Carlos B Fernández. La gobernanza de los datos, como elemento esencial de la política digital de la Unión Europea, son una de las máximas preocupaciones de los organismos responsables de esta materia.
En este sentido, el proyecto de Reglamento conocido como Data Governance Acta (DGA), ya ha sido objeto de una decisión conjunta del Comité y el Supervisor Europeos, de clara contenido crítico con alguno de sus aspectos.
Por eso, llama la atención que la última sesión plenaria del Comité Europeo de Protección de Datos haya aprobado una declaración, sobre el mismo tema. La Statement 05/2021, adoptada el pasado día 19 de mayo de 2021, es una muestra más de la preocupación por que la gobernanza del dato esté armonizada con el resto del acervo legislativo comunitario y, en particular, con el RGPD, evitando así que la DGA cree un conjunto de normas paralelas, no coherentes con el RGPD, así como con el resto de la legislación de la Unión, lo que daría lugar a salvaguardias insuficientes para los personas afectadas y dificultades en la aplicación práctica.
Recordemos que esta iniciativa legislativa, en palabras del Comité, “contiene disposiciones relativas al tratamiento de datos, incluidos datos personales, en el contexto de la reutilización de los datos en poder de los organismos del sector público, de los "servicios de intercambio de datos" (que incluirían también a los llamados corredores de datos), y en el contexto del tratamiento de datos (incluidos los datos personales relativos a la salud) por parte de las organizaciones de "altruismo de datos".”
Por ello el Comité considera que la DGA “tendrá graves repercusiones en los derechos y libertades de las personas y de la sociedad civil en su conjunto en toda la UE”, pues “en la mayoría de los casos, el tratamiento de datos personales sería efectivamente la actividad principal de las entidades mencionadas y, por tanto, sobre los derechos fundamentales a la intimidad y a la protección de los datos personales, consagrados en los artículos 7 (LA LEY 12415/2007) y 8 de la Carta de los Derechos Fundamentales de la Unión Europea (LA LEY 12415/2007) (la Carta), y en el artículo 16 del Tratado de Funcionamiento de la Unión Europea (LA LEY 6/1957) (TFUE)”.
Y dado, se continúa, que estos derechos son una expresión primordial de los valores de la Unión Europea, “sin unas garantías sólidas de protección de datos, se corre el riesgo de que no sea sostenible una economía digital de confianza”.
En otras palabras, añade el Comité, la reutilización, la puesta en común y la disponibilidad de los datos pueden generar beneficios, pero también diversos tipos de riesgo de daños para las personas afectadas y la sociedad en su conjunto, lo que repercute en los individuos desde una perspectiva económica, política y social.
Para hacer frente a estos riesgos y mitigarlos, y para fomentar la confianza de los individuos, deben aplicarse los principios de protección de datos y las salvaguardias desde el diseño inicial del tratamiento de datos, especialmente cuando éste se refiere a datos personales que no se han obtenido directamente de la persona física/individual afectada. Además, la DGA debe ser coherente no solo con el RGPD, sino también con otras leyes nacionales y de la Unión, en particular la Directiva sobre datos abiertos respondiendo así al principio general del Estado de Derecho, y proporcionar seguridad jurídica a las administraciones públicas, las personas personas jurídicas y particulares afectados.
Garantizar la coherencia entre la DGA y el acervo de protección de datos de la UE
Sin embargo, como se subraya en el dictamen conjunto, la DGA conlleva varias incoherencias significativas con el RGPD, a pesar de la declaración en el considerando de que es "sin perjuicio" del RGPD.
El EDPB observa que estas incoherencias no se han abordado hasta ahora en el proyecto de informe de la ITRE de 26 de marzo de 2021.
Para abordar estas incoherencias, el Comité "insta a los colegisladores a que consideren cuidadosamente":
- En primer lugar, la "interacción" entre la DGA y el RGPD debe aclararse en el artículo 1 de la DGA, considerando el RGPD como un reglamento que proporciona los "bloques de construcción" para cualquier marco jurídico sólido y de confianza.
- En segundo lugar, las definiciones y la terminología utilizadas en la DGA deben integrarse y modificarse para adaptarlas al RGPD.
- En tercer lugar, la DGA debe aclarar sin ninguna ambigüedad que el tratamiento de los datos personales debe basarse siempre en una base jurídica adecuada, de conformidad con el artículo 6 del RGPD (LA LEY 6637/2016), y también en una excepción específica en virtud del artículo 9 en caso de tratamiento de categorías especiales de datos personales.
- En cuarto lugar, como condición previa para un marco jurídico claro, las disposiciones de la DGA deben especificar si se refieren a datos no personales, a datos personales o a ambos, y también especificar que en caso de "conjuntos de datos mixtos" se aplica el RGPD.
