El 30 de noviembre de 2021, el Parlamento Europeo y el Consejo de la UE llegaron a un acuerdo sobre la Ley de Gobernanza de Datos de la UE (DGA), la primera iniciativa legislativa adoptada bajo la Estrategia Europea de Datos para regular el intercambio de datos dentro de los Estados miembros.
La Comisión adoptó el 23 de febrero de 2022 la propuesta de Reglamento sobre normas armonizadas sobre el acceso justo a los datos y su uso, también conocido como Ley de datos. La Ley de datos es un pilar clave de la estrategia europea para los datos. Hará una importante contribución al objetivo de transformación digital de la Década Digital.
Las nuevas medidas complementan el Reglamento de Gobierno de Datos propuesto en noviembre de 2020, el primer entregable de la estrategia europea de datos. Mientras que el Reglamento de Gobierno de Datos crea los procesos y estructuras para facilitar los datos, la Ley de Datos aclara quién puede crear valor a partir de los datos y bajo qué condiciones.
En esta publicación te contamos qué es la Ley de Gobernanza de Datos, sus implicaciones, los objetivos de esta legislación y lo que las empresas deben saber para cumplir con la nueva ley.
Indice
¿Qué es la Ley de Gobernanza de Datos de la UE (DGA)?
La DGA define un enfoque común para el intercambio de datos dentro de la UE. Su objetivo es establecer un uso confiable de los datos para la investigación y la innovación. Establece mecanismos sólidos para respaldar la reutilización de datos protegidos específicos del sector público, aumentar la confianza en los servicios de intermediación de datos y fomentar el altruismo de datos en toda la región.
La nueva ley consta de estos elementos principales:
- Aumenta la confianza en el intercambio de datos para facilitar los procesos y reducir los costes.
- Permite que los intermediarios de datos funcionen como organizadores confiables del intercambio de datos.
- Facilitar la reutilización de datos específicos en poder del sector público, como la reutilización de datos de salud en condiciones claras para avanzar en la investigación y el desarrollo.
- Proporcionar las herramientas para que las empresas y las personas puedan voluntariamente poner a disposición sus datos para el bien común en condiciones claras.
Por lo tanto, por diseño, la DGA debería contribuir al desarrollo de espacios de datos europeos compartidos, particularmente en áreas tales como salud, medio ambiente, energía, agricultura, movilidad, finanzas, manufactura y administración pública. Estos, a su vez, ayudarán a alimentar los sistemas de inteligencia artificial desarrollados en la UE en estos campos.
Los usuarios de objetos o dispositivos generalmente creen que deberían tener todos los derechos sobre los datos que generan. Sin embargo, estos derechos a menudo no están claros. Y los fabricantes no siempre diseñan sus productos de una manera que permita a los usuarios, tanto profesionales como consumidores, aprovechar al máximo los datos digitales que crean al usar objetos IoT. Esto conduce a una situación en la que no hay una distribución justa de la capacidad para aprovechar datos digitales tan importantes, lo que frena la digitalización y la creación de valor.
Además, la Ley de datos tiene como objetivo garantizar la coherencia entre los derechos de acceso a los datos, que a menudo se desarrollan para situaciones específicas y con diferentes reglas y condiciones. Si bien la Ley de datos se entiende sin perjuicio de las obligaciones existentes de acceso a los datos, cualquier norma futura debe ser coherente con ella. Las reglas existentes deben evaluarse y, si corresponde, alinearse con la Ley de datos cuando corresponda su revisión.
Ámbito de aplicación
La Ley de Gobierno de Datos se aplicaría a las siguientes situaciones:
- Hacer que los datos del sector público estén disponibles para su reutilización en situaciones en las que dichos datos estén sujetos a derechos de terceros (incluso cuando constituyan secretos comerciales, información estadística confidencial o datos personales, o estén sujetos a derechos de propiedad intelectual de terceros), complementando en a este respecto la Directiva de Datos Abiertos (2019/1024), ya que también se aplica a los datos en posesión de entidades del sector público cubiertas por los derechos de otras personas
Intercambio de datos entre empresas, a cambio de una remuneración en cualquier forma - Permitir que los datos personales se utilicen con la ayuda de un «intermediario de intercambio de datos personales», a través del cual los interesados podrían poner sus datos a disposición de los usuarios potenciales de los datos.
