A Guía da Unión Europea para o despregamento da Data Governance Act: servizos de intermediación do sector público

O Regulamento de Gobernación de Datos (Data Governance Act ou DGA polas súas siglas en inglés) forma parte dunha complexa armazón normativa e de políticas públicas da Unión Europea, cuxo obxectivo último é crear un ecosistema de conxuntos de datos que alimente a transformación dixital dos Estados membros e os obxectivos da Década Dixital Europea:

• Unha poboación dixitalmente capacitada e profesionais dixitais altamente cualificados.
• Infraestruturas dixitais seguras e sustentables.
• Transformación dixital das empresas.
• Dixitalización dos servizos públicos.

A opinión pública centra a súa atención na intelixencia artificial tanto desde o punto de vista das oportunidades como, sobre todo, dos seus riscos e incertezas. No entanto, o reto é moito máis profundo xa que implica en cada unha das distintas capas a moi diversas tecnoloxías, produtos e servizos cuxo elemento común reside na necesidade de favorecer a dispoñibilidade dun alto volume de datos confiables e de calidade contrastada que soporten o seu desenvolvemento.

Fomentar o uso dos datos coa lexislación como panca

Nos seus inicios a Directiva 2019/1024 relativa aos datos abertos e a reutilización da información do sector público (Directiva Open Data), a Directiva 95/46/CE relativa ao tratamento de datos persoais e á libre circulación destes datos , e posteriormente o Regulamento 2016/679 coñecido como Reglamento General de Protección de Datos (RGPD) apostaron por a reutilización dos datos con plena garantía dos dereitos. Con todo, a súa interpretación e aplicación xerou na práctica un efecto contrario aos seus obxectivos primigenios basculando claramente cara a un modelo restritivo que pode operar afectando os procesos de xeración de datos para a súa explotación. As grandes plataformas norteamericanas, mediante unha estratexia de servizos gratuítos – buscadores, aplicacións móbiles e redes sociais - a cambio de datos persoais e co mero consentimento, conseguiron o maior volume de datos persoais na historia da humanidade, incluídas imaxes, voz e perfís de personalidade.

Co RGPD a Unión Europea quixo eliminar 28 maneiras distintas de aplicar prohibicións e limitacións ao uso dos datos. Certamente mellorou a calidade normativa, aínda que talvez os resultados alcanzados non foron tan satisfactorios como se esperaba e así o indican documentos como o Dixital Economy and Society Index (DESI) 2022  ou o Informe Draghi (The future of European competitiveness-Part A. A competitiveness strategy for Europe ).

Iso obrigou a un proceso de reingeniería lexislativa que de maneira expresa e homoxénea defina as regras que fagan posibles os obxectivos. A reforma da Directiva Open Data, a DGA, o Regulamento de Intelixencia Artificial e o futuro Espazo Europeo de Datos Sanitarios (EHDS polas súas siglas en inglés), deberán ser lidos desde polo menos dous enfoques:

• O primeiro deles é de alto nivel e a súa función diríxese a preservar os nosos valores constitucionais. A normativa adopta un enfoque centrado no risco e na garantía da dignidade e os dereitos das persoas, buscando evitar riscos sistémicos para a democracia e os dereitos fundamentais.
• O segundo é operacional, céntrase no desenvolvemento seguro e responsable do produto. Esta estratexia baséase na definición de regras de enxeñaría de procesos para o deseño de produtos e servizos que fagan dos produtos europeos un referente global polo seu robustez, seguridade e confiabilidad.

Unha Guía práctica da Lei de Gobernación de Datos

A protección de datos desde o deseño e por defecto, a análise de riscos para os dereitos fundamentais, o proceso de desenvolvemento dos sistemas de información de intelixencia artificial de alto risco validados polos organismos correspondentes ou os procesos de acceso e reutilización de datos de saúde son exemplos dos procesos de enxeñaría xurídica e tecnolóxica que rexerán o noso desenvolvemento dixital. Non se trata de procedementos fáciles de aplicar. Por iso é polo que a Unión Europea realice un esforzo significativo no financiamento de proxectos como  TEHDAS , EUHubs4Data ou Quantum  que operen como campo de probas. En paralelo realízanse estudos ou se publican Guías como a  Guía práctica da Lei de Gobernación de Datos .

