El 8 de febrero de 2021, finalizó el plazo de consulta por parte de la Comisión Europea relativa a la propuesta de Reglamento sobre la Gobernanza de los Datos (DGA, por sus siglas en inglés), presentada en noviembre. Desde Adigital, celebramos haber podido contribuir con nuestra posición al debate acerca de esta propuesta. Este es un resumen de nuestras consideraciones al DGA.
La propuesta de Reglamento sobre la Gobernanza de los Datos prevé un marco legislativo para la gobernanza de espacios comunes de datos europeos, así como para garantizar la coordinación de las acciones emprendidas por los Estados miembros, con vistas a la creación de un mercado único para el intercambio y el uso de los datos, tanto personales como no personales. Te lo contamos hace unas semanas en este otro artículo en el que desgranamos su contenido.
La relevancia de esta propuesta normativa es indudable teniendo en cuenta que el dato es el principal activo en una economía digitalizada, por eso es tan importante que la Comisión Europea siga reforzando sus compromisos para permitir la libre circulación de los mismos y continúe abogando por evitar la introducción de medidas o requisitos que la limiten, aunque siempre asegurando la coordinación con el resto de iniciativas promovidas en el seno de la UE, como pueden ser en este momento la Ley de Mercados Digitales (DMA) y la Ley de Servicios Digitales (DSA), o el Reglamento General de Protección de Datos (RGPD), y otras normas, como las de la Organización Mundial del Comercio.
En este sentido, desde Adigital, apoyamos el marco ofrecido por la propuesta, que abarca medidas horizontales que consideramos pertinentes para la creación de espacios comunes de datos sin contravenir la normativa europea en materia de protección de datos. Ahora bien, entrando al detalle de esta propuesta de Reglamento, desde Adigital queremos llamar la atención sobre los aspectos que tienen que ver con la reutilización de determinadas categorías de datos protegidos del sector público, los requisitos aplicables a los proveedores de servicios de intercambios de datos, la cesión de datos con fines altruistas y la creación de mecanismos de control como el Comité Europeo de Innovación de Datos.
La reutilización de datos del sector público
El capítulo II de la propuesta de Reglamento sobre la Gobernanza de los Datos se refiere a la reutilización de datos del sector público.
Nos parece positivo el objetivo del DGA de fomentar la disponibilidad de los datos protegidos en poder del sector público para su reutilización. Dado el inmenso potencial para impulsar la innovación que representa la reutilización de datos por parte de las empresas (por ejemplo, para la formación en inteligencia artificial), las bases de datos del sector público deberían estar disponibles para su uso comercial por parte del sector privado, en cumplimiento de las condiciones de reutilización que los organismos del sector público pondrán a disposición de acuerdo con las disposiciones del DGA.
Ahora bien, los mecanismos para solicitar el intercambio deberán ser sencillos, eficientes en términos de tiempo y, en la medida de lo posible, estar predefinidos para que las partes interesadas sepan de antemano cuáles son los requisitos de acceso. La autorización o denegación de datos sensibles del sector público a nivel nacional debe hacerse en un plazo razonable, apoyándose en tecnologías de última generación y no debe convertirse en un cuello de botella.
Por eso mismo también, instamos a que se aclare el alcance de las categorías de datos protegidos del sector público (art.3), en particular cuando se trata de datos protegidos por motivos relacionados con la confidencialidad comercial o por la protección de los derechos de la propiedad intelectual de terceros. Dentro del plazo de transitorio de 12 meses desde su entrada en vigor (art.35), debe proporcionarse claridad y seguridad jurídica a las empresas en relación con los tipos de datos contemplados en el DGA y los acuerdos contractuales ya existentes que cubrirán el acceso a los datos.
Los proveedores de servicios de intercambios de datos
En relación con los requisitos aplicables a los servicios de intercambio de datos, en particular, con la reutilización de los datos personales con la ayuda del «intermediario de datos», se produce en la propuesta un solapamiento entre dos conjuntos de obligaciones que, dependiendo de que se trate de datos personales y de datos no personales, podrían conllevar problemas de aplicación, interpretaciones contradictorias y una falta de coherencia en la aplicación de la normativa por parte de las autoridades competentes.