- Permitir el uso de datos por motivos altruistas (es decir, el intercambio voluntario de datos por parte de personas o empresas por el bien común).
Objetivos
La DGA tiene como objetivo facilitar el flujo de datos industriales crecientes entre sectores y Estados miembros. Ofrece la base para establecer una economía justa basada en datos y crear las condiciones adecuadas para compartir datos de manera confiable.
La legislación creará un marco estandarizado de herramientas y técnicas confiables para la reutilización de datos, lo que permitirá que las personas y las empresas tengan el control de los datos que poseen o generan.
La DGA permitirá que haya más datos disponibles e intercambiados en la UE. Puede fomentar el desarrollo de espacios de datos europeos comunes en la fabricación, el patrimonio cultural, la salud, etc. Por ejemplo, el intercambio de datos puede ayudar a descubrir curas para enfermedades raras o crónicas y respaldar la formulación de políticas basadas en pruebas.
Las organizaciones pueden beneficiarse de costes más bajos en la adquisición, integración y procesamiento de datos. Pueden explorar más oportunidades comerciales gracias a las menores barreras para ingresar a nuevos mercados y al menor tiempo de comercialización de nuevos productos y servicios.
La legislación también crea una base para respaldar la gobernanza de datos que se alinea con las normas de la UE sobre protección de datos personales (p. ej., RGPD) y las leyes de competencia y protección del consumidor para posicionar a la región a la vanguardia del entorno social y empresarial actual, cada vez más impulsado por los datos.
Elementos
La Comisión Europea optó por un reglamento como instrumento legal de su Data Governance Act debido al predominio de elementos que requiere una aplicación uniforme que no dejaría márgenes de implementación a los Estados miembros, con el fin de crear un marco comunitario totalmente horizontal.
Estos son los elementos clave del proyecto de reglamento:
Reutilización de datos producidos por el sector público
La Ley de Gobernanza de Datos tiene como objetivo aumentar la cantidad de datos disponibles para su reutilización dentro de la UE al permitir que los datos del sector público se utilicen para multas diferentes a aquellos para los que se recopilaron originalmente. El tipo de datos a los que se dirige la Ley son, por ejemplo, los datos generados por GPS o los datos de atención médica, que si se les da un uso productivo, podrían contribuir a mejorar la calidad de los servicios.
Los datos recopilados podrían reutilizarse para actividades comerciales o no comerciales y la Comisión estima que la implementación de las medidas propuestas podría aumentar el valor económico de los datos hasta en 11.000 millones de euros para 2028.
Intermediarios de datos
La Comisión cree que, para incentivar a las personas a facilitar sus datos, deben confiar en el proceso compartido mediante el cual se manejan esos datos. Para ello, se propone crear “intermediarios de datos”, que gestionarán el intercambio de datos por parte de particulares, organismos públicos y empresas privadas. Estos proveedores de servicios de intercambio de datos se completan como una alternativa europea a las principales plataformas tecnológicas existentes.
Para mantener la confianza en dichos intermediarios, la Comisión propone implementar varias medidas de protección.
- En primer lugar, los intermediarios deben notificar a las autoridades públicas su intención de prestar servicios de intercambio de datos.
- En segundo lugar, tendrán que comprometerse con la protección de datos sensibles y confidenciales.
- Finalmente, la Comisión impondrá requisitos estrictos para garantizar la neutralidad de los intermediarios. Estos proveedores tendrán que distinguir sus servicios de intercambio de datos de otras operaciones comerciales, y tienen prohibido utilizar los datos intercambiados para otros fines.
