Marco Normativo Europeo para la Gobernanza del Dato
Es una realidad que en la era de la información en la que vivimos, los datos se han convertido en uno de los activos más valiosos para las organizaciones, y el sector público no es una excepción.
Pero no se nos escapa el hecho de que si la administración pública quiere utilizar los datos de forma que contribuyan a la toma de decisiones, mejoren los servicios públicos y fomenten la transparencia y la rendición de cuentas es necesaria la aplicación de un marco de trabajo de gobierno de esos datos.
En una entrada anterior de este Blog definíamos el Gobierno del dato como la especificación de una serie de políticas en torno al dato, que serán aplicadas a través de procesos, roles y herramientas dedicadas a tal efecto. Siendo el objetivo de este marco de trabajo el poder gestionar de forma eficiente el ciclo de vida del dato, poder medir su calidad, accediendo al mismo de forma segura y controlada, asegurando, además, su correcta interpretación y utilización.
Pero ¿Cuál es el marco normativo que define como se deben manejar y gobernar estos datos?
Existen varias normativas tanto a nivel europeo como a nivel estatal que establecen una base jurídica sólida en este campo.
En la primera parte de esta serie de artículos, nos enfocaremos en la normativa europea que establece el marco para la gobernanza del dato, ya que entender estas regulaciones es fundamental para cualquier administración pública que desee profundizar en esta materia.
1. Reglamento (UE) 2022/868 – Gobernanza Europea de Datos (Data Governance Act)
El Reglamento (UE) 2022/868, comúnmente conocido como el Reglamento de Gobernanza de Datos, marca un hito crucial en la evolución de la estrategia de datos de la Unión Europea siendo una pieza fundamental para establecer un ecosistema de datos seguro, abierto y dinámico en la UE. Este reglamento no solo aborda los desafíos técnicos y éticos del manejo de datos, sino que también establece una estructura para su aprovechamiento económico y social.
Establecimiento de servicios de intermediación de datos
En este reglamento se introduce una regulación detallada para los servicios de intermediación de datos. Estos servicios actúan como facilitadores críticos en el mercado de datos, permitiendo el intercambio de datos entre diversas entidades sin utilizar los datos para competir en el mercado. La normativa impone requisitos estrictos de neutralidad y transparencia, asegurando que los intermediarios operen de manera justa y sin conflictos de intereses. Este enfoque pretende construir una confianza robusta en estos servicios, que son esenciales para la fluida circulación de datos a través de fronteras sectoriales y geográficas.
Fomento de organizaciones altruistas en la gestión de datos
Este apartado es particularmente innovador, ya que reconoce y regula las organizaciones que gestionan datos con fines altruistas. Este marco legal asegura que dichas organizaciones sean reconocidas oficialmente y operen bajo estándares estrictos de ética y transparencia. Su objetivo es permitir el uso de datos para proyectos que benefician a la sociedad, como la investigación en salud pública y la sostenibilidad ambiental, garantizando al mismo tiempo que estos datos se manejen de manera responsable y segura.
Mecanismos para el intercambio seguro de datos
También se aborda directamente la operativa para compartir datos dentro de la UE, estableciendo un equilibrio entre la apertura y la seguridad. Estas disposiciones aseguran que tanto los datos personales como los no personales puedan ser compartidos de manera que se proteja la privacidad y se mantenga la integridad de los datos. Este aspecto es crucial para evitar abusos y para garantizar que el intercambio de datos beneficie a todos los actores involucrados, fortaleciendo así el mercado único digital.
Impulso a la innovación mediante la reutilización de datos
Finalmente, este Reglamento busca maximizar el valor de los datos no personales, facilitando su reutilización en sectores clave como la salud, la energía y el transporte. Este enfoque no solo busca fomentar la innovación tecnológica y económica, sino también mejorar la eficiencia y la competitividad de las industrias europeas.
2. Reglamento General de Protección de Datos (GDPR) (Reglamento (UE) 2016/679)
El GDPR es uno de los reglamentos más influyentes en lo que respecta a la protección de datos personales y la privacidad en Europa. Establece directrices estrictas sobre el tratamiento de datos personales, incluyendo los derechos de acceso, rectificación, supresión y oposición al tratamiento de datos por parte de los individuos. El GDPR también introduce el concepto de responsabilidad del procesador de datos, requiriendo que las entidades implementen medidas técnicas y organizativas adecuadas para garantizar y demostrar que el tratamiento es conforme con el reglamento.
Derechos reforzados para los individuos
El GDPR amplía significativamente los derechos de las personas, asegurando un control más efectivo sobre sus datos personales. Esto incluye derechos bien definidos como el acceso a datos personales, la corrección de errores, el derecho al olvido (supresión de datos), y el derecho a la portabilidad de los datos, que permite a los individuos recibir sus datos personales en un formato estándar y trasladarlos a otro servicio.
Exigencias de consentimiento claro
Una de las piedras angulares del GDPR es la normativa sobre el consentimiento. Este debe ser claro, inequívoco y proporcionado voluntariamente por el individuo, estableciendo un alto estándar para lo que se considera consentimiento válido. Las organizaciones deben ser capaces de demostrar que el consentimiento fue obtenido de manera transparente y específica para los procesos de tratamiento correspondientes.
Obligaciones rigurosas para las organizaciones
El GDPR impone rigurosas obligaciones a las organizaciones que procesan datos personales. Estas incluyen la necesidad de implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos, la obligación de realizar evaluaciones de impacto de protección de datos para procesamientos que puedan suponer un alto riesgo, y la necesidad de notificar a las autoridades y a los afectados en caso de brechas de seguridad.
Regulación de transferencias internacionales
El reglamento también establece un marco estricto para la transferencia de datos personales fuera de la UE, garantizando que se mantengan adecuados niveles de protección y seguridad. Las transferencias internacionales solo pueden realizarse hacia países que proporcionen un nivel adecuado de protección de datos o mediante la implementación de salvaguardas apropiadas como las cláusulas contractuales estándar.
3. Reglamento (UE) 2023/2854 – Data Act
El Reglamento (UE) 2023/2854, comúnmente conocido como el Data Act, es un pilar clave en la estrategia de la Unión Europea para promover un acceso equitativo y eficiente al uso de datos. Este marco normativo se centra en establecer reglas armonizadas para la gestión y utilización de datos generados por productos conectados y servicios relacionados. A continuación, se exploran las ideas principales que subyacen en este importante reglamento:
Acceso y uso de datos de productos conectados
El Data Act garantiza que los usuarios de productos conectados tengan acceso oportuno a los datos generados por su uso. Este reglamento impone obligaciones específicas a los fabricantes y otros titulares de datos para que proporcionen estos datos no solo a los usuarios, sino también a terceros seleccionados por los usuarios, bajo condiciones justas, razonables y no discriminatorias.
Fomento de la interoperabilidad y portabilidad de datos
El reglamento pone un énfasis considerable en mejorar la interoperabilidad entre diferentes plataformas de datos y servicios, facilitando así el cambio entre servicios de tratamiento de datos y mejorando la portabilidad de los datos en toda la Unión. Este enfoque pretende maximizar la utilidad de los datos y fomentar la innovación a través de un uso más flexible y extensivo de los mismos.
Protección de la privacidad y los datos personales
Aunque el Data Act se centra en los datos generados por productos y servicios, también garantiza la protección de los datos personales. El reglamento se asegura de que cualquier tratamiento de datos personales cumpla con los regímenes establecidos por el GDPR y otras normativas relevantes, garantizando así que los derechos de privacidad y protección de datos personales se mantengan intactos.
Resolución de disputas y acceso equitativo
También se introducen mecanismos para la resolución de disputas relacionadas con el acceso y uso de datos. Esto asegura que exista un proceso justo para manejar conflictos y desacuerdos, proporcionando así un marco para que todas las partes involucradas tengan la oportunidad de resolver disputas de manera efectiva y justa.
Este marco legislativo refleja un compromiso continuo de la UE para crear un entorno digital más accesible y justo, donde los datos no solo sean un recurso económico, sino también un bien que pueda ser compartido y utilizado de manera equitativa y ética en toda la Unión. El Data Act no solo aborda los aspectos técnicos de la gestión de datos, sino que también establece principios importantes para garantizar que el acceso y uso de los datos se maneje de manera justa y beneficiosa para todos los actores involucrados.
En conclusión, las normativas descritas forman un marco normativo sólido que garantiza una gobernanza de datos alineada con los altos estándares europeos, promoviendo así una sociedad digital que es no solo transparente y segura, sino también accesible y equitativa. Estas regulaciones son esenciales para fomentar la confianza y la colaboración entre consumidores, empresas y autoridades, creando un ecosistema de datos robusto y dinámico en toda la Unión Europea.