Miguel Ortego Ruiz

El Reglamento UE 2022/868 aborda la gobernanza de datos en el ámbito de la Unión Europea («UE») que básicamente consiste en establecer cómo se regulan los medios y procesos que permiten compartir datos de forma segura en el ámbito de la UE.

Desde el punto de vista material, el Reglamento tiene por objeto regular cuatro cuestiones fundamentales, a saber: (i) las condiciones para la reutilización, dentro de la Unión, de determinadas categorías de datos que obren en poder de organismos del sector público; (ii) un marco de notificación y supervisión para la prestación de servicios de intermediación de datos; (iii) un marco para la inscripción voluntaria en un registro de las entidades que recojan y traten datos cedidos con fines altruistas, y (iv) un marco para la creación de un Comité Europeo de Innovación en materia de Datos.

En cuanto a la reutilización de datos en poder del sector público (arts. 3-9) se crea un mecanismo que permite la reutilización de determinadas categorías de datos del sector público que están sujetos a derechos de terceros. De esta forma, se consigue que datos generados o recopilados por organismos del sector público u otras entidades, a expensas de los presupuestos públicos, beneficien a la sociedad.

Se trata de datos que no están disponibles, ni siquiera para actividades de investigación o innovación de interés público, a pesar de que ello sería posible de conformidad con el RGPD. En concreto son los datos protegidos por diferentes motivos (i) la confidencialidad comercial, incluidos los secretos comerciales, profesionales y empresariales;- la confidencialidad estadística; (ii) los derechos de propiedad intelectual de terceros; o (iii) la protección de los datos personales, en la medida en que los mismos quedan fuera del ámbito de aplicación de la Directiva (UE) 2019/1024 («Directiva sobre datos abiertos»).

En ningún caso se impone a los organismos del sector público la obligación de permitir la reutilización de los datos, sino que es cada Estado miembro el que puede decidir sobre la accesibilidad de los mismos. Ahora bien, los que lo hagan tendrán que disponer de unos equipos técnicamente adecuados que garanticen el pleno respeto de la privacidad y la confidencialidad. Si se suscriben acuerdos de exclusividad para la reutilización, cuando esté justificado y sea necesario para la prestación de un servicio de interés general, los mismos quedarán sujetos a un plazo de duración máxima de 2 años y medio para los contratos en vigor, y de 12 meses para los nuevos contratos.

Ahora bien, la reutilización no siempre es posible. Con independencia la categoría de datos de que se trate, no es posible la reutilización cuando los mismos estén en poder de: (i) empresas públicas; (ii) los organismos de radiodifusión de servicio público y sus filiales, y otros organismos o sus filiales para el cumplimiento de una misión de radiodifusión de servicio público; (iii) establecimientos culturales y establecimientos educativos; o- organismos del sector público que estén protegidos por razones de seguridad pública, defensa o seguridad nacional. Tampoco cabe la reutilización de estos datos cuando su suministro sea una actividad que quede fuera del ámbito de la función pública de los organismos del sector público de que se trate.

Respecto de la intermediación de datos (arts. 10 a 15), se trata de un nuevo modelo empresarial cuya finalidad es ofrecer un entorno seguro en el que las empresas y los particulares puedan compartir sus datos, de forma que no se haga un uso indebido de los mismos. Ello puede configurarse mediante plataformas digitales que apoyarán el intercambio voluntario de datos entre empresas. En el caso de los datos personales, el servicio se deben prestar permitiendo y ayudando ejercer a los interesados sus derechos en virtud del RGPD, de manera que estos mantengan el pleno control de sus datos. Los proveedores de servicios de intermediación de datos tendrán que estar inscritos en un registro, que aporte mayor confianza a sus clientes, y no estarán autorizados a usar los datos con otros fines. Asimismo, si bien no pueden beneficiarse de los datos mediante su venta, sí pueden cobrar por las transacciones que lleven a cabo.

Se crea un procedimiento para la cesión altruista de datos (arts. 16 a 25) de tal forma que los particulares y las empresas puedan ceder voluntariamente y en base al interés general (v. gr. un proyecto de investigación científica) datos. Las entidades que traten estos datos pueden solicitar inscribirse en un registro nacional de organizaciones reconocidas de gestión de datos con fines altruistas y van a ser reconocidas en toda la Unión Europea. Para ello tendrá que cumplir un código normativo específico. Los Estados miembros pueden establecer políticas que faciliten la cesión altruista de datos y, en tal caso, han de notificar a la Comisión.

Por último, nace el Comité Europeo de Innovación en materia de Datos que la Comisión deberá implementar y que adoptará la forma de un grupo de expertos integrado por representantes de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de todos los Estados miembros, el Comité Europeo de Protección de Datos, el Supervisor Europeo de Protección de Datos, ENISA, la Comisión, el representante de la UE para las pymes o un representante designado por la red de representantes nacionales para las pymes y otros representantes de los organismos pertinentes de sectores específicos, así como organismos con conocimientos especializados. A la hora de nombrar expertos individuales, la Comisión procurará lograr un equilibrio geográfico y de género en la composición del grupo de expertos.

Con un amplio catálogo de funciones, la principal es asesorar a la Comisión para mejorar la interoperabilidad de los servicios de intermediación de datos, impartiendo directrices para facilitar el desarrollo de espacios de datos.

Imagen: El Pais.