Skip to content
SERVICIOS

La economía del dato: reutilización de la información del sector público. A cargo de Pablo García-Girón Pérez

Deja un comentario / Árbol del derecho, Protección de datos / Por

La economía del dato: reutilización de la información del sector público. A cargo de Pablo García-Girón Pérez

Resumen

El artículo tiene por objeto presentar en qué estado se encuentra la regulación que ha proliferado en los últimos años sobre las políticas de reutilización de la información del sector público y, por extensión, sobre la economía del dato.

Para ello, en el apartado I. Introducción a la economía del dato, se define el concepto de “economía del dato”, capital para acercarnos a la cuestión de estudio, como un objetivo general marcado por el legislador europeo dentro del cual se desarrolla la reutilización de la información del sector público como consecuencia fundamental de este proceso.

En el apartado II. El Reglamento de datos no personales, se procede al estudio de uno de los pilares normativos en la construcción de la economía del dato, estudiando cuáles son los principios fundamentales entorno a la regulación de datos que no tienen un carácter personal.

En el apartado III. Relaciones entre datos personales y datos no personales, se procede a explicar cómo se ha regulado la convivencia de ambos conjuntos de datos, dado que se trata de conceptos diferentes que están obligados a convivir con la realidad práctica del día a día en que conviven las organizaciones públicas y privadas.

El apartado IV. La reutilización del sector público, está dedicado al estudio de la cuestión central que ha motivado la elaboración de este artículo. Cuáles son las normativas europeas y nacionales que inciden en el proceso, requisitos y tipos de datos de las Administraciones Públicas que es posible reutilizar por parte del sector privado.

En el apartado V. Obstáculos para el establecimiento de la economía del dato, se realiza un estudio sobre cuáles son, y han sido, los principales impedimentos que el legislador se encuentra a la hora de alcanzar su objetivo de garantizar la libre circulación de los datos no personales.

El apartado VI., está destinado a plantear una serie de conclusiones sobre la cuestión planteada en el artículo, a tenor de la documentación y normativa analizadas a lo largo del texto.

 

Abstract

The purpose of this article is to present the current state of the regulation that has proliferated in recent years on policies for the re-use of public sector information and, by extension, on the economics of data..

To this end, in section I. Introduction to the data economy, the concept of «data economy» is defined, which is crucial to the issue under study, as a general objective set by the legislator, within which the re-use of public sector information is developed as a fundamental consequence of this process.

In section II. The regulation of non-personal data, we proceed to the study of one of the regulatory pillars in the construction of the data economy, studying the fundamental principles surrounding the regulation of data that are not of a personal nature.

In section III. Relations between personal data and non-personal data, we proceed to explain how the coexistence of both sets of data has been regulated, given that they are different concepts that are obliged to coexist with the practical day-to-day reality of public and private organizations.

Section IV. Re-use in the public sector is dedicated to the study of the central question that has motivated the elaboration of this article. What are the European and national regulations that affect the process, requirements and types of data from Public Administrations that can be re-used by the private sector.

In section V. Obstacles to the establishment of the data economy, a study is carried out on what are, and have been, the main impediments that the legislator has encountered in achieving its objective of the free circulation of non-personal data.

Section VI. is aimed at drawing a series of conclusions on the issue, based on the documentation and regulations analyzed throughout the article.

 

Palabras clave

Datos no personales, datos personales, datos mixtos, datos abiertos, economía del dato, libre prestación de servicios, reutilización de información, requisitos de localización, gobernanza de datos, sector público.

 

Key Words

Non-personal data, personal data, mixed data, open data, data economy, freedom to provide services, re-use of information, localization requirements, data governance, public sector.

 

Índice

I. Introducción a la economía del dato. II. El Reglamento de datos no personales. III. Relación entre datos personales y datos no personales. IV. La reutilización de la información del sector público. V. Obstáculos para el establecimiento de la “economía del dato”. VI. Conclusiones. VII. Recursos.

 

I.- Introducción a la economía del dato

En el año 2018, dos años después de la llegada a nuestras vidas del Reglamento General de Protección de Datos (o RGPD), se publicaba en el Diario Oficial de la Unión Europea (el DUE) otro reglamento que, durante un tiempo, pasaría desapercibido bajo el radar de la mayor parte de abogados, consultores y auditores que nos encontrábamos como cotorras repitiendo los mantras del RGPD. Nos referimos al Reglamento sobre datos no personales.

El Reglamento de datos no personales se publicó y entró en vigor antes de la LOPDGDD, buscando apuntalar la construcción de un mercado único digital (1). Es la primera norma en todo el mundo que regula la circulación de datos no personales, lo cual evidencia la intención que tiene la Comisión Europea de permitir que se haga negocio de los datos no personales. Para ello, es indispensable asegurar el acceso y almacenamiento legítimo de los datos en cualquier lugar de la Unión Europea.

Esta norma fue uno de los principales pilares que la Unión Europea empezó a implantar de cara a perseguir un objetivo importante para la modernización de los sistemas económicos y comerciales tradicionales europeos: lograr construir una “economía del dato” o facilitar la existencia de “datos abiertos” consagrando el principio de libre circulación del dato. En este sentido, hay que tener en cuenta que la Comisión Europea ya era consciente de futuros desarrollos tecnológicos disruptivos que supondrían un hito en lo que a la generación y tratamiento de información se refiere, como es el caso de la inteligencia artificial (IA), la tecnología 5G de intercambio de información o el desarrollo del internet de las cosas (IoT). Estas tecnologías iban a suponer un enorme volumen de datos circulando que, con el ecosistema regulatorio adecuado, podría aprovecharse para potenciar la economía de la eurozona.

Cuando hablamos de “economía del dato” nos estamos refiriendo a los flujos de envío y recepción de datos en un contexto de aprovechamiento económico, lo que tenemos que enmarcar en una serie de procesos liberalizadores tendentes a lograr una unión económica, monetaria y aduanera libre de obstáculos legales en el seno de la Unión Europea. 

Tal y como rezaba el texto del RGPD, el objetivo de las autoridades europeas era garantizar un marco de seguridad para “facilitar la libre circulación del dato”, una coletilla que también nos encontramos en la norma sobre datos no personales. Por tanto, al igual que ha ocurrido con otras políticas (monetaria, fiscal, aduanera, etc.) el objetivo de esta norma es garantizar un mercado único cuyo centro neurálgico sea la transmisión de datos entre distintos actores con el objetivo de extraer conclusiones lógicas que puedan materializarse en rendimientos económicos para las empresas de la zona europea. 

