Construyendo el marco para la circulación masiva de datos en la Unión Europea: propuesta de sistematización y principios rectores fundamentales

En respuesta a la evolución dinámica de la economía digital, ha surgido la reciente Estrategia Europea de Datos, que abraza un enfoque innovador, promoviendo una reestructuración significativa de las políticas regulatorias en el ámbito de los datos. Todo ello en aras de conseguir ampliar la tradicional visión de los datos para, constatado su fuerte impacto positivo en términos de crecimiento y empleo, reconocer que, además de su protección, también es necesario contribuir a su compartición. A tal efecto, se propone una mayor unificación terminológica de este fenómeno, cohonestándolo con la tradicional regulación en materia de datos personales, y se establecen los principios básicos llamados a regir esta nueva regulación, esta incipiente revolución, en materia de datos.

Juan Francisco Rodríguez Ayuso es Profesor Ayudante Doctor de Derecho Administrativo en la Universidad Nacional de Educación a Distancia (UNED). También es Coordinador Académico del Grado en Ciencias Jurídicas de las Administraciones Públicas y Coordinador Académico del Máster Universitario de Derecho digital.

El artículo se publicó en el número 67 de la Revista General de Derecho Administrativo (Iustel, octubre 2024)

BUILDING THE FRAMEWORK FOR MASS DATA FLOWS IN THE EUROPEAN UNION: PROPOSED SYSTEMATISATION AND KEY GUIDING PRINCIPLES

ABSTRACT: In response to the dynamic evolution of the digital economy, the recent European Data Strategy has emerged, embracing an innovative approach, promoting a significant restructuring of regulatory policies in the field of data. The aim is to broaden the traditional view of data to recognize that, given its strong positive impact in terms of growth and jobs, it is also necessary to contribute to data sharing as well as data protection. To this end, a greater terminological unification of this phenomenon is proposed, bringing it into line with the traditional regulation of personal data, and the basic principles to govern this new regulation, this incipient data revolution, are established.

I. NUEVO ENFOQUE EUROPEO EN MATERIA DE DATOS (1)

El mundo está cambiando y debemos decidir si nosotros lo hacemos también, de qué manera y en qué dirección. Los avances tecnológicos van transformando los cimientos del orden político, jurídico, social y, cómo no, económico. Y, en la base de todos estos cambios, están los datos y el empleo que decidamos hacer de ellos. Tan sencillo y tan complejo al mismo tiempo.

Todo son datos, todos somos datos. Sencillo. Basta constatar que Internet y los múltiples servicios que de él dependen (y de los que nosotros, a su vez, dependemos) se basan en la recopilación, el análisis y el empleo ingente y cada vez más inteligente de los datos. ¿Queremos saber con precisión qué nivel de pesticidas, nutrientes y agua necesitamos para nuestras cosechas?, ¿queremos que nuestro asistente virtual nos diga qué tiempo está haciendo?, ¿queremos vaticinar el resultado de las próximas elecciones? Necesitamos datos. ¿Informamos de nuestra ubicación para desplazarnos, sin equivocarnos, hacia un determinado lugar?, ¿buscamos en Internet las últimas tendencias en moda o los conciertos de nuestro grupo favorito? Nosotros somos los datos. ¿El registro fiscal que la Administración hace de nuestra empresa, exigiéndonos incluir nuestro nombre y nuestro número de teléfono? Necesitan datos, nosotros y nuestras empresas somos los datos.

Constatada la relevancia de los datos, apuntemos otro hecho: <<[l]as microempresas y las pequeñas y medianas empresas (pymes)(2) constituyen el 99 % de las empresas de la Unión. Crean dos de cada tres empleos del sector privado y contribuyen a más de la mitad del valor añadido total generado por las empresas en la Unión>>(3). Dato, este, demoledor, que pone de manifiesto, a las claras, la necesidad, por parte de la Unión Europea, de responder a las siguientes cuestiones: ¿cómo conseguir una mayor productividad del tejido empresarial europeo sirviéndonos de los datos?, ¿cómo hacer que nuestras empresas puedan competir frente a grandes plataformas digitales privadas chinas o estadounidenses capaces de acumular millones de datos de millones de usuarios, controlando buena parte de los mercados en los que operan?, ¿cómo hacerlo, además, preservando los valores y los derechos fundamentales de la Unión Europea, convencida de que el ser humano es y debe continuar siendo lo más importante? La respuesta a los interrogantes anteriores pasa por decidir si optamos por la concentración de los datos en quienes posibilitan su acumulación o si, por el contrario, fomentamos su compartición entre todos y para todos.