Esta Guía lembra os obxectivos esenciais da DGA:

• Regular a reutilización de determinados datos de titularidade pública suxeitos aos dereitos de terceiros («datos protexidos», como os datos persoais ou os datos comerciais confidenciais ou susceptibles de propiedade intelectual).
• Impulsar o intercambio de datos mediante a regulación dos provedores de servizos de intermediación de datos.
• Fomentar o intercambio de datos con fins altruístas.
• Crear o Comité Europeo de Innovación en materia de datos para facilitar o intercambio de mellores prácticas.

A DGA promove a reutilización segura de datos a través de diversas medidas e salvaguardias . Estas céntranse na reutilización dos datos de organismos do sector público, os servizos de intermediación de datos e o intercambio de datos con fins altruístas.

A que datos aplica? Legitimación para o tratamento dos datos protexidos en poder de organismos do sector público

No sector público están protexidos:

• Os datos comerciais confidenciais, como segredos comerciais ou coñecementos técnicos.
• Os datos estatisticamente confidenciais.
• Os datos protexidos polo dereito de propiedade intelectual de terceiros.
• Os datos persoais, na medida en que este datos non entren no ámbito de aplicación da Directiva sobre datos abertos cando se garanta o seu anonimización irreversible e non se trate de categorías especiais de datos.

Debe subliñarse un punto de partida esencial: no que respecta aos datos persoais, aplícanse ademais o Regulamento Xeral de Protección de Datos (RGPD) e as normas sobre a privacidade e as comunicacións electrónicas (Directiva 2002/58/CE) . Isto implica que, en caso de colisión entre elas e a DGA, prevalecerán as primeiras.

Por outra banda, a DGA non crea un dereito de reutilización nin unha nova base xurídica no sentido do RGPD para a reutilización de datos persoais. Isto significa que o Dereito do Estado membro ou da Unión determina se unha base de datos ou un rexistro específico que conteña datos protexidos está aberto á reutilización en xeral. Cuando esta reutilización sí esté permitida, deberá llevarse a cabo de conformidad con las condiciones establecidas en el Capítulo I de la DGA.

Finalmente quedan excluídos do ámbito da DGA:

• Datos en posesión de empresas públicas, museos, escolas e universidades.
• Datos protexidos por razóns de seguridade pública, defensa ou seguridade nacional.
• Datos que posúan os organismos do sector público para fins distintos do desempeño das súas funcións públicas definidas.
• Intercambio de datos entre investigadores con fins de investigación científica non comercial.

Condicións para a reutilización dos datos

Pode sinalarse que no ámbito da reutilización de datos do sector público:

• A DGA establece normas para a reutilización de datos protexidos, como datos persoais, comerciais confidenciais ou datos estatisticamente confidenciais.
• Non crea un dereito xeral de reutilización, senón que establece condicións cando a lexislación nacional ou da UE permite dita reutilización.
• As condicións de acceso deben ser transparentes, proporcionadas e obxectivas, e non deben utilizarse para restrinxir a competencia. A norma ordena que se promovan o acceso aos datos por parte das pemes e as empresas emerxentes, e a investigación científica. Prohíbense os acordos de exclusividade para a reutilización, excepto en casos específicos de interese público e por un período limitado.
• Atribúe aos organismos do sector público o deber de asegurar a preservación da natureza protexida dos datos. Para iso será indispensable o despregamento de metodoloxías e tecnoloxías de intermediación. Nelas pode xogar un papel crave, a anonimización e o acceso a través de contornas de tratamento seguros (Secure processing environments ou SPE polas súas siglas en inglés). A primeira é un factor de eliminación do risco, mentres que os SPE poden definir un ecosistema de tratamento que ofreza unha oferta integral de servizos aos reutilizadores, desde a catalogación e preparación dos conxuntos de datos ata a súa análise. A Axencia Española de Protección de Datos publicou unha  Aproximación aos espazos de datos desde a perspectiva do RGPD  que inclúe recomendacións e metodoloxías neste ámbito.
• Sobre os reutilizadores recaen obrigas de confidencialidade e non reidentificación dos interesados. En caso de reidentificación de datos persoais, o reutilizador debe informar o organismo do sector público e poden existir obrigas de notificación de violacións de seguridade.
• Na medida na que a relación se establece directamente entre o reutilizador e o organismo do sector público poden existir supostos nos que este último deba prestar soporte ao primeiro para o cumprimento de certos deberes:
  • Para obter, se fose necesario, o consentimento das persoas interesadas para o tratamento dos datos persoais.
  • En caso de utilización non autorizada de datos non persoais, o reutilizador deberá informar as persoas xurídicas afectadas. O organismo do sector público que concedeu inicialmente o permiso de reutilización poderá prestarlle soporte se este fose necesario.
• As transferencias internacionais de datos persoais réxense polo RGPD. Para as transferencias internacionais de datos non persoais, requírese que o reutilizador informe ao organismo do sector público e comprométase contractualmente a garantir a protección dos datos. No entanto, é unha cuestión aberta, xa que do mesmo xeito que sucede no RGPD, a Comisión Europea está facultada para:

1. Propor cláusulas contractuais tipo que os organismos do sector público poidan utilizar nos seus contratos de transferencia con reutilizadores.
2. Cando un gran número de solicitudes de reutilización procedentes de países concretos xustifíqueno, adoptar «decisións de equivalencia» polas que se designe a estes terceiros países como provedores dun nivel de protección dos segredos comerciais ou da propiedade intelectual que poida considerarse equivalente ao previsto na UE.
3. Adoptar as condicións que deben aplicarse ás transferencias de datos non persoais moi sensibles, por exemplo datos sanitarios. Nos casos en que a transferencia dos este datos a terceiros países supoña un risco para os obxectivos de política pública da UE (neste exemplo, a saúde pública) e co fin de axudar aos organismos do sector público que concedan permisos de reutilización, a Comisión establecerá condicións adicionais que deberán cumprirse antes de que este datos poidan transferirse a un terceiro país.

• Os organismos do sector público poden cobrar taxas por permitir a reutilización. A estratexia da DGA oriéntase a a sustentabilidade do sistema, xa que as taxas só deben cubrir os custos derivados da posta a disposición dos datos para a súa reutilización, como os custos de anonimización ou de proporcionar unha contorna de tratamento seguro. Isto incluiría os custos de tramitación das solicitudes de reutilización. Os Estados membros deben publicar unha descrición das principais categorías de custos e das normas utilizadas para a súa imputación.
• Recoñécese ás persoas físicas ou xurídicas directamente afectadas por unha decisión de reutilización adoptada por un organismo do sector público o dereito a presentar unha reclamación ou a interpor un recurso xudicial no Estado membro do este organismo do sector público.

Soporte organizativo

É perfectamente posible que lvos organismos do sector público que expoñan servizos de intermediación multiplíquense. Trátase de unha contorna complexa que requirirá de soporte técnico e xurídico, apoio e coordinación.

Para iso, os Estados membros deben designar un ou varios organismos competentes cuxa función sexa apoiar aos organismos do sector público que concedan a reutilización. Os organismos competentes disporán dos recursos xurídicos, financeiros, técnicos e humanos adecuados para levar a cabo as tarefas que se lles asignen, incluídos os coñecementos técnicos necesarios. Non son organismos de supervisión, non exercen poderes públicos e, por iso, a DGA non establece requisitos específicos canto ao seu estatuto ou forma xurídica. Ademais, pódese atribuír ao organismo competente o mandato de permitir a reutilización en por si.

Finalmente, os Estados deben crear un Punto de información único ou portelo . A este Punto corresponderalle transmitir consultas e solicitudes aos organismos pertinentes do sector público e manter unha lista de activos cunha visión xeral dos recursos de datos dispoñibles (metadatos). O punto único de información poderá conectarse a puntos de información locais, rexionais ou sectoriais cando existan. A escala da UE, a Comisión creou o Rexistro Europeo de Datos Protexidos en poder do sector público (ERPD) , un rexistro que permite buscar a información recompilada polos puntos únicos de información nacionais co fin de facilitar aínda máis a reutilización de datos no mercado interior e fóra del.

Os Regulamentos da UE son normas cuxa implementación resulta certamente complexa. Por iso requírese unha especial proactividad que contribúa ao seu correcto entendemento e implementación. A Guía da Unión Europea para o despregamento de Dátaa  Governance Act constitúe un primeiro instrumento para iso e permitirá unha maior comprensión dos obxectivos e posibilidades que ofrece a DGA.

Fonte orixinal da noticia