La Guía de la Unión Europea para el despliegue de la Data Governance Act: servicios de intermediación del sector público

El Reglamento de Gobernanza de Datos (Data Governance Act o DGA por sus siglas en inglés) forma parte de un complejo entramado normativo y de políticas públicas de la Unión Europea, cuyo objetivo último es crear un ecosistema de conjuntos de datos que alimente la transformación digital de los Estados miembros y los objetivos de la Década Digital Europea:

• Una población digitalmente capacitada y profesionales digitales altamente cualificados.
• Infraestructuras digitales seguras y sostenibles.
• Transformación digital de las empresas.
• Digitalización de los servicios públicos.

La opinión pública centra su atención en la inteligencia artificial tanto desde el punto de vista de las oportunidades como, sobre todo, de sus riesgos e incertidumbres. No obstante, el reto es mucho más profundo ya que implica en cada una de las distintas capas a muy diversas tecnologías, productos y servicios cuyo elemento común reside en la necesidad de favorecer la disponibilidad de un alto volumen de datos confiables y de calidad contrastada que soporten su desarrollo.

Fomentar el uso de los datos con la legislación como palanca

En sus inicios la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público (Directiva Open Data), la Directiva 95/46/CE relativa al tratamiento de datos personales y a la libre circulación de estos datos , y posteriormente el Reglamento 2016/679 conocido como Reglamento General de Protección de Datos (RGPD) apostaron por la reutilización de los datos con plena garantía de los derechos. Sin embargo, su interpretación y aplicación generó en la práctica un efecto contrario a sus objetivos primigenios basculando claramente hacia un modelo restrictivo que puede haber operado afectando a los procesos de generación de datos para su explotación. Las grandes plataformas norteamericanas, mediante una estrategia de servicios gratuitos – buscadores, aplicaciones móviles y redes sociales - a cambio de datos personales y con el mero consentimiento, consiguieron el mayor volumen de datos personales en la historia de la humanidad, incluidas imágenes, voz y perfiles de personalidad.

Con el RGPD la Unión Europea quiso eliminar 28 maneras distintas de aplicar prohibiciones y limitaciones al uso de los datos. Ciertamente mejoró la calidad normativa, aunque tal vez los resultados alcanzados no han sido tan satisfactorios como se esperaba y así lo indican documentos como el Digital Economy and Society Index (DESI) 2022  o el Informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe ).

Ello ha obligado a un proceso de reingeniería legislativa que de manera expresa y homogénea defina las reglas que hagan posibles los objetivos. La reforma de la Directiva Open Data, la DGA, el Reglamento de Inteligencia Artificial y el futuro Espacio Europeo de Datos Sanitarios (EHDS por sus siglas en inglés), deberán ser leídos desde al menos dos enfoques:

• El primero de ellos es de alto nivel y su función se dirige a preservar nuestros valores constitucionales. La normativa adopta un enfoque centrado en el riesgo y en la garantía de la dignidad y los derechos de las personas, buscando evitar riesgos sistémicos para la democracia y los derechos fundamentales.
• El segundo es operacional, se centra en el desarrollo seguro y responsable del producto. Esta estrategia se basa en la definición de reglas de ingeniería de procesos para el diseño de productos y servicios que hagan de los productos europeos un referente global por su robustez, seguridad y confiabilidad.

Una Guía práctica de la Ley de Gobernanza de Datos

La protección de datos desde el diseño y por defecto, el análisis de riesgos para los derechos fundamentales, el proceso de desarrollo de los sistemas de información de inteligencia artificial de alto riesgo validados por los organismos correspondientes o los procesos de acceso y reutilización de datos de salud son ejemplos de los procesos de ingeniería jurídica y tecnológica que regirán nuestro desarrollo digital. No se trata de procedimientos fáciles de aplicar. De ahí que la Unión Europea realice un esfuerzo significativo en la financiación de proyectos como  TEHDAS , EUHubs4Data o Quantum  que operen como campo de pruebas. En paralelo se realizan estudios o se publican Guías como la  Guía práctica de la Ley de Gobernanza de Datos .

