- 8 junio, 2022
- Posted by: galloburon
- Categoría: Uncategorized
La norma abre la puerta a la reutilización de determinadas categorías de datos que obren en poder de organismos públicos
El Diario Oficial de la Unión Europea publicó el pasado 3 de junio el Reglamento (UE) 2022/868 de 30 de mayo de 2022 relativo a la gobernanza europea de datos (RGD) y por el que se modifica el Reglamento (UE) 2018/1724. Entrará en vigor el 23 de junio de 2022, a los veinte días de su publicación en el Diario Oficial de la Unión Europea, y será aplicable a partir del 24 de septiembre de 2023.
El texto permite bajo ciertas condiciones la reutilización de determinadas categorías de datos que obren en poder de organismos públicos y establece un marco de notificación y supervisión para la prestación de servicios de intermediación de datos y para la inscripción voluntaria en un registro de las entidades que recojan y traten datos cedidos con fines altruistas.
Ámbito de aplicación
El Reglamento no obliga a los organismos del sector público a permitir la reutilización de datos ni los exime de sus obligaciones en materia de confidencialidad que les imponga el Derecho de la Unión o el nacional, y se entenderá sin perjuicio de las disposiciones específicas en lo referente al acceso a determinadas categorías de datos o a su reutilización, en particular, con respecto a la concesión de acceso a documentos oficiales y su divulgación, ni de las obligaciones de los organismos del sector público de permitir la reutilización de datos, ni de los requisitos relacionados con el tratamiento de datos no personales.
Por otro lado, la norma dispone que en caso de conflicto entre ella misma y el Derecho en materia de protección de datos personales, tanto de la Unión como nacional, prevalecerá el aplicable en materia de protección de datos personales. El nuevo Reglamento no crea una base jurídica para el tratamiento de datos personales y se entenderá sin perjuicio de la aplicación del Derecho de la competencia y de las competencias de los Estados miembros respecto a las actividades relativas a la seguridad pública, la defensa y la seguridad nacional.
Reutilización de datos protegidos en poder de organismos públicos
La reutilización de datos prevista en la norma se aplicará a aquellos que obren en poder de organismos del sector público que estén protegidos por motivos de confidencialidad comercial, incluidos los secretos comerciales, profesionales o empresariales; confidencialidad estadística; protección de los derechos de propiedad intelectual de terceros, o protección de los datos personales, en la medida en que tales datos queden excluidos del ámbito de aplicación de la Directiva (UE) 2019/1024.
No se aplicará, por el contrario, a los datos que obren en poder de empresas públicas; los que obren en poder de organismos públicos de radiodifusión o de otros organismos para el cumplimiento de una misión de servicio público de radiodifusión; los que obren en poder de centros culturales y de enseñanza; los que obren en poder de organismos del sector público que estén protegidos por motivos de seguridad pública, defensa o seguridad nacional, o los datos cuya facilitación constituya una actividad ajena al ámbito de la misión de servicio público de los organismos del sector público de que se trate.
El Reglamento dispone que los organismos del sector público competentes para conceder o denegar acceso para la reutilización de datos publicarán las condiciones en las que se permite tal reutilización y el procedimiento para solicitarla por medio del punto único de información. Las condiciones de la reutilización no podrán ser discriminatorias, deberán ser transparentes y proporcionadas, y estar justificadas objetivamente respecto de las categorías de datos, los fines de la reutilización y la naturaleza de los datos. Dichas condiciones no podrán utilizarse para restringir la competencia.
El texto prohíbe los acuerdos de reutilización por los que se concedan derechos exclusivos o cuyo objetivo o efecto sea restringir la disponibilidad de los datos para su reutilización por otros, salvo que en la medida en que así lo exija la prestación de un servicio o el suministro de un producto de interés general que, de otro modo, no sería posible. El tiempo máximo de duración de un derecho exclusivo a reutilizar los datos será de doce meses.
Los organismos del sector público podrán establecer, entre otros requisitos, que se conceda acceso para la reutilización de los datos únicamente cuando se garantice que los datos se han anonimizado, en el caso de los datos personales, y modificado, agregado o tratado por cualquier otro método de control de la divulgación, en el caso de la información comercial de carácter confidencial, y que el acceso y reutilización se lleven a cabo en un entorno de tratamiento seguro, facilitado o controlado por el organismo público.
Los organismos públicos que permitan la reutilización de datos podrán cobrar tasas por permitir dicha reutilización. Estas tasas deberán ser transparentes, no discriminatorias y proporcionadas, estarán justificadas objetivamente y no podrán restringir la competencia.
