El reciente Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización (Data Act) incorpora importantes novedades en la normativa europea a la hora de facilitar el acceso a los datos generados por los productos conectados y los servicios relacionados . Además de establecer medidas para impulsar la interoperabilidad en los espacios de datos, los servicios de tratamiento de datos y los contratos inteligentes, la nueva regulación también incorpora una importante novedad al regular la puesta a disposición de datos a favor de las entidades públicas en situaciones excepcionales.
¿Una nueva orientación en la regulación europea?
Con la normativa sobre reutilización de la información del sector público se pretendía fundamentalmente facilitar el acceso a los datos generados por las entidades del sector público, de manera que se impulsara el desarrollo de servicios de valor añadido basados en la innovación tecnológica. De hecho, tal y como se afirma expresamente en la Directiva de 2019 , la reforma que llevó a cabo se justificaba en gran medida por la necesidad de actualizar el marco normativo aplicable a los nuevos desafíos que planteaba la tecnología digital y, en particular, la Inteligencia Artificial o el Internet de las Cosas.
Posteriormente, al amparo de la Estrategia Europea de Datos se aprobó una regulación sobre gobernanza , se han impulsado los espacios de datos y, asimismo, se ha publicado hace tan solo unos meses la Data Act. Esta última implica un importante giro desde el punto de vista de los sujetos afectados ya que, a diferencia de las regulaciones anteriores centradas en las obligaciones de las entidades del sector público, por una parte, disciplina las relaciones entre privados y, por otra, establece una importante medida destinada a que las entidades privadas sean quienes proporcionen datos a los organismos públicos en ciertas condiciones singulares.
¿En qué situaciones han de proporcionarse los datos?
En primer lugar, es necesario enfatizar que la Data Act no tiene por objeto ampliar los supuestos en que las entidades privadas tienen que entregar datos a los organismos públicos en cumplimiento de sus potestades de supervisión y cumplimiento normativo, como puede ser el caso de la prevención, investigación e imposición de sanciones penales o administrativas. Así pues, no afecta a las obligaciones que los sujetos privados ya tengan que cumplir para que, en base a los datos solicitados, los organismos públicos puedan ejerzan su actividad habitual en el ejercicio de una misión de servicio público como las indicadas.
Se trata, en cambio, de una regulación que pretende hacer frente a situaciones excepcionales, imprevisibles y limitadas en el tiempo, que pueden referirse:
- A la necesidad de obtener los datos para responder a una emergencia pública que no se encuentren disponibles por medios alternativos en condiciones equivalentes, como puede ser el caso del suministro de datos en entornos y plataformas ya existentes que se hubiesen desplegado para otra finalidad (por ejemplo: prestación de un servicio, ejecución de un proyecto de colaboración…);
- A la imposibilidad por parte de la entidad pública de disponer de datos específicos para hacer frente a una tarea asignada por la ley y realizada en interés público cuando se hayan agotado todos los demás medios a su disposición, como puede ser el caso de la compra de datos no personales en el mercado por el organismo público, la consulta a una base de datos púbicas o su obtención en base a obligaciones previamente existentes para los sujetos privados.
En este último supuesto, es decir, cuando la necesidad de disponer de los datos no se justifique por la exigencia de responder a situaciones de emergencia, el objeto de la solicitud no podrá referirse a datos de carácter personal salvo que, por la propia naturaleza de la petición, sea imprescindible poder conocer en algún momento la identidad de su titular. En ese caso será necesario proceder a la seudonimización. En consecuencia, dado que los datos no estarían anonimizados , se habrán de tener en cuenta las garantías que establece la normativa sobre protección de datos. En concreto:
- Los datos se tendrán que separar de su titular para que este no pueda ser identificado por otra persona no autorizada.
- Habrán de adoptarse medidas técnicas y organizativas que impidan la reidentificación del titular, salvo por quien está habilitado para ello cuando resulte necesario.
¿Para qué finalidades no se pueden utilizar los datos?
Salvo que la entidad privada que los proporcione lo hubiese autorizado expresamente, los organismos públicos no pueden emplear los datos para satisfacer una finalidad distinta a la que justificó su puesta a disposición. Sin embargo, en el ámbito de la estadística oficial o cuando se necesiten llevar a cabo actividades de investigación científica o análisis que no puedan realizar por sí mismas las propias entidades públicas que solicitan los datos, se permite que se puedan ceder a otras entidades para realizar dichas actividades. Ahora bien, esta posibilidad presenta importantes limitaciones, ya que dichas actividades deben resultar compatibles con los fines para los que se obtuvieron los datos, lo que impediría por ejemplo utilizar los datos para entrenar algoritmos que luego puedan emplearse para el ejercicio de otras funciones o competencias propias de la entidad pública no relacionadas con la investigación o el análisis. Asimismo, los datos sólo podrán ponerse a disposición de entidades sin ánimo de lucro o que satisfagan fines de interés público como pueden ser las universidades y los organismos públicos de investigación.
Tampoco se podrán utilizar los datos para desarrollar o mejorar productos y servicios relacionados con la entidad que los entrega, ni compartirlos con terceros para dichos fines. Esto impediría, por ejemplo, que utilicen los datos para entrenar sistemas de Inteligencia Artificial por parte de la entidad pública o uno de sus contratistas que afecten negativamente al objeto de la actividad habitual de la entidad que los proporcionó.
Por último, los datos obtenidos en aplicación de esta regulación no pueden ponerse a disposición de otros sujetos al amparo de la normativa sobre datos abiertos y reutilización del sector público, de manera que su aplicación queda excluida expresamente.
¿Qué garantías se establecen para el titular de los datos obligado a entregarlos?
La petición de los datos deberá formularse por el organismo público mediante una solicitud formal en la que será preciso determinar los datos necesarios y justificar por qué se dirige a la entidad que recibe el requerimiento. Además, será imprescindible explicar las razones excepcionales que sustenten la solicitud y, en concreto, por qué no es posible obtener los datos por otra vía.
Con carácter general, el titular de los datos tiene derecho a formular una reclamación frente a la solicitud de los datos, que habrá de dirigir a la autoridad competente designada por cada Estado para garantizar la aplicación del Reglamento y que figurará en el registro que establezca la Comisión Europea.
Finalmente, en ciertos casos, se reconoce al titular de los datos el derecho a solicitar una compensación razonable por los costes y un margen razonable necesario para poner los datos a disposición de la entidad pública, si bien esta última puede impugnar la compensación solicitada ante la autoridad antes referida. Sin embargo, cuando la petición de acceso a los datos se justifique en la necesidad de responder a emergencias públicas o la salvaguarda de un interés público significativo, no se contempla compensación alguna a los titulares de los datos. Este sería el caso de un acontecimiento de origen natural (terremotos, riadas…) o situaciones imprevistas y graves que afectan al normal funcionamiento social en ámbitos esenciales como la salud o el orden público.
En definitiva, la obligación de proporcionar datos a las entidades públicas por parte de los sujetos privados en estos casos va más allá del objetivo de impulsar un mercado único de datos a nivel de la Unión Europea, finalidad que en gran medida había sustentado el avance en la regulación en materia de datos en los últimos años. Sin embargo, la gravedad de la situación generada como consecuencia del COVID-19 ha evidenciado la necesidad de establecer un marco normativo general que garantice que las entidades públicas puedan disponer de los datos necesarios para hacer frente a situaciones excepcionales por razones de interés público. En todo caso, la efectividad de estas medidas sólo podrá comprobarse a partir de septiembre de 2025, cuando está prevista su efectiva aplicación.