La Guía de la Unió Europea per al desplegament de la Data Governance Act: servicis d'intermediació del sector públic

El Reglament de Governança de Datos (Data Governance Act o DGA per les seues sigles en anglés) forma part d'un complex entramat normatiu i de polítiques públiques de la Unió Europea, l'objectiu últim de la qual és crear un ecosistema de conjunts de dades que alimente la transformació digital dels Estats membres i els objectius de la Dècada Digital Europea:

• Una població digitalment capacitada i professionals digitals altament qualificats.
• Infraestructures digitals segures i sostenibles.
• Transformació digital de les empreses.
• Digitalització dels servicis públics.

L'opinió pública centra la seua atenció en la intel·ligència artificial tant des del punt de vista de les oportunitats com, sobretot, dels seus riscos i incerteses. No obstant açò, el repte és molt més profund ja que implica en cadascuna de les diferents capes a molt diverses tecnologies, productes i servicis l'element comú dels quals residix en la necessitat d'afavorir la disponibilitat d'un alt volum de dades confiables i de qualitat contrastada que suporten el seu desenvolupament.

Fomentar l'ús de les dades amb la legislació com a palanca

En els seus inicis la Directiva 2019/1024 relativa a les dades obertes i la reutilització de la informació del sector públic (Directiva Open Data), la Directiva 95/46/CE relativa al tractament de dades personals i a la lliure circulació d'estes dades , i posteriorment el Reglament 2016/679 conegut com Reglamento General de Protección de Datos (RGPD) van apostar per la reutilització de les dades amb plena garantia dels drets. No obstant açò, la seua interpretació i aplicació va generar en la pràctica un efecte contrari als seus objectius primigenis basculant clarament cap a un model restrictiu que pot haver operat afectant als processos de generació de dades per a la seua explotació. Les grans plataformes nord-americanes, mitjançant una estratègia de servicis gratuïts – buscadors, aplicacions mòbils i xarxes socials - a canvi de dades personals i amb el mer consentiment, van aconseguir el major volum de dades personals en la història de la humanitat, incloses imatges, veu i perfils de personalitat.

Amb el RGPD la Unió Europea va voler eliminar 28 maneres diferents d'aplicar prohibicions i limitacions a l'ús de les dades. Certament va millorar la qualitat normativa, encara que tal vegada els resultats aconseguits no han sigut tan satisfactoris com s'esperava i així ho indiquen documents com el Digital Economy and Society Index (DESI) 2022  o l'Informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe ).

Açò ha obligat a un procés de reenginyeria legislativa que de manera expressa i homogènia definisca les regles que facen possibles els objectius. La reforma de la Directiva Open Data, la DGA, el Reglament d'Intel·ligència Artificial i el futur Espai Europeu de Datos Sanitaris (EHDS per les seues sigles en anglés), hauran de ser llegits des d'almenys dos enfocaments:

• El primer d'ells és d'alt nivell i la seua funció es dirigix a preservar els nostres valors constitucionals. La normativa adopta un enfocament centrat en el risc i en la garantia de la dignitat i els drets de les persones, buscant evitar riscos sistèmics per a la democràcia i els drets fonamentals.
• El segon és operacional, se centra en el desenvolupament segur i responsable del producte. Esta estratègia es basa en la definició de regles d'enginyeria de processos per al disseny de productes i servicis que facen dels productes europeus un referent global per la seua robustesa, seguretat i confiabilitat.

Una Guía pràctica de la Llei de Governança de Dades

La protecció de dades des del disseny i per defecte, l'anàlisi de riscos per als drets fonamentals, el procés de desenvolupament dels sistemes d'informació d'intel·ligència artificial d'alt risc validats pels organismes corresponents o els processos d'accés i reutilització de dades de salut són exemples dels processos d'enginyeria jurídica i tecnològica que regiran el nostre desenvolupament digital. No es tracta de procediments fàcils d'aplicar. Per aquest motiu la Unió Europea realitze un esforç significatiu en el finançament de projectes com  TEHDAS , EUHubs4Data o Quantum  que operen com a camp de proves. En paral·lel es realitzen estudis o es publiquen Guías com la  Guia pràctica de la Llei de Governança de Dades .