Ciertos servicios que han sido excluidos de convertirse en nuevos intermediarios de datos como parte de la regulación incluyen proveedores de servicios en la nube y corredores de publicidad de datos, contratos de datos o proveedores de productos de datos.
El primer borrador de la Ley de Gobierno de Datos, filtrado en noviembre, había causado controversia con respecto a estos intermediarios, ya que requería que estuvieran legalmente establecidos en la UE o el EEE.
Sin embargo, varios expertos criticaron las medidas, diciendo que discriminarían a las empresas extranjeras y, por lo tanto, violarían los compromisos de la UE como parte de la Organización Mundial del Comercio (OMC). La OMC prohíbe a los países exigir que los proveedores de servicios de intercambio de datos del extranjero tengan su sede legal en su propio país.
Muchas empresas también reaccionaron con preocupación ante el documento filtrado, alegando que la restricción de los flujos de datos podría resultar en una pérdida de millones de euros en el comercio digital.
Tal como está, la Ley de Gobernanza de Datos solo requiere que los intermediarios tengan un lugar de establecimiento en la UE o que designen un representante en Europa.
Sin embargo, las restricciones a la transferencia de datos confidenciales a terceros países permanecieron en la propuesta final.
Espacios de datos específicos del sector
La Ley propuesta también tiene como objetivo crear espacios de datos específicos del sector para permitir el intercambio de datos dentro de un sector específico. Por ejemplo, la Ley prevé la creación de espacios de datos para el transporte, la salud, la energía o la agricultura.
Altruismo de datos
La Ley de Gobernanza de Datos también tiene como objetivo crear condiciones favorables para el «altruismo de datos», lo que significa alentar a las personas a donar voluntariamente datos personales para servir al interés general. Para ello, se crearán “espacios de datos personales” para garantizar que los datos compartidos solo se utilizarán para los fines que las personas que los donaron acordaron, como, por ejemplo, la investigación médica. Las organizaciones sin ánimo de lucro tendrán la oportunidad de inscribirse en un registro público de «organización de altruismo de datos».
Junta Europea de Innovación de Datos
Finalmente, la Ley de Gobernanza de Datos prevé la creación de un Consejo Europeo de Innovación de Datos. Sus misiones se harán cargo de los proveedores de servicios de intercambio de datos (los intermediarios de datos) y brindará asesoramiento sobre las mejores prácticas para el intercambio de datos.
Impacto en toda la UE
La Ley de Datos será un poderoso motor para la innovación y nuevos puestos de trabajo. Permitirá a la UE asegurarse de estar a la vanguardia de la segunda ola de innovación basada en datos.
- Cuando compras un producto ‘tradicional’, adquieres todas las partes y accesorios de ese producto. Sin embargo, cuando compras un producto conectado que genera datos, a menudo no está claro quién puede hacer qué con los datos. Al facultar a los usuarios para transferir (‘portar’) sus datos más fácilmente, la Ley de Datos otorgará a las personas y empresas un mayor control sobre los datos que generan mediante el uso de objetos, máquinas y dispositivos inteligentes, lo que les permitirá disfrutar de las ventajas de la digitalización de productos.
- Al tener acceso a los datos relevantes, los proveedores de servicios posventa podrán mejorar e innovar sus servicios y competir en igualdad de condiciones con servicios comparables ofrecidos por los fabricantes. Por lo tanto, los usuarios de productos conectados podrían optar por un proveedor de reparación y mantenimiento más económico, o mantenerlos y repararlos ellos mismos. De esta manera, se beneficiarían de precios más bajos en ese mercado. Esto podría extender la vida útil de los productos conectados, contribuyendo así a los objetivos del Green Deal.
- La disponibilidad de datos sobre el funcionamiento de los equipos industriales permitirá la optimización de la planta de producción: las fábricas, las granjas y las empresas de construcción podrán optimizar los ciclos operativos, las líneas de producción y la gestión de la cadena de suministro, incluso en función del aprendizaje automático.
