The transfer of data in the new European Data Governance law
The transfer of data in the new European Data Governance law
DOI: 10.19135/revista.consinter.00016.23
Recibido/Received 21/06/2022– Aprobado/Approved 19/12/2022
Carlos Francisco Molina del Pozo1 – https://orcid.org/0000-0001-5074-8322
Laura González Crespo2 – https://orcid.org/0000-0001-7728-4142
Resumen:
La propuesta para regular el uso de los datos en la Unión Europea lleva siendo una prioridad desde hace unos años. Desde que se presentó por la Comisión Europea la Estrategia Europea de Datos en 2020, se ha estado trabajando en un Reglamento sobre una Ley de Gobernanza Europea de Datos que ayude a completar el marco normativo iniciado con el Reglamento General de Protección de Datos en 2016. El pasado abril de 2022, el Parlamento Europeo hizo públicas sus enmiendas a la propuesta sobre esta propuesta de Reglamento y su posición al respecto, acogiéndola como una gran necesidad para el desarrollo del mercado europeo. A la revisión de algunos aspectos de la propuesta y a su análisis dedicaremos las líneas siguientes.
Palabras claves: datos, mercado único europeo de datos, políticas digitales, privacidad, armonización de legislaciones.
Abstract:
The proposal to regulate the use of data in the European Union has been a priority for some years. Since the European Data Strategy was presented by the European Commission in 2020, work has been under way on a Regulation on a European Data Governance Act to help complete the regulatory framework initiated with the General Data Protection Regulation in 2016. Last April 2022, the European Parliament made public its amendments to the proposal on this proposal for a Regulation and its position on it, welcoming it as a great necessity for the development of the European market. We will dedicate the following lines to the review of some aspects of the proposal and its analysis.
Keywords: data, European data market, digital policies, privacy, harmonization of legislation.
Sumario: 1. Introducción. 2. Contexto General: La Estrategia Europea De Datos. 3. El Reglamento De Gobernanza De Datos. 3.1 Datos generales. 3.2 La regulación de la reutilización de categorías de datos conservados por organismos del sector público. 3.3 El altruismo de datos. 3.3.1 Generalidades. 3.3.2 Los registros públicos de organizaciones nacionales reconocidas de gestión de datos con fines altruistas. 3.3.3 Autoridades competentes. 3.3.4 Obligaciones de las organizaciones nacionales reconocidas de gestión de datos con fines altruistas. 4. El Comité Europeo De Innovación En Materia De Datos. 5. Conclusiones. 6. Bibliografía.
La transformación digital que se ha experimentado en la sociedad en los últimos años ha puesto de manifiesto la importancia que actualmente tienen los datos, con independencia del tipo al que se haga referencia. Estos, como elementos esenciales de tal cambio, son necesarios para un correcto – y más eficaz – desarrollo de la sociedad y de la economía, de ahí la preocupación por regular su utilización.
A modo ilustrativo, tomando como referencia las cifras predictivas que ha ofrecido la propia Comisión Europea, en 2025 aumentará el volumen global de datos en un 530%, pasando de 33 zetabytes en 2018 a 175 zetabytes para esas fechas. Además, se calcula que 829.000 millones de euros será el valor de la economía de los datos en la Unión Europea, frente a los 301.000 millones de euros de 2018 y, en cuanto a los profesionales de los datos, estos aumentarán hasta la cifra de 10.9 millones. El 65% de la población europea, para el 2025, tendrá competencias digitales básicas, lo que supone un aumento de 8 puntos en relación con el año 20183. Todo ello nos proporciona la medida de lo relevantes que son los datos en la actualidad.
Pues bien, esta apuntada relevancia ha supuesto que, desde la Unión Europea se lleve años trabajando para regular el uso de los datos, tanto personales como no personales, con miras a garantizar un marco normativo de protección que sea adecuado, a la vez que contribuya a la economía y a la sociedad en general. De este modo, en relación con los datos personales, se aprobó el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE4/5 (en adelante, RGPD).
En lo que respecta a los datos no personales, en 2020 la Comisión Europea presentó la Estrategia Europea de Datos, con la que pretende conseguir una sociedad impulsada por los datos, con la creación de un Mercado Único Europeo de Datos para la libre circulación de estos. Derivadas de la mencionada Estrategia ya se han concretado dos propuestas, la Ley Europea de Datos, presentada en febrero de 2022, y la Ley de Gobernanza de Datos, siendo el análisis de esta última el objetivo del presente trabajo.