Esta Guía recuerda los objetivos esenciales de la DGA:

• Regular la reutilización de determinados datos de titularidad pública sujetos a los derechos de terceros («datos protegidos», como los datos personales o los datos comerciales confidenciales o susceptibles de propiedad intelectual).
• Impulsar el intercambio de datos mediante la regulación de los proveedores de servicios de intermediación de datos.
• Fomentar el intercambio de datos con fines altruistas.
• Crear el Comité Europeo de Innovación en materia de datos para facilitar el intercambio de mejores prácticas.

La DGA promueve la reutilización segura de datos a través de diversas medidas y salvaguardias . Estas se centran en la reutilización de los datos de organismos del sector público, los servicios de intermediación de datos y el intercambio de datos con fines altruistas.

¿A qué datos aplica? Legitimación para el tratamiento de los datos protegidos en poder de organismos del sector público

En el sector público están protegidos:

• Los datos comerciales confidenciales, como secretos comerciales o conocimientos técnicos.
• Los datos estadísticamente confidenciales.
• Los datos protegidos por el derecho de propiedad intelectual de terceros.
• Los datos personales, en la medida en que dichos datos no entren en el ámbito de aplicación de la Directiva sobre datos abiertos cuando se garantice su anonimización irreversible y no se trate de categorías especiales de datos.

Debe subrayarse un punto de partida esencial: en lo que respecta a los datos personales, se aplican además el Reglamento General de Protección de Datos (RGPD) y las normas sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE) . Esto implica que, en caso de colisión entre ellas y la DGA, prevalecerán las primeras.

Por otra parte, la DGA no crea un derecho de reutilización ni una nueva base jurídica en el sentido del RGPD para la reutilización de datos personales. Esto significa que el Derecho del Estado miembro o de la Unión determina si una base de datos o un registro específico que contenga datos protegidos está abierto a la reutilización en general. Cuando esta reutilización sí esté permitida, deberá llevarse a cabo de conformidad con las condiciones establecidas en el Capítulo I de la DGA.

Finalmente quedan excluidos del ámbito de la DGA:

• Datos en posesión de empresas públicas, museos, escuelas y universidades.
• Datos protegidos por razones de seguridad pública, defensa o seguridad nacional.
• Datos que posean los organismos del sector público para fines distintos del desempeño de sus funciones públicas definidas.
• Intercambio de datos entre investigadores con fines de investigación científica no comercial.

Condiciones para la reutilización de los datos

Puede señalarse que en el ámbito de la reutilización de datos del sector público:

• La DGA establece normas para la reutilización de datos protegidos, como datos personales, comerciales confidenciales o datos estadísticamente confidenciales.
• No crea un derecho general de reutilización, sino que establece condiciones cuando la legislación nacional o de la UE permite dicha reutilización.
• Las condiciones de acceso deben ser transparentes, proporcionadas y objetivas, y no deben utilizarse para restringir la competencia. La norma ordena que se promuevan el acceso a los datos por parte de las pymes y las empresas emergentes, y la investigación científica. Se prohíben los acuerdos de exclusividad para la reutilización, excepto en casos específicos de interés público y por un período limitado.
• Atribuye a los organismos del sector público el deber de asegurar la preservación de la naturaleza protegida de los datos. Para ello será indispensable el despliegue de metodologías y tecnologías de intermediación. En ellas puede jugar un papel clave, la anonimización y el acceso a través de entornos de tratamiento seguros (Secure processing environments o SPE por sus siglas en inglés). La primera es un factor de eliminación del riesgo, mientras que los SPE pueden definir un ecosistema de tratamiento que ofrezca una oferta integral de servicios a los reutilizadores, desde la catalogación y preparación de los conjuntos de datos hasta su análisis. La Agencia Española de Protección de Datos ha publicado una  Aproximación a los espacios de datos desde la perspectiva del RGPD  que incluye recomendaciones y metodologías en este ámbito.
• Sobre los reutilizadores recaen obligaciones de confidencialidad y no reidentificación de los interesados. En caso de reidentificación de datos personales, el reutilizador debe informar al organismo del sector público y pueden existir obligaciones de notificación de violaciones de seguridad.
• En la medida en la que la relación se establece directamente entre el reutilizador y el organismo del sector público pueden existir supuestos en los que éste último deba prestar soporte al primero para el cumplimiento de ciertos deberes:
  • Para obtener, si fuera necesario, el consentimiento de las personas interesadas para el tratamiento de los datos personales.
  • En caso de utilización no autorizada de datos no personales, el reutilizador deberá informar a las personas jurídicas afectadas. El organismo del sector público que concedió inicialmente el permiso de reutilización podrá prestarle soporte si éste fuera necesario.
• Las transferencias internacionales de datos personales se rigen por el RGPD. Para las transferencias internacionales de datos no personales, se requiere que el reutilizador informe al organismo del sector público y se comprometa contractualmente a garantizar la protección de los datos. No obstante, es una cuestión abierta, ya que al igual que sucede en el RGPD, la Comisión Europea está facultada para:

1. Proponer cláusulas contractuales tipo que los organismos del sector público puedan utilizar en sus contratos de transferencia con reutilizadores.
2. Cuando un gran número de solicitudes de reutilización procedentes de países concretos lo justifiquen, adoptar «decisiones de equivalencia» por las que se designe a estos terceros países como proveedores de un nivel de protección de los secretos comerciales o de la propiedad intelectual que pueda considerarse equivalente al previsto en la UE.
3. Adoptar las condiciones que deben aplicarse a las transferencias de datos no personales muy sensibles, como por ejemplo datos sanitarios. En los casos en que la transferencia de dichos datos a terceros países suponga un riesgo para los objetivos de política pública de la UE (en este ejemplo, la salud pública) y con el fin de ayudar a los organismos del sector público que concedan permisos de reutilización, la Comisión establecerá condiciones adicionales que deberán cumplirse antes de que dichos datos puedan transferirse a un tercer país.

• Los organismos del sector público pueden cobrar tasas por permitir la reutilización. La estrategia de la DGA se orienta a la sostenibilidad del sistema, ya que las tasas solo deben cubrir los costes derivados de la puesta a disposición de los datos para su reutilización, como los costes de anonimización o de proporcionar un entorno de tratamiento seguro. Esto incluiría los costes de tramitación de las solicitudes de reutilización. Los Estados miembros deben publicar una descripción de las principales categorías de costes y de las normas utilizadas para su imputación.
• Se reconoce a las personas físicas o jurídicas directamente afectadas por una decisión de reutilización adoptada por un organismo del sector público el derecho a presentar una reclamación o a interponer un recurso judicial en el Estado miembro de dicho organismo del sector público.

Soporte organizativo

Es perfectamente posible que los organismos del sector público que planteen servicios de intermediación se multipliquen. Se trata de un entorno complejo que requerirá de soporte técnico y jurídico, apoyo y coordinación.

Para ello, los Estados miembros deben designar uno o varios organismos competentes cuya función sea apoyar a los organismos del sector público que concedan la reutilización. Los organismos competentes dispondrán de los recursos jurídicos, financieros, técnicos y humanos adecuados para llevar a cabo las tareas que se les asignen, incluidos los conocimientos técnicos necesarios. No son organismos de supervisión, no ejercen poderes públicos y, por ello, la DGA no establece requisitos específicos en cuanto a su estatuto o forma jurídica. Además, se puede atribuir al organismo competente el mandato de permitir la reutilización por sí mismo.

Finalmente, los Estados deben crear un Punto de información único o ventanilla única . A este Punto le corresponderá transmitir consultas y solicitudes a los organismos pertinentes del sector público y mantener una lista de activos con una visión general de los recursos de datos disponibles (metadatos). El punto único de información podrá conectarse a puntos de información locales, regionales o sectoriales cuando existan. A escala de la UE, la Comisión creó el Registro Europeo de Datos Protegidos en poder del sector público (ERPD) , un registro que permite buscar la información recopilada por los puntos únicos de información nacionales con el fin de facilitar aún más la reutilización de datos en el mercado interior y fuera de él.

Los Reglamentos de la UE son normas cuya implementación resulta ciertamente compleja. Por ello se requiere una especial proactividad que contribuya a su correcto entendimiento e implementación. La Guía de la Unión Europea para el despliegue de la Data Governance Act constituye un primer instrumento para ello y permitirá una mayor comprensión de los objetivos y posibilidades que ofrece la DGA.

Fuente original de la noticia