Es necesario aportar mayor claridad sobre los tipos de proveedores de servicios de intercambio de datos que entran en el ámbito de aplicación del artículo 9. En este sentido, solicitamos una aclaración sobre el ámbito de aplicación del DGA ya que el considerando 22 únicamente ofrece aclaración sobre qué tipo de servicios no entran dentro del ámbito del DGA. Nos preocupa que tal distinción no sea lo suficientemente clara y, por lo tanto, recomendamos que el DGA distinga claramente las obligaciones en relación con los datos no personales del conjunto de nuevas obligaciones que van más allá del RGPD con respecto al intercambio de datos personales. Así pues, limitar el ámbito de aplicación a servicios bien definidos y aligerar el proceso de notificación sería más adecuado para impulsar la aparición de nuevos intermediarios de datos, en línea con el objetivo de aumentar el uso de tales servicios.
Aunque el Reglamento facilitará el intercambio de datos a través de los intermediarios de datos de manera eficiente, los usuarios deben poder elegir ante quien ejercitar el derecho a la portabilidad, a través de un intermediario o directamente ante las empresas. Por ello, debe abordarse de forma efectiva el derecho a la portabilidad de datos en el Reglamento. Aunque el proyecto de texto permite a los proveedores de servicios de intercambio de datos realizar adaptaciones en los datos intercambiados, en la medida en que esto mejore la usabilidad y la interoperabilidad, esto no debería impedir la aparición de nuevos servicios, que aporten valor añadido a las empresas usuarias y les ayuden a gestionar sus datos de manera eficaz.
Asimismo, no se deben imponer procedimientos de notificación desproporcionados y gravosos tanto a los organismos públicos como a las empresas, y por ello creemos que nos es necesario notificar todos los medios utilizados por un intermediario para prestar sus servicios.
Cesión altruista de datos
Por otro lado, desde Adigital, apoyamos la iniciativa de crear un marco para el altruismo de datos que, sin duda, servirá para estimular el I+D en diversos sectores industriales, especialmente en el ámbito sanitario. Sin embargo, animamos a la Comisión a reducir los requisitos administrativos ya que este tipo de entidades están sujetas a los requisitos de responsabilidad del RGPD y a la supervisión de las autoridades competentes de protección de datos.
Comité Europeo de Innovación en materia de datos
Nuestras últimas consideraciones tienen que ver con el Comité Europeo de Innovación de Datos. Creemos que constituye una oportunidad para una aplicación fluida del DGA, en particular, garantizando un enfoque coherente con respecto a la reutilización de datos públicos en los Estados miembros y dando prioridad a los estándares internacionales y europeos en la puesta en común de datos.
En la memoria de impacto, el DGA, alerta sobre las dificultades técnicas que suponen una barrera para el intercambio de datos en Europa. En este sentido, reiteramos que los estándares y las tecnologías de código abierto podrían contribuir a lograr una mejor interoperabilidad y portabilidad de los datos, así como a proporcionar soluciones a algunas de las dificultades técnicas.
Es especialmente necesario que no existan discrepancias, ni inconsistencias, especialmente en lo que se refiere al mandato del Comité Europeo de Innovación de Datos, en aquello que pueda solaparse con las competencias del CEPD en materia de datos personales. Además, recomendamos que se refuerce la participación de la industria, se tenga en cuenta los avances a nivel internacional y que se haga referencia a la necesidad de una estrecha cooperación con los organismos de normalización europeos e internacionales.
Finalmente, aunque la Comisión Europea propone normas comunes y armonizadas, pidiendo a los Estados miembros que creen autoridades específicas para controlar y hacer cumplir la normativa, cuyo cumplimiento será monitorizado a través del Comité Europeo de Innovación de Datos, creemos necesario que la aplicación del Reglamento sea coherente y consistente en cuanto a la supervisión y la aplicación, de lo contrario podría ponerse en peligro el éxito del Reglamento.