Este no es un objetivo que pueda sorprendernos en el ámbito comunitario ya que en el Tratado de Funcionamiento de la Unión Europea (TFUE) se consagra como uno de los principios básicos de funcionamiento del derecho comunitario el de la libertad de establecimiento (art. 49) y el de la libre prestación de servicios (art. 56). Esto no significa que se prohíban las restricciones a estos principios en todo caso, de forma absoluta, sino que la regla general, e interpretativa, debe tener en cuenta la primacía de ambas libertades en el juicio de ponderación de derechos.

De esta forma, el Reglamento de datos no personales recoge la máxima de la primacía del principio de libre circulación de los datos no personales. ¿Esto significa que, tras la entrada en vigor del reglamento de datos no personales, no habrá ningún límite a la circulación de este tipo de datos? Lo cierto es que el reglamento se apresura en determinar que sólo podrá quebrarse el principio de primacía expuesto anteriormente con base en motivos que se fundamenten en la “seguridad pública” (2) de los Estados Miembros. Estos podrán justificar limitaciones para que un dato pueda “moverse” libremente a través de diferentes territorios sólo cuando nos encontremos en ese ámbito. En esta misma línea regulará la cuestión el Reglamento relativo a la gobernanza de datos de 2022, que excluye determinadas categorías de datos de su ámbito de aplicación.

A pesar de esta excepción “clásica”, es importante remarcar que el espírtu del Reglamento consiste en eliminar la vieja fórmula por la que se entendía como sinónimo de seguridad la implantación de requisitos de localización de datos respecto de un territorio concreto. Por tanto, esto quiere decir que los Estados miembros deberán consultar a la Comisión Europea antes de legislar nuevos requisitos de localización de los datos.

Asimismo, el reglamento también arroja algunas pistas sobre cuál es el objetivo que se ha marcado la Unión Europea a medio y largo plazo, cuando nos traslada que estos obstáculos han “menoscabado la capacidad de las empresas de investigación y desarrollo para facilitar la colaboración entre empresas, universidades y otras organizaciones dedicadas a la investigación con el fin de impulsar la innovación” (3).

Como comentábamos al principio de este apartado, tradicionalmente, en el mundo jurídico y de consultoría hemos tendido a hablar sobre los datos personales y su regulación, sin percatarnos de que estos no son los únicos tipos de datos que podemos manejar en el tráfico comercial. No sólo esto, la cuestión radica en que los datos personales son una parte muy pequeña de los tratamientos de datos que una empresa puede llevar a cabo en su día a día. Además, la cuestión se complica cuando pensamos que, en el día a día de las empresas, los datos no se encuentran diferenciados en compartimentos estancos dependiendo de que puedan identificar a una persona o no, sino que encontraremos mezclas de estos datos en conjuntos de información, lo que implicará la necesidad de saber cómo gestionarlo para satisfacer el objetivo que construye una “economía del dato”, y respetar la legislación vigente.

Por tanto, el legislador comunitario va a tener una tarea de armonización ambas normativas para facilitar el desarrollo de un “mercado del dato” sin olvidarse de que existe un conjunto de datos que debe elevarse al más alto nivel de protección (4).

Siguiendo con esta argumentación, nos encontramos con que tiene una enorme importancia el concepto de “reutilización de datos o información”, ya planteado en el mismo considerado 2º del Reglamento de datos no personales cuando se valora el concepto de “cadena de valor de los datos”. Esta cadena estaría compuesta por los siguientes estadios:

  • Creación y recopilación de datos.
  • Agregación y organización de datos.
  • Tratamiento de los datos.
  • Análisis, comercialización y distribución de los datos.
  • Utilización y reutilización de los datos.

Si pensamos en cuáles son varios de los centros generadores de información más relevantes en los países europeos, las Administraciones Públicas, entenderemos por qué tiene una enorme relevancia desarrollar un marco que contemple la gestión y administración de los procesos de reutilización de la información, en este caso, pública.

 

II. El Reglamento de datos no personales

Como comentábamos anteriormente, el Reglamento de datos no personales es la primera normativa comunitaria, y de las primeras del mundo, que pretenden establecer los cimientos de una futura “economía del dato” con el objeto de “garantizar la libre circulación en la Unión de datos que no tengan carácter personal”. 

De esta forma, el artículo 4 del Reglamento establece la regla general de la prohibición de los requisitos de localización sobre este tipo de datos, salvo justificación o fundamento en el Derecho de la Unión Europea previamente vigente a su publicación. No sólo esto, el artículo contempla en su apartado 3 la obligación de haber derogado cualquier normativa de los Estados miembros que supusiera un obstáculo no justificado a la libre circulación de estos datos, con fecha límite el 30 de mayo de 2021. Esta valoración se realizará elaborando un juicio de proporcionalidad que debe regir cualquier iniciativa de implantación de requisitos de localización, o cualquier obstáculo para la movilidad de los datos.

El Reglamento encuentra su ámbito de aplicación sobre lo siguiente:

  • Se aplica sobre toda persona, física o jurídica, que preste servicios de tratamiento de datos a usuarios que residan, o tengan un establecimiento, en la Unión Europea, incluidas aquellas personas que presten servicios de tratamiento de datos en la UE sin tener un establecimiento físico en ella. 
  • Se aplica sobre todos los datos que no sean considerados como personales, lo cual se define utilizando el artículo 4.1 del RGPD a sensu contrario: lo que no es susceptible de identificar, directa o indirectamente, a una persona física, se considerará como no personal. Esto no es baladí, dado que implica que los datos anonimizados, siempre que no vuelvan a ser personales, se encontrarán dentro del ámbito de influencia del Reglamento. Sin embargo, no ocurre así con los datos seudonimizados, concepto contemplado por el RGPD, en la medida en que, utilizando información adicional, esos datos permitirían volver a identificar a una persona concreta. Por tanto, haciendo un breve resumen, serán datos no personales los siguientes;   

Datos que no permitan identificar a una persona física.

– Datos anonimizados.

– La parte no personal de los conocidos como “datos mixtos”. Por ejemplo, determinada información de personas jurídicas como los datos registrales o los datos de las transacciones bancarias.

  • Además, esta normativa no es de aplicación cuando nos encontremos con transferencias de datos a países que no pertenezcan a la Unión Europea.