Servicios de intermediación de datos
Prevé el Reglamento determinados servicios de intermediación de datos, a saber:
a) servicios de intermediación entre los titulares de datos y los potenciales usuarios de datos, incluida la facilitación de los medios técnicos o de otro tipo para habilitar dichos servicios; estos servicios podrán comprender el intercambio bilateral o multilateral de datos o la creación de plataformas o bases de datos u otra infraestructura para la interconexión
b) servicios de intermediación entre los interesados que deseen facilitar sus datos personales o las personas físicas que deseen facilitar datos no personales y los potenciales usuarios de datos
c) servicios de cooperativas de datos, que el Reglamento define como los servicios de intermediación de datos ofrecidos por una estructura organizativa constituida por interesados, empresas unipersonales o pymes, cuyos objetivos principales sean prestar asistencia a sus miembros en el ejercicio de los derechos de estos con respecto a determinados datos, y negociar las condiciones contractuales para el tratamiento de datos en nombre de sus miembros antes de conceder permiso para el tratamiento de datos no personales o antes de dar su consentimiento para el tratamiento de datos personales
Todo proveedor de servicios de intermediación que tenga intención de prestar estos servicios de intermediación de datos presentará una notificación a la autoridad competente. Cada Estado miembro designará a una o varias autoridades competentes para desempeñar las funciones relacionadas con este procedimiento de notificación.
El Reglamento sujeta la prestación de servicios de intermediación de datos a determinadas condiciones, entre ellas, que los proveedores del servicio no podrán utilizar los datos para fines diferentes de su puesta a disposición de los usuarios de datos y prestarán los servicios de intermediación de datos a través de una persona jurídica distinta, y que los proveedores aplicarán las medidas adecuadas para impedir el acceso a datos no personales o su transferencia cuando dicho acceso o transferencia sean ilícitos y para garantizar un nivel de seguridad adecuado en relación con el almacenamiento, el tratamiento y la transmisión de los datos.
Cesión altruista de datos
Contempla asimismo el Reglamento la cesión altruista de datos. Así, dispone que los Estados podrán elaborar políticas nacionales para ayudar a los interesados a la hora de ceder voluntariamente, con fines altruistas, datos personales que les conciernan y que obren en poder de organismos del sector público, y establecer la información necesaria que deba facilitarse a los interesados en relación con la reutilización de sus datos con fines de interés general.
Cada autoridad competente llevará y actualizará periódicamente un registro público nacional de organizaciones reconocidas de gestión de datos con fines altruistas.
El texto regula también los registros públicos de organizaciones reconocidas de gestión de datos con fines altruistas, los requisitos y procedimiento de inscripción y los requisitos de transparencia que deben cumplir las organizaciones reconocidas de gestión de datos con fines altruistas, así como los requisitos específicos para proteger los derechos e intereses de los interesados y de los titulares de datos en lo que respecta a sus datos.
La Comisión completará el nuevo Reglamento con un código normativo en el que se establecerán, entre otros, los requisitos de información para garantizar que se proporciona a los interesados y a los titulares de datos información suficientemente detallada, clara y transparente sobre la utilización de los datos, las herramientas para la concesión y revocación del consentimiento o del permiso, y las medidas adoptadas para evitar el uso indebido de los datos compartidos con la organización de gestión de datos con fines altruistas.
Asimismo, la Comisión elaborará un formulario europeo de consentimiento para la cesión de datos con fines altruistas.
Comité Europeo de Innovación en materia de Datos
Según dispone el Reglamento, la Comisión creará también un Comité Europeo de Innovación en materia de Datos, que adoptará la forma de un grupo de expertos integrado por representantes de las autoridades competentes en materia de servicios de intermediación de datos y las autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas de todos los Estados miembros, el Comité Europeo de Protección de Datos, el Supervisor Europeo de Protección de Datos, ENISA, la Comisión, el representante de la UE para las pym es o un representante designado por la red de representantes nacionales para las pymes y otros representantes de los organismos pertinentes de sectores específicos, así como organismos con conocimientos especializados.
Acceso y transferencia internacionales y régimen sancionador
Finalmente el texto establece que el organismo público, la persona física o jurídica a la que se haya concedido el derecho a reutilizar datos, el proveedor de servicios de intermediación de datos o la organización reconocida de gestión de datos con fines altruistas tomará todas las medidas técnicas, jurídicas y organizativas razonables, incluidas disposiciones contractuales, para impedir la transferencia internacional de datos no personales que se hallen en la Unión, o el acceso a tales datos por parte de las administraciones públicas, cuando la transferencia o el acceso entren en conflicto con el Derecho de la Unión o con el Derecho nacional del Estado miembro de que se trate.
Por otro lado, los Estados miembros establecerán el régimen de sanciones aplicables a cualquier infracción de las obligaciones relativas a las transferencias de datos no personales a terceros países, la obligación de notificación que incumbe a los proveedores de servicios de intermediación de datos, las condiciones para prestar servicios de intermediación de datos y las condiciones para la inscripción en el registro como organización reconocida de gestión de datos con fines altruistas, y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones habrán de ser efectivas, proporcionadas y disuasorias.
Entrada en vigor y aplicación
El Reglamento (UE) 2022/868 de 30 de mayo de 2022, entrará en vigor el 23 de junio de 2022, a los veinte días de su publicación en el Diario Oficial de la Unión Europea, y será aplicable a partir del 24 de septiembre de 2023.