2 CONTEXTO GENERAL: LA ESTRATEGIA EUROPEA DE DATOS
La propuesta de Ley sobre Gobernanza de Datos tiene su origen en la llamada Estrategia Europea de Datos, una Comunicación presentada por la Comisión Europea en febrero de 2020, que enuncia entre sus objetivos hacer realidad la capacitación de las personas, empresas y organizaciones, con el fin de que sean habilitadas para poder adoptar mejores decisiones sobre la base de datos no personales. Con esta aludida Estrategia se pretende materializar el Mercado Único Europeo de Datos, lo que supondría la libre circulación de datos por todo el territorio de la Unión Europea, garantizándose, en cualquier caso, el respeto a las normas sobre privacidad, competencia y protección de datos.
En el documento que examinamos se señala que, el Mercado Único Europeo de Datos debe establecerse siguiendo una serie de pasos, tales como: 1) establecer normas sobre el acceso a los datos y su reutilización; 2) invertir en herramientas e infraestructuras de próxima generación para almacenar y tratar datos; 3) poner en común datos europeos en sectores clave; 4) dotar a los usuarios de derechos, herramientas y capacidades para el pleno control de sus datos; y, 5) aunar fuerzas para desarrollar adecuadamente la computación en nube.
Por otra parte, con la Comunicación y el establecimiento de la Estrategia se persigue el fin de erradicar los problemas detectados, haciendo uso de medidas y de financiación. De este modo, la propuesta se basaría en cuatro pilares que procedemos a explicar sucintamente.
El primero de estos pilares se refiere a la instauración de un marco de gobernanza intersectorial para el acceso a los datos y su utilización, de suerte que el resultado sea una economía más ágil en el manejo de los datos. Entre las acciones que se plantean se encuentran el diseño de un marco normativo para la gobernanza de los espacios comunes europeos de datos, el inicio del procedimiento para la adopción de un acto de ejecución sobre conjuntos de datos de gran valor para su disponibilidad gratuita en toda la Unión Europea6, la proposición de una normativa sobre datos o la realización de un análisis de estos en la economía digital, así como la revisión del marco político actual sobre el paquete normativo de servicios digitales.
En el segundo pilar se sitúan las inversiones en datos y el refuerzo de las capacidades e infraestructuras de Europa para albergarlos, tratarlos y utilizarlos. De este modo, se plantea invertir en un proyecto de gran impacto sobre los espacios de datos europeos que abarque las arquitecturas de intercambio de datos, los mecanismos de gobernanza y la federación europea de infraestructuras en la nube eficientes. Asimismo, se propone la creación de un mercado único de servicios en la nube que integre la totalidad de la oferta de servicios y la elaboración de un manual de normas de la Unión que regule la computación en nube.
El tercer pilar se refiere al empoderamiento de las personas, la inversión en cualificaciones y en pymes. Para empoderar a las personas se opta por el refuerzo del derecho a la portabilidad de datos, que ya prescribe el art. 20 del RGPD, de modo que los ciudadanos tengan un mayor control sobre aspectos esenciales como quién puede acceder y utilizar los datos que se generan por máquinas. Por otra parte, se propone el uso de la financiación para reducir la brecha en materia de macrodatos y ciencia de los datos. En relación con las pymes, se propone definir medidas que les permitan crear capacidades que les habiliten para tener un mejor acceso a los datos, pudiendo desarrollar así nuevos servicios y aplicaciones basadas en estos. Se debe tener en cuenta que el desarrollo de las pymes en este campo se considerará una prioridad.
En último lugar, el cuarto pilar se refiere a los espacios comunes europeos de datos en sectores considerados estratégicos y en ámbitos de interés público. En ellos, el uso de datos tendrá un impacto sistémico en todo el ecosistema y en los ciudadanos, lo que debe conducir a la disponibilidad de grandes repositorios de datos en estos sectores, además del uso de las herramientas e infraestructuras adecuadas para utilizar e intercambiar datos. En el documento, la Comisión enuncia que apoyará el establecimiento de los nueve espacios comunes europeos de datos que se refieren a: industria, Pacto Verde Europeo, movilidad, salud, finanzas, energía, sector agrario, administraciones públicas y cualificaciones.
En otro orden de ideas, no debemos olvidar que vivimos en un mundo globalizado, en el que los datos se encuentran en constante movimiento gracias a la digitalización. Por este motivo, en el documento que presenta la Estrategia se hace mención a la importancia de los flujos internacionales de datos para la competitividad de las empresas europeas. Así, la Unión tiene interés en liderar y apoyar la cooperación internacional en la materia y en la creación de un entorno en el que el desarrollo económico y tecnológico pueda prosperar.