Cuando hablamos de “tratamiento de datos” hay que entender que la norma se refiere a una interpretación amplia del concepto, como todo tipo de sistemas informáticos, tanto si están situados en las instalaciones del usuario como si están externalizados en un proveedor de servicios, que intervenga en la operación, o conjunto de operaciones, que se efectúe sobre los datos o conjuntos de datos en formato electrónico, ya sea por procedimientos automatizados o no; como la recogida, registro, organización, estructuración, almacenamiento, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión; o cualquier otra forma de puesta a disposición, cotejo o interconexión, limitación, supresión o destrucción de los mismos, de acuerdo con el art. 3.2 del Reglamento.

El reglamento de datos no personales tiene algo que decir al respecto ya que, quizás de forma un poco osada, se atreve a mencionar cuáles son las fuentes de las que emanan los datos no personales. Para el Reglamento, estas fuentes serían:

  • El IoT, o internet de las cosas.
  • La inteligencia artificial.
  • El aprendizaje automático a través de herramientas como las de tipo “machine learning”.

Parece que es prudente entender que este listado opera a título meramente ejemplificativo, no siendo un numerus clausus.

Como comentábamos en el punto introductorio, para tener una “economía del dato” real vamos a tener que valorar el significado del concepto de “seguridad pública” ya que será el único fundamento que las autoridades nacionales podrán argumentar en contra de la libre circulación de estos datos.

En este sentido, debemos valorar la existencia de “motivos de seguridad pública” de tal manera que exista una amenaza real y suficientemente grave para los intereses fundamentales de la sociedad, así como para el correcto funcionamiento de las instituciones y servicios públicos esenciales, la supervivencia de la población y el riesgo de una perturbación grave de las relaciones exteriores, la coexistencia pacífica de las naciones o un riesgo para los intereses militares nacionales. Estos riesgos se materializan en las siguientes áreas (5):

  • Amenazas para la seguridad interna de un Estado Miembro de la UE.
  • Amenazas para la seguridad externa de un Estado Miembro de la UE.
  • Cuestiones de orden público. Con este apartado, el reglamento se refiere, más concretamente, a la necesidad de permitir que se lleven a cabo acciones de investigación, detección y enjuiciamiento de delitos.

Una vez nos encontremos en el terreno de esas circunstancias, se podrán imponer restricciones a la libre circulación de los datos, siempre bajo un criterio de estricta proporcionalidad. Por lo tanto, estas “eximentes” al principio de libre circulación de los datos no operan de forma absoluta. No sólo esto, el Reglamento incluso llega a reconocer la capacidad que deben tener las autoridades competentes para solicitar u obtener acceso a los datos sin poder oponérseles que la información es tratada en otro Estado miembro (6), o dicho de otro modo, el Reglamento no quiere suponer un impedimento que lleve a los Estados miembros a continuar en su desconfianza respecto del levantamiento de los requisitos de localización de los datos. Pensemos que este último punto cobra una especial relevancia en materia de cooperación policial y judicial entre autoridades europeas.

Sobre las medidas de seguridad que deben ser aplicadas sobre los datos, el Reglamento se remite a la Directiva 2016/1148 que, en la misma línea del RGPD, que plantea el establecimiento de obligaciones sobre los proveedores de servicios digitales para la aplicación de medidas de seguridad adecuadas y suficientes. Implícitamente, existe la obligación de realizar un análisis de riesgos ya que para poder conocer cuáles son las medidas de seguridad adecuadas y suficientes habrá que conocer los riesgos que soportan los sistemas de tratamiento de información. Para ello, habrá que tener en cuenta:

  • Seguridad de los sistemas.
  • Seguridad de las instalaciones.
  • Gestión de incidentes.
  • Gestión de la continuidad.
  • Supervisión, auditorías y pruebas de seguridad.
  • Cumplimiento de normas internacionales.

Por último, el Reglamento también dedica un artículo a la cuestión sobre la portabilidad de los datos, introduciendo la idea de generar códigos autorregulatorios que agrupen empresas por sectores para facilitar la gestión de estas cuestiones.

 

III. Relaciones entre datos personales y datos no personales

Cuando nos acercamos al documento que contiene las Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea, elaborado por la Comisión Europea, lo primero que llama la atención es que la propia Comisión se encarga de informarnos que lo previsto en el mismo no supone un texto de obligado cumplimiento. No sólo esto, el documento incluso llega a afirmar que no supone una decisión o una posición oficial de la Comisión Europea, ni una interpretación autorizada sobre el Reglamento de datos no personales.

Sin embargo, a título informativo sí resulta interesante conocer cuáles son las premisas de las que parte la Comisión para interpretar las interrelaciones que se van a producir entre ambos conjuntos de datos. Incluso, el artículo 8.3 del Reglamento de datos no personales contempla la necesidad de que la Comisión Europea elabore esta Guía.

Es interesante observar cómo se respeta esa vocación del Reglamento por favorecer el comercio interior con los datos no personales, dado que el propósito de la Guía se señala desde un primer momento como dirigido a las pequeñas y medianas empresas (PYMES), de tal modo que se consiga un triple objetivo:

  • Explicar cuáles son los conceptos de ambos tipos de datos.
  • Plantear cuáles son los principios de libre circulación de datos y la prohibición de los requisitos de localización de datos.
  • Plantear la noción de portabilidad de datos bajo el Reglamento de Libre Circulación de Datos No personales.

En el apartado 2.2 de la Guía, la Comisión explica qué es lo que entiende por “datos mixtos”, así como el modo en que interpreta el Reglamento para la aplicación de los principios de libre circulación de datos en estos casos. Concretamente, la Guía explica lo siguiente:

  • El principio de libre circulación de datos no personales se aplicará al conjunto de datos que no identifican a una persona física.
  • El RGPD se aplicará a la parte del conjunto de datos que tiene la capacidad de identificar a una persona física (los datos personales).
  • Sin embargo, aquellos casos en los que no se puedan diferenciar las dos partes que componen el dato mixto, será de aplicación el RGPD por encima del Reglamento de datos no personales. Esto no implica que haya una obligación legal de no mezclar estos datos, o de no tratar datos mixtos, pero sí supone una simplificación respecto de la gestión que el responsable deberá llevar a cabo sobre este tipo de datos. Además, también implica una reafirmación sobre el conjunto de normas que el legislador europeo considera con una mayor prevalencia, lo cual, tampoco supone una gran novedad.

De esta forma, la Guía reitera en su interpretación el celo garantista que contiene el Reglamento de datos no personales ante casos grises o dudosos de gestionar.

