UE | El Consejo aprueba la Data Governance Act, dentro de la Estrategia europea de datos

Tras la aprobación del Parlamento Europeo, el Consejo ha aprobado el texto de la Data Governance Act, destinado a facilitar la intermediación de datos
UE | El Consejo aprueba la Data Governance Act, dentro de la Estrategia europea de datos
20 de mayo de 2022

El 16 de mayo de 2022, el Consejo de la Unión Europea aprobó la Data Governance Act ("DGA") como resultado del acuerdo político alcanzado entre la Comisión Europea, el Parlamento Europeo y el Consejo, tras la propuesta de la Comisión Europea en noviembre de 2020.

La aprobación de la DGA sucede pocas semanas después de la publicación de la propuesta de la Comisión de la Ley de Datos, o Data Act, sobre la que os informamos también en este blog. Ambos textos se configuran como las regulaciones clave en el marco de la Estrategia Europea de Datos.  

La DGA se centra en establecer mecanismos robustos para facilitar la reutilización de determinadas categorías de datos protegidos dentro del sector público, mediante la puesta en marcha de un nuevo modelo basado en los principios de transparencia y confianza, por medio del cual se pretende fomentar (i) la circulación, el intercambio y la disponibilidad de los datos para la reutilización de determinadas categorías de datos protegidos del sector público; (ii) la confianza en los servicios de intermediación de datos; y (ii) la cesión altruista de datos en toda la Unión Europea (“UE”).

En relación precisamente con la reutilización de datos del sector público, la DGA complementa la Directiva (UE) 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público, de 20 de junio de 2019 (en conocida en inglés como “Open Data Directive”). La mayor diferencia entre la DGA y la Open Data Directive es precisamente el fomento de la reutilización de aquellos datos sujetos a derechos de terceros (como, por ejemplo, secretos comerciales, datos personales o datos afectados por derechos de propiedad intelectual), que estaba excluida de la Open Data Directive y que constituye ahora el centro de la DGA.

Ahora bien, ¿en qué puntos incide esta nueva Regulación? Como hemos resaltado en otras entradas de blog durante su proceso de aprobación, la DGA regula:

1. La cesión de determinadas categorías de datos protegidos en posesión de organismos del sector público para su reutilización.

La DGA, en este punto, pretende ser un mecanismo que permita la reutilización de determinadas categorías de datos que poseen los organismos del sector público y que están sujetos a derechos de terceros (como, por ejemplo, secretos empresariales, información confidencial interna, estadísticas confidenciales, datos protegidos por derechos de propiedad intelectual o datos personales), sujeto a ciertas condiciones especiales que deben cumplirse:

(i) Las autoridades públicas, competentes para permitir o denegar reutilización los datos, deben hacer públicas las condiciones para permitir dicha reutilización, que deben ser trasparentes, no discriminatorias, proporcionadas y objetivas.

(ii) Estas autoridades están obligadas a preservar la naturaleza de los datos que van a ser reutilizados y para ello se establecen ciertos requisitos, como (a) anonimización de cualquier dato personal y la modificación, agregación o cualquier otro tratamiento necesario de aquellos datos que contengan información comercial confidencial (como secretos empresariales o derechos de propiedad intelectual); y (b) proporcionar un entorno de tratamiento seguro y controlado por el mismo organismo público, para su acceso tanto a distancia como físicamente.

(iii) Los acuerdos exclusivos para la reutilización de los datos del sector público solo serán posibles cuando estén justificados y sean necesarios para la prestación de un servicio o un producto en vistas al interés general y no sea posible de otra manera, por el plazo máximo de 30 meses para contratos ya existentes y de 12 meses para contratos nuevos (inicialmente se preveía un plazo máximo de 3 años para cualquier contrato).

(iv) Asimismo, la Comisión creará un punto de acceso único con un registro electrónico de los datos del sector público.

2. Creación de proveedores de servicios de intermediación de datos.

La DGA crea un marco para fomentar un nuevo modelo de negocio: los servicios de intermediación de datos. Se busca establecer un entorno seguro en que empresas y particulares puedan compartir datos, para ofrecer un servicio entre los titulares de esos datos y entidades que quieran usarlos (públicas o privadas) garantizando su seguridad, disponibilidad, integridad y usabilidad.

La normativa prevé las condiciones necesarias para la provisión de servicios de intermediación de datos:

(i) Notificación previa para su registro.

(ii) No utilización de los datos por los servicios de intermediación para fines distintos de su puesta a disposición de los usuarios de datos.

(iii) Presentar un estatus neutral, debiendo distinguir la actividad de intercambio de datos de cualquier otra operación comercial que realicen, no pudiendo utilizar los datos para fines personales o comerciales.

3. Altruismo de datos

La DGA también facilita la puesta de datos a disposición del bien común, de forma voluntaria y altruista, con base en un formulario europeo, para permitir el uso de sus datos, sin solicitar contraprestación a cambio (más allá de los costes incurridos en poner sus datos a disposición del interés general), para el avance en temas relacionados como la lucha contra el cambio climático, la asistencia sanitaria, la producción y difusión de estadísticas oficiales, la mejora de los servicios públicos, investigación científica, etc.

4. European Data Innovation Board

La normativa prevé la creación de un grupo de expertos forma, el Consejo Europeo de Innovación de Datos, para asesorar y asistir a la Comisión (i) en la mejora de la interoperabilidad de los servicios de intermediación de datos, (ii) en el desarrollo una práctica coherente de altruismo de datos para toda la UE, y (iii) en el desarrollo de directrices coherentes para el establecimiento de requisitos de ciberseguridad en el intercambio y almacenamiento de datos, entre otras tareas.

5. Acceso y transferencia internacional de datos no personales

La DGA establece medidas de salvaguardia para luchar contra las transferencias internacionales de datos ilícitas para los datos del sector público, los servicios de intermediación de datos y las organizaciones de altruismo de datos.

Estas medidas siguen la regulación ofrecida para los datos personales en la normativa de protección de datos el RGPD, mediante la potencial adopción de decisiones de adecuación para aquellos países de fuera de la UE que ofrecen garantías adecuadas para el uso de los datos, o, en su ausencia, el establecimiento de cláusulas contractuales tipo.

La DGA será aplicable 15 meses después de su entrada en vigor, que tendrá lugar veinte días después de su publicación en el Diario Oficial de la UE.

Los siguientes meses serán, por tanto, relevantes, a la hora de analizar cuál será el impacto global que este nuevo cuerpo normativo puede generar, quiénes se convertirán en estos proveedores de servicios de intermediación de datos o qué alcance tendrán estas cesiones y reutilizaciones de datos protegidos. Veremos si puede llegar, al igual que lo es el RGPD, a convertirse en el nuevo estándar global para la cesión y reutilización de datos en un escenario en el que el big data es el motor de la innovación. 

20 de mayo de 2022