Lo cierto es que de nada serviría, en esta dicotomía, optar por la acumulación de los datos en pocos actores, habida cuenta de la reducida capacidad que tienen las empresas europeas, dado su tamaño, de concentrar datos. Poco recomendable parece también tratar de articular esta concentración en favor de las Administraciones Públicas, dejando al sector privado al margen de este proceso de cambio. La solución parece, pues, irremediablemente evidente: necesitamos actuaciones tendentes a implicar a todos quienes contribuyen a generar datos, especialmente a aquellos que requieren de una especial protección y promoción.

Las opciones de política legislativa son numerosas y todas ellas están fuertemente condicionadas por la visión del individuo y de su papel en la sociedad, pero ya hemos visto que no todas son aplicables o, tanto más, deseables en nuestro continente. Por ello, el modelo que propone la Unión Europea frente a otros proclives a la concentración de datos en poder de un reducido número de empresas privadas o bajo un fuerte control gubernamental es claro: es preciso fomentar el acceso y la compartición, sobre la base de la reutilización, de los datos para conseguir una modernización y mejora de los servicios públicos, una mayor innovación y competitividad de las empresas europeas y un mayor empoderamiento de los ciudadanos; es necesario, en definitiva, crear un espacio común europeo de datos, un verdadero mercado único en el que los datos (personales, no personales o mixtos) procedentes de cualquier parte del mundo tengan cabida y al que todos los implicados en su generación (ciudadanos, empresas y Administraciones Públicas) tengan acceso, procurando un mayor equilibrio en la distribución del valor de los datos. Se trataría, con ello, de alcanzar la libre circulación de datos, que constituiría la quinta libertad de movimiento en la Unión Europea tras personas, capitales, mercancías y servicios.

Y, todo ello, sin renunciar a: en primer lugar, proteger los incentivos para quienes procuren generar valor a través de inversiones en datos; en segundo lugar, salvaguardar los valores éticos comunitarios, y, en tercer lugar, respetar las normas dadas, en especial las relativas a la protección de los datos personales, a la protección de los consumidores, a la protección de la vida privada y la confidencialidad de las comunicaciones y a la defensa de la competencia. En otras palabras, resulta fundamental hacer de Europa un líder mundial en la economía ágil de los datos, un verdadero protagonista de este proceso de innovación basada en datos(4).

La Estrategia Europea de Datos se erige, de este modo, en uno de los objetivos nucleares de la Unión. Aprobada en febrero de 2020, supone un verdadero punto de inflexión, un salto cualitativo evidente, una auténtica declaración de intenciones frente a anteriores propuestas que, aunque dejaban atisbar un pretendido estímulo hacia la reutilización de datos, carecían de la entidad, impulso, coordinación y respaldo que, a partir de este momento, existe en torno a una compartición comunitaria de datos progresiva e integral, en condiciones de igualdad, en la que todos contribuyan y, en la que, a su vez, todos se vean beneficiados.

II. LEGISLACIÓN EUROPEA PARA UNA ECONOMÍA DE DATOS

Buena muestra de este nuevo y revolucionario enfoque son las iniciativas legislativas surgidas tras la Estrategia Europea de Datos y que procuran, en mayor o menor medida, de manera más o menos directa, fomentar la circulación de datos y un mercado interior altamente competitivo. Entre ellas, es preciso incluir dos Reglamentos que, por su relevancia a los efectos de dinamizar el mercado de los datos, cobran especial trascendencia. Hablamos:

De un lado, del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (5) (Reglamento de Gobernanza de Datos, también conocido con el acrónimo RGD, o, en inglés, Data Governance Act), en vigor desde junio de 2022, pero que, merced al período de vacatio legis previsto en su artículo 38.2, no ha sido de aplicación sino a partir del 24 de septiembre de 2023. Este Reglamento complementa la apertura de datos públicos iniciada por la Directiva 2003/98/CE del Parlamento Europeo y del Consejo de 17 de noviembre de 2003 relativa a la reutilización de la información del sector público(6), Directiva, esta, modificada, posteriormente, por la Directiva 2013/37/UE del Parlamento Europeo y del Consejo de 26 de junio de 2013 por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público(7) y derogada, a la postre, por la actual Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo de 20 de junio de 2019 relativa a los datos abiertos y la reutilización de la información del sector público (en lo sucesivo, DRISP)(8).