Respecto del tercer caso, el Reglamento de datos no personales habla de “inextricablemente vinculado” para explicar la relación entre ambos conjuntos de datos. Aunque no hay una definición clara sobre cuándo los datos mixtos no pueden separarse, la Guía entiende que se trata de situaciones en las que el responsable del tratamiento de los datos considera lo siguiente:

  • De la separación de los datos mixtos se produciría un perjuicio económico importante.
  • El tratamiento resultaría ineficiente.
  • Se trata de una operación donde no es viable técnicamente llevar a cabo la separación de ambos conjuntos de datos.

Por tanto, en estos casos la normativa de protección de datos va a operar como uno de esos obstáculos que el considerando 2º del Reglamento de datos no personales exponía como límite al pleno desarrollo de una “economía del dato”, dado que los medios para alcanzar el objetivo del RGPD son diferentes a los medios planteados por el reglamento de datos no personales. La normativa de protección de datos persigue la protección del dato de forma prevalente a su accesibilidad por terceros. Para que ese acceso se produzca, hay que cumplir con una serie de requisitos legales que no siempre son fáciles de armonizar con la idea que el negocio tiene sobre el destino al que los datos se quieren destinar.

A pesar de esto, como hemos comentado antes, los datos personales son una parte muy pequeña del espectro de tratamiento de información que puede llegar a generar una empresa. Es por ello por lo que el reglamento de datos no personales no va a impactar directamente en la normativa de protección de datos, o al menos ese es el objetivo que el legislador quiso poner de manifiesto en el considerando 8 del reglamento.

Por último, es importante tener en cuenta que existen requisitos de localización sobre los datos personales que no están fundamentados en la protección de datos, sino en otras bases legales. En estos casos, será necesario ponderar el objetivo perseguido por la medida con las libertades fundamentales y limitaciones que el TFUE ampara.

 

IV. La reutilización de la información del sector público

Tal y como hemos visto en apartados anteriores el proceso por el que se ha ido construyendo el concepto de economía del dato, así como la principal normativa que ha surgido para vertebrar los principios básicos entorno a este concepto, conviene conocer una de sus manifestaciones más interesantes de cara a la consecución de un desarrollo económico basado en una de las fuentes de información más jugosas a las que podemos recurrir: las Administraciones Públicas (AAPP) (7).

Lo primero que debemos entender es que el hecho de poder acceder a información tan diversa como lo son las funciones de servicio público que una AP puede ejercer, supone un valor añadido para el conjunto de la sociedad que consume servicios digitales, así como para quienes la Directiva relativa a los datos abiertos denomina “reutilizadores” (8).

La base legal que sustenta el desarrollo de una normativa que contemple la gestión de la reutilización de la información del sector público nace de la Carta de Derechos Fundamentales de la Unión Europea y el derecho fundamental de libre acceso a la información, como una manifestación del derecho fundamental a la libertad de expresión (9). Sin embargo, este derecho no es absoluto, sino que deberá modularse perfilando su contenido esencial y el de otros derechos como el de la protección de datos personales, los cuales dibujarán sus límites de aplicación.

Por este motivo, en junio de 2019 se publica la Directiva relativa a los datos abiertos y a la reutilización de la información del sector público como una herramienta que diera respuesta a las necesidades de modernización del marco normativo (10) derivado de la irrupción de tecnologías tales como la IA y el IoT, y articulase las condiciones de acceso a esa información.

Esta Directiva se transpone en nuestro país mediante el Libro tercero (artículo 64) del Real Decreto-Ley 24/2021 de transposición de directivas de la Unión Europea en las materias de (…) reutilización de la información del sector público (…) añadiendo tres nuevos artículos y modificando diez de la Ley 37/2007 que ya había tenido la misión de transponer la Directiva 2003/98/CE derogada por la anterior. 

A continuación, haré alusión fundamentalmente a la Directiva, dado que la norma que la transpone no aporta muchas más novedades, las cuales, comentaré citando al Real Decreto-Ley.

En primer lugar, de acuerdo con el art. 1 de la Directiva relativa a los datos abiertos, el objetivo de la norma es fomentar el uso de los datos abiertos y estimular la innovación de productos y servicios en la Unión Europea. Es decir, el objetivo no es únicamente establecer una regla general por la que los datos se destinen a tal fin, sin restricciones, sino que es la entidad de Derecho público será quien deba establecer qué tipo de datos pueden destinarse a tal fin y las condiciones del acceso.

En segundo lugar, se encuentran dentro del ámbito de aplicación de la norma las empresas públicas que se desenvuelvan en el ámbito de la contratación del sector público sobre sectores estratégicos (ya sea el transporte, la energía y, en general, servicios esenciales) se encontrarán obligadas por esta norma. 

Cuando la norma habla de “empresas públicas” se refiere a organizaciones donde exista una “influencia dominante” por parte de los organismos del sector público. El concepto de “influencia dominante” se refiere a que la mayoría del capital suscrito de la empresa sea de procedencia pública, es decir, la parte pública dispone de la mayoría de los votos o puede designar a más de la mitad de los miembros del consejo de administración de la empresa. También afecta a organizaciones que financian la investigación y que realicen actividades de investigación, así como a empresas privadas que presten servicios de interés general.

Esta es una de las novedades de la transposición española, que en su ámbito de aplicación habla de “sociedades mercantiles públicas”. 

De acuerdo con el artículo 2, podemos ver definidos estos conceptos sobre los actores que se encuentran afectados por el ámbito de aplicación de la Directiva relativa a los datos abiertos, lo que puede ayudar a entender cuál es el objetivo sobre el que está poniendo el acento el legislador europeo:

  • Organismos del sector público: como la Administración General del Estado, las entidades territoriales y asociaciones constituidas por uno o más de dichos entes.
  • Organismos de derecho público: organismos creados para satisfacer necesidades de interés general, dotados de personalidad pública y cuya finalidad está financiada mayoritariamente por el Estado.
  • Empresas públicas: aquellas empresas que operan en el ámbito de los servicios esenciales o infraestructuras críticas y ejercen una influencia dominante sobre la empresa. 

Teniendo en cuenta lo anterior, podemos definir a qué datos o situaciones no les son de aplicación la Directiva relativa a los datos abiertos:

  • No se aplicará a documentos que no provengan de una actividad realizada en misión de servicio público.
  • No se aplica a documentos conservados por empresas públicas fuera del ámbito de la prestación de servicios de interés general, o relativos a actividades sometidas a la competencia, por estar fuera de la normativa sobre contratación pública.
  • No se aplica a documentos sobre los que existan derechos de terceros de propiedad intelectual.
  • No se aplica a documentos con datos sensibles, a los que no pueda accederse en virtud de:

 

– Protección de la seguridad nacional, defensa o seguridad pública.

