Se explica la Ley de Gobernanza de Datos

El potencial económico y social de los datos es enorme: puede permitir nuevos productos y servicios basados en tecnologías novedosas, hacer que la producción sea más eficiente y proporcionar herramientas para combatir los desafíos sociales. En el ámbito de la salud, por ejemplo, los datos pueden contribuir a proporcionar una mejor atención sanitaria, mejorar los tratamientos personalizados y ayudar a curar enfermedades raras o crónicas. También es un poderoso motor para la innovación y los nuevos puestos de trabajo, y un recurso crítico para las empresas emergentes y las pymes.

Sin embargo, este potencial no se está realizando. El intercambio de datos en la UE sigue siendo limitado debido a una serie de obstáculos (incluida la escasa confianza en el intercambio de datos, las cuestiones relacionadas con la reutilización de datos del sector público y la recopilación de datos para el bien común, así como los obstáculos técnicos).

Con el fin de capitalizar realmente este enorme potencial, debería ser más fácil compartir datos de una manera confiable y segura.

La Ley de Gobernanza de Datos (DGA, por sus siglas en inglés) es un instrumento intersectorial que tiene como objetivo regular la reutilización de datos públicos/conservados, protegidos, impulsando el intercambio de datos a través de la regulación de nuevos intermediarios de datos y fomentando el intercambio de datos con fines altruistas. Tanto los datos personales como los no personales están en el ámbito de aplicación de la DGA, y en lo que respecta a los datos personales, se aplica el Reglamento General de Protección de Datos (RGPD). Además del RGPD, las salvaguardias incorporadas aumentarán la confianza en el intercambio y la reutilización de datos, un requisito previo para que más datos estén disponibles en el mercado.

Reutilización de determinadas categorías de datos en poder de organismos del sector público

¿Cuáles son los objetivos clave?

La Directiva sobre datos abiertos regula la reutilización de la información pública/disponible en poder del sector público. Sin embargo, el sector público también posee grandes cantidades de datos protegidos (por ejemplo, datos personales y datos confidenciales desde el punto de vista comercial) que no pueden reutilizarse como datos abiertos, pero que podrían reutilizarse en virtud de una legislación específica de la UE o nacional. De estos datos se puede extraer una gran cantidad de conocimientos sin comprometer su naturaleza protegida, y la DGA establece normas y salvaguardias para facilitar dicha reutilización siempre que sea posible en virtud de otra legislación.  

¿Cómo funciona en la práctica?

• Requisitos técnicos para el sector público: Los Estados miembros deberán estar equipados técnicamente para garantizar que la privacidad y la confidencialidad de los datos se respeten plenamente en las situaciones de reutilización. Esto puede incluir una serie de herramientas, desde soluciones técnicas, como la anonimización, la seudonimización o el acceso a datos en entornos de tratamiento seguros (por ejemplo, salas de datos) supervisadas por el sector público, hasta medios contractuales como los acuerdos de confidencialidad celebrados entre el organismo del sector público y el reutilizador.
• Asistencia del organismo del sector público: Si un organismo del sector público no puede conceder acceso a determinados datos para su reutilización, debe ayudar al posible reutilizador a solicitar el consentimiento de la persona para reutilizar sus datos personales o el permiso del titular de los datos cuyos derechos o intereses puedan verse afectados por la reutilización. Además, la información confidencial (por ejemplo, secretos comerciales) solo puede divulgarse para su reutilización con tal consentimiento o permiso.
• Para que los datos disponibles para su reutilización sean aún más públicos, la DGA limita la dependencia de acuerdos exclusivos de reutilización de datos (por los que un organismo del sector público concede ese derecho exclusivo a una empresa) a casos específicos de interés público.
• Tasas razonables: los organismos del sector público podrán cobrar tasas por permitir la reutilización siempre que dichas tasas no superen los costes necesarios. Además, los organismos del sector público deben incentivar la reutilización para la investigación científica y otros fines no comerciales, así como por parte de las pymes y las empresas emergentes, reduciendo o incluso excluyendo la tarificación.
• Un organismo del sector público tendrá hasta dos meses para tomar una decisión sobre una solicitud de reutilización.
• Los Estados miembros pueden elegir qué organismos competentes apoyarán a los organismos del sector público que concedan acceso a la reutilización, por ejemplo, proporcionando a estos últimos un entorno de tratamiento seguro y asesorándolos sobre la mejor manera de estructurar y almacenar datos para facilitar su acceso.
• Para ayudar a los posibles reutilizadores a encontrar información pertinente sobre los datos que poseen las autoridades públicas, los Estados miembros estarán obligados a crear un único punto de información. La Comisión creó el Registro Europeo de Datos Protegidos en poder del Sector Público (ERPD), unregistro de la información recopilada por los puntos de información únicos nacionales con el fin de facilitar aún más la reutilización de los datos en el mercado interior y fuera de ella.

