HACIA LA ECONOMÍA DE LOS DATOS EUROPEA: NUEVO REGLAMENTO EUROPEO 2018/1807
El pasado 28 de Noviembre se publicó en el DOCE [1] el Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea, siendo de plena aplicación [2] en Mayo de 2019. Quizá haya pasado un tanto desapercibido con la aprobación de la nueva LO 3/2018 de Protección de Datos de Carácter Personal, pero se trata de una norma, que, aunque no muy extensa, es de gran importancia y que deberá tenerse en cuenta prácticamente en todos los tratamientos de datos electrónicos, pues como veremos a continuación, se trata de una norma que se aplicará siempre que haya datos no personales, con independencia de si hay datos personales o no.
Este Reglamento responde a la necesidad de crear un marco político y jurídico claro, adaptado para la economía de datos, suprimiendo las barreras que subsisten a la circulación de datos y abordando las incertidumbres jurídicas creadas por las nuevas tecnologías basadas en datos, tal y como plasmó la Comisión Europea en su Comunicación Construyendo una economía europea de datos [3].
Su objeto [4] de aplicación son aquellos tratamientos de datos electrónicos que no tengan carácter personal, que se presten como un servicio a usuarios que residan o tengan un establecimiento en la UE, o se efectúe por una persona física o jurídica que resida o tenga un establecimiento en la Unión para sus propias necesidades. No se aplicará a servicios de tratamiento de datos que tenga lugar fuera de la UE.
Como puede observarse, al hablar de “datos electrónicos que no tengan carácter personal” se hace una definición en negativo, por lo que el Reglamento 679/2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD) se aplicará en el momento en que podamos estar ante datos de carácter personal, según la definición dada por el RGPD.
Esto no quiere decir que, en caso de estar ante datos de carácter personal, el Reglamento 2018/1807 deje de ser de aplicación, pues como aclara [5] el propio texto legal, en caso de estar ante un conjunto de datos personales y no personales (sobreentendemos, conjunto diferenciado), el Reglamento 2018/1807 se aplicará a los datos no personales, y en el caso de que los datos de dicho conjunto estén “inextricablemente ligados”, ambos Reglamentos serán de aplicación.
En el Considerando 2, se afirma que los dos principales obstáculos a la movilidad de los datos y por tanto, al mercado interior, son los requisitos de localización de datos establecidos por las autoridades de los Estados miembros y las prácticas de dependencia de un solo proveedor en el sector privado, por lo que se establece la libre circulación de datos en la UE, prohibiendo cualquier tipo de requisito en relación a la localización de los datos salvo que estén justificados por razones de seguridad pública de conformidad con el principio de proporcionalidad [6] y el derecho a la portabilidad [7] de datos, que se desarrollará a través de códigos de conducta que la Comisión fomentará, y alentará a los proveedores de servicios a completar el desarrollo de los mismos a más tardar el 29 de noviembre de 2019 y a aplicarlos efectivamente a más tardar el 29 de mayo de 2020.
En relación a la libre circulación de los datos, los Estados miembros “pondrán a disposición del público, a través de un punto único nacional de información en línea, información sobre todo requisito de localización de datos establecido en disposiciones legales, reglamentarias o administrativas de carácter general y aplicable en su territorio, que mantendrán actualizada, o proporcionarán información actualizada sobre tales requisitos de localización a un punto de información central establecido en virtud de otro acto de la Unión”. A su vez, la Comisión publicará los enlaces a dichos puntos en su sitio web, junto con una lista consolidada y actualizada periódicamente de todos los requisitos de localización de datos [8].
Se parte de la premisa de que las nuevas tecnologías basadas en datos, tales como la Inteligencia Artificial, los tratamientos masivos de datos (big data), el aprendizaje automático, el internet de las cosas, “representan las principales fuentes de datos no personales”. El propio Considerando 9 cita como ejemplo específico de datos no personales, “los conjuntos de datos agregados y anonimizados utilizados para análisis de datos a gran escala”, lo cual quiere decir que en su origen fueron datos personales, y que por tanto, deberá realizarse una revisión periódica de dichos procesos de anonimización, porque, como afirma el mismo Considerando, “si los avances tecnológicos hicieran posible transformar datos anónimos en datos personales” sería de plena aplicación el RGPD.
Afortunadamente el Considerando 37 establece que antes de que el Reglamento se empiece a aplicar, la Comisión deberá publicar orientaciones informativas sobre el modo de tratar los conjuntos de datos compuestos tanto por datos personales como no personales, para que las empresas, incluidas las pymes, comprendan mejor la interacción entre el Reglamento 2018/1807 y el RGPD y garantizar que se cumplan ambos Reglamentos.
Por tanto, vemos cómo se trata de una norma complementaria al RGPD y que deberá tenerse muy en cuenta por todos los actores involucrados en la economía de los datos, especialmente los fabricantes de dispositivos y los proveedores de los diferentes servicios.
[1] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32018R1807&from=EN
[2] Artículo 9 del Reglamento 2018/1807
[3] https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52017DC0009&from=EN
[4] Artículo 2.1 del Reglamento 2018/1807
[5] Artículo 2.2 del Reglamento 2018/1807
[6] Artículo 4.1 del Reglamento 2018/1807
[7] Artículo 6 del Reglamento 2018/1807
[8] Artículo 4 párrafos 4 y 5 del Reglamento 2018/1807
María Loza Corera
Lead Advisor Jurídico Nuevos retos
Photo by Tumisu at Pixabay.com
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