– Confidencialidad estadística.

– Secretos comerciales.

  • No se aplica a documentos cuyo acceso esté excluido o limitado por motivos de protección de las infraestructuras críticas.
  • No se aplica a documentos cuyo acceso esté limitado por exigencias de interés particular para acceder a la información.
  • No se aplica a casos de logotipos, divisas e insignias oficiales.
  • No se aplica a documentos cuyo acceso esté excluido o limitado por motivos de protección de datos personales.
  • No se aplica a documentos conservados por las entidades de radiodifusión de servicio público y sus filiales.
  • No se aplica a documentos conservados por instituciones culturales distintas de las bibliotecas.
  • No se aplica a documentos conservados por instituciones educativas de nivel secundario e inferior.
  • No se aplica a documentos distintos de los datos de investigación conservados por organizaciones que realizan actividades de investigación o financian la investigación. 

Por un lado, la Directiva relativa a los datos abiertos contempla especificaciones sobre diversos tipos de datos considerados de interés por tener la característica de afectar, o formar parte, de una misión de servicio público. Concretamente, contempla los siguientes conceptos:

  • Datos abiertos: se entiende por datos abiertos aquellos presentados en formatos abiertos que puede utilizar, reutilizar y compartir libremente cualquier persona para cualquier fin (11).
  • Datos de investigación: siguiendo el espíritu por el que se entiende qué es una empresa pública, la Directiva establece que este tipo de datos estarán afectados por el ámbito de aplicación cuando la actividad sea financiada con fondos públicos. El artículo 10 de la Directiva contempla una previsión para que los Estados apoyen la disponibilidad de este tipo de datos mediante políticas de acceso abierto, teniendo en cuenta los límites legales que vimos al comienzo de este apartado. Además, el artículo establece que estos datos serán reutilizables en la medida en que sean financiados con fondos públicos y tratados por investigadores, organizaciones que realizan actividades de investigación u organizaciones que financian la investigación los hayan puesto a disposición del público. Estas previsiones se han contemplado el art. 3.bis de la transposición española estableciendo un mandato a los sujetos que realicen actividades de investigación, o las financien, para que adopten medidas de forma que esos datos objeto de las actuaciones que llevan a cabo sean susceptibles de ser reutilizados, interoperables y de acceso abierto.
  • Metadatos: el objetivo de la Directiva a la hora de hablar de los metadatos como parte del ámbito de aplicación de la misma es plantear que un documento no tiene por qué considerarse solamente en su soporte físico, sino también desde un punto de vista lógico.
  • Datos dinámicos: se contempla su puesta a disposición inmediata tras su recopilación. Tanto en la Directiva como en la transposición española esta puesta a disposición se prevé realizarla mediante interfaces de programación de aplicaciones (APIs) que permitan, incluso, la descarga masiva de estos datos. Sin embargo, la norma española sí prevé limitaciones técnicas temporales en el acceso a los mismos, cuando exista un esfuerzo desproporcionado, o la petición supere las capacidades financieras o técnicas de la API.
  • Datos de alto valor: se trata de datos que pueden generar beneficios socioeconómicos y medioambientales, motivo por el cual se establece que estos datos se suministren de forma gratuita y sean legibles de forma automatizada. Actualmente, al tiempo de la elaboración de este artículo, la Comisión Europea ha realizado una consulta pública para ampliar las categorías de datos de alto valor. La norma que transpone la Directiva establece la posibilidad de incluir conjuntos de datos de alto valor a nivel nacional, en su artículo 3.ter.

Por otro lado, la Directiva relativa a los datos abiertos también establece dos principios que ayudan a regular y dotar de un carácter proporcional a las medidas que se habiliten para favorecer la reutilización de la información del sector público en condiciones de seguridad para los actores implicados:

  • Principio de datos abiertos desde el diseño y por defecto: la Directiva anima activamente a las AAPP a crear datos basados en este principio, entendiendo por tal la necesidad adicional de garantizar un nivel constante de protección en relación con la misión de interés público que les ha sido encomendada. Este aspecto concreto es transpuesto en nuestro ordenamiento mediante la modificación del artículo 5 del Título II de la anterior Ley 37/2007, por parte del Real Decreto-Ley 24/2021
  • Principio de prudencia: Según el cual, los datos abiertos no pueden suponer una vulneración para obligaciones derivadas de la seguridad nacional, infraestructuras críticas, la propiedad intelectual o de la protección de datos personales. En general, la idea que subyace a este principio supone que la voluntad de favorecer datos para su reutilización por terceros no puede suponer un impedimento para el desempeño de las funciones de las AAPP. Posteriormente, el artículo 1.2 del Reglamento relativo a la gobernanza de datos seguirá esta línea matizando que no existe una eximente respecto de sus compromisos de confidencialidad. 

Además, dentro del proceso de tramitación frente a solicitudes de acceso o uso de información, el artículo 4.1 de la Directiva relativa a los datos abiertos establece una cláusula en la línea de dar prevalencia a los medios electrónicos para mantener relaciones con las AAPP, y aportar los documentos en formatos abiertos de forma que puedan ser legibles por máquina y fáciles de localizar-reutilizar. Además, se fomenta la gratuidad de este proceso, como regla general, artículos 5.1 y 6.1 de la Directiva relativa a los datos abiertos. 

Sobre la gratuidad de la reutilización de documentos, la transposición española establece una modificación del artículo 7 de la Ley 37/2007 donde contempla la posibilidad de aplicar una tarifa por el suministro de documentos para su reutilización en determinadas condiciones previstas por la ley. En todo caso, esa tarifa no puede sobrepasar los costes marginales que impliquen la reproducción, puesta a disposición, difusión y anonimización de los datos, o cualquier medida necesaria para proteger información comercial que deba ser confidencial.

 

Reglamento relativo a la gobernanza de datos.

Un año después de la publicación del Real Decreto-Ley 24/2021, se publica en el DUE el Reglamento 2022/868 relativo a la gobernanza europea de datos, que establece las condiciones para la reutilización sobre determinadas categorías de datos en poder del sector público. La regulación entiende por “sector público” el mismo concepto que venía manejando la anterior Directiva. 

Esta normativa entró en vigor a los veinte días de su publicación en el DUE, pero no será aplicable hasta el próximo 24 de septiembre de 2023. Sin embargo, resulta interesante evaluar alguna de las previsiones que contempla sobre la reutilización de la información del sector público.