Ejemplos

• La autoridad finlandesa de datos sociales y sanitarios permite a Findata procesar las solicitudes y conceder acceso a los datos para su reutilización. Ejemplos de las fuentes de datos de Findata son la institución de la seguridad social, el registro de pensiones y el registro de población.
• La empresa francesa DAMAE Medical está mejorando su tecnología LC-OCT (Line-field Confocal Optical Coherence Tomography) que da acceso a imágenes de resolución celular de microestructuras internas de la piel hasta la dermis, de forma inmediata y no invasiva con los nuevos datos de capacitación disponibles a través del Centro de Datos de Salud francés. El objetivo del proyecto es mejorar la capacidad de esta tecnología para identificar mejor los posibles signos de cáncer de piel y demarcar mejor el área de intervención quirúrgica.

Servicios de intermediación de datos

¿Cuáles son los objetivos clave?

Muchas empresas temen que compartir sus datos implique una pérdida de ventaja competitiva y represente un riesgo de uso indebido. La DGA define un conjunto de normas para los proveedores de servicios de intermediación de datos (los denominados intermediarios de datos, como los mercados de datos) a fin de garantizar que funcionen como organizadores fiables del intercambio o puesta en común de datos en los espacios comunes europeos de datos. Con el fin de aumentar la confianza en el intercambio de datos, este nuevo enfoque propone un modelo basado en la neutralidad y la transparencia de los intermediarios de datos, al tiempo que pone a las personas y las empresas en el control de sus datos.

¿Cómo funciona en la práctica?

El marco ofrece un modelo alternativo a las prácticas de manejo de datos de las plataformas Big Tech, que tienen un alto grado de poder de mercado porque controlan grandes cantidades de datos.

En la práctica, los intermediarios de datos funcionarán como terceros neutrales que conectan a individuos y empresas con usuarios de datos. Si bien pueden cobrar por facilitar el intercambio de datos entre las partes,no pueden utilizar directamente los datos que intermedian con fines financieros (por ejemplo, vendiéndolos a otra empresa o utilizándolos para desarrollar su propio producto sobre la base de estos datos). Los intermediarios de datos deberán cumplir requisitos estrictos para garantizar esta neutralidad y evitar conflictos de intereses. En la práctica, esto significa que debe haber una separación estructural entre el servicio de intermediación de datos y cualquier otro servicio prestado (es decir, deben estar separados legalmente). Además, las condiciones comerciales (incluidos los precios) para la prestación de servicios de intermediación no deben depender de si un titular potencial de datos o un usuario de datos está utilizando otros servicios. Los datos y metadatos adquiridos solo pueden utilizarse para mejorar el servicio de intermediación de datos.

Tanto las organizaciones independientes que prestan únicamente servicios de intermediación de datos como las empresas que ofrecen servicios de intermediación de datos, además de otros servicios, podrían funcionar como intermediarios de confianza. En este último caso, la actividad de intermediación de datos debe estar estrictamente separada, tanto legal como económicamente, de otros servicios de datos.

En el marco de la DGA, los intermediarios de datos deberán notificar a la autoridad competente su intención de prestar dichos servicios. La autoridad competente velará por que el procedimiento de notificación no sea discriminatorio y no falsee la competencia y confirmará que el proveedor de servicios de intermediación de datos ha presentado la notificación que contiene toda la información requerida.

Una vez recibida dicha confirmación, el intermediario de datos puede comenzar legalmente a operar y utilizar la etiqueta «proveedor de servicios de intermediación de datos reconocido en la Unión» en su comunicación escrita y oral, así como el logotipo común. Estas autoridades también supervisarán el cumplimiento de los requisitos de intermediación de datos y la Comisión mantendrá un registro central de intermediarios de datos reconocidos.