- En quinto lugar, el requisito constitucional (en virtud del artículo 16, apartado 2, del TFUE (LA LEY 6/1957)), según el cual las Autoridades de Supervisión independientes establecidas en virtud del RGPD (las Autoridades de Protección de Datos) son "las" autoridades designadas competentes para la protección de los datos personales y para facilitar la libre circulación de los datos personales, debería reflejarse en la DGA.
Esto significa que las Autoridades de Protección de Datos deben ser las principales autoridades competentes en el contexto de la DGA y en la medida en que se trate de datos personales, teniendo en cuenta los organismos del sector público, los reutilizadores, los proveedores de servicios de intercambio de datos, los usuarios de datos, las organizaciones de altruismo de datos que procesan datos personales, así como para el desarrollo de directrices sobre tecnologías de mejora de la privacidad (PET) o sobre Sistemas de Gestión de Información Personal (PIMS). de información personal (PIMS) para fomentar la innovación responsable en materia de datos.
En este sentido, el Comité pide además a los colegisladores que garanticen que su recomendación general en en relación con las autoridades competentes designadas y la gobernanza a nivel de la Unión se refleje en el desarrollo de sus respectivas posiciones sobre la propuesta de la Comisión y, por tanto, se incluya explícitamente en el texto legal de la DGA.
Asismismo el Comité pide a los colegisladores que se aseguren de que su recomendación general en relación con las autoridades competentes designadas y la gobernanza a nivel de la Unión se refleje en el desarrollo de sus respectivas posiciones sobre la propuesta de la Comisión y, por tanto, se incluya explícitamente en el texto legal de la DGA.
Definiciones establecidas en la DGA
El Dictamen conjunto señala que las definiciones previstas en el RGPD deben aplicarse y no deben ser modificadas o eliminadas implícitamente por la DGA, ya que ello desdibujaría las definiciones de ambos marcos jurídicos, creando así inseguridad jurídica. Además, las nuevas definiciones introducidas en la DGA, en la medida en que se refieren al tratamiento de datos personales, no deberían contener, de hecho, "normas" incompatibles con el RGPD. Este es, en efecto, un punto crucial, sobre el que la OEPD desea llamar la atención de los colegisladores.
Por un lado, la DGA debería contener las definiciones de "datos personales", "sujeto de los datos", "consentimiento" y "tratamiento" refiriéndose a las definiciones del RGPD; por otro lado, las definiciones de la DGA de "metadatos", "titular de los datos", "usuario de los datos", "intercambio de datos", "altruismo de los datos" deberían modificarse para evitar incoherencias e inseguridad jurídica, y para estar en consonancia con la "naturaleza de los derechos en juego", a saber, el carácter personal del derecho a la protección de los datos personales como derecho relativo a cada persona, y como derecho inalienable, al que "no se puede renunciar", ni hacer objeto de derechos de propiedad.
A este respecto, el EDPB lamenta la referencia al "intercambio, puesta en común o comercio de datos" añadida en el texto transaccional del Consejo con respecto a la definición de "proveedor de servicios de intercambio de datos", ya que, en lo que respecta a los datos personales, sugiere la idea de legitimar su comercio y es, por tanto, incoherente con el carácter personal del derecho a la protección de los datos personales.
En este sentido, el Comité reitera que los datos personales no pueden considerarse una "mercancía comercializable". Una consecuencia importante de esto es que, aunque el interesado pueda aceptar el tratamiento de sus datos personales, no puede renunciar a sus derechos fundamentales.
Como consecuencia adicional, el responsable del tratamiento al que el interesado ha dado su consentimiento para el tratamiento de sus datos personales no tiene derecho a "intercambiar" o "comerciar" con los datos personales (como una denominada "mercancía") de forma que resulte incompatible con todos los principios y normas de protección de datos aplicables.
En lo que respecta a los datos personales, prevalece la ley de protección de datos (sobre las normas en conflicto). Sin embargo, es esencial evitar cualquier norma o interpretación conflictiva en todo el texto del reglamento, también para mejorar la rápida legibilidad del texto legal.
En este sentido, debería introducirse una definición del término "permiso" (por parte de las personas jurídicas a la reutilización de los datos) para aclarar sin ninguna ambigüedad a qué (tipo de datos) se refiere exactamente. Como se indica en el dictamen conjunto, consideramos que el término debería referirse únicamente a los datos no personales, en aras de la claridad.
Aspectos relacionadas con los capítulos concretos de la DGA
El EDPB también tiene importantes preocupaciones en relación con los capítulos "sectoriales" de la DGA, los números II, III y IV, por lo que subraya:
- En cuanto al Capítulo II de la DGA, que el Dictamen Conjunto recomienda incluir en la parte sustantiva de la DGA la especificación del considerando 7, a saber, que "[...] los datos personales quedan fuera del ámbito de aplicación de la Directiva (UE) 2019/1024 (LA LEY 11090/2019) [nota nuestra: y entran en el ámbito de aplicación de la DGA] en la medida en que el régimen de acceso excluya o restrinja el acceso a dichos datos por razones de privacidad e integridad de la persona, en particular de conformidad con las normas de protección de datos".
