pel RGPD. Per a les transferències internacionals de dades no personals, es requereix que el reutilitzador informe a l'organisme del sector públic i es comprometi contractualment a garantir la protecció de les dades. No obstant això, és una qüestió oberta, ja que igual que succeeix en el RGPD, la Comissió Europea està facultada para:

1. Proposar clàusules contractuals tipus que els organismes del sector públic puguin utilitzar en els seus contractes de transferència amb reutilitzadors.
2. Quan un gran nombre de sol·licituds de reutilització procedents de països concrets ho justifiquin, adoptar «decisions d'equivalència» per les quals es designi a aquests tercers països com a proveïdors d'un nivell de protecció dels secrets comercials o de la propietat intel·lectual que pugui considerar-se equivalent al previst en la UE.
3. Adoptar les condicions que han d'aplicar-se a les transferències de dades no personals molt sensibles, com per exemple dades sanitàries. En els casos en què la transferència d'aquestes dades a tercers països suposi un risc per als objectius de política pública de la UE (en aquest exemple, la salut pública) i amb la finalitat d'ajudar als organismes del sector públic que concedeixin permisos de reutilització, la Comissió establirà condicions addicionals que hauran de complir-se abans que aquestes dades puguin transferir-se a un tercer país.

• Els organismes del sector públic poden cobrar taxes per permetre la reutilització. L'estratègia de la DGA s'orienta a la sostenibilitat del sistema, ja que les taxes solament han de cobrir els costos derivats de la posada a la disposició de les dades per a la seva reutilització, com els costos d'anonimització o de proporcionar un entorn de tractament segur/segur. Això inclouria els costos de tramitació de les sol·licituds de reutilització. Els Estats membres han de publicar una descripció de les principals categories de costos i de les normes utilitzades per a la seva imputació.
• Es reconeix a les persones físiques o jurídiques directament afectades per una decisió de reutilització adoptada per un organisme del sector públic el dret a presentar una reclamació o a interposar un recurs judicial en l'Estat membre d'aquest organisme del sector públic.

Suport organitzatiu

És perfectament possible que lus organismes del sector públic que plantegin serveis d'intermediació es multipliquin. Es tracta d'un entorn complex que requerirà de suport tècnic i jurídic, suport i coordinació.

Per a això, els Estats membres han de designar un o diversos organismes competents la funció dels quals sigui recolzar als organismes del sector públic que concedeixin la reutilització. Els organismes competents disposaran dels recursos jurídics, financers, tècnics i humans adequats per dur a terme les tasques que se'ls assignin, inclosos els coneixements tècnics necessaris. No són organismes de supervisió, no exerceixen poders públics i, per això, la DGA no estableix requisits específics quant al seu estatut o forma jurídica. A més, es pot atribuir a l'organisme competent el mandat de permetre la reutilització per si mateix.

Finalment, els Estats han de crear un Punt d'informació únic o finestreta única . A aquest Punt li correspondrà transmetre consultes i sol·licituds als organismes pertinents del sector públic i mantenir una llista d'actius amb una visió general dels recursos de dades disponibles (metadades). El punt únic d'informació podrà connectar-se a punts d'informació locals, regionals o sectorials quan existeixin. A escala de la UE, la Comissió va crear el Registre Europeu de Dades Protegides a poder del sector públic (ERPD) , un registre que permet cercar la informació recopilada pels punts únics d'informació nacionals amb la finalitat de facilitar encara més la reutilització de dades al mercat interior i fora d'ell.

Els Reglaments de la UE són normes la implementació de les quals resulta certament complexa. Per això es requereix una especial proactividad que contribueixi al seu correcte enteniment i implementació. La Guia de la Unió Europea per al desplegament de la Data Governance Act constitueix un primer instrument per a això i permetrà una major comprensió dels objectius i possibilitats que ofereix la DGA.

Font original de la notícia