Nuevo reglamento europeo sobre la gobernanza de datos

El nuevo reglamento europeo sobre gobernanza de datos, que entra en vigor el 23 de junio de 2022, introduce una significativa modificación consistente en la reutilización de algunas categorías de datos custodiados por organismos públicos. No cabe duda de que este cambio normativo sobre el gobierno de datos podría generar confusión a los usuarios sobre la seguridad de sus datos. Vamos a abordar esta cuestión para despejar todas aquellas dudas que puedan surgir sobre esta nueva política de gobernanza de datos.

¿En qué consiste el reglamento europeo sobre gobernanza de datos?

Como sabemos, el uso ilegítimo de los datos personales constituye un delito contra el honor, la intimidad y la propia imagen según el Código Penal. Tanto la justicia europea como la española están pronunciándose reiteradamente en favor de los derechos de los ciudadanos, quienes pueden ser especialmente vulnerables a la difusión no autorizada de datos sensibles.

A este respecto, el Reglamento (UE) 2022/868, de aplicación obligatoria a partir del 24 de septiembre de 2023, permitirá que se reutilicen bajo ciertas condiciones algunas categorías de datos en poder de organismos públicos. El objetivo de esta normativa es crear un marco en el que la transferencia de estos datos pueda seguir su curso sin entrar en conflicto con ninguna ley aplicable sobre protección de datos personales, ya que, en este caso, prevalecería el criterio que mayor protección otorgase a los datos personales.

El texto no obliga a los organismos públicos a permitir la reutilización de estos datos. Tampoco les exime de las obligaciones adquiridas inherentes a su custodia y correcta utilización. Y, en cualquier caso, solo se podrán reutilizar los datos por un periodo máximo de 12 meses.

¿A qué información afecta el reglamento europeo sobre gobernanza de datos?

La mencionada reutilización de datos se aplica a los datos en poder de organismos públicos que se encuentren protegidos por cuestiones de confidencialidad, siendo dicha confidencialidad de índole comercial, profesional, empresarial o estadística, o bien de aquellos datos que estén protegidos por las leyes de propiedad intelectual.

Sin embargo, no se aplica a los datos custodiados por:

• Empresas u organismos públicos de radiodifusión.
• Centros culturales y de enseñanza.
• Organismos protegidos por motivos de defensa y seguridad nacional o pública.

Los puntos únicos de información

Todo organismo con derecho a conceder o denegar la reutilización de los datos que obren en su poder deberá publicar las condiciones en las que tal reutilización sea permitida, así como el procedimiento para solicitarla a través de un punto único de información.

Por este motivo, la normativa prohíbe la celebración de acuerdos de reutilización que den lugar a la concesión de derechos exclusivos, o que tengan como propósito restringir la disponibilidad de los datos para que otros los reutilicen. Sí podrán darse en casos en los que tal reutilización sea imprescindible para la prestación de un servicio o suministro de productos de interés general.

Requisitos para la reutilización de los datos

Los organismos estarán facultados para establecer una serie de requisitos para proteger los datos reutilizados, como que el acceso solo sea concedido cuando:

• Se garantice el anonimato de los datos personales.
• Se hayan modificado, agregado o tratado los datos comerciales de carácter confidencial por medios de control de la divulgación.
• Se garantice un entorno de tratamiento seguro, facilitado o controlado por el propio organismo público responsable de la reutilización.

Dichos organismos también podrán cobrar tasas a cambio de reutilizar dicha información: unas tasas proporcionadas, no discriminatorias y transparentes, que no podrán restringir la competencia y que deberán estar justificadas objetivamente.

Los servicios de intermediación de datos

La normativa prevé la existencia de figuras intermediarias en la reutilización de los datos que podrán mediar entre los titulares y los usuarios potenciales. Su labor consistirá en facilitar medios para el intercambio bilateral o multilateral de información. Asimismo, deberán presentar una notificación a la autoridad competente cuando tengan intención de prestar estos servicios.

También se prevé la creación de cooperativas de datos. Unas estructuras organizativas formadas por interesados o empresas cuyo objetivo sea prestar asistencia a sus miembros para que ejerzan sus derechos con respecto a determinados datos y negocien en nombre de sus miembros el tratamiento de sus datos.

Los proveedores no podrán utilizar los datos para otro fin que no sea ponerlos a disposición de los usuarios. Asimismo, se comprometerán a aplicar las medidas necesarias para impedir el acceso ilícito a los datos personales.

Cesión altruistas de los datos

Se contempla que cada Estado miembro pueda elaborar sus propias políticas de cara a ayudar a quienes deseen ceder voluntaria y altruistamente datos que les conciernen y que obren en poder de organismos públicos. Cada autoridad competente deberá llevar y actualizar un registro público nacional de organizaciones reconocidas y facultadas para esta gestión.

También quedan regulados los requisitos y procedimientos de inscripción, transparencia y protección de derechos de los interesados y los titulares de sus datos. Se prevé que la Comisión Europea elabore próximamente un formulario europeo normalizado de consentimiento para la cesión altruista de datos.

Adicionalmente, la Comisión creará el Comité Europeo de Innovación en materia de Datos. Estará formado por un grupo de expertos en materia de servicios de intermediación de datos y autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas.

Sanciones aplicables

Todas las figuras que intervengan en el proceso de reutilización de datos deberán disponer de medidas técnicas, jurídicas y organizativas. Estas medidas se aplican para con el fin de proteger dichos datos de posibles transferencias o fugas no autorizadas. Del mismo modo sirve para actuar en caso de que la reutilización entre en conflicto con alguna ley europea o nacional.

Cada Estado miembro definirá un régimen sancionador para cualesquiera de las infracciones en las que se pueda incurrir fruto de una reutilización irregular de datos. Todas las sanciones deben ser efectivas, disuasorias y proporcionales a la gravedad de la infracción cometida.

La nueva normativa europea sobre gobernanza de datos abre la puerta a la cesión de datos personales en poder de organismos públicos. Si crees que has podido ser víctima de un tratamiento inapropiado de tus datos, con mi experiencia puedo ayudarte a esclarecer los hechos y a respaldar tu versión ante la justicia.