reglamento gobernanza datos

Nuevo Reglamento de la UE: La Gobernanza de los Datos

Probablemente te preguntes si este es “otro artículo más” sobre otra normativa de gestión de datos. La respuesta simple sería que sí, pero en este caso concreto, se trata de la propuesta de un nuevo Reglamento Europeo sobre la Gobernanza de los Datos, lo que trae consigo, a nivel muy general, una buena y una mala noticia.

Pero, antes de nada, pongámonos en contexto. En los últimos años, y debido principalmente al avance de la digitalización que ha transformado diferentes tipos de procesos y actividades en todos los sectores, los datos se han convertido en el eje principal de esta transformación. Como consecuencia de esto, en la Estrategia Europea de Datos del 19 de Febrero de este 2020, la Comisión Europea identificó, como una de las principales líneas de acción, la creación de un mercado único y centralizado de datos que permita su gestión y facilite su gobernanza. Esto pretende una mayor disponibilidad de los datos para su uso, un aumento de la confianza en los intermediarios, y un fortalecimiento de los mecanismos de intercambio de datos entre todos los agentes de la Unión Europea.

En línea con las actividades propuestas en la antes mencionada Estrategia de Datos, la Comisión Europea publicó el pasado jueves 25 de Noviembre el primer borrador del Reglamento para la Gobernanza de Datos, un instrumento legislativo que aborda los siguientes escenarios:

  1. Hacer disponibles los datos del sector público para su reutilización en las situaciones en las que los mismos estén sujetos al cumplimiento de obligaciones o instrumentos jurídicos tales como protección de datos, propiedad intelectual o confidencialidad comercial.
  2. Intercambio de datos entre empresas, a cambio de remuneración en cualquiera de sus formas.
  3. Permitir el uso y transferencia de datos con motivos altruistas.

Dentro de este marco y del nuevo escenario digital que estamos definiendo entre todos: organismos públicos, empresas y ciudadanos, la utilización de los datos y su correcta protección, se vislumbran como un aspecto clave a gestionar.

¿Conoces cómo te afecta el nuevo reglamento?

Los tres bloques principales de la regulación

A continuación, se detallan los principales bloques de la normativa que regulan los escenarios mencionados con anterioridad:

  1. La reutilización de los datos del sector público:

Cabe destacar que en el año 2019 ya se promulgó la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público, sin embargo la principal diferencia con este nuevo reglamento es que la primera solo aplica a datos que no están sujetos a derechos de terceros. Es decir, datos que no están protegidos por otras normativas o instrumentos jurídicos tales como protección de datos, propiedad intelectual o confidencialidad comercial.

En cualquier caso, el Capítulo II del reglamento tiene el objetivo de establecer las condiciones básicas de armonización para la reutilización de datos que obran en poder de las administraciones públicas por otras entidades. El mencionado capitulo, viene motivado en posibilitar y ofrecer beneficio a la sociedad a través de aquellos datos que se han ido generando a expensas de presupuestos públicos.

Entre las obligaciones principales, se encuentran la prohibición general de establecer acuerdos exclusivos para la explotación de datos, o el cumplimiento de los principios de proporcionalidad, no discriminación y justificación objetiva. Además, los organismos que comparten dichos datos, podrán establecer obligaciones concretas a los receptores como el uso de los entornos propios del sector público o su uso dentro de las instalaciones físicas en las que se encuentra los entornos de procesamiento seguro.

En los casos en los que el Reglamento General de Protección de Datos restrinja el uso y transferencia de datos entre entidades, el organismo del sector público apoyará a los operadores en la búsqueda del consentimiento de los interesados y/o en el permiso de las entidades legales cuyos derechos e intereses puedan verse afectados por dicha reutilización.

Por último, se destaca que los organismos públicos podrán establecer tarifas para el uso de los datos por otras entidades, sin embargo estas deben una vez más atender a los principios de proporción, no discriminación, justificación objetiva y no restricción de la competencia. Además, tanto las condiciones de la reutilización de los datos como las tarifas, deberán encontrarse publicadas en un punto de información único a través del que también se realizarán las solicitudes de reutilización.

  1. Prestación de servicios de intercambio de datos:

La prestación de servicios de intercambio de datos viene regulada en el Capítulo III de la normativa, en virtud de la cual todo prestador de servicios de intercambio de datos está sujeto a un procedimiento de notificación ante la autoridad en la que tenga su establecimiento principal. Dicha notificación permitirá al proveedor prestar servicios de intercambio de datos en todos los estados miembros. Además, se establecen los requisitos mínimos que debe contener dicha notificación.

Entre el conjunto de condiciones que se establecen para la prestación de estos servicios, se encuentran la prohibición de utilizar dichos datos para otras funciones que no sean la mera prestación del servicio. Además, deberá mantener tanto los datos como el servicio en una entidad jurídica separada.

Cuando el proveedor proporcione instrumentos para obtener el consentimiento de los interesados o permisos para tratar datos facilitados por personas jurídicas, especificará la jurisdicción o jurisdicciones en las que se pretende actuar. El proveedor garantizará que el procedimiento de acceso a su servicio sea justo, transparente y no discriminatorio tanto para los titulares de los datos como para los usuarios de los mismos, incluso en lo que respecta a los precios del servicio.

  1. El altruismo de datos:

El capítulo IV del reglamento establece la posibilidad de que las organizaciones puedan practicar el altruismo de datos. Es decir, que pongan a disposición de otras entidades o personas los datos que ostentan con fines filantrópicos no habiendo por tanto contraprestaciones económicas alrededor de estos servicios. Para ello, estas organizaciones deberán inscribirse en un registro con el objetivo de aumentar la confianza en las operaciones.

Además, se desarrollará un formulario europeo común de consentimiento para la recogida de datos con motivos de altruismo. Cuando se proporcionen datos personales, el formulario europeo de consentimiento para el altruismo de datos garantizará que los interesados puedan dar su consentimiento y retirarlo en su caso.

Los Organismos de referencia

El reglamento también se manifiesta sobre la creación de autoridades de referencia y grupos de expertos para apoyar el cumplimiento de la normativa.

  1. Autoridades competentes

Los estados miembros deberán al menos designar dos tipos de autoridad competente que deben ser independientes entre sí. Una para el altruismo de datos y otra para el registro de los proveedores de servicios de intercambio de datos. Ambas autoridades velarán por el cumplimiento de las disposiciones contenidas en los capítulos III y IV del reglamento. Las autoridades mencionadas, tendrán funciones de supervisión y monitorización del cumplimiento del reglamento. Aunque el cuerpo normativo no se pronuncia en claro sobre las sanciones, estas autoridades sí tendrán potestad sancionadora y por tanto serán los estados miembros los que establezcan sus regímenes sancionadores.

  1. El Comité Europeo de Innovación de Datos:

Adicionalmente, se creará un grupo de expertos denominado Comité Europeo para la Innovación de Datos que facilitará y establecerá buenas prácticas para el cumplimiento de la regulación. Dicho comité será compuesto por representantes de las autoridades competentes de todos los estados miembros, así como representantes del Comité Europeo de Protección de Datos, entre otros.

Por último, cabe destacar, que la prestación de servicios de intercambio de datos tanto por parte del sector público como por parte de organizaciones privadas, no eximirá del cumplimiento del Reglamento de Protección de Datos y otras normas impactan en los derechos de terceros.

Entrada en vigor

Sobre el estado actual de la propuesta de Reglamento aquí descrita, debemos mencionar que actualmente se encuentra en fase de consulta pública hasta el 21 de Enero de 2021 y luego dependerá de la implantación de posibles modificaciones al articulado actual, pero desde el momento de su publicación definitiva (probablemente en 2021), será de plena aplicación a contar un año desde el día de su entrada en vigor.

Conclusiones

Si has llegado hasta aquí, probablemente ya hayas identificado la buena y la mala noticia que traen consigo esta Propuesta de Reglamento. La buena noticia es la creación de un marco regulatorio sobre la gobernanza de datos que ofrece certidumbre y seguridad y establece una base que facilita tanto la innovación por parte de las empresas como para la confianza en la explotación, intermediación y adquisición de los datos. La mala noticia, por su parte, es que entramos en una fase de identificación de nuevos requisitos y posterior adaptación y cumplimiento que requerirá de esfuerzo y dedicación por parte de todos.

En cualquier caso, en KPMG ya estamos trabajando en actualizar nuestras metodologías para afrontar los nuevos retos que nos trae este Reglamento para la Gobernanza de los Datos.

 

 

Deja un comentario

Pedro García

Consutor Senior de Technology Risk de KPMG en España. Pedro se incorporó a KPMG a principios de 2016, dentro del área de IT Advisory. En sus más de 6 años de experiencia ha centrado su actividad en el asesoramiento en materia de Ciberseguridad y Privacidad, concretamente en el área de Seguridad del Dato y ha podido colaborar en diferentes proyectos de asesoría en clientes de ámbito internacional en esta materia. Estudió Derecho y Ciencias Políticas y posteriormente un Máster en IP, PI e IT (ambos en la UAM). Asimismo, cuenta con la certificación de Auditor en la norma ISO 27001, con la certificación de ...

Ángela Manceñido

Consultora Senior de Technology Risk de KPMG en España. Ángela se unió a KPMG en el año 2017 y cuenta con 5 años de experiencia profesional en Consultoría de Privacidad, Ciberseguridad y otras normativas tecnológicas. Durante los años de su carrera profesional, además de especializarse en protección de datos y nuevas tecnologías a través de un máster, ha estado involucrada en proyectos tanto para el sector público como el sector privado donde ha podido consolidar su experiencia en privacidad asesorando a entidades de los sectores principalmente Bancario, Retail y Healthcare. Adicionalmente cuenta con certificaciones de Implementador de la norma ISO 27001 y One Trust.
Accede a contenido exclusivo. o regístrate
Cerrar menú