En concreto, uno de los fines perseguidos por este nuevo Reglamento es el de fomentar la compartición de determinados datos en poder de organismos del sector público (en favor de otras Administraciones Públicas, de empresas o de ciudadanos) que, por estar protegidos, estaban vedados a su posible reutilización. Y es que hemos de tener en cuenta que la DRISP excluye de su ámbito de actuación determinados datos, debido a <<[] las inquietudes relacionadas con la privacidad, la protección de datos personales, la confidencialidad, la seguridad nacional, los intereses comerciales legítimos, como los secretos comerciales, y los derechos de propiedad intelectual de terceros>> (considerando 28). El RGD, en cambio, resulta aplicable <<[] a aquellos datos que obren en poder de organismos del sector público que estén protegidos por motivos de: a) confidencialidad comercial, incluidos los secretos comerciales, profesionales o empresariales; b) confidencialidad estadística; c) protección de los derechos de propiedad intelectual de terceros, o d) protección de los datos personales, en la medida en que tales datos queden excluidos del ámbito de aplicación de la Directiva (UE) 2019/1024>> (artículo 3.1). Asimismo, contempla supuestos de cesión altruista de datos por los particulares (en favor de otros particulares, de Administraciones Públicas o de empresas) y un marco para los servicios de intermediación de datos (que podrán ser prestados por sujetos de naturaleza pública o privada).

De otro, el Reglamento (UE) 2023/2854 del Parlamento Europeo y del Consejo de 13 de diciembre de 2023 sobre normas armonizadas para un acceso justo a los datos y su utilización, y por el que se modifican el Reglamento (UE) 2017/2394 y la Directiva (UE) 2020/1828 (9) (Reglamento de Datos -RD- o Data Act). Continuando la senda iniciada por el RGD de superar la tradicional identificación de la compartición con la reutilización de la información en poder de las Administraciones Públicas, da un ambicioso paso más, incluyendo, en pro de un paulatino mercado único europeo de datos, disposiciones que, lejos de limitarse a promover (como en el caso del RGD), obligan a:

En primer lugar, la compartición de datos entre empresas, donde se incluye la cesión de datos generados por productos conectados o servicios relacionados (empleados, en buena parte, en el contexto del Internet de las Cosas), excluyendo de este deber a las microempresas o pequeñas empresas, en una clara intención por parte de la Unión Europea de protegerlas y de incrementar su competitividad fuera de nuestras fronteras.

En segundo lugar, la cesión de datos en favor de los organismos del sector público, la Comisión, el Banco Central Europeo y los organismos de la Unión, siempre y cuando concurran necesidades excepcionales que así lo justifiquen, de nuevo con la exclusión anterior.

En tercer lugar, posibilitar el cambio de proveedor de servicios de tratamiento de datos, así como la interoperabilidad de los datos y de los mecanismos y servicios de intercambio de datos.

En cuarto y último lugar, a la no compartición de datos fuera del territorio de la Unión Europea, impidiendo la transferencia internacional de datos no personales(10) que se hallen en la Unión o el acceso a tales datos cuando la transferencia o el acceso entren en conflicto con el Derecho comunitario o con el Derecho nacional del Estado miembro en cuestión(11).

De igual modo, se están implementando medidas legislativas que buscan imponer a las plataformas digitales, especialmente aquellas que controlan ecosistemas completos en la economía digital, una serie de obligaciones con el fin de crear un entorno propicio para que otros operadores, ya sean nuevos o existentes, puedan ingresar y competir de manera justa en un mismo mercado. Estas medidas buscan reducir los desequilibrios causados por la concentración de datos, los cuales sólo sirven para limitar la competencia, aumentar las barreras de entrada y restringir el acceso y uso más amplio de los datos. Como respuesta a esta preocupación, recientemente han surgidos dos instrumentos clave en aras de regular la actividad de las plataformas en el ámbito digital: el Reglamento de Mercados Digitales (en lo sucesivo, RMD)(12) y el Reglamento de Servicios Digitales (en adelante, RSD)(13).

El primero va dirigido, específicamente, a contrarrestar el enorme poder de aquellas plataformas digitales que ejercen como guardianes de acceso, es decir, de aquellas plataformas digitales que tienen <<[] el efecto de socavar sustancialmente la disputabilidad de los servicios básicos de plataforma, así como afectar a la equidad de la relación comercial entre las empresas prestadoras de dichos servicios y sus usuarios profesionales y usuarios finales>>(14).