- En la agricultura de precisión, el análisis de datos de IoT de los equipos conectados puede ayudar a los agricultores a analizar datos en tiempo real como el clima, la temperatura, la humedad, los precios o las señales de GPS y brindar información sobre cómo optimizar y aumentar el rendimiento. Esto mejorará la planificación agrícola y ayudará a los agricultores a tomar decisiones sobre el nivel de recursos necesarios.
- Las empresas de la UE, especialmente las pymes, tendrán más posibilidades de competir e innovar sobre la base de los datos que generan gracias a los derechos de acceso y portabilidad de datos. Será más fácil transferir datos hacia y entre proveedores de servicios y esto alentará a más actores, independientemente de su tamaño, a participar en la economía de datos.
Convertir datos difíciles en oro
El Capítulo II de la Ley tiene como objetivo desbloquear más valor en los datos en poder del sector público, al abrir estos datos para su reutilización.
El Capítulo II tiene como objetivo promover el uso de estos tipos de datos “difíciles”. Las disposiciones se aplican a los organismos del sector público y tienen como objetivo facilitar la «reutilización» de los datos, es decir, el uso con fines comerciales o no comerciales, distintos de la tarea pública inicial para la que se producen los datos. Hay exclusiones: por ejemplo, la Ley no cubre los datos en poder de empresas públicas (propiedad de organismos públicos), emisoras, establecimientos culturales, datos que están protegidos por razones de seguridad nacional, defensa o seguridad pública.
Al igual que la Directiva de Datos Abiertos, la Ley no obliga a los organismos del sector público a permitir la reutilización de datos, pero cuando los datos están disponibles para su reutilización, exige que los arreglos de acceso no sean discriminatorios, sean transparentes, proporcionados, objetivos y no puede imponer la competencia. Los acuerdos de acceso exclusivo están restringidos. También hay restricciones en las tarifas pagaderas por el acceso.
Los organismos del sector público que brindan acceso deben asegurarse de preservar la naturaleza protegida de los datos. A modo de ejemplo, esto podría significar solo divulgar datos de forma anónima. O podría significar el uso de entornos de procesamiento de seguros: entornos físicos o virtuales que permiten el acceso a los datos, al tiempo que garantizan el cumplimiento de otras leyes y preservan la naturaleza protegida de los datos.
El considerando 6 llama específicamente a poner el potencial para el uso de privacidad diferencial y datos sintéticos como formas de permitir la explotación de datos. Quienes deseen reutilizar los datos, deberán comprometerse a seguir respetando el carácter protegido de los datos.
Si un organismo del sector público recibe una solicitud para divulgar datos, pero no puede hacerlo de manera compatible, incluso utilizando las técnicas anteriores, entonces tiene la obligación de hacer todo lo posible para obtener el consentimiento para la reutilización del interesado/afectado, a menos que esto suponga un esfuerzo desproporcionado.
Será difícil permitir la reutilización de datos personales, confidenciales o protegidos de otro modo por los DPI sin perjudicar esos mismos intereses. Para ayudar en esto, la Comisión requiere que cada estado miembro tenga un organismo competente para apoyar a las autoridades públicas en estas tareas. Para facilitar la reutilización de los datos, el estado miembro también debe garantizar que haya un punto único al que se puedan dirigir las solicitudes de reutilización. Esto también debe enumerar todos los conjuntos de datos disponibles para su reutilización. La Comisión también creará un punto de acceso único para toda la UE.
Impacto para los profesionales de la privacidad
Las disposiciones de reutilización serán relevantes para los profesionales de la privacidad que trabajan para organizaciones que hacen uso, o les gustaría hacer uso, de datos del sector público que comprendan datos personales. Podría haber oportunidades para nuevas fuentes de datos.
También serán muy relevantes para las organizaciones que ofrecen servicios de consultoría sobre técnicas de privacidad, como la privacidad diferencial y los datos sintéticos.
Fuera de estos dos grupos, las disposiciones no tienen una relevancia inmediata y directa para los profesionales de la privacidad. Sin embargo, destacan las técnicas de anonimización y mejora de la privacidad, y los posibles desarrollos en esta área tendrán una mayor relevancia para los profesionales de la privacidad.
En su Dictamen 05/2014 sobre Técnicas de Anonimización, el Grupo de Trabajo del Artículo 29 declaró:
“… ‘los medios que probablemente se utilizarán razonablemente para determinar si una persona es identificable’ son los que se utilizarán ‘por el responsable del tratamiento o por cualquier otra persona’. Por lo tanto, es fundamental comprender que cuando un controlador de datos no elimina los datos originales (identificables) a nivel de evento, y el controlador de datos entrega parte de este conjunto de datos (por ejemplo, de eliminar o enmascarar datos identificables), el resultado es que el conjunto de datos sigue siendo información personal. Solo si el controlador de datos agrega los datos a un nivel en el que los eventos individuales ya no son identificables, el conjunto de datos resultantes puede calificarse como anónimo”.
La opinión parece eliminar la posibilidad de la publicación de cualquier conjunto de datos anónimos de nivel individual, mientras que el conjunto de datos de origen siga existiendo. Este enfoque reduciría las formas en que los organismos del sector público podrían hacer que los datos estén disponibles en virtud de la Ley.
El Consejo Europeo de Protección de Datos declaró en su Programa de trabajo 2021/2022 que está trabajando en una nueva guía sobre anonimización y seudonimización. Esto es necesario.
El TJUE también se refirió con aprobación a la Opinión del Abogado General, señalando que los datos no serían personales si el “riesgo de identificación parece en realidad insignificante”, como sería el caso “si la identificación del interesado estuviera prohibida por la ley o prácticamente imposible por el hecho de que requiere un esfuerzo desproporcionado en términos de tiempo, coste y mano de obra” .
La Ley exige que los organismos del sector público impongan restricciones legales (a través de condiciones de acceso) a las partes que deseen reutilizar los datos, que incluyen la prohibición de intentos de reidentificación. Este enfoque, combinado con medidas técnicas en un entorno de procesamiento seguro, debería permitir el acceso anónimo a los datos, que siguen siendo personales en manos del organismo del sector público.
Transferencia de datos
La Ley comienza a extender las restricciones a las transferencias de datos a datos no personales. Es probable que los profesionales de la privacidad sean las personas de cualquier organización que tengan más experiencia en navegar estas restricciones. En consecuencia, si bien las restricciones no se aplican a los datos personales (porque el RGPD ya contiene restricciones similares o más amplias), aún pueden ser relevantes.
La mayoría de las restricciones se introducen en la reutilización de datos de organismos del sector público. Si un reutilizador tiene la intención de transferir datos no personales a un tercer país, debe notificarlo al organismo del sector público en el momento en que solicita la reutilización de los datos. El organismo del sector público, a su vez, debe notificar a las partes que pueden verse afectadas por esto, y solo puede acceder a la solicitud de reutilización si esas partes dan permiso para la transferencia. No está claro si el uso de entornos de procesamiento seguro puede, por sí mismo, permitir que se argumente que ninguna otra parte se verá afectada por la transferencia. Tal argumento parecería plausible si el efecto de tales facilidades fuera brindar una protección efectiva a los intereses de esas partes.
Cuando se permitan las transferencias, el reutilizador debe dar garantías contractuales de cumplir con los requisitos de confidencialidad y DPI posteriores a la transferencia y de aceptar la jurisdicción de los tribunales del Estado miembro en el que tiene su sede el organismo del sector público.
La Ley también introduce la posibilidad de que la Comisión adopte cláusulas contractuales modelo y declare que ciertos países ofrecen una protección adecuada para los datos no personales, o introduce restricciones adicionales para ciertas categorías de datos no personales que presentan un alto riesgo.
Hasta ahora, las restricciones de transferencia de datos no personales pueden parecer de relevancia limitada: principalmente a los organismos del sector público, o aquellos que reciben datos de dichos organismos. Sin embargo, el Art.30 amplía estas restricciones. Esto introduce una obligación general para los organismos del sector público, aquellos datos autorizados para su reutilización, así como para las organizaciones de intermediación de datos y altruismo de datos, de tomar todas las medidas razonables para evitar las transferencias internacionales o el acceso del gobierno a los datos no personales conservados en la Unión cuando esto entre en conflicto con la legislación de la UE o de los Estados miembros.
La ley también contiene una disposición equivalente al artículo 48 del RGPD, que señala que las sentencias o decisiones de terceros países que requieren el acceso a los datos solo se reconocen en la UE si se basan en un tratado internacional. Además, cualquier reutilizador de datos del sector público, un proveedor de servicios de intermediación y cualquier organización de altruismo de datos reconocidos que reciban una solicitud de datos no personales de un tercer país que entraría en conflicto con la legislación de la UE o de los Estados los miembros deben proporcionar la información mínima posible en respuesta a dicha solicitud y solo pueden cooperar con ella, cuando la solicitud esté reconocida en virtud de un tratado internacional, etc., o cuando las condiciones establecidas en la Ley se cumplen.
El proveedor también debe notificar la solicitud al titular de los datos, a menos que la solicitud sea para fines policiales (no de seguridad nacional) y cuando sea necesario para preservar la eficacia de la actividad policial. Por lo tanto, los proveedores de servicios de intermediación, o servicios de altruismo de datos, que se relacionan con datos no personales, tendrán que utilizar evaluaciones de riesgo de transferencia y procesos para tratar las solicitudes de las autoridades públicas para acceder a los datos.
¿Cómo encaja la Ley de datos de la UE con otras leyes?
Los datos no caen claramente en un área legal, por lo que la pregunta más apreciada es cómo encajan estas nuevas propuestas con las que ya existen. Las interrelaciones clave son las siguientes:
Ley de Gobierno de Datos
La Ley de Datos de la UE complementa la Ley de Gobernanza de Datos recientemente aprobada provisionalmente (que se centra en la transferencia de datos no personales, reglas sobre la reutilización de datos del sector público e introduce un régimen para intermediarios de datos). Si bien ambos considerando compartir datos:
La Ley de Gobierno de Datos se centra en proporcionar un marco legal, procesos y estructuras para promover el intercambio de datos.
La Ley de datos de la UE se centra más en dejar claro quién puede crear valor a partir de los datos y en qué condiciones.
Propiedad intelectual
Fundamentalmente, la Ley de Datos de la UE generalmente no busca cambiar las posiciones legales en torno a los derechos de propiedad intelectual, los secretos comerciales y la competencia.
Sin embargo, hay una excepción, ya que se abordaron ciertos derechos con respecto a las bases de datos; en particular, aclara que las bases de datos que contienen datos de dispositivos IoT no deben estar sujetos a protección legal separada bajo los derechos de la base de datos para garantizar que se pueda acceder a ellos y utilizarlos. En otras palabras, la aplicación del derecho sui generis en virtud de la Directiva 96/9/CE (la Directiva de bases de datos de la UE) no se aplicaría a las bases de datos que contienen datos generados u obtenidos mediante el uso de IoT /productos conectados o servicios relacionados, como sensores, u otros tipos de datos generados por máquinas.
Esto es para evitar que los titulares de los datos reclamen la exclusividad sobre los datos generados por los productos conectados.
Protección de Datos
La Ley de Datos de la UE deja intactos los derechos y obligaciones separados bajo el Reglamento General de Protección de Datos de la UE, Reglamento (UE) 2016/679 (el RGPD de la UE) que se aplica a los datos personales.
La Ley de Datos de la UE debe leerse en paralelo con el RGPD de la UE, pero se basa en él y proporciona reglas más amplias que se aplican a todos los ‘datos’, que cubren «cualquier representación digital de actos, hechos o información y cualquier compilación de tales actos, hechos o información, incluso en forma de grabación sonora, visual o audiovisual”.
Por lo tanto, la Ley de datos de la UE se ocupa de todos los datos, no solo de los datos no personales.