Esto significa que la DGA se aplicaría, en particular, al ámbito de aplicación de la Directiva sobre datos abiertos de conformidad con el artículo 1, apartado 2, letra h).
Por otra parte, dada la sensibilidad de los datos personales que están en juego, para garantizar que el nivel de protección de los datos personales en la UE no disminuya, así como para la seguridad jurídica, el dictamen conjunto recomienda alinear el capítulo II de la propuesta con las normas existentes sobre la protección de los datos personales establecidas en el RGPD y con la Directiva sobre datos abiertos. Como alternativa, el dictamen conjunto invita a los colegisladores a considerar la posibilidad de excluir los datos personales del ámbito de aplicación de este capítulo.
Además, debido al hecho de que el consentimiento del interesado podría no considerarse libremente otorgado debido al desequilibrio de poder que a menudo existe en la relación entre el interesado y las autoridades públicas, el dictamen conjunto expresa su preocupación por el artículo 5, apartado 6, de la DGA y, en términos más generales, invita a los colegisladores a definir claramente en la propuesta modelos adecuados de "participación ciudadana", mediante los cuales las personas puedan participar, de forma abierta y colaborativa, en el proceso de definición de los escenarios que permiten la reutilización de sus datos personales, siguiendo un enfoque ascendente de los proyectos de datos abiertos.
El dictamen conjunto también recomienda modificar la DGA para aclarar que la reutilización de los datos personales en poder de los organismos del sector público solo puede permitirse si se basa en el Derecho de la Unión o de los Estados miembros, que establece una lista de fines compatibles claros para los que puede autorizarse legalmente el tratamiento posterior o constituye una medida necesaria y proporcionada en una sociedad democrática para salvaguardar los objetivos mencionados en el artículo 23 del RGPD (LA LEY 6637/2016).
- Por lo que respecta al capítulo III, la DGA deberá especificar, entre las condiciones para la prestación del servicio o servicios de intercambio de datos, que el proveedor dispondrá de procedimientos que garanticen el cumplimiento de la legislación de la Unión y nacional en materia de protección de datos personales, incluidos los procedimientos para garantizar el ejercicio de los derechos de los interesados. En particular, el proveedor deberá poner a disposición del interesado herramientas de fácil acceso que le permitan no solo prestar sino también retirar el consentimiento; Además, la DGA recordará la obligación, cuando proceda, de realizar una evaluación de impacto sobre la protección de datos de conformidad con el artículo 35 del RGPD (LA LEY 6637/2016) y, en caso de que existan riesgos elevados residuales para las personas afectadas, de consultar a la autoridad de protección de datos antes del tratamiento, de conformidad con el artículo 36 del RGPD (LA LEY 6637/2016).
- La DGA debe especificar los mismos requisitos en relación con las organizaciones de altruismo de datos.
Estas garantías de protección de datos deben integrarse en la DGA también debido al etiquetado -como proveedor de servicios de intercambio de datos o como "organización de altruismo de datos reconocida en la Unión"- que aprovecharían estas entidades jurídicas para obtener el consentimiento para el tratamiento de sus datos personales por parte del interesado, que supondría que se garantiza un alto nivel de protección de dichos datos.
A la luz de lo anterior, tal como se señala en el dictamen conjunto, el Comité considera que el régimen declaratorio de notificación/registro previsto respectivamente por la DGA para los proveedores de servicios de intercambio de datos y las organizaciones de altruismo de datos no prevé un procedimiento de examen suficientemente riguroso, teniendo en cuenta las posibles repercusiones para los interesados del tratamiento de datos personales que pueden llevar a cabo dichas entidades. Por lo tanto, el EDPB recomienda explorar procedimientos alternativos que deberían tener en cuenta, en particular, una inclusión más sistemática de herramientas de responsabilidad y cumplimiento para el tratamiento de datos personales con arreglo al RGPD, en particular la adhesión a un código de conducta o a un mecanismo de certificación. Además, la DGA debería proporcionar una definición precisa de los "fines de interés general" que perseguirían las organizaciones de altruismo de datos. Además, el "formulario europeo de consentimiento para el altruismo de datos" para el tratamiento de datos personales por parte de las organizaciones de altruismo de datos debería elaborarse en consulta con la BDP, en lugar de con el Consejo Europeo de Innovación de Datos (de próxima creación).
- Finalmente se recuerda que el dictamen conjunto señaló el requisito de "independencia" para los proveedores de servicios de intercambio de datos, así como de "independencia" de las organizaciones de altruismo de datos en la DGA. En cuanto a las organizaciones de altruismo de datos, el Dictamen Conjunto recomienda aclarar la independencia de las entidades con ánimo de lucro de la organización de altruismo de datos (por ejemplo, jurídica, organizativa, económica).