El segundo, por su parte, se centra en los servicios intermediarios, pertenecientes a la categoría, aglutinadora, de servicios de la sociedad de la información. Los servicios de la sociedad de la información son definidos [por remisión de los artículos 3.a) RSD y 2.3) RMD] en el artículo 1.1.b) de la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo de 9 de septiembre de 2015 por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información(15) como aquellos servicios prestados: normalmente(16) a cambio de una remuneración, a distancia (es decir, sin que las partes estén presentes simultáneamente), por vía electrónica (pues tienen que ser enviados desde la fuente y recibidos por el destinatario por medio de equipos electrónicos de tratamiento -incluida la compresión digital- y de almacenamiento de datos, transmitiéndose, canalizándose y recibiéndose enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético) y a petición individual de un destinatario de servicios.

Por su parte, los servicios intermediarios de la sociedad de la información aparecen conceptualizados, en nuestro país y con carácter previo, en la letra b) del anexo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (17), que transpone la DCE. Esta Ley entiende por tales una subcategoría de los anteriores, es decir, unos servicios de la sociedad de la información por los que <<[] se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información>>. Entre los servicios de intermediación se encuentran los servicios relativos a la provisión de acceso a Internet; los que posibilitan la transmisión de datos por redes de telecomunicaciones; los servicios relativos a la realización de copia temporal de las páginas de Internet solicitadas por los usuarios o destinatarios; los servicios que permiten el alojamiento, en los propios servidores, de datos, aplicaciones o servicios suministrados por otros, y aquellos que proveen instrumentos de búsqueda, acceso y recopilación de datos o enlaces a otros sitios de Internet.

El Reglamento de Servicios Digitales, sin embargo, ciñe el contenido de su articulado a tres concretos servicios intermediarios de los arriba apuntados [artículo 3.g)]: en primer lugar, los servicios de mera transmisión, que define, de manera más detallada que la Directiva sobre el comercio electrónico, como aquellos consistentes en transmitir, en una red de comunicaciones, información facilitada por el destinatario del servicio o en facilitar acceso a una red de comunicaciones; en segundo lugar, los servicios de memoria caché, consistentes en transmitir por una red de comunicaciones información facilitada por el destinatario del servicio, que conlleve el almacenamiento automático, provisional y temporal de esta información, prestados con la única finalidad de hacer más eficaz la transmisión ulterior de la información a otros destinatarios del servicio, a petición de estos, y, en tercer lugar, los servicios de alojamiento de datos, consistentes en almacenar datos facilitados por el destinatario del servicio y a petición de este.

Por lo demás, y como podemos observar, toda la regulación antes mencionada se ha implementado acudiendo a la figura del reglamento, lo que, sin lugar a dudas, contribuye a promover una mayor seguridad jurídica y una armonización normativa más amplia en el mercado interior digital. Esto ayuda a evitar la fragmentación causada por regulaciones múltiples y divergentes entre los diferentes Estados miembros y conlleva beneficios en términos de reducción de los costes asociados a tener que cumplir con diferentes regulaciones.

III. CLARIFICACIÓN PROPOSITIVA DE LA TERMINOLOGÍA EMPLEADA CON VOCACIÓN SISTEMATIZADORA

Existen numerosos términos utilizados para referirse al fenómeno, en aumento, de los flujos de datos, tanto públicos como privados, personales y no personales, protegidos y no protegidos. El empleo de términos como circulación, reutilización, compartición, cesión o puesta a disposición es frecuente y genera, por momentos, una confusión que requiere de una labor sistematizadora evidente en aras de aportar una mayor claridad normativa y doctrinal. En este apartado, abordaremos este desafío, buscando estandarizar la terminología a partir de la legislación existente, estableciendo una clasificación (basada en diversos criterios) que facilite la identificación y el análisis de los marcos normativos que, de manera dispersa, están surgiendo en una regulación que busca promover, en última instancia, la creación de espacios comunes de datos en la Unión Europea.

1. En realidad, hablamos de cesiones

Una de las principales dificultades observadas al analizar la abundante legislación surgida en torno a los datos es de índole terminológica. Constantemente aparecen nuevos términos, muchos de ellos sin una definición legal clara, lo que genera una confusión evidente y destaca la necesidad de proponer una estructura sistemática como punto de partida para un análisis más preciso de los regímenes jurídicos que surgen para regular los, cada vez más frecuentes, movimientos de datos. A tal fin, nos basaremos en los paralelismos existentes entre la legislación surgida tras la Estrategia Europea de Datos y la, preexistente, regulación sobre protección de datos personales, familiar para muchos de los que hemos profundizado en este campo de estudio y que nos ayudará a comprender el significado de cada uno de estos vocablos. Más concretamente, nos referimos a:

En primer lugar, la “reutilización”, que comporta un estadio ulterior en el tratamiento de los datos, un estadio en el que el titular de los datos, tras acceder a ellos, decide permitir que otros titulares de datos posteriores los utilicen para sus propios fines. En este contexto, la reutilización, cuando es autorizada por las Administraciones Públicas, se define como <<la utilización, por personas físicas o jurídicas, de los datos que obren en poder de organismos del sector público, con fines comerciales o no comerciales distintos del propósito inicial englobado en la misión de servicio público para el que se hayan producido tales datos, excepto en el caso del intercambio de datos entre organismos del sector público con la única finalidad de desempeñar sus actividades de servicio público>>(18) [artículo 2.2) RGD -en términos similares, previamente, artículo 2.11) DRISP-].

Dadas estas consideraciones, mientras que la reutilización presupone un acceso previo a los datos, el acceso en sí no implica necesariamente una posterior reutilización de los datos. El acceso, según la definición proporcionada por la Real Academia Española, consiste en la <<[a]cción de llegar o acercarse>>. En el contexto que nos compete, puede entenderse de dos maneras distintas aunque interrelacionadas:

Una primera, como la aproximación a los datos. Esto implica tenerlos a disposición para luego decidir (si es opcional) o ejecutar (si es obligatorio) qué hacer con ellos: tratarlos para una finalidad propia, ya sea de forma directa (por cuenta propia) o indirecta (delegando esta tarea a otra persona, ya sea física o jurídica, que, en el ámbito de los datos personales, se conoce como "encargado del tratamiento"), o permitir que otros los utilicen para sus propios propósitos. Este tipo de acceso puede ser activo (requiere una solicitud previa) o pasivo (la disponibilidad es automática), pero, en ambos casos, representa el primer nivel en el tratamiento de los datos, el paso previo necesario para futuros procesamientos, ya sea propios o ajenos (en forma de cesión). Este es el espíritu atribuido al término “acceso” en la normativa sobre datos abiertos y la reutilización de la información del sector público (DRISP, LRIAP -Ley 37/2007, de 16 de noviembre, sobre reutilización de la información del sector público (19)-), origen de aquella que, con idéntico fin, ha surgido posteriormente; asimismo, existen casos especiales de acceso, como en el caso de los datos generados por productos conectados o servicios relacionados (RD): en estos casos, es posible que el fabricante, vendedor o arrendador del producto o servicio acceda a los datos del titular de los datos incluso antes que el titular mismo.

Una segunda, como aproximación al tratamiento que se está llevando a cabo sobre los datos(20). Esto implica que ya se ha autorizado el tratamiento de los datos por parte de terceros para sus propios fines, si bien se reconoce, paralelamente, un derecho de acceso para conocer, en tiempo real, las circunstancias que rodean dicho tratamiento, información esencial para determinar si puede y desea tomar alguna medida para asegurar que este tratamiento sea legal y apropiado. En el ámbito de los datos personales, esta es la idea subyacente al derecho de acceso otorgado al interesado conforme a los artículos 15 RGPD y 13 LOPDGDD.

En segundo lugar, es común encontrar en la nueva normativa el término “compartición”, aun cuando este no se define. Para entender su significado, recurrimos nuevamente a la Real Academia Española, que define “compartir” como <<[h]acer a otra partícipe de algo que es suyo>>. En nuestro contexto, compartir se refiere a que un titular comparta sus datos con otro, permitiéndole que los utilice para sus propios fines, los cuales pueden ser diferentes de los perseguidos por el titular que facilita la compartición, ya sea de forma voluntaria u obligada. Dado que la soberanía europea en materia de datos implica la creación de espacios comunes de datos, este término, al igual que el de “circulación”, se utiliza para enfatizar más en el libre movimiento de los datos que en el uso que las partes implicadas puedan hacer de ellos.

En tercer lugar, se emplea la expresión “puesta a disposición”. Esta puede variar dependiendo de si se realiza a favor del titular primario (cuando este no tiene automáticamente acceso a sus propios datos, por lo que el fabricante, vendedor o arrendador del producto o servicio en el que se generaron los datos debe permitirle el acceso; en este sentido, el término se asemeja al de “acceso”) o del titular secundario de los datos (cuando el titular de los datos permite -de manera consentida o impuesta- que otros titulares accedan a sus datos y los utilicen para sus propios fines, lo que se relaciona más con los términos “reutilización”, “compartición” o “circulación”, mencionados anteriormente).

Como se puede apreciar, los términos utilizados son variados, lo que genera confusión y hace necesario determinar si nos referimos a lo mismo o no. Por este motivo, es conveniente unificar todos ellos en uno solo que permita la sistematización del nuevo régimen jurídico aplicable y, al mismo tiempo, facilite la comprensión de la nueva regulación. Al respecto, un término ampliamente utilizado es el de “cesión” (21), el cual podemos definir(22) como el tratamiento, por una o varias personas, físicas o jurídicas, de naturaleza pública o privada, denominadas “cesionarios”, individual o colectivamente, gratuita u onerosamente, de datos, públicos o privados, personales, no personales o mixtos, protegidos o no protegidos, pertenecientes o que obren en poder de otras, una o varias, personas, físicas o jurídicas, de naturaleza pública o privada, denominadas “cedentes”, con fines, comerciales o no comerciales, independientes del propósito inicial, distinto, idéntico o similar, perseguido por el cedente.

En comparación con otros términos, el de “cesión” es más común entre la doctrina. Sin embargo, a lo largo de este estudio, utilizaremos términos alternativos por razones meramente de forma. En todo caso, siempre lo haremos bajo la premisa de que, en todos los casos, estaremos hablando de cesiones de datos y, por lo tanto, mantendrán el significado descrito anteriormente.

2. Tipos de cesiones de datos: parámetros clasificatorios

Después de definir el concepto, es conveniente avanzar hacia una mayor sistematización. Con este propósito, surge el interés por categorizar la institución jurídica de la cesión como vía para aclarar la ausencia de rigor formal y permitir la coordinación y coherencia entre los diversos marcos legales, tanto generales como especiales, que han surgido para regular las cesiones de datos en el seno de la Unión, de todos y para todos. Esta propuesta nos permite clasificar las cesiones de datos en función de los siguientes parámetros:

a) Parámetro objetivo, que se refiere al tipo de dato que puede ser cedido. En este sentido, podemos hablar, de un lado, de cesiones de datos personales, de datos no personales y de datos mixtos y, de otro, de cesiones de datos protegidos y datos no protegidos.

Los datos comprenden cualquier representación <<[] de actos, hechos o información, así como su recopilación, incluso como grabación sonora, visual o audiovisual>> [artículo 2.1) RGD]. Tradicionalmente, el legislador ha tendido a asociar los términos “documento”, “dato” e “información”, reflejando la relación tradicional entre el contenedor (documento) y el contenido (dato, información). Sin embargo, esta asociación ha quedado obsoleta con el surgimiento de la digitalización(23). Asimismo, los datos pueden clasificarse según el sujeto al que identifican, dividiéndose en personales, no personales y mixtos.

La regulación actual de los datos personales (específicamente, la protección de las personas físicas en relación con el tratamiento de sus datos personales y la libre circulación de dichos datos) se encuentra establecida en el RGPD y en la LOPDGDD. En línea con la legislación previa, la noción de dato personal continúa(24) refiriéndose a <<[] toda información sobre una persona física identificada o identificable (el interesado)>> [artículo 4.1) RGPD]. Se considera identificable a cualquier persona cuya identidad pueda determinarse, directa o indirectamente, especialmente mediante un identificador, <<[] como por ejemplo(25) un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona>>. Por consiguiente, únicamente las personas físicas pueden asumir la condición de interesados y, por lo tanto, únicamente las personas físicas pueden ser titulares de datos personales.

Por su parte, la definición de datos de carácter no personal se encuentra establecida en el Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo de 14 de noviembre de 2018 relativo a un marco para la libre circulación de datos no personales en la Unión Europea (26) (en adelante, RDNP). Este Reglamento define estos datos en oposición a los datos personales, de modo que los datos no personales son aquellos que no tienen la consideración de datos personales [artículo 3.1) RDNP]. Por lo tanto, estos datos no permiten identificar a personas físicas, sino que pueden referirse a personas jurídicas, así como a cualquier objeto, producto o servicio que sea susceptible de generar datos.

Finalmente, se considerarán datos mixtos aquellos conjuntos de datos que están compuestos por datos personales y no personales. Estos conjuntos <<[] representan la mayoría de los conjuntos de datos utilizados en la economía de datos y son comunes debido a desarrollos tecnológicos como el Internet de las cosas (es decir, objetos que se conectan digitalmente), la Inteligencia Artificial y las tecnologías que permiten el análisis de macrodatos>>(27). En estos casos, el RGPD y el RDNP se aplicarán a cada tipo de datos dentro del conjunto, a menos que estén “inextricablemente ligados”; de ser así, los derechos y las obligaciones de protección de datos derivados del RGPD (y, por extensión, de la LOPDGDD) se aplicarán en su totalidad a todo el conjunto de datos mixtos, incluso si los datos personales constituyen solo una pequeña parte del conjunto de datos(28).

Como se puede advertir, al hablar de la circulación de datos se hace referencia a todo tipo de datos, no solo a datos personales. La novedosa regulación que promueve la circulación de datos lo hace para todos los tipos de datos, ya sean personales, no personales o mixtos. Es cierto que compartir datos será más fácil y fluido cuando no estén sujetos a ninguna forma de protección, lo cual es, a menudo, inherente a los datos personales. Sin embargo, también es cierto que cuando la compartición es voluntaria o está sujeta a una obligación legal, y siempre que cuente con medidas de seguridad adecuadas al riesgo (seguridad que, como es obvio, será tanto más reforzada cuando los datos cuenten con dicha protección), la cesión será completamente viable.

Ahora bien, defendemos que, más importante que la clasificación anterior, es la que diferencia los datos protegidos de los datos no protegidos. No porque las diferencias entre datos personales, no personales o mixtos carezcan de importancia o pertinencia, sino porque para la nueva regulación de los datos, resulta insuficiente o incompleta. A continuación, explicaremos el motivo.

Ya hemos tenido oportunidad de poner de manifiesto que un elemento esencial para fomentar la compartición de datos es determinar si están sujetos a algún tipo de protección, es decir, si el legítimo titular de esos datos posee derechos o intereses susceptibles protección legal. Únicamente así podremos determinar si la compartición de los datos es viable: bien porque los datos no cuentan con esta protección; bien porque, aun estando protegidos, el titular legítimo de los datos encuentra suficientes motivaciones o estímulos (ya sean individuales o colectivos) para facilitar su reutilización, bien porque el Estado (o la unión de Estados -miembros-, como aquí sucede) exige su cesión mediante la imposición de obligaciones legales que buscan satisfacer los intereses individuales de quienes generan los datos y desean compartirlos con terceros o los intereses generales de la sociedad en su conjunto.

Por esta razón, lo que realmente importa no es si los datos se clasifican como personales, no personales o mixtos, sino si están sujetos a alguna forma de protección que influya en su compartición. Es evidente que los datos personales están inherentemente protegidos debido a la identificación de su titular (persona física) y, por lo tanto, a la necesidad de salvaguardar su derecho fundamental a la privacidad y protección de datos. Empero, también puede ser necesario proteger otros derechos o intereses del titular de los datos, ya sea en adición a los datos personales o exclusivamente en el caso de datos no personales; por ejemplo, se pueden proteger actos, hechos o información por razones de confidencialidad comercial, incluidos los secretos comerciales, profesionales o empresariales; confidencialidad estadística; derechos de propiedad intelectual, o de salvaguarda de intereses públicos.

Por todo ello, podemos concluir que todos los datos personales son, por su naturaleza, protegidos, pero no todos los datos protegidos son necesariamente datos personales. Así, a la luz de esta distinción, y para analizar los aspectos que influyen en la viabilidad de la compartición, es más conveniente enfocarse en determinar si los datos están sujetos a protección en lugar de si son personales o no.

b) Parámetro temporal o cronológico, que pone el foco en el momento en el que se tiene lugar la cesión de los datos. En este caso, podemos hablar de cesiones iniciales de datos y de cesiones ulteriores o derivadas de datos.

Las primeras son las que ocurren por primera vez, realizadas directamente por la persona física o jurídica a la que originalmente pertenecen los datos, ya sea directamente o de forma indirecta, a través de un tercero (es el caso de los servicios de intermediación de datos o de la portabilidad). Por otro lado, las segundas son aquellas que se producen después de las cesiones iniciales y son realizadas por las personas, físicas o jurídicas, primero cesionarias y a la postre cedentes, siempre y cuando cuenten con una base legal, como el consentimiento del cedente inicial, que les permita llevar a cabo la cesión.

La distinción anterior requiere superar la confusión terminológica que, en nuestra opinión, surge en ocasiones en esta nueva normativa. Específicamente, hacemos referencia al Reglamento de Gobernanza de Datos, que diferencia entre “interesado” y “titular de datos”, como si el primero no tuviera también esta última condición. Por este motivo, consideramos apropiado establecer nuevas categorías doctrinales que nos ayuden a comprender de manera más adecuada la dinámica seguida por dicha regulación, ofreciendo una renovada interpretación de los sujetos responsables de decidir sobre la cesión de los datos, interpretación que seguiremos a lo largo de este estudio. En este sentido, consideramos que sería preferible hablar de “titular primario de los datos” (que comprendería al titular al que identifican o pertenecen en origen los datos, tanto personales -interesado, que podrá ser, también, responsable del tratamiento, si determina, a su vez, los fines y medios del tratamiento- como no personales) y de "titular secundario o derivado de los datos" (que comprendería al titular al que no identifican o no pertenecen en origen los datos, tanto personales -responsable del tratamiento, que nunca interesado- como no personales-). Sólo el titular primario de los datos podría efectuar las cesiones iniciales, mientras que los titulares secundarios podrían realizar las cesiones derivadas.

En consecuencia, podríamos definir(29) al “titular primario de los datos” como <<cualquier persona física titular de datos personales, por cuanto le pertenecen al identificarle, directa o indirectamente, persona física titular de datos no personales, por cuanto le pertenecen originariamente o persona jurídica, incluidos los organismos del sector público y organizaciones internacionales, titular de datos no personales, por cuanto le pertenecen originariamente, que tengan, en todos los casos anteriores, derecho a conceder y permitir el acceso y/o reutilización legítimos (mediante contraprestación o de forma altruista) a tales datos, personales o no personales, respectivamente, con fines comerciales o no comerciales, sobre la base del permiso concedido en forma de consentimiento o al amparo de cualquier otra legitimación>>.

Lo mismo sucedería con respecto al “titular secundario de los datos”, que podría ser definido(30) como <<cualquier persona física, distinta del titular primario de los datos, o persona jurídica, incluidos los organismos del sector público y organizaciones internacionales, distinta del titular primario de los datos, que, en todos los casos anteriores, tenga derecho a conceder y permitir el acceso y/o reutilización legítimos (mediante contraprestación o de forma altruista) a determinados datos, personales o no personales, del titular primario de los datos, con fines comerciales o no comerciales, sobre la base del permiso concedido en forma de consentimiento o al amparo de cualquier otra legitimación>>.

Las nuevas categorías propuestas tendrían un impacto significativo en las definiciones de “consentimiento” y “permiso”. A menudo se pregunta por qué el permiso no cubre la concesión del derecho al tratamiento de datos personales. Esto puede atribuirse al hecho de que, en el contexto del tratamiento de datos personales, el equivalente al permiso es el consentimiento. Sin embargo, se plantea la posibilidad de que se autorice el tratamiento de datos personales mediante permiso, especialmente cuando no se obtiene consentimiento y, aun así, se permite el tratamiento de dichos datos. Esto estaría respaldado por otras bases legales establecidas en el artículo 6 RGPD. En definitiva, parece que se ha equiparado el consentimiento (para datos personales) con el permiso (para datos no personales), cuando, en realidad, el permiso debería considerarse como una forma de autorización para el tratamiento de datos, ya sean personales o no, basada en el consentimiento u otras legitimaciones. Por lo tanto, la distinción clave radica en si la autorización es directa (por parte del titular primario de los datos, ya sean personales o no) o indirecta (por parte del titular secundario de los datos, ya sean personales o no).

En consecuencia, se aporta la siguiente definición(31) para el término “consentimiento”: <<toda manifestación de voluntad libre, específica, informada e inequívoca por la que el titular, primario o secundario, de los datos acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos, personales o no personales, que le conciernen>>. Asimismo, el “permiso” podría ser definido como la <<autorización, en forma de consentimiento o al amparo de cualquier otra legitimación, que el titular, primario o secundario, de los datos concede, mediante contraprestación o de forma altruista, y por la que reconoce el derecho al tratamiento de datos, personales o no personales, con fines comerciales o no comerciales>>.

c) Parámetro finalista o de propósito, que considera el objetivo perseguido con las cesiones de datos. En este contexto, podemos hablar de cesiones de datos que buscan promover una mayor disponibilidad de servicios, cesiones de datos que persiguen conseguir una mayor competencia, cesiones de datos que tienen por finalidad alcanzar una mayor equidad entre las partes o cesiones de datos orientadas a una mayor transparencia entre los competidores en un mercado determinado.

d) Parámetro geográfico, que se centra en la ubicación física de las cesiones de datos. Así, podemos distinguir entre cesiones de datos en el interior de la Unión Europea o de cesiones de datos supracomunitarias.

e) Parámetro de origen y de destino, que considera