Otra de las iniciativas a las que se hace referencia es la Nube Europea de la Ciencia Abierta, un proyecto que se propuso por la Comisión Europea en abril de 2016 y que se financia a través del programa Horizonte 2020. Este proyecto ofrece el acceso fluido a los datos de investigación, y su reutilización fiable, a todos los investigadores, innovadores, empresas y ciudadanos. Se ha propuesto abrir la Nube al sector privado y, para 2024, al sector público en general7.
En definitiva, tal como señala la Comunicación de la Comisión, la puesta en marcha de la Estrategia repercute directamente en la economía europea, de suerte que la agiliza en lo que al manejo de datos se refiere. Asimismo, ofrece la oportunidad de desarrollar un futuro tecnológico europeo en el que la producción y utilización de datos sean protagonistas. Todo ello sobre la base del respeto a los derechos y libertades de los ciudadanos, así como a la transparencia y la privacidad. Además, el documento hace mención a determinados aspectos claves de la transición digital, sirviendo como hoja de ruta en la materia para empresas, ciudadanos y sector público, con respeto al principio de legalidad y cumpliendo la normativa sobre protección de datos. La puesta en marcha de un Mercado Único Europeo de Datos se presenta como fundamental en un mundo en el que la digitalización es una realidad que gana peso continuamente.
3 EL REGLAMENTO DE GOBERNANZA DE DATOS
3.1 Datos Generales
La llamada Ley Europea de Gobernanza de Datos8 es la primera de las medidas que propone la Comisión Europea en el contexto de la Estrategia Europea de Datos a la que hemos hecho referencia. Presentada en noviembre de 2020, su objetivo se centra en ampliar la disponibilidad de los datos para su utilización, aumentando la confianza en los intermediarios de datos y el refuerzo de los mecanismos para su intercambio en territorio europeo.
La base jurídica de la propuesta la encontramos en el art. 114 del Tratado de Funcionamiento de la Unión Europea (armonización de disposiciones legales, reglamentarias y administrativas cuyo objeto sea el establecimiento y funcionamiento del mercado interior de la Unión Europea)9 y en el art. 4, apartados 2 y 3 del mismo texto legal (políticas digitales: competencias compartidas Unión Europea/ Estados miembros). El cauce a través del cual se está tramitando es el procedimiento legislativo ordinario, antes llamado procedimiento de codecisión. Como tal, requiere la consulta obligatoria al Comité Económico y Social Europeo y al Comité Europeo de las Regiones. A fecha de redactar el presente trabajo, tras la adopción de la posición del Parlamento Europeo al respecto en abril de 2022, se está pendiente de la adopción de la posición del Consejo.
La elección del formato de Reglamento para regular la temática se justifica en la aplicabilidad directa de este instrumento, de suerte que, se evita así la dilación del proceso de ejecución en los Estados miembros, haciendo posible que se puedan establecer con mayor celeridad los espacios comunes europeos de datos que prescribe este.
La normativa vendría a completar la Directiva 2019/1024, de 20 de junio de 2019, sobre datos abiertos y la reutilización de la información del sector público, en la medida en la que comprende los datos en posesión de organismos del sector público sujetos a derechos de terceros. Además, guarda una estrecha relación con el RGPD y la Directiva sobre la privacidad y las comunicaciones electrónicas. Se inspira en los principios de gestión y reutilización de datos desarrollados respecto a los datos de investigación, en cuanto que se refiere a los distintos tipos de intermediarios de datos que gestionan datos personales y no personales. Del contenido de la propuesta se entiende que con ella no se modifica, suprime o conceden derechos sustanciales de acceso y utilización de datos, todo lo cual se pretende regular posteriormente con la propuesta de la Ley de Datos en 2021.
Puede afirmarse que, con carácter general, la propuesta de Reglamento establece las condiciones para la reutilización en la Unión de determinadas categorías de datos en manos de organismos públicos, el régimen de notificación y supervisión en los supuestos de prestación de servicios de intercambio de datos y la creación de un marco para la inscripción en un registro de entidades que recojan y traten datos con fines altruistas, de forma voluntaria. En consecuencia, entre las situaciones que regula encontramos:
– La cesión de datos públicos para su reutilización, en los casos en los que estén sujetos a derechos de terceros10.
– El intercambio de datos entre empresas a cambio de remuneración.
– La cesión de datos con ayuda de un intermediario de datos personales, cuya labor consistirá en ayudar a los particulares a ejercer los derechos del RGPD.
– La cesión de datos con fines altruistas.
– Un código normativo para completar la regulación propuesta por el Reglamento, obligándose la Comisión a adoptar actos delegados para ello.
