Marco Normativo Europeu per a la Governança de la Dada
És una realitat que en l'era de la informació en la qual vivim, les dades s'han convertit en un dels actius més valuosos per a les organitzacions, i el sector públic no és una excepció.
Però no se'ns escapa el fet que si l'administració pública vol utilitzar les dades de manera que contribueixin a la presa de decisions, millorin els serveis públics i fomentin la transparència i la rendició de comptes és necessària l'aplicació d'un marc de treball de govern d'aquestes dades.
En una entrada anterior d'aquest Blog definíem el Govern de la dada com l'especificació d'una sèrie de polítiques entorn de la dada, que seran aplicades a través de processos, rols i eines dedicades a aquest efecte. Sent l'objectiu d'aquest marc de treball el poder gestionar de manera eficient el cicle de vida de la dada, poder mesurar la seva qualitat, accedint al mateix de manera segura i controlada, assegurant, a més, la seva correcta interpretació i utilització.
Però, quin és el marc normatiu que defineix com s'han de manejar i governar aquestes dades?
Existeixen diverses normatives tant a nivell europeu com a nivell estatal que estableixen una base jurídica sòlida en aquest camp.
En la primera part d'aquesta sèrie d'articles, ens enfocarem en la normativa europea que estableix el marc per a la governança de la dada, ja que entendre aquestes regulacions és fonamental per a qualsevol administració pública que desitgi aprofundir en aquesta matèria.
Marco Normativo Europeu per a la Governança de la Dada
1. Reglament (UE) 2022/868 - Governança Europea de Dades (Data Governance Act)
El Reglament (UE) 2022/868, comunament conegut com el Reglament de Governança de Dades, marca una fita crucial en l'evolució de l'estratègia de dades de la Unió Europea sent una peça fonamental per a establir un ecosistema de dades segur, obert i dinàmic a la UE. Aquest reglament no sols aborda els desafiaments tècnics i ètics del maneig de dades, sinó que també estableix una estructura per al seu aprofitament econòmic i social.
Establiment de serveis d'intermediació de dades
En aquest reglament s'introdueix una regulació detallada per als serveis d'intermediació de dades. Aquests serveis actuen com a facilitadors crítics en el mercat de dades, permetent l'intercanvi de dades entre diverses entitats sense utilitzar les dades per a competir en el mercat. La normativa imposa requisits estrictes de neutralitat i transparència, assegurant que els intermediaris operin de manera justa i sense conflictes d'interessos. Aquest enfocament pretén construir una confiança robusta en aquests serveis, que són essencials per a la fluida circulació de dades a través de fronteres sectorials i geogràfiques.
Foment d'organitzacions altruistes en la gestió de dades
Aquest apartat és particularment innovador, ja que reconeix i regula les organitzacions que gestionen dades amb finalitats altruistes. Aquest marc legal assegura que aquestes organitzacions siguin reconegudes oficialment i operin sota estàndards estrictes d'ètica i transparència. El seu objectiu és permetre l'ús de dades per a projectes que beneficien a la societat, com la recerca en salut pública i la sostenibilitat ambiental, garantint al mateix temps que aquestes dades es manegin de manera responsable i segura.
Mecanismes per a l'intercanvi segur de dades
També s'aborda directament l'operativa per a compartir dades dins de la UE, establint un equilibri entre l'obertura i la seguretat. Aquestes disposicions asseguren que tant les dades personals com els no personals puguin ser compartits de manera que es protegeixi la privacitat i es mantingui la integritat de les dades. Aquest aspecte és crucial per a evitar abusos i per a garantir que l'intercanvi de dades beneficiï a tots els actors involucrats, enfortint així el mercat únic digital.
Impuls a la innovació mitjançant la reutilització de dades
Finalment, aquest Reglament busca maximitzar el valor de les dades no personals, facilitant la seva reutilització en sectors clau com la salut, l'energia i el transport. Aquest enfocament no sols busca fomentar la innovació tecnològica i econòmica, sinó també millorar l'eficiència i la competitivitat de les indústries europees.
2. Reglament General de Protecció de Dades (GDPR) (Reglament (UE) 2016/679)
El GDPR és un dels reglaments més influents pel que fa a la protecció de dades personals i la privacitat a Europa. Estableix directrius estrictes sobre el tractament de dades personals, incloent els drets d'accés, rectificació, supressió i oposició al tractament de dades per part dels individus. El GDPR també introdueix el concepte de responsabilitat del processador de dades, requerint que les entitats implementin mesures tècniques i organitzatives adequades per a garantir i demostrar que el tractament és conforme amb el reglament.
Drets reforçats per als individus
El GDPR amplia significativament els drets de les persones, assegurant un control més efectiu sobre les seves dades personals. Això inclou drets ben definits com l'accés a dades personals, la correcció d'errors, el dret a l'oblit (supressió de dades), i el dret a la portabilitat de les dades, que permet als individus rebre les seves dades personals en un format estàndard i traslladar-los a un altre servei.
Exigències de consentiment clar
Una de les pedres angulars del GDPR és la normativa sobre el consentiment. Aquest ha de ser clar, inequívoc i proporcionat voluntàriament per l'individu, establint un alt estàndard per al que es considera consentiment vàlid. Les organitzacions han de ser capaces de demostrar que el consentiment va ser obtingut de manera transparent i específica per als processos de tractament corresponents.
Obligacions rigoroses per a les organitzacions
El GDPR imposa rigoroses obligacions a les organitzacions que processen dades personals. Aquestes inclouen la necessitat d'implementar mesures tècniques i organitzatives adequades per a garantir la seguretat de les dades, l'obligació de realitzar avaluacions d'impacte de protecció de dades per a processaments que puguin suposar un alt risc, i la necessitat de notificar a les autoritats i als afectats en cas de bretxes de seguretat.
Regulació de transferències internacionals
El reglament també estableix un marc estricte per a la transferència de dades personals anés de la UE, garantint que es mantinguin adequats nivells de protecció i seguretat. Les transferències internacionals només poden #realitzar cap a països que proporcionin un nivell adequat de protecció de dades o mitjançant la implementació de salvaguardes apropiades com les clàusules contractuals estàndard.
3. Reglament (UE) 2023/2854 - Data Act
El Reglament (UE) 2023/2854, comunament conegut com el Data Act, és un pilar clau en l'estratègia de la Unió Europea per a promoure un accés equitatiu i eficient a l'ús de dades. Aquest marc normatiu se centra en establir regles harmonitzades per a la gestió i utilització de dades generades per productes connectats i serveis relacionats. A continuació, s'exploren les idees principals que subjeuen en aquest important reglament:
Accés i ús de dades de productes connectats
El Data Act garanteix que els usuaris de productes connectats tinguin accés oportú a les dades generades pel seu ús. Aquest reglament imposa obligacions específiques als fabricants i altres titulars de dades perquè proporcionin aquestes dades no sols als usuaris, sinó també a tercers seleccionats pels usuaris, sota condicions justes, raonables i no discriminatòries.
Foment de la interoperabilitat i portabilitat de dades
El reglament posa un èmfasi considerable a millorar la interoperabilitat entre diferents plataformes de dades i serveis, facilitant així el canvi entre serveis de tractament de dades i millorant la portabilitat de les dades en tota la Unió. Aquest enfocament pretén maximitzar la utilitat de les dades i fomentar la innovació a través d'un ús més flexible i extensiu d'aquests.
Protecció de la privacitat i les dades personals
Encara que el Data Act se centra en les dades generades per productes i serveis, també garanteix la protecció de les dades personals. El reglament s'assegura que qualsevol tractament de dades personals compleixi amb els règims establerts pel GDPR i altres normatives rellevants, garantint així que els drets de privacitat i protecció de dades personals es mantinguin intactes.
Resolució de disputes i accés equitatiu
També s'introdueixen mecanismes per a la resolució de disputes relacionades amb l'accés i ús de dades. Això assegura que existeixi un procés just per a manejar conflictes i desacords, proporcionant així un marc perquè totes les parts involucrades tinguin l'oportunitat de resoldre disputes de manera efectiva i justa.
Aquest marc legislatiu reflecteix un compromís continu de la UE per a crear un entorn digital més accessible i just, on les dades no sols siguin un recurs econòmic, sinó també un bé que pugui ser compartit i utilitzat de manera equitativa i ètica en tota la Unió. El Data Act no sols aborda els aspectes tècnics de la gestió de dades, sinó que també estableix principis importants per a garantir que l'accés i ús de les dades es manegi de manera justa i beneficiosa per a tots els actors involucrats.
En conclusió, les normatives descrites formen un marc normatiu sòlid que garanteix una governança de dades alineada amb els alts estàndards europeus, promovent així una societat digital que és no sols transparent i segura, sinó també accessible i equitativa. Aquestes regulacions són essencials per a fomentar la confiança i la col·laboració entre consumidors, empreses i autoritats, creant un ecosistema de dades robust i dinàmic en tota la Unió Europea.
