L'obligació que arreplega el Data Act sobre facilitar dades a les entitats públiques en situacions excepcionals

Una nova orientació en la regulació europea?

Amb la normativa sobre reutilització de la informació del sector públic es pretenia fonamentalment facilitar l'accés a les dades generades per les entitats del sector públic, de manera que s'impulsara el desenvolupament de servicis de valor afegit basats en la innovació tecnològica. De fet, tal com s'afirma expressament en la  Directiva de 2019 , la reforma que va dur a terme es justificava en gran mesura per la necessitat de actualitzar el marc normatiu aplicable als nous desafiaments que plantejava la tecnologia digital i, en particular, la Intel·ligència Artificial o l'Internet de les Coses.

Posteriorment, a l'empara de la  Estratègia Europea de Dades  es va aprovar una  regulació sobre governança , s'han impulsat els  espais de dades  i, així mateix, s'ha publicat fa tan sol uns mesos la Data Act. Esta última implica un important gir des del punt de vista dels subjectes afectats ja que, a diferència de les regulacions anteriors centrades en les obligacions de les entitats del sector públic, d'una banda, disciplina les relacions entre privats i, per una altra, establix una important mesura destinada al fet que les entitats privades siguen els qui proporcionen dades als organismes públics en certes condicions singulars.

En quines situacions han de proporcionar-se les dades?

En primer lloc, és necessari emfatitzar que la Data Act no té per objecte ampliar els supòsits en què les entitats privades han d'entregar dades als organismes públics en compliment de les seues potestats de supervisió i compliment normatiu, com pot ser el cas de la prevenció, investigació i imposició de sancions penals o administratives. Així doncs, no afecta a les obligacions que els subjectes privats ja hagen de complir perquè, sobre la base de les dades sol·licitades, els organismes públics puguen exercisquen la seua activitat habitual en l'exercici d'una missió de servici públic com les indicades.

Se trata, en cambio, de una regulación que pretende hacer frente a situaciones excepcionales, imprevisibles y limitadas en el tiempo, que pueden referirse:

• A la necessitat d'obtindre les dades per a respondre a una emergència pública que no es troben disponibles per mitjans alternatius en condicions equivalents, com pot ser el cas del subministrament de dades en entorns i plataformes ja existents que s'hagueren desplegat per a una altra finalitat (per exemple: prestació d'un servici, execució d'un projecte de col·laboració…);
• A la impossibilitat per part de l'entitat pública de disposar de dades específiques per a fer front a una tasca assignada per la llei i realitzada en interés públic quan s'hagen esgotat tots els altres mitjans a la seua disposició, com pot ser el cas de la compra de dades no personals en el mercat per l'organisme públic, la consulta a una base de dades púbiques o la seua obtenció sobre la base d'obligacions prèviament existents per als subjectes privats.

En este últim supòsit, és a dir, quan la necessitat de disposar de les dades no es justifique per l'exigència de respondre a situacions d'emergència, l'objecte de la sol·licitud no podrà referir-se a dades de caràcter personal llevat que, per la pròpia naturalesa de la petició, siga imprescindible poder conéixer en algun moment la identitat del seu titular. En eixe cas serà necessari procedir a la seudonimización. En conseqüència, atés que  les dades no estarien anonimizados , se habrán de tener en cuenta las garantías que establece la normativa sobre protección de datos. En concreto:

• Los datos se tendrán que separar de su titular para que este no pueda ser identificado por otra persona no autorizada.
• Hauran d'adoptar-se mesures tècniques i organitzatives que impedisquen la reidentificación del titular, salve  per qui està habilitat per a açò quan resulte necessari.

Para quines finalitats no es poden utilitzar les dades?

Llevat que l'entitat privada que els proporcione l'haguera autoritzat expressament, els organismes públics no poden emprar les dades per a satisfer una finalitat diferent a la qual va justificar la seua posada a disposició. No obstant açò, en l'àmbit de l'estadística oficial o quan es necessiten dur a terme activitats d'investigació científica o anàlisi que no puguen realitzar per si mateixes les pròpies entitats públiques que sol·liciten les dades, es permet que es puguen cedir a altres entitats per a realitzar aquestes activitats. Ara bé, esta possibilitat presenta importants limitacions, ja que aquestes activitats han de resultar compatibles amb les finalitats per als quals es van obtindre les dades, la qual cosa impediria per exemple utilitzar les dades per a entrenar algoritmes que després puguen emprar-se per a l'exercici d'altres funcions o competències pròpies de l'entitat pública no relacionades amb la investigació o l'anàlisi. Així mateix, les dades només podran posar-se a la disposició d'entitats sense ànim de lucre o que satisfacen finalitats d'interés públic com poden ser les universitats i els organismes públics d'investigació.

Tampoc es podran utilitzar les dades per a desenvolupar o millorar productes i servicis relacionats amb l'entitat que els entrega, ni compartir-los amb tercers per a aquestes finalitats. Açò impediria, per exemple, que utilitzen les dades per a entrenar sistemes d'Intel·ligència Artificial per part de l'entitat pública o un dels seus contractistes que afecten negativament a fi de l'activitat habitual de l'entitat que els va proporcionar.

Finalment, les dades obtingudes en aplicació d'esta regulació no poden posar-se a la disposició d'altres subjectes a l'empara de la normativa sobre dades obertes i reutilització del sector públic, de manera que la seua aplicació queda exclosa expressament.

Quines garanties s'establixen per al titular de les dades obligat a entregar-los?

La petició de les dades haurà de formular-se per l'organisme públic mitjançant una sol·licitud formal en la qual caldrà determinar les dades necessàries i justificar per què es dirigix a l'entitat que rep el requeriment. A més, serà imprescindible explicar les raons excepcionals que sustenten la sol·licitud i, en concret, per què no és possible obtindre les dades per una altra via.

Amb caràcter general, el titular de les dades té dret a formular una reclamació enfront de la sol·licitud de les dades, que haurà de dirigir a l'autoritat competent designada per cada Estat per a garantir l'aplicació del Reglament i que figurarà en el registre que establisca la Comissió Europea.

Finalment, en certs casos, es reconeix al titular de les dades el dret a sol·licitar una compensació raonable pels costos i un marge raonable necessari per a posar les dades a la disposició de l'entitat pública, si bé esta última pot impugnar la compensació sol·licitada davant l'autoritat abans referida. No obstant açò, quan la petició d'accés a les dades es justifique en la necessitat de respondre a emergències públiques o la salvaguarda d'un interés públic significatiu, no es contempla compensació alguna als titulars de les dades. Est seria el cas d'un esdeveniment d'origen natural (terratrémols, riuades…) o situacions imprevistes i greus que afecten al normal funcionament social en àmbits essencials com la salut o l'orde públic.

En definitiva, l'obligació de proporcionar dades a les entitats públiques per part dels subjectes privats en estos casos va més enllà de l'objectiu d'impulsar un mercat únic de dades a nivell de la Unió Europea, finalitat que en gran mesura havia sustentat l'avanç en la regulació en matèria de dades en els últims anys. No obstant açò, la gravetat de la situació generada com a conseqüència del Covid-19 ha evidenciat la necessitat d'establir un marc normatiu general que garantisca que les entitats públiques puguen disposar de les dades necessàries per a fer front a situacions excepcionals per raons d'interés públic. En tot cas, l'efectivitat d'estes mesures només podrà comprovar-se a partir de setembre de 2025, quan està prevista la seua efectiva aplicació.

Font original de la notícia