Esta Guia recorda els objectius essencials de la DGA:

• Regular la reutilització de determinats dades de titularitat pública subjectes als drets de tercers («dades protegides», com les dades personals o les dades comercials confidencials o susceptibles de propietat intel·lectual).
• Impulsar l'intercanvi de dades mitjançant la regulació dels proveïdors de servicis d'intermediació de dades.
• Fomentar l'intercanvi de dades amb finalitats altruistes.
• Crear el Comité Europeu d'Innovació en matèria de dades per a facilitar l'intercanvi de millors pràctiques.

La DGA promou la reutilització segura de dades a través de diverses mesures i salvaguardias . Estes se centren en la reutilització de les dades d'organismes del sector públic, els servicis d'intermediació de dades i l'intercanvi de dades amb finalitats altruistes.

A quines dades aplica? Legitimación per al tractament de les dades protegides en poder d'organismes del sector públic

En el sector públic estan protegits:

• Les dades comercials confidencials, com a secrets comercials o coneixements tècnics.
• Les dades estadísticament confidencials.
• Les dades protegides pel dret de propietat intel·lectual de tercers.
• Les dades personals, en la mesura en què aquestes dades no entren en l'àmbit d'aplicació de la Directiva sobre dades obertes quan es garantisca la seua anonimització irreversible i no es tracte de categories especials de dades.

Ha de subratllar-se un punt de partida essencial: pel que fa a les dades personals, s'apliquen a més el Reglament General de Protecció de Dades (RGPD) i les normes sobre la privacitat i les comunicacions electròniques (Directiva 2002/58/CE) . Açò implica que, en cas de col·lisió entre elles i la DGA, prevaldran les primeres.

D'altra banda, la DGA no crea un dret de reutilització ni una nova base jurídica en el sentit del RGPD per a la reutilització de dades personals. Açò significa que el Dret de l'Estat membre o de la Unió determina si una base de dades o un registre específic que continga dades protegides està obert a la reutilització en general. Quan esta reutilització sí estiga permesa, haurà de dur-se a terme de conformitat amb les condicions establides en el Capítol I de la DGA.

Finalment queden exclosos de l'àmbit de la DGA:

• Dades en possessió d'empreses públiques, museus, escoles i universitats.
• Dades protegides per raons de seguretat pública, defensa o seguretat nacional.
• Dades que posseïsquen els organismes del sector públic per a finalitats diferents de l'acompliment de les seues funcions públiques definides.
• Intercanvi de dades entre investigadors amb finalitats d'investigació científica no comercial.

Condicions per a la reutilització de les dades

Pot assenyalar-se que en l'àmbit de la reutilització de dades del sector públic:

• La DGA establix normes per a la reutilització de dades protegides, com a dades personals, comercials confidencials o dades estadísticament confidencials.
• No crea un dret general de reutilització, sinó que establix condicions quan la legislació nacional o de la UE permet aquesta reutilització.
• Les condicions d'accés han de ser transparents, proporcionades i objectivas, i no han d'utilitzar-se per a restringir la competència. La norma ordena que es promoguen l'accés a les dades per part de les pimes i les empreses emergents, i la investigació científica. Es prohibixen els acords d'exclusivitat per a la reutilització, excepte en casos específics d'interés públic i per un període limitat.
• Atribuïx als organismes del sector públic el deure assegurar la preservació de la naturalesa protegida de les dades. Per a açò serà indispensable el desplegament de metodologies i tecnologies d'intermediació. En elles pot jugar un paper clau, l'anonimització i l'accés a través d'entorns de tractament segurs (Secure processing environments o SPE per les seues sigles en anglés). La primera és un factor d'eliminació del risc, mentre que els SPE poden definir un ecosistema de tractament que oferisca una oferta integral de servicis als reutilisadors, des de la catalogació i preparació dels conjunts de dades fins a la seua anàlisi. L'Agència Espanyola de Protecció de Dades ha publicat una  Aproximació als espais de dades des de la perspectiva del RGPD  que inclou recomanacions i metodologies en este àmbit.
• Sobre els reutilisadors recauen obligacions de confidencialitat i no reidentificación dels interessats. En cas de reidentificación de dades personals, el reutilisador ha d'informar a l'organisme del sector públic i poden existir obligacions de notificació de violacions de seguretat.
• En la mesura en la qual la relació s'establix directament entre el reutilisador i l'organisme del sector públic poden existir suposats en els quals este últim haja de prestar suport al primer per al compliment de certs deures:
  • Per a obtindre, si fóra necessari, el consentiment de les persones interessades per al tractament de les dades personals.
  • En cas d'utilització no autoritzada de dades no personals, el reutilisador haurà d'informar a les persones jurídiques afectades. L'organisme del sector públic que va concedir inicialment el permís de reutilització podrà prestar-li suporte si este fóra necessari.
• Les transferències internacionals de dades personals es regixen pel RGPD. Per a les transferències internacionals de dades no personals, es requerix que el reutilisador informe a l'organisme del sector públic i es comprometa contractualment a garantir la protecció de les dades. No obstant açò, és una qüestió oberta, ja que igual que succeeix en el RGPD, la Comissió Europea està facultada para:

1. Proposar clàusules contractuals tipus que els organismes del sector públic puguen utilitzar en els seus contractes de transferència amb reutilisadors.
2. Quan un gran nombre de sol·licituds de reutilització procedents de països concrets ho justifiquen, adoptar «decisions d'equivalència» per les quals es designe a estos tercers països com a proveïdors d'un nivell de protecció dels secrets comercials o de la propietat intel·lectual que puga considerar-se equivalent al previst en la UE.
3. Adoptar les condicions que han d'aplicar-se a les transferències de dades no personals molt sensibles, com per exemple dades sanitàries. En els casos en què la transferència d'aquestes dades a tercers països supose un risc per als objectius de política pública de la UE (en este exemple, la salut pública) i amb la finalitat d'ajudar als organismes del sector públic que concedisquen permisos de reutilització, la Comissió establirà condicions addicionals que hauran de complir-se abans que aquestes dades puguen transferir-se a un tercer país.

• Els organismes del sector públic poden cobrar taxes per permetre la reutilització. L'estratègia de la DGA s'orienta a la sostenibilitat del sistema, ja que les taxes solament han de cobrir els costos derivats de la posada a la disposició de les dades per a la seua reutilització, com els costos d'anonimització o de proporcionar un entorn de tractament segur. Açò inclouria els costos de tramitació de les sol·licituds de reutilització. Els Estats membres han de publicar una descripció de les principals categories de costos i de les normes utilitzades per a la seua imputació.
• Es reconeix a les persones físiques o jurídiques directament afectades per una decisió de reutilització adoptada per un organisme del sector públic el dret a presentar una reclamació o a interposar un recurs judicial en l'Estat membre d'aquest organisme del sector públic.

Suport organitzatiu

És perfectament possible que lus organismes del sector públic que plantegen servicis d'intermediació es multipliquen. Es tracta d'un entorn complex que requerirà de suport tècnic i jurídic, suport i coordinació.

Per a açò, els Estats membres han de designar un o diversos organismes competents la funció dels quals siga recolzar als organismes del sector públic que concedisquen la reutilització. Els organismes competents disposaran dels recursos jurídics, financers, tècnics i humans adequats per a dur a terme les tasques que se'ls assignen, inclosos els coneixements tècnics necessaris. No són organismes de supervisió, no exercixen poders públics i, per açò, la DGA no establix requisits específics quant al seu estatut o forma jurídica. A més, es pot atribuir a l'organisme competent el mandat de permetre la reutilització per si mateix.

Finalment, els Estats han de crear un Punt d'informació únic o finestreta única . A este Punt li correspondrà transmetre consultes i sol·licituds als organismes pertinents del sector públic i mantindre una llista d'actius amb una visió general dels recursos de dades disponibles (metadades). El punt únic d'informació podrà connectar-se a punts d'informació locals, regionals o sectorials quan existisquen. A escala de la UE, la Comissió va crear el Registre Europeu de Dades Protegides a poder del sector públic (ERPD) , un registre que permet buscar la informació recopilada pels punts únics d'informació nacionals amb la finalitat de facilitar encara més la reutilització de dades en el mercat interior i fora d'ell.

Els Reglaments de la UE són normes la implementació de les quals resulta certament complexa. Per açò es requerix una especial proactividad que contribuïsca al seu correcte enteniment i implementació. La Guia de la Unió Europea per al desplegament de la Data Governance Act constituïx un primer instrument per a açò i permetrà una major comprensió dels objectius i possibilitats que oferix la DGA.

Font original de la notícia