En primer lugar, el Reglamento tiene que ver con la prohibición de los acuerdos de exclusividad sobre las categorías de datos previstas por el artículo 3.1 (secretos comerciales, confidencialidad estadística, datos sujetos a derechos de propiedad intelectual de terceros y protección de datos), ya que este tipo de acuerdos deben entenderse como un obstáculo a la libre circulación de estos datos, pues afectan a la disponibilidad que cualquier interesado quiera disfrutar sobre éstos. 

Sin embargo, el artículo 4.2 del Reglamento contempla la excepción de que esa exclusividad se fundamente en la prestación de un servicio, o suministro, con base en el interés general y siempre con las debidas garantías que aporta el procedimiento administrativo. Además, no serán de aplicación las previsiones relativas a proveedores de intermediación sobre organizaciones reconocidas de gestión de datos con fines altruistas o entidades sin ánimo de lucro.

En segundo lugar, establece las condiciones de la reutilización de la información. Lo primero que contempla el Reglamento son las garantías de transparencia que deben existir sobre este proceso: las AAPP deben publicar las condiciones en que se permite la reutilización de esos datos y el procedimiento para solicitarlo. Este requisito se complementa con las necesidades de objetividad y no discriminación, que no dejan de ser una traslación de los requisitos exigibles sobre cualquier contratación pública en una licitación. 

Asimismo, se establece la potestad de las AAPP para determinar requisitos tendentes a proteger la seguridad de los datos, como, por ejemplo:

  • El acceso a los datos sólo se concede cuando la AP haya garantizado que:

– Los datos personales se han anonimizado.

– Los datos relativos a información comercial, o sometidos a secretos comerciales y objeto de derechos de propiedad intelectual han sido objeto de procesos de modificación, agregación o tratamiento por un método de control de su divulgación.

En este caso, el solicitante de la información deberá suscribir una obligación de confidencialidad que prohíba la divulgación de cualquier información que ponga en peligro los derechos o intereses de terceros. Asimismo, estará prohibida la reidentificación de cualquier interesado al que hagan referencia los datos objeto de la solicitud de reutilización de la información.

  • El acceso y reutilización a distancia de los datos se llevan a cabo en un entorno de tratamiento seguro facilitado por la AP.
  • El acceso y reutilización de los datos se lleva a cabo en locales físicos en los que se encuentre el entorno de tratamiento seguro de conformidad con una normativa de seguridad estricta.

En estos dos últimos casos, la AP impondrá condiciones para preservar la integridad del funcionamiento de los sistemas de información que dan soporte al entorno de tratamiento de los datos.

Es interesante la previsión del apartado 6 del mismo artículo 5 del Reglamento cuando explica que, en el caso en que no sea posible aplicar las medidas de seguridad relativas a los puntos anteriores, y no exista una base de legitimación de acuerdo con el RGPD, las AAPP deben prestar asistencia a los solicitantes de la reutilización para obtener el consentimiento de las personas titulares de los datos objeto de esta.

Asimismo, no resulta menos interesante el apartado 12 del mismo artículo del Reglamento relativo a la gobernanza de datos, cuando contempla la posibilidad de obtener decisiones de adecuación por parte de la Comisión Europea, en línea con las decisiones para adecuar transferencias internacionales de datos personales, respecto de la garantía sobre los derechos de propiedad intelectual. 

Esta situación se contempla de cara al caso en que se produzcan un número elevado de solicitudes de reutilización en este sentido. Es importante matizar que esta cláusula puede jugar en positivo, pero también en negativo: la Comisión Europea puede considerar que determinada información tiene una especial sensibilidad para la Unión Europea, existiendo un riesgo especialmente perjudicial para la reidentificación del titular de los datos o para la seguridad de las políticas europeas, el artículo cita la seguridad y salud públicas, de modo que puede establecer condiciones especiales sobre transferencias a terceros países.

El Reglamento relativo a la gobernanza de los datos establece previsiones respecto de los servicios de intermediación de datos que puedan surgir con motivo de los esfuerzos por potenciar la reutilización de la información del sector público.

En primer lugar, hay una obligación general de notificación previa a la Administración (artículo 11) sobre todo proveedor de servicios de intermediación. Entendemos por este tipo de servicios (de acuerdo con el artículo 4 de definiciones) como todo servicio cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y sus titulares, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo, incluidos los servicios destinados al ejercicio de los derechos de los interesados en relación con los datos personales. Se excluyen los siguientes servicios:

  • Servicios que obtengan datos de titulares y que los agreguen, enriquezcan o transformen con el fin de añadirles un valor sustancial y concedan licencias a los usuarios de datos para la utilización de los datos resultantes, sin establecer una relación comercial entre los titulares y los usuarios de los datos.
  • Servicios dedicados a la intermediación de contenido protegido por derechos de autor.
  • Servicios utilizados exclusivamente por un único titular de datos para la utilización de los datos que obren en poder de éste, o los utilizados por muchas personas jurídicas en un grupo cerrado, incluyendo los utilizados con proveedores o clientes o colaboraciones establecidas en un contrato. Especialmente los que tienen como objeto garantizar funcionalidades de objetos y dispositivos conectados al IoT.
  • Servicios de intercambio de datos ofrecidos por organismos del sector público sin la intención de establecer relaciones comerciales.

En segundo lugar, el artículo 12 establece condiciones para la prestación de estos servicios, donde destaca lo siguiente:

  • Los proveedores no podrán utilizar los datos para fines diferentes a la puesta a disposición de los usuarios de datos.
  • Las condiciones contractuales no pueden hacer depender el disfrute del servicio de reutilización de la información de la contratación de un servicio diferente o adicional del proveedor.
  • Los datos que el proveedor pueda recoger de una persona física o jurídica, en el contexto de la prestación del servicio de intermediación, sólo se utilizarán para desarrollar dicho servicio.
  • Los proveedores de servicios de intermediación de datos intercambiarán los datos en el mismo formato en que los hayan recibido del interesado.
  • Estos servicios podrán incluir la oferta de herramientas y servicios adicionales con el objeto de facilitar el intercambio de los datos.
  • El procedimiento de acceso a los servicios debe basarse en principios de transparencia, equidad y no discriminación.
  • Los proveedores de estos servicios dispondrán de procedimientos para impedir prácticas fraudulentas o abusivas.
  • Los proveedores de estos servicios se asegurarán de la continuidad razonable de la prestación del servicio en caso de insolvencia, así como garantizar la transferencia o recuperación de los datos relativos a servicios que impliquen su almacenamiento.
  • Los proveedores de estos servicios deben garantizar la interoperabilidad con otros servicios de intermediación.
  • También deberán establecer medidas técnicas, jurídicas y organizativas adecuadas para impedir el acceso a datos no personales o su transferencia ilícita.
  • Los proveedores de estos servicios deben informar sin demora a los titulares de datos en caso de transferencia, acceso o utilización no autorizados de datos personales. 
  • Los proveedores deben establecer medidas necesarias para garantizar un nivel adecuado de seguridad en el almacenamiento, tratamiento y transmisión de datos no personales.
  • Hay una previsión para que los proveedores actúen en el mejor interés de los interesados cuando ejerciten sus derechos.
  • Si los proveedores establecen herramientas para informar y obtener el consentimiento para tratar los datos de los interesados, también deben establecer herramientas para retirar ese mismo consentimiento.
  • Deben conservar un registro de la actividad de intermediación.