– El marco para el establecimiento de un Comité Europeo de Innovación en materia de Datos.
En cuanto a su financiación, se prescribe que los costes financieros y administrativos deberán ser sufragados por las autoridades nacionales principalmente y, en cierta medida, recaerán en los usuarios y proveedores de intercambio de datos. Además, las propias autoridades nacionales serán las encargadas de decidir el nivel de inversión financiera y la posibilidad de recuperación de la inversión a través de la aplicación de cánones o tasas administrativas.
Pues bien, expuestas las características generales que presenta la propuesta de Reglamento sobre la Gobernanza Europea de Datos, nos ocuparemos, a continuación, de exponer sucintamente los aspectos relacionados con la cesión de datos para su reutilización, el altruismo de datos y el Comité Europeo de Innovación en materia de datos, dejando para otra posterior ocasión, debido a su propia complejidad y extensión, lo relativo al intercambio de datos y a los intermediarios11.
3.2 La regulación de la reutilización de categorías de datos conservados por organismos del sector público
De acuerdo con la propuesta de Reglamento, debemos entender por datos la representación digital de datos, hechos o información, así como cualquier compilación de estos, fundamentalmente en forma de grabaciones sonoras, visuales o audiovisuales. Asimismo, la reutilización hace referencia al uso por las personas físicas o jurídicas de datos que se encuentran en poder de organismos del sector público, con fines comerciales o no comerciales distintos de la misión de servicio público para la que han sido producidos, debiendo excluirse el intercambio de datos entre organismos del sector público con el fin único de desarrollar su misión de servicio público12.
Tomando en consideración estos conceptos, la reutilización de datos en poder de organismos del sector público se aplica a categorías de datos protegidos por diversas causas. Estas causas son: la protección de los datos personales no incluidos en la Directiva (UE) 2019/1024, el secreto estadístico, la protección de los derechos de propiedad intelectual de terceros y la confidencialidad comercial.
En este sentido, se prohíben los acuerdos de exclusividad sobre estas categorías de datos si a través de ellos se conceden derechos exclusivos o restringen la disponibilidad de datos por entidades no incluidas en ellos. Ahora bien, sí es posible la concesión de un derecho exclusivo con este fin si fuese necesario para prestar un servicio o producto de interés general, que de otra forma no podría obtenerse. Tal derecho exclusivo deberá otorgarse por un acto administrativo o acuerdo contractual que sea conforme a los principios de transparencia, igualdad de trato y no discriminación, con una delimitación temporal de doce meses. La concesión debe asimismo respetar la normativa europea sobre contratación pública.
La reutilización debe llevarse a cabo cumpliendo una serie de condiciones previstas en el art. 5 del Reglamento. En concreto, aquellos organismos del sector público que tengan competencia para conceder el acceso a estos datos deben publicar las condiciones exigidas para autorizar la reutilización, así como el procedimiento para su solicitud, que deberá hacerse a través de un punto único de información13.
Las condiciones que se prescriban para la reutilización deberán cumplir con los principios de no discriminación, transparencia y proporcionalidad, además de justificarse. Es deber de los organismos del sector público velar por la preservación de la naturaleza protegida de los datos, pudiendo establecer para ellos requisitos. El Reglamento cita, entre tales requisitos posibles, los siguientes:
– El acceso a la reutilización solo cuando, tras la solicitud, se haya garantizado que los datos están anonimizados (si se trata de datos personales) o que se han modificado, agregado o tratado por métodos de control de la divulgación (si se trata de información confidencial).
– Contar con un entorno de tratamiento seguro para el acceso y la reutilización a distancia. En caso de no hacerse a distancia, se deberá contar con locales físicos en los que se encuentre el entorno de tratamiento seguro, sometido a normas estrictas de seguridad.
Por otra parte, salvo que se prescriban garantías específicas en materia de obligaciones de confidencialidad, la reutilización de este tipo de datos se supeditará a la obligación de confidencialidad por el reutilizador, de modo que se prohíba la divulgación de datos que pongan en riesgo derechos e intereses de terceros. Si no es posible la reutilización, el organismo del sector público deberá prestarle asistencia a los reutilizadores potenciales para la obtención del consentimiento de los interesados. Asimismo, se podrá cobrar una tasa por permitir la reutilización.
