Explicación de la Ley de Gobernanza de Datos

El potencial económico y social de los datos es enorme: puede permitir nuevos productos y servicios basados en tecnologías novedosas, hacer que la producción sea más eficiente y proporcionar herramientas para combatir los retos sociales. En el ámbito de la salud, por ejemplo, los datos pueden contribuir a proporcionar una mejor asistencia sanitaria, mejorar los tratamientos personalizados y ayudar a curar enfermedades raras o crónicas. También es un potente motor para la innovación y los nuevos puestos de trabajo, y un recurso fundamental para las empresas emergentes y las pymes.

Sin embargo, este potencial no se está materializando. El intercambio de datos en la UE sigue siendo limitado debido a una serie de obstáculos (como la escasa confianza en el intercambio de datos, las cuestiones relacionadas con la reutilización de los datos del sector público y la recopilación de datos para el bien común, así como los obstáculos técnicos).

Para aprovechar realmente este enorme potencial, debería ser más fácil compartir datos de manera fiable y segura.

La Ley de Gobernanza de Datos (DGA) es un instrumento intersectorial que tiene como objetivo regular la reutilización de datos públicos / mantenidos, protegidos, impulsando el intercambio de datos a través de la regulación de nuevos intermediarios de datos y fomentando el intercambio de datos con fines altruistas. Tanto los datos personales como los no personales entran en el ámbito de aplicación de la DGA y, en lo que respecta a los datos personales, se aplica el Reglamento General de Protección de Datos (RGPD). Además del RGPD, las salvaguardias incorporadas aumentarán la confianza en el intercambio y la reutilización de datos, un requisito previo para que haya más datos disponibles en el mercado.

Reutilización de determinadas categorías de datos en poder de organismos del sector público

¿Cuáles son los objetivos clave?

La Directiva sobre datos abiertos regula la reutilización de la información pública/disponible en poder del sector público. Sin embargo, el sector público también posee grandes cantidades de datos protegidos (por ejemplo, datos personales y datos comercialmente confidenciales) que no pueden reutilizarse como datos abiertos, pero que podrían reutilizarse con arreglo a la legislación nacional o de la UE específica. Se puede extraer una gran cantidad de conocimientos de dichos datos sin comprometer su naturaleza protegida, y la DGA establece normas y salvaguardias para facilitar dicha reutilización siempre que sea posible en virtud de otra legislación.  

¿Cómo funciona en la práctica?

• Requisitos técnicos para el sector público: Los Estados miembros deberán estar equipados técnicamente para garantizar el pleno respeto de la privacidad y la confidencialidad de los datos en las situaciones de reutilización. Esto puede incluir una serie de herramientas, desde soluciones técnicas, como la anonimización, la seudonimización o el acceso a datos en entornos de tratamiento seguros (por ejemplo, salas de datos) supervisadas por el sector público, hasta medios contractuales, como los acuerdos de confidencialidad celebrados entre el organismo del sector público y el reutilizador.
• Asistencia del organismo del sector público: Si un organismo del sector público no puede conceder acceso a determinados datos para su reutilización, debe ayudar al reutilizador potencial a solicitar el consentimiento de la persona para reutilizar sus datos personales o el permiso del titular de los datos cuyos derechos o intereses puedan verse afectados por la reutilización. Además, la información confidencial (por ejemplo, secretos comerciales) solo puede divulgarse para su reutilización con dicho consentimiento o permiso.
• Para tener aún más datos públicos disponibles para su reutilización, la DGA limita la dependencia de acuerdos exclusivos de reutilización de datos (por los que un organismo del sector público concede tal derecho exclusivo a una empresa) a casos específicos de interés público.
• Honorarios razonables: los organismos del sector público podrán cobrar tasas por permitir la reutilización, siempre que dichas tasas no superen los costes necesarios. Además, los organismos del sector público deben incentivar la reutilización con fines de investigación científica y otros fines no comerciales, así como por parte de las pymes y las empresas emergentes, reduciendo o incluso excluyendo la tarificación.
• Un organismo del sector público tendrá hasta dos meses para tomar una decisión sobre una solicitud de reutilización.
• Los Estados miembros pueden elegir qué organismos competentes apoyarán a los organismos del sector público que conceden acceso a la reutilización, por ejemplo, proporcionándoles un entorno de tratamiento seguro y asesorándoles sobre la mejor manera de estructurar y almacenar los datos para que sean fácilmente accesibles.
• Para ayudar a los posibles reutilizadores a encontrar información pertinente sobre los datos que obran en poder de las autoridades públicas, los Estados miembros deberán crear un punto único de información. La Comisión creó el Registro Europeo de Datos Protegidos en Posesión del Sector Público (ERPD), un registro de consulta de la información recopilada por los puntos de información únicos nacionales con el fin de facilitar aún más la reutilización de datos en el mercado interior y fuera de él.

Servicios de intermediación de datos

¿Cuáles son los objetivos clave?

Muchas empresas temen actualmente que compartir sus datos suponga una pérdida de ventaja competitiva y represente un riesgo de uso indebido. La DGA define un conjunto de normas para los proveedores de servicios de intermediación de datos (los denominados intermediarios de datos, como los mercados de datos) a fin de garantizar que funcionen como organizadores fiables del intercambio o puesta en común de datos dentro de los espacios comunes europeos de datos. Con el fin de aumentar la confianza en el intercambio de datos, este nuevo enfoque propone un modelo basado en la neutralidad y la transparencia de los intermediarios de datos, al tiempo que pone a las personas y empresas en control de sus datos.

¿Cómo funciona en la práctica?

El marco ofrece un modelo alternativo a las prácticas de manejo de datos de las plataformas Big Tech, que tienen un alto grado de poder de mercado porque controlan grandes cantidades de datos.

En la práctica, los intermediarios de datos funcionarán como terceros neutrales que conectan a personas y empresas con usuarios de datos. Si bien pueden cobrar por facilitar el intercambio de datos entre las partes, no pueden utilizar directamente los datos que intermedian con fines de lucro financiero (por ejemplo, vendiéndolos a otra empresa o utilizándolos para desarrollar su propio producto sobre la base de estos datos). Los intermediarios de datos tendrán que cumplir requisitos estrictos para garantizar esta neutralidad y evitar conflictos de intereses. En la práctica, esto significa que debe haber una separación estructural entre el servicio de intermediación de datos y cualquier otro servicio prestado (es decir, deben estar legalmente separados). Asimismo, las condiciones comerciales (incluidos los precios) para la prestación de servicios de intermediación no deben depender de si un posible titular de datos o usuario de datos está utilizando otros servicios. Los datos y metadatos adquiridos solo pueden utilizarse para mejorar el servicio de intermediación de datos.

Tanto las organizaciones independientes que prestan únicamente servicios de intermediación de datos como las empresas que ofrecen servicios de intermediación de datos, además de otros servicios, podrían funcionar como intermediarios de confianza. En este último caso, la actividad de intermediación de datos debe estar estrictamente separada, tanto legal como económicamente, de otros servicios de datos.

En virtud de la DGA, los intermediarios de datos deberán notificar a la autoridad competente su intención de prestar dichos servicios. La autoridad competente velará por que el procedimiento de notificación no sea discriminatorio ni falsee la competencia y confirmará que el proveedor de servicios de intermediación de datos ha presentado la notificación que contiene toda la información requerida.

Una vez recibida dicha confirmación, el intermediario de datos puede comenzar legalmente a operar y utilizar la etiqueta «proveedor de servicios de intermediación de datos reconocido en la Unión» en su comunicación escrita y oral, así como el logotipo común. Dichas autoridades también supervisarán el cumplimiento de los requisitos de intermediación de datos y la Comisión mantendrá un registro central de intermediarios de datos reconocidos.

Altruismo de datos

¿Cuáles son los objetivos clave?

La cesión altruista de datos se refiere a personas y empresas que dan su consentimiento o permiso para poner a disposición los datos que generan —voluntariamente y sin recompensa— para su uso con fines de interés general. Estos datos tienen un enorme potencial para avanzar en la investigación y desarrollar mejores productos y servicios, en particular en los ámbitos de la salud, el medio ambiente y la movilidad.

La investigación indica que, si bien en principio existe la voluntad de participar en el altruismo de los datos, en la práctica esto se ve obstaculizado por la falta de herramientas de intercambio de datos. Como tal, el objetivo de la Ley de Gobernanza de Datos es crear herramientas confiables que permitan compartir datos de una manera fácil en beneficio de la sociedad. Creará las condiciones adecuadas para garantizar a las personas y empresas que, cuando compartan sus datos, serán gestionados por organizaciones de confianza basadas en los valores y principios de la UE. Esto permitirá la creación de grupos de datos de un tamaño suficiente para permitir el análisis de datos y el aprendizaje automático, incluso a través de las fronteras.

¿Cómo funciona en la práctica?

Las entidades que faciliten datos pertinentes basados en la cesión altruista de datos podrán registrarse como «organizaciones de cesión altruista de datos reconocidas en la Unión». Estas entidades deben tener carácter no lucrativo y cumplir los requisitos de transparencia, así como ofrecer salvaguardias específicas para proteger los derechos e intereses de los ciudadanos y las empresas que comparten sus datos. Además, deben cumplir el código normativo (a más tardar 18 meses después de su entrada en vigor), que establecerá requisitos de información, requisitos técnicos y de seguridad, hojas de ruta de comunicación y recomendaciones sobre normas de interoperabilidad. El código normativo será elaborado por la Comisión, en estrecha cooperación con las organizaciones de gestión de datos con fines altruistas y otras partes interesadas pertinentes.

Las entidades podrán utilizar el logotipo común diseñado para este fin y podrán optar por ser incluidas en el registro público de organizaciones de altruismo de datos. La Comisión ha creado un registro a escala de la UE de organizaciones reconocidas de gestión de datos con fines altruistas, con fines informativos.  

Un formulario común europeo de consentimiento para la cesión altruista de datos permitirá la recogida de datos en todos los Estados miembros en un formato uniforme, garantizando que aquellos que compartan sus datos puedan dar y retirar fácilmente su consentimiento. También dará seguridad jurídica a los investigadores y empresas que deseen utilizar datos basados en el altruismo. Esta será una forma modular, que se puede adaptar a las necesidades de sectores y propósitos específicos.

Comité Europeo de Innovación en materia de Datos

¿Cuáles son los objetivos clave?

Tal como se establece en la DGA, la Comisión creó el Comité Europeo de Innovación en materia de Datos (EDIB) para facilitar el intercambio de mejores prácticas, en particular en materia de intermediación de datos, altruismo de datos y uso de datos públicos que no pueden ponerse a disposición como datos abiertos, así como sobre la priorización de las normas de interoperabilidad intersectoriales.

¿Cómo funciona en la práctica?

El EDIB incluye representantes de las siguientes entidades:

• Autoridades competentes de los Estados miembros en materia de intermediación de datos
• Autoridades competentes de los Estados miembros para la cesión altruista de datos
• el Comité Europeo Protección Datos
• el Supervisor Europeo Protección Datos
• la Agencia de la Unión Europea para la Ciberseguridad (ENISA)
• la Comisión Europea
• el representante o representante de la UE para las pymes designado por la red de representantes para las pymes;
• otros representantes de los organismos pertinentes seleccionados por la Comisión a través de una convocatoria de expertos.

La lista de miembros de EDIB está disponible aquí:  Registro de grupos de expertos de la Comisión y otras entidades similares (europa.eu).

El EDIB estará facultado para proponer directrices para los espacios comunes europeos de datos, por ejemplo, sobre la protección adecuada de las transferencias de datos fuera de la Unión.

Flujos internacionales de datos

¿Cuáles son los objetivos clave?

La Estrategia Europea de Datos de febrero de 2020 reconocía la importancia de adoptar un enfoque abierto, aunque asertivo, con respecto a los flujos internacionales de datos.

Las transferencias internacionales de datos pueden liberar el importante potencial socioeconómico de la gran cantidad de datos generados dentro de la UE, aumentando así la competitividad internacional de la Unión en el ámbito mundial, al tiempo que contribuyen al crecimiento económico, que es crucial, especialmente en la era de la recuperación posterior a la COVID-19.

Si bien la DGA desempeña un papel clave en el refuerzo de la autonomía estratégica abierta de la Unión Europea, también contribuye a crear confianza en los flujos internacionales de datos.

¿Cómo funciona en la práctica?

Si bien el RGPD ha establecido todas las salvaguardias necesarias en el contexto de los datos personales, gracias a la DGA existen salvaguardias similares para las solicitudes de acceso de los gobiernos de terceros países en el contexto de los datos no personales.

Estas salvaguardias se refieren a todos los escenarios y disposiciones establecidos por la DGA, en particular para los datos del sector público, los servicios de intermediación de datos y las constelaciones de altruismo de datos. El reutilizador en el tercer país deberá garantizar el mismo nivel de protección con respecto a los datos en cuestión que el nivel de protección garantizado en el Derecho de la UE, así como aceptar la jurisdicción respectiva de la UE.  

Si se considera necesario, la Comisión podrá adoptar decisiones de adecuación adicionales para la transferencia de datos públicos protegidos para su reutilización cuando se trate de una solicitud de acceso con respecto a datos no personales procedentes de un tercer país. Estas decisiones de adecuación serán similares a las decisiones de adecuación relacionadas con la transferencia de datos personales en virtud del RGPD.

Además, la DGA faculta a la Comisión para poner cláusulas contractuales tipo a disposición de los organismos del sector público y los reutilizadores en situaciones en las que los datos del sector público participen en transferencias de datos con terceros países.