Otro aspecto interesante del Reglamento de gobernanza de datos es la previsión de su art. 16 sobre la posibilidad de realizar cesiones voluntarias de datos personales en poder de la AP con fines altruistas. Las condiciones con que se realicen esas cesiones serán competencia de cada uno de los Estados miembros, como la previsión de un registro público donde deberán inscribirse este tipo de organizaciones altruistas para garantizar requisitos de transparencia.

El Reglamento prevé en su capítulo VI, art. 29, la creación de un Comité Europeo de Innovación en materia de datos. Algunas de las funciones de este Comité, que ayudarán a hacerse una idea del motivo de su existencia, pasan por el asesoramiento y asistencia a la Comisión Europea en las siguientes materias:

  • Desarrollo de prácticas coherentes entre los organismos públicos y el resto de actores que intervienen en los procesos de reutilización de la información, respecto de las solicitudes dirigidas a las autoridades públicas en este sentido.
  • Desarrollo de prácticas coherentes para la cesión altruista de datos en la Unión Europea.
  • Desarrollo de prácticas coherentes de las autoridades en materia de servicios de intermediación de datos y de la inscripción en el registro de organizaciones con fines altruistas.
  • Elaboración de directrices coherentes sobre la protección de los datos no personales comerciales sensibles, y de los datos no personales sometidos a la protección de derechos de propiedad intelectual.
  • Elaboración de directrices coherentes respecto a los requisitos de ciberseguridad aplicables.
  • Priorización de las normas intersectoriales que deban utilizarse y desarrollarse para la utilización de datos entre diferentes sectores y espacios comunes europeos de datos emergentes.
  • Abordar la fragmentación del mercado interior y la economía de los datos en dicho mercado mediante la mejora de la interoperabilidad transfronteriza e intersectorial de los datos y servicios de intercambio de datos entre distintos sectores.
  • Proponer directrices para crear espacios comunes europeos de datos.
  • Elaboración de actos de ejecución y de un modelo de consentimiento para las cesiones altruistas de datos.

Por último, con respecto de las transferencias internacionales de los datos, el art.31.1 contempla la prohibición general de realizarlas sobre los datos no personales que se hallen en la Unión Europea. El apartado 2 del mismo artículo contempla la posibilidad de realizar este tipo de transferencias cuando provengan de resoluciones o sentencias judiciales de terceros países, y estas sean reconocidas o deban ser ejecutadas de alguna manera, siempre que se basen en acuerdos internacionales. En el caso en que no exista ese acuerdo, se podrán transferir los datos siempre que:

  • El sistema del tercer país exija que se expongan los motivos y la proporcionalidad de la resolución o sentencia.
  • La oposición motivada del destinatario se somete a la apreciación de un órgano jurisdiccional competente en el tercer país, y
  • Ese órgano dicte resolución o sentencia o revise la resolución de una autoridad administrativa, teniendo en cuenta los intereses jurídicos pertinentes del proveedor de los datos protegidos.

Si se cumplen los dos últimos, se deberá facilitar la cantidad mínima de datos permitida en respuesta a una solicitud de transferencia al exterior. Asimismo, los requeridos al envío de la información al tercer país deberán informar al titular de los datos afectados, salvo que se trate de casos de ejecución de una ley, y sea necesario para preservar la eficacia de una actividad policial.

 

V. Obstáculos para el establecimiento de la “economía del dato”

La Comisión Europea identificaba los principales obstáculos para construir ese ecosistema de libre circulación de datos, en el Considerado 2º del Reglamento de datos no personales. Además, visto lo que hemos analizado sobre las distintas normas que inciden sobre la cuestión, podemos afirmar que esos obstáculos son los siguientes:

Datos mixtos

Como hemos visto en el apartado III, se trata de información que contiene conjuntos de datos personales y conjuntos de datos de tipo no personal. Por ejemplo, un dato mixto podría ser una fotografía o la información relativa a una cuenta bancaria. 

En estos casos, aplicarían los dos reglamentos a cada ámbito de influencia, pero, como comentábamos anteriormente, en la práctica se producen muchos casos en los que no es posible separar los dos conjuntos de datos. 

De esta manera, los datos mixtos operan como obstáculos a la libre circulación de los datos no personales en la medida en que el RGPD, y sus requisitos legales, seguirán prevaleciendo sobre el Reglamento de datos no personales ante cualquier conflicto que exista entre ambos conjuntos de datos.

Requisitos de localización

Los requisitos de localización de datos establecidos por las autoridades nacionales pueden adoptar diferentes formas como, por ejemplo, leyes, reglamentos, disposiciones administrativas o ser resultado de prácticas administrativas generalizadas en el tiempo. 

De acuerdo con el artículo 3.5 del Reglamento de datos no personales, se entiende por “requisito de localización” cualquier obligación, prohibición, condición, restricción u otro requisito previsto en disposiciones legales, reglamentarias o administrativas que imponga el tratamiento de datos en el territorio de un Estado miembro, o dificulte el tratamiento de datos en cualquier otro Estado. 

En este sentido, podemos diferenciar dos tipos de requisitos:

  • Requisitos de localización directa: Se refiere a los requisitos por los cuales los datos no pueden moverse de un determinado territorio físico, como es el caso de la regulación sobre determinada información de las AAPP en España, información considerada como de especial sensibilidad, pero también se refiere a los requisitos de seguridad sobre determinados acuerdos, muy habituales en licitaciones públicas, por las que se solicita la existencia de una certificación (RGPD, ISO, ENS, etc) en seguridad para el acceso a la provisión de un determinado servicio.