Especial relevancia tiene en la normativa la transferencia por el reutilizador a un tercer país de datos no personales protegidos. En estos casos, este deberá informar al organismo del sector público competente de la finalidad de la transferencia en la solicitud de la reutilización. Los datos confidenciales o protegidos por derechos de propiedad intelectual solo se facilitarán si el reutilizador se compromete por contrato a cumplir las obligaciones que se determinan y aceptar la competencia de los tribunales del Estado miembro transmisor en caso de litigios. De igual modo, si la Unión considera que determinadas categorías de datos no personales son muy sensibles, podrá adoptar actos legislativos específicos si consideran que su transferencia a terceros países puede poner en riesgo objetivos de las políticas públicas de la Unión Europea o entrañar peligro de reidentificación de datos no personales anonimizados.
En cuanto a plazos, el art. 9 del Reglamento prescribe que, a falta de regulación nacional con plazos más breves, los organismos del sector público competentes deberán dar respuesta a las solicitudes de reutilización en el plazo de dos meses, contados desde la fecha de recepción de la solicitud. Ese plazo inicial podrá ser ampliado hasta treinta días más si las solicitudes son excepcionalmente extensas y complejas, debiendo informarse de tal ampliación al solicitante. Se garantiza además el derecho efectivo de recurso en el Estado miembro en el que se encuentre el organismo del sector púbico en cuestión a toda persona física o jurídica que se viera afectada por la decisión adoptada.
En resumen, con el Reglamento se crea el mecanismo de reutilización de determinadas categorías de datos que, utilizado correctamente, puede resultar muy beneficioso para los intereses de las empresas a la hora de desarrollar proyectos o diseñar estrategias comerciales que las hagan más competitivas, lo que, de forma directa, contribuye al desarrollo económico y comercial de la Unión Europea. Ahora bien, debe tenerse presente que los preceptos del Reglamento no generan el derecho a la reutilización de datos en ningún caso, sino las condiciones armonizadas bajo las cuales se puede permitir tal reutilización, de modo que los interesados directos de tales informaciones no ven sus derechos lesionados.
3.3 El altruismo de datos
3.3.1 Generalidades
Como una de sus novedades, el Reglamento viene a regular el llamado altruismo de datos. Este término hace referencia, conforme al art. 2 de la propuesta, al intercambio voluntario de datos, cuya base es el consentimiento dado por el interesado para el procesamiento de sus datos personales, o bien la autorización de los titulares de datos para el uso de sus datos no personales sin recibir compensación en contrapartida, salvo la referida a los costes que pueda suponerle la cesión de los datos. El fin de la misma se relaciona directamente con el interés general previsto por la legislación nacional en cada caso. Así, la norma menciona, entre ellos, la asistencia sanitaria, la investigación científica o la lucha contra el cambio climático. En otras palabras, se trataría de la puesta de datos a disposición del bien común, por parte de particulares y empresas, de forma voluntaria.
Pues bien, en el Capítulo IV del Reglamento se propone la regulación en materia de cesión altruista de datos, abarcando materias tales como: los registros públicos de organizaciones reconocidas de gestión de estos datos, los requisitos de inscripción o, también, las acciones para la protección de los derechos e intereses de los titulares de datos e interesados, entre otros. De este modo, se habilita a los Estados miembros para que puedan legislar y crear políticas nacionales en la materia, con aspectos tanto de tipo organizativos como técnicos, para facilitar la cesión. Asimismo, estas políticas pueden orientarse por los Estados miembros de forma que sirvan a los interesados como ayuda y guía. Si se desarrollasen, deberá notificarse de este hecho a la Comisión Europea.
3.3.2 Los registros públicos de organizaciones nacionales reconocidas de gestión de datos con fines altruistas
Mención especial se hace a los registros públicos de organizaciones nacionales reconocidas de gestión de datos con fines altruistas, que estarán a cargo de la autoridad competente para la inscripción. Esta será la responsable de mantener el registro actualizado. Para la inscripción, la norma dispone de una serie de requisitos generales que deben cumplir las entidades interesadas: 1) ejercer actividades de cesión altruista de datos; 2) ser una entidad jurídica constituida para cumplir objetivos de interés general; 3) no tener ánimo de lucro y ser independiente jurídicamente de cualquier entidad con ánimo de lucro; 4) que las actividades de cesión altruista de datos tengan una estructura independiente a cualquier otra actividad; y, 5) cumplir el código normativo al que haremos referencia en líneas posteriores como máximo en los 18 meses siguientes de la entrada en vigor de los actos delegados correspondientes.
De cumplirse estos requisitos, la entidad podrá solicitar la inscripción en el registro correspondiente del Estado miembro en el que esté establecida. Si, cumpliendo los requisitos, la entidad tuviese establecimientos en más de un Estado miembro, la inscripción podrá solicitarla en el lugar del establecimiento principal. En cambio, de no encontrarse establecida en la Unión Europea, debe nombrar a un representante legal en un Estado miembro en el que tenga servicios de gestión de datos con fines altruistas, quedando sometida al Ordenamiento jurídico de ese Estado.
Una vez la entidad haya entregado toda la información necesaria, a la que se hace referencia en el apartado 4 del art. 19 del Reglamento, y tras la evaluación de la solitud por la autoridad competente, se inscribirá a la entidad en un plazo máximo de doce semanas tras la recepción de la solicitud. Esta inscripción debe notificarse a la Comisión y surtirá efectos en todos los Estados miembros.
3.3.3 Autoridades competentes
Las autoridades competentes en materia de inscripción, y del registro público en general, serán designadas por cada Estado miembro y notificadas a la Comisión en un plazo propuesto de 15 meses tras la entrada en vigor del Reglamento. Deberán ser independientes funcionalmente de cualquier organización reconocida de gestión de datos con fines altruistas. Además, sus funciones las desempeñarán de forma imparcial, transparente, coherente, fiable y oportuna, protegiendo la competencia leal y garantizando la no discriminación.
Como tales autoridades, se encargarán del control y supervisión del cumplimiento de los requisitos mencionados por las organizaciones reconocidas de gestión de datos con fines altruistas, ya sea de oficio o a raíz de una petición por parte de una persona física o jurídica. En caso de no cumplimiento, deberá notificarle a la entidad sus observaciones y darles la oportunidad de manifestar su opinión en un plazo de 30 días, contados desde la recepción de la notificación. Asimismo, estará facultada para exigir el cese de la infracción, adoptando las medidas que estime oportuno.
En el supuesto de que una organización no cumpla los requisitos mencionados, incluso posteriormente a haber recibido respuesta afirmativa sobre la inscripción, perderá el derecho a utilizar la denominación correspondiente y se cancelará su inscripción, debiendo hacerse pública tal decisión por parte de la autoridad competente.
En este punto cabe hacer mención de la previsión de creación, por parte de la Comisión Europea, de un registro público de organizaciones reconocidas de gestión de datos con fines altruistas, cuya misión será servir a efectos informativos.
Por otra parte, el art. 17.2 del Reglamento prescribe que las organizaciones inscritas en el registro público nacional pueden hacer uso de la denominación “organización de gestión de datos con fines altruistas” en sus comunicaciones orales y escritas, así como de un logotipo común. Este será diseñado por la Comisión mediante actos de ejecución e irá acompañado de un código QR, cuyo enlace llevará al registro público creado por la Unión para este tipo de entidades.
Por último, se propone la elaboración de un formulario europeo de consentimiento para la cesión altruista de datos, cuyo objetivo se concreta en la reducción de costes al recabar el consentimiento y facilitar la portabilidad de datos, si los datos cedidos no están en poder de la persona.
3.3.4 Obligaciones de las organizaciones reconocidas de gestión de datos con fines altruistas
Las entidades que sean inscritas finalmente en el registro público nacional correspondiente tendrán la obligación de informar a la autoridad competente de cualquier modificación de la información facilitada. Asimismo, deberá cumplir una serie de obligaciones concretas reguladas en el Reglamento.
De este modo, toda organización de este tipo deberá llevar un registro completo y exacto en el que figuren: 1) todas las personas físicas o jurídicas con permiso para tratar datos en poder de la entidad, y sus datos de contacto; 2) la duración del tratamiento de datos personales o la utilización de datos no personales; 3) la finalidad perseguida y declarada del tratamiento por las físicas o jurídicas con permiso para llevarlo a cabo; y, 4) las posibles tasas abonadas por quienes lleven a cabo el tratamiento.
Anualmente, cada organización deberá elaborar y enviar a la autoridad competente un informe anual de actividades. Este informe debe contener información sobre las actividades de la entidad, la descripción del modo en el que se han promovido los objetivos de interés general, un listado con las personas físicas y jurídicas que hayan tratado datos en poder de la entidad, un resumen de los resultados del tratamiento e información sobre las fuentes de ingresos de la organización, particularmente de aquellos ingresos que sean consecuencia de permitir el acceso a los datos, y los gastos.
En relación con la protección de los derechos e intereses de los interesados y de los titulares de datos en lo que se refiere a sus datos, las organizaciones reconocidas de gestión de datos con fines altruistas deben informarles, con carácter previo al tratamiento de sus datos, de forma clara y sencilla, los objetivos de interés general y los fines específicos de aquel, además de la ubicación de cualquier actividad de tratamiento en un tercer país, cuando sea la propia entidad quien desarrolle el tratamiento.
No se habilita a las entidades para el uso de datos cuando los objetivos no sean los de interés general para los que se permitió por el interesado o titular de datos el tratamiento. Además, se prohíbe la utilización de prácticas de mercadotecnia engañosas para solicitar los datos.
Otras obligaciones son proporcionar las herramientas que permitan otorgar o retirar el consentimiento para el tratamiento fácilmente, garantizar en todo momento la seguridad de los datos o informar al titular de los datos sobre su transferencia, acceso o utilización no autorizados.
4 EL COMITÉ EUROPEO DE INNOVACIÓN EN MATERIA DE DATOS
El Reglamento viene a crear un Comité Europeo de Innovación en materia de datos en forma de grupo de expertos formal, cuya misión consistirá en facilitar el desarrollo de mejores prácticas por las autoridades de los Estados miembros en varios aspectos que aborda y regula la propia norma. Adicionalmente, servirá para apoyar y asesorar a la Comisión en lo relativo a la gobernanza de la normalización intersectorial y a la preparación de solicitudes de esta. El Comité será creado por la Comisión, teniendo en cuenta el equilibrio geográfico y de género.
De este modo, el Comité abordará la tramitación de solicitudes de reutilización de datos sujetos a derechos de terceros, la necesidad de garantizar una práctica coherente en relación con el marco de notificación aplicable a los proveedores de servicios de intercambio de datos y la cesión altruista de datos.
Estará integrado por: 1) representantes de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de todos los Estados miembros; 2) el Comité Europeo de Protección de Datos; 3) el Supervisor Europeo de Protección de Datos; 4) la Empresa Nacional de Innovación (ENISA); 5) la Comisión; 6) el representante de la Unión para las pymes o un representante designado por la red de representantes nacionales para las pymes y otros representantes de los organismos pertinentes de sectores específicos; y, 7) otros organismos con conocimientos especializados.
Teniendo en cuenta sus componentes, el Comité se espera que cuente con tres subgrupos con distintas funciones, todas ellas descritas en el art. 30 del Reglamento. Estos son:
– Subgrupo 1: compuesto por autoridades competentes en materia de servicios de intermediación de datos y autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas.
– Subgrupo 2: dedicado a debates técnicos sobre normalización, portabilidad e interoperatividad.
– Subgrupo 3: dedicado a la participación de partes interesadas, con representantes de sectores de la industria, la investigación, el mundo académico, la sociedad civil, los organismos de normalización, los espacios comunes europeos de datos y otras partes interesadas.
Entre las funciones que se describen en la propuesta de Reglamento a desempeñar por el Comité destacan, entre otros, el asesoramiento y asistencia a la Comisión Europea en lo relativo a la elaboración de directrices relacionadas con los datos personales comerciales sensibles, como los secretos comerciales, para encontrar una mejor forma de protegerlos, o la elaboración de los requisitos de ciberseguridad aplicables al intercambio y almacenamiento de datos. Además, el mencionado Comité, tendrá la misión de proponer directrices para los espacios europeos comunes de datos, los requisitos para contrarrestar las barreras de entrada al mercado para evitar los efectos de la dependencia y una protección adecuada de las transferencias ilícitas de datos a terceros países, entre otras funciones, todas ellas descritas en el art. 30 del Reglamento.
I-. En un contexto mundial marcado por la digitalización, los datos se han convertido en una pieza imprescindible para el desarrollo en todos los ámbitos. Con la propuesta de Reglamento sobre una Ley de Gobernanza Europea de Datos se reconoce esa importancia y la necesidad de caminar hacia un futuro tecnológico en el que los datos serán protagonistas, consiguiendo con ello una economía más ágil en su manejo.
II-. La creación de un Mercado Único Europeo de Datos supondrá un punto de inflexión en el mercado europeo, tanto para empresas como para particulares. Al hacer posible la libre circulación de datos, permitirá a las empresas desarrollar productos y servicios teniendo en cuenta las exigencias y necesidades concretas de su potencial cliente en cada país, lo que les habilita para brindar un mejor producto u ofrecer un mejor servicio. Para los particulares, esto se traduce en una mayor satisfacción y calidad de aquello que demanda. Concretamente, para las pymes y empresas emergentes es una oportunidad para adaptarse mejor al mercado en el que se desenvuelven y para contar con datos e información que, de otra forma, le sería muy gravoso conseguir, de ahí que sean una de las grandes prioridades de este Reglamento.
III-. Por todo lo ya enunciado, el desarrollo del Reglamento sobre una Ley de Gobernanza Europea de Datos es una prioridad en el seno de la Unión Europea. Solo así podrá conseguirse continuar siendo competitivos en el mercado internacional, fundamentalmente, en lo que se refiere a competencias digitales. Ahora bien, en un contexto marcado por la incertidumbre económica como en el que nos encontramos, habrá que decidir cuál es el sitio real que se le da a esta temática en los presupuestos europeos, pues solo así se podrá desarrollar en consecuencia todo lo que se está pretendiendo regular con la propuesta.
Manuales:
*MOLINA DEL POZO, C.F., Derecho de la Unión Europea, Editorial Reus, 6ª edición, Madrid 2022.
*MOLINA DEL POZO, C.F. Tratado de Derecho de la Unión Europea, Vol. 4, Jurúa Editorial, Lisboa-Curitiba, 2015.
Legislación:
*Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
*Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de los derechos digitales.
*Directiva (UE) 2019/1024, del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público.
*Comunicación de la Comisión Europea al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones: “Una Estrategia Europea de Datos”, de 19 de febrero de 2020.
*Propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la gobernanza europea de datos, de 25 de noviembre de 2020.
Webgrafía:
*https://www.europarl.europa.eu/doceo/document/TA-9-2022-0111_FR.html.
*https://universoabierto.org/2020/04/20/nube-de-ciencia-abierta-europea-eosc/.
*https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_es.
1 Catedrático de Derecho Administrativo. Catedrático Jean Monnet “ad personam” de Derecho de la Unión Europea. Universidad de Alcalá, España – E-mail: carlosf.molina@uah.es. Orcid: https://orcid.org/0000-0001-5074-8322
2 Doctoranda de Derecho Administrativo. Colaboradora de la Cátedra Jean Monnet de Derecho de la Unión Europea. Universidad de Alcalá, España – E-mail: lauraglezcre@yahoo.es. Orcid: https://orcid.org/0000-0001-7728-4142
3 Datos extraídos de la Comunicación de la Comisión Europea al Parlamento Europeo, al Comité Económico y Social Europeo y al Comité de las Regiones: “Una Estrategia Europea de Datos”, de 19 de febrero de 2020. Referencia DOUE: COM (2020) 66 final.
4 Referencia DOUE: L 119/3, de 4 de mayo de 2016.
5 Normativa completada, en el caso de España, por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de los derechos digitales. Referencia BOE-A-2018-16673.
6 Como parte de la Directiva (UE) 2019/1024, del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público. Referencia DOUE: L 172/56.
7 Para más información: https://universoabierto.org/2020/04/20/nube-de-ciencia-abierta-europea-eosc/. Última consulta el 15 de junio de 2022.
8 Propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la gobernanza europea de datos, de 25 de noviembre de 2020. Referencia DOUE: COM (2020) 767 final.
9 En este sentido, se justifica la necesidad de armonización en la materia por las ventajas que supone. Entre ellas, la Comisión cita el mejor desarrollo de productos y servicios de las empresas, al contar con datos de varios Estados miembros, por la riqueza y la diversidad de éstos, que permite el reconocimiento de patrones o el aprendizaje automático basado en datos. Además, considera que una actuación de la Unión Europea puede garantizar el auge de un modelo europeo de intercambio de datos que cuente con intermediarios de confianza para su gestión. A ello añade la necesidad de que un Mercado Único Europeo de Datos garantice la disponibilidad de éstos, a la vez que permita el control de ciudadanos y empresas sobre los datos que generan y se preservan las inversiones para su recopilación.
10 Es decir, cuando los datos estén sujetos a normativa sobre protección de datos o propiedad intelectual, o bien cuando contengan secretos comerciales o información sensible a efectos comerciales.
11 Para la elaboración del análisis siguiente se han tenido en cuenta las enmiendas que en primera lectura ha efectuado el Parlamento Europeo, con fecha 6 de abril de 2022.
12 Definiciones extraídas del art. 2 de la propuesta de Reglamento.
13 El punto único de información tiene como objetivo brindar toda la información necesaria en la materia y hacerla accesible. Cada Estado miembro deberá nombrar un organismo o estructura existente como punto único de información, o bien crearlo. La misión de este punto único de información será la de recibir las consultas o solicitudes de reutilización, transmitiéndolas al organismo del sector público competente. Asimismo, podrá crear un canal específico de información para pymes y empresas emergentes. Por su parte, desde la Unión, la Comisión creará un punto único europeo de acceso con el objetivo de ofrecer un registro electrónico de datos que se puedan consultar en los puntos únicos de información de cada Estado miembro.