Nota informativa: Aprobada la “Data Governance Act”

Miércoles 1 de junio 2022

 

El 16 de mayo, el Consejo de la Unión Europea aprobó la Data Governance Act (“DGA”). Esta norma, junto a la Data Act (Propuesta de Reglamento para las normas de armonización en el acceso y uso justo de datos), forma parte del eje central de la Estrategia Europea para la creación de un Mercado Único de Datos.

El objetivo perseguido con la aprobación de la DGA es fomentar la reutilización segura de ciertas categorías de datos del sector público para la cual se prevén (i) mecanismos que fomenten el intercambio de datos (ii) la promoción de servicios de intermediación y (iii) potenciar la cesión altruista de los datos.

A diferencia de la Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (Directiva “Open Data”), la DGA prevé mecanismos para fomentar el intercambio de datos que obren en poder de organismos del sector público y estén sujetos a derechos de terceros (datos confidenciales como información comercial o bajo secreto profesional; información amparada en el secreto estadístico, datos protegidos por derechos de propiedad intelectual, secretos comerciales y datos de carácter personal). Las medidas previstas en la norma pretenden ponderar las ventajas derivadas del uso de esta información con fines de investigación e innovación salvaguardando los derechos e intereses de los terceros afectados.

Para la consecución de los objetivos perseguidos, la DGA prevé las siguientes medidas:

  1. Fomentar el intercambio de datos.
  • Prohibición de suscribir acuerdos exclusivos: Los acuerdos o prácticas cuyo objetivo sea conceder derechos exclusivos sobre los datos o restringir la disponibilidad de lo mismo a otros terceros se prohíben por norma general. Solo se permitirán los acuerdos de exclusividad cuando sea necesario para la prestación de un servicio o el suministro de un producto con fines de interés general que de otro modo no sería posible. En tales casos, la duración de estos acuerdos se limita a un máximo de 12 meses.
  • Publicación de las condiciones de reutilización: Las autoridades públicas que tengan competencia para permitir o denegar la reutilización de los datos deberán publicar las condiciones previstas para dicha reutilización y el procedimiento para realizar la solicitud. Las condiciones establecidas deberán ser transparentes y proporcionadas y no discriminatorias.
  • Protección de los datos: Las autoridades públicas que concedan o denieguen el acceso a los datos deben preservar la naturaleza protegida de los datos y, para ello, podrán establecer requisitos técnicos y/u organizativos como, la anonimización de los datos personales, el uso de técnicas que garanticen que los datos sujetos a confidencialidad se modifican o agregan, o el acceso y reutilización a distancia solamente en entornos controlados por el propio organismo público. Asimismo, el organismo del sector público que gestione el acceso a los datos podrá verificar el proceso y los medios del tratamiento de la información, prohibiendo si fuese necesario, la utilización de los resultados obtenidos utilizando la información reutilizada si estos ponen en peligro los derechos e intereses de terceros.
  • Creación de un punto de acceso único europeo que permita realizar consultas a un registro electrónico de datos del sector público.

 

2. Promover los servicios de intermediación.

La norma establece el marco regulatorio aplicable a estos prestadores y las condiciones para la prestación de este tipo de servicios, entre las que cabe destacar:

  • La notificación de la actividad a la autoridad competente.
  • La exigencia de neutralidad, por la que se prohíbe que los datos sean tratados por los prestadores de servicios de intermediación con fines ajenos a la labor de intermediación. Asimismo, se prohíbe expresamente condicionar el acceso al servicio de intermediación a la suscripción de servicios o adquisición de productos adicionales provistos por el prestador, debiendo existir una clara diferenciación entre los servicios de intermediación y cualquier otra actividad comercial llevada a cabo por la organización.

 

3. Fomentar la cesión altruista de datos.

La DGA prevé que los datos sean puestos a disposición del bien común sin contraprestación económica y de forma voluntaria, tanto por entidades como por interesados personas físicas.

A fin de fomentar esta práctica altruista, se prevé la posibilidad de que los Estados miembros establezcan disposiciones que faciliten la cesión altruista de datos y la creación de registros públicos de organizaciones reconocidas de gestión de datos con fines altruistas.

Asimismo, la DGA prevé un sistema de certificación voluntaria que permita la identificación de proveedores de servicios de intermediación y organizaciones de altruismo de datos.

A fin de asesorar y asistir a la Comisión para la implementación coherente de la norma, se ha previsto la creación de un Comité Europeo de Innovación en materia de datos (“European Data Innovation Bord”), compuesto por representantes de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de todos los Estados miembros, así como por subgrupos de representantes de diferentes sectores específicos con interés en la aplicación del marco regulatorio. Con relación a las competencias de supervisión, la DGA indica que debe ser posible considerar a las autoridades de protección de datos competentes con arreglo a esta norma.

No cabe duda de que, dentro de la protección prevista para los derechos de terceros titulares de la información, se da especial relevancia a los datos personales. Al respecto la propia norma advierte que, si bien se persigue fomentar la libre circulación de datos (personales y no personales), la DGA no debe interpretarse como una base jurídica adicional, por si sola, para la legitimación del tratamiento de datos personales.

Por lo tanto, los mecanismos de intercambio y puesta a disposición de datos previstos en esta norma deben tener en cuenta la previsión del Reglamento General de Protección de Datos (RGPD) cuando resulte de aplicación, como no podría ser de otra manera. Se prevén, de hecho, similitudes con el RGPD en los mecanismos previstos por la DGA para la realización de transferencias de información fuera del Espacio Económico Europeo, mediante la adopción de decisiones de adecuación que declaren a países terceros con garantías adecuadas para el uso de datos no personales transferidos desde la Unión, o la aprobación de cláusulas contractuales tipo al efecto.

Por último, resulta relevante destacar que, a fin de encontrar el equilibrio entre la puesta a disposición de los datos para fines de interés general minimizando el impacto en los derechos fundamentales de los afectados, la DGA destaca la importancia de fomentar el uso de técnicas de anonimización, privacidad diferencial y el uso de datos sintéticos, entre otros y, en particular, traslada a los Estados miembros el deber de prestar apoyo a los organismos del sector público para implementar y hacer uso de estas técnicas.

La DGA entrará en vigor 20 días después de su publicación en el Diario Oficial de la Unión Europa y será de aplicación 15 meses después de su entrada en vigor.

El desarrollo de mecanismos para fomentar la libre circulación de la información, garantizando la protección de los derechos de terceros afectados, es esencial sin duda para aprovechar el potencial de los datos y enriquecer el auge y desarrollo de tecnologías basadas en analítica de datos como los sistemas de inteligencia artificial. A su vez, los nuevos modelos de intercambio de datos previstos a través de terceros intermediarios u organizaciones altruistas suponen una oportunidad para las organizaciones, pero requiere una adecuada gestión de los sistemas de información y control sobre los datos (personales y no personales) tratados, a fin de cumplir los requisitos de acceso a la información e identificar los requisitos para su puesta a disposición y explotación en entornos de compartición de datos.

 

Área de Privacidad de ECIJA

info@ecija.com

Telf: + 34 91.781.61.60

download-pdf DESCARGA PDF 

Socios relacionados


Jesús Yáñez

ver perfil