Ejemplos

Con su Data Intelligence Hub, Deutsche Telekom ofrece un mercado de datos en el que las empresas pueden gestionar, proporcionar y monetizar de forma segura información de buena calidad, por ejemplo datos de producción, con el fin de optimizar procesos o cadenas de valor enteras. Telekom asume el papel de fideicomisario neutral y garantiza la soberanía de los datos a través de la gestión descentralizada de datos. Actualmente, más de 1.000 usuarios de más de 100 empresas diferentes están activos en la plataforma.

Dawex es una empresa francesa que se describe a sí misma como un «mercado global de datos».  Dawex no compra ni vende datos, sino que reúne a las empresas interesadas en monetizar y reutilizar datos, y fomenta la transparencia entre los proveedores de datos y los usuarios al garantizar que se comuniquen y realicen la transacción directamente en su plataforma. Dawex desarrolló una serie de herramientas para ayudar tanto a los proveedores de datos como a los usuarios a comprender, evaluar y comunicarse sobre los datos. Las herramientas de visualización (por ejemplo, mapas de calor, mapas de árbol) proporcionan a los usuarios de datos información diferente sobre un conjunto de datos completo que se puede compartir de forma segura antes de completar una transacción. Las herramientas de muestreo generan automáticamente muestras de datos representativas basadas en algoritmos para evitar cualquier sesgo. Los usuarios de datos y los proveedores de datos se comunican utilizando una herramienta de mensajería integrada en la plataforma. Además, Dawex apoya la negociación del acuerdo contractual por modelos de términos que se pueden generar automáticamente.

API-AGRO es un centro de intercambio de datos agrícolas que utiliza la tecnología Dawex. Esta tecnología fomenta un ecosistema agrícola en el que participan numerosos actores y un intermediario neutral (la plataforma Api-Agro) donde existe una clara separación entre el papel de intermediación y otras actividades relacionadas con el uso de los datos. API-Agro no monetiza los datos, sino que funciona como un tercero neutral que conecta a los titulares de datos y a los usuarios de datos.

Altruismo de datos

¿Cuáles son los objetivos clave?

El altruismo de datos se refiere a individuos y empresas que dan su consentimiento o permiso para poner a disposición los datos que generan, voluntariamente y sin recompensa, para ser utilizados en interés público. Estos datos tienen un enorme potencial para avanzar en la investigación y desarrollar mejores productos y servicios, también en los ámbitos de la salud, el medio ambiente y la movilidad.

La investigación indica que, si bien en principio existe la voluntad de participar en el altruismo de datos, en la práctica esto se ve obstaculizado por la falta de herramientas de intercambio de datos. Como tal, el objetivo de la Ley de Gobernanza de Datos es crear herramientas confiables que permitan compartir los datos de una manera fácil en beneficio de la sociedad. Creará las condiciones adecuadas para garantizar a las personas y a las empresas que, cuando compartan sus datos, sean manejados por organizaciones de confianza basadas en los valores y principios de la UE. Esto permitirá la creación de grupos de datos de un tamaño suficiente para permitir el análisis de datos y el aprendizaje automático, incluso a través de las fronteras.

¿Cómo funciona en la práctica?

Las entidades que pongan a disposición datos pertinentes basados en el altruismo de datos podrán registrarse como «organizaciones de altruismo de datos reconocidas en la Unión». Estas entidades deben tener un carácter sin ánimo de lucro y cumplir con los requisitos de transparencia, así como ofrecer garantías específicas para proteger los derechos e intereses de los ciudadanos y las empresas que comparten sus datos. Además, deben cumplir el código normativo (a más tardar dieciocho meses después de su entrada en vigor), que establecerá requisitos de información, requisitos técnicos y de seguridad, hojas de ruta de comunicación y recomendaciones sobre normas de interoperabilidad. El código normativo será elaborado por la Comisión, en estrecha cooperación con las organizaciones de altruismo de datos y otras partes interesadas pertinentes.

Las entidades podrán utilizar el logotipo común diseñado para este fin y pueden optar por ser incluidos en el registro público de organizaciones de altruismo de datos. La Comisión creará un registro a escala de la UE de organizaciones reconocidas de altruismo de datos con fines informativos.  

Un formulario de consentimiento europeo común para el altruismo de datos permitirá la recogida de datos en todos los Estados miembros en un formato uniforme, garantizando que aquellos que comparten sus datos puedan dar y retirar fácilmente su consentimiento. También dará seguridad jurídica a los investigadores y empresas que deseen utilizar datos basados en el altruismo. Se trata de una forma modular, que puede adaptarse a las necesidades de sectores y propósitos específicos.

Ejemplos

MyData Global tiene como objetivo «empoderar a las personas mejorando su derecho a la autodeterminación con respecto a sus datos personales». Mientras que el objetivo general se extiende más allá del altruismo de datos, la organización proporciona una interfaz confiable para que los miembros den su consentimiento para el uso de sus datos personales para fines específicos.

La plataforma Smart Citizen permite a los ciudadanos compartir datos sobre los niveles de ruido y la contaminación en su hogar recopilados a través de sensores. Esto proporciona información esencial para mapear el ruido y la calidad del aire, y para que los investigadores y los gobiernos desarrollen soluciones específicas a estos problemas.

La aplicación alemana Corona-Datenspende-App se creó para recopilar datos (por ejemplo, frecuencia cardíaca, temperatura corporal, presión arterial, patrones de sueño) de pulseras de fitness y relojes inteligentes. Al monitorear estos datos, los investigadores podrían identificar en una etapa temprana posibles puntos críticos de Covid-19.

Consejo Europeo de Innovación de Datos

¿Cuáles son los objetivos clave?

Tal como se establece en la DGA, la Comisión creó el Comité Europeo de Innovación de Datos (EDIB) para facilitar el intercambio de mejores prácticas, en particular en materia de intermediación de datos, altruismo de datos y uso de datos públicos que no pueden ponerse a disposición como datos abiertos, así como sobre la priorización de las normas de interoperabilidad intersectoriales.

¿Cómo funciona en la práctica?

El EDIB incluye representantes de las siguientes entidades:

• Autoridades competentes de los Estados miembros en materia de intermediación de datos
• Autoridades competentes de los Estados miembros en materia de altruismo de datos
• el Consejo Europeo de Protección de Datos
• el Supervisor Europeo de Protección de Datos
• Agencia de la Unión Europea para la Ciberseguridad (ENISA)
• la Comisión Europea
• representante/representante de la UE designado por la red de representantes de las PYME
• otros representantes de los organismos pertinentes seleccionados por la Comisión a través de una convocatoria de expertos.

La lista de miembros de EDIB está disponible aquí:  Registro de grupos de expertos de la Comisión y otras entidades similares (europa.eu).

Edib tendrá la facultad de proponer directrices para espacios comunes europeos de datos, por ejemplo sobre la protección adecuada de las transferencias de datos fuera de la Unión.

Flujos internacionales de datos

¿Cuáles son los objetivos clave?

La estrategia europea de datos de febrero de 2020 reconoció la importancia de tener un enfoque abierto, pero asertivo, hacia los flujos internacionales de datos.

Las transferencias internacionales de datos pueden liberar el importante potencial socioeconómico de la gran cantidad de datos generados dentro de la UE, aumentando así la competitividad internacional de la Unión en el ámbito mundial, al tiempo que contribuyen al crecimiento económico, que es crucial, especialmente en la era de la recuperación posterior a la COVID-19.

Si bien la DGA desempeña un papel clave en el fortalecimiento de la autonomía estratégica abierta de la Unión Europea, también contribuye a crear confianza en los flujos internacionales de datos.

¿Cómo funciona en la práctica?

Si bien el RGPD ha establecido todas las garantías necesarias en el contexto de los datos personales, gracias a la DGA existen salvaguardias similares para las solicitudes de acceso de terceros países en el contexto de los datos no personales.

Estas salvaguardias se refieren a todos los escenarios y disposiciones establecidos por la DGA, a saber, los datos del sector público, los servicios de intermediación de datos y las constelaciones de altruismo de datos. El reutilizador en el tercer país deberá garantizar el mismo nivel de protección con respecto a los datos en cuestión que el nivel de protección garantizado en el Derecho de la UE, así como aceptar la jurisdicción de la UE respectiva.  

Si se considera necesario, la Comisión podrá adoptar decisiones adicionales de adecuación para la transferencia de datos públicos protegidos para su reutilización cuando se trate de una solicitud de acceso con respecto a datos no personales de un tercer país. Estas decisiones de adecuación serán similares a las decisiones de adecuación relacionadas con la transferencia de datos personales en virtud del RGPD.

Además, la DGA faculta a la Comisión para poner a disposición de los organismos del sector público y los reutilizadores modelos cláusulas contractuales para escenarios en los que los datos del sector público intervengan en las transferencias de datos con terceros países.