 

  • Requisitos de localización indirecta: dificultan el tratamiento de datos no personales en cualquier Estado miembro al requerir que se utilicen instalaciones tecnológicas específicas, por ejemplo, basadas en un tipo específico de certificación de seguridad, o aprobación por un Estado miembro.

Dependencia de un único proveedor

Las prácticas de dependencia de un solo proveedor en el sector privado, o lo que viene llamándose como “cliente cautivo”, suponen un problema especialmente sangrante para los clientes de servicios de computación en la nube.

Las orientaciones de la Comisión Europea para evitar las prácticas de bloqueo por proveedores van en la línea de fomentar los códigos de autorregulación tendentes a evitar abusos por parte de los proveedores que desembocan en situaciones perniciosas para que el mercado se desarrolle en una situación real de competencia. Es por ello por lo que se pretende favorecer el derecho a la portabilidad de la información como mecanismo que ayude a desterrar este tipo de prácticas.

Las pautas que deben tener en cuenta esas acciones de autorregulación son las siguientes:

  • Buenas prácticas sobre la facilidad que debe entrañar el cambio de un proveedor por otro, lo que supone que la migración de datos se realice en un formato estructurado, de uso común y legible por máquina.
  • Requisitos mínimos de información para garantizar que los usuarios profesionales, antes de celebrar el contrato, conozcan claramente en qué va a consistir el servicio y los plazos y gastos que supondrán la decisión de cambiar de proveedor.
  • Enfoques de los esquemas de certificación para una mejor comparabilidad de los servicios en nube.
  • Hacer públicos los códigos de conducta.

Acuerdos de exclusividad

Se refiere a posibles acuerdos firmados con las AAPP por las que un único proveedor, o cliente, tenga acceso a determinada información de forma exclusiva. 

Esa exclusividad iría directamente en contra del espíritu de la normativa que hemos revisado en el artículo, que no es otro que garantizar una libre disposición sobre los datos.

 

VI. Conclusiones

De acuerdo con lo analizado a lo largo del artículo, parece importante extraer las siguientes conclusiones:

  • Parece evidente que la tendencia, en línea con la Estrategia de la Unión Europea, tiende cada vez más a una regulación que pretende preparar un terreno normativo liberalizado para el tratamiento de datos no personales. En este sentido, cada vez hay un mayor impulso a la reutilización de la información del sector público como elemento fundamental a la construcción de una economía basada en datos
  • Sin embargo, tal y como comentan autores como Julián Valero y Rubén Martínez (12), todavía hay reticencia a obtener una regulación europea clara y específica sobre algunas materias, dejando descansar en los Estados miembros la responsabilidad sobre una regulación que vaya más a detalle. Esto supone que el impulso inicial quede un poco descafeinado. 

– Todavía no queda del todo claro cuál es el marco de responsabilidad al que deben atenerse los actores que trabajan en este ámbito, ni sabemos cuáles son las sanciones e infracciones a las que deben atenerse, ya que descansa en la adaptación que los Estados miembros lleven a cabo sobre sus ordenamientos jurídicos. Esto arroja una importante inseguridad jurídica.

– Es importante observar cuáles van a ser los nuevos conjuntos de datos que valoren internamente los Estados miembros, pues de ellos pueden derivar importantes oportunidades de desarrollo de negocio.

  • Con todo lo visto anteriormente, el RGPD sigue siendo el “hermano mayor” en cuanto a tratamiento de datos se refiere. Como comentábamos en lo que respecta a los apartados relativos a los datos mixtos, es evidente que el RGPD va a seguir operando como una normativa básica a la hora de encarar proyectos de tratamiento de datos.

VII. Recursos

Recursos legales

  • TFUE. Tratado de Funcionamiento de la Unión Europea.
  • Reglamento de datos no personales. Reglamento (UE) 2018/1807 del PE y Consejo relativo a un marco para la libre circulación de datos no personales en la UE.
  • RGPD. Reglamento General de Protección de Datos.
  • Reglamento relativo a la gobernanza de datos. Reglamento 2022/868 de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica al Reglamento 2018/1724
  • Directiva relativa a datos abiertos. Directiva 2019/1024 del PE y del Consejo de 20 de junio 2019 relativa a los datos abiertos y a la reutilización de la información del sector público.
  • Real Decreto-Ley 24/2021, de 2 noviembre, de transposición de directivas de la Unión Europea en las materias de bonos garantizados, distribución transfronteriza de organismos de inversión colectiva, datos abiertos y reutilización de la información del sector público, ejercicio de derechos de autor y derechos afines aplicables a determinadas transmisiones en línea y a las retransmisiones de programas de radio y televisión, exenciones temporales a determinadas importaciones y suministros, de personas consumidoras y para la promoción de vehículos de transporte por carretera limpios y energéticamente eficientes.
  • Comunicación 2019/250 de la Comisión al Parlamento Europeo y al Consejo Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea.

Nota a pie de página:

  1. Ver el considerando 29º de la página 63 del Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea
  2. Ver considerandos 18º y 19º, página 61 del Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea.
  3. Como puede comprobarse en el considerando 6º, página 60 del Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea.
  4.  Así es como el Tribunal Constitucional interpretó el artículo 18 de la Constitución Española para construir el derecho fundamental a la protección de datos. Ver las SSTTCC 254/1993 de 20 de julio y la 11/1998 de 13 de enero.
  5. Ver STJUE C-348/09
  6. Ver Considerando 24, página 62 del Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea.
  7. Ver el considerando 8 de la Directiva relativa a los datos abiertos.
  8. Ver el artículo 2.11 cuando se define la reutilización como el uso de documentos que obran en poder de organismos del sector y empresas públicos.
  9. Ver el considerando 5 de la Directiva relativa a los datos abiertos.
  10. Fundamentalmente, la Directiva 2003/98/CE que había quedado obsoleta en algunos aspectos de su articulado. Es una normativa que no contemplaba la evolución tecnológica que ha tenido lugar en cuanto al aprendizaje automático, la inteligencia artificial y el internet de las cosas.
  11.  Ver el considerando 16 de la Directiva relativa a los datos abiertos
  12.  Directores de la obra “Datos abiertos y reutilización de la información del Sector Público”.

Pablo García-Girón Pérez 

Licenciado en Derecho por la UAM y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la UC3M, ha desarrollado su carrera en el ámbito de la consultoría en nuevas tecnologías. 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.

Deja un comentario

A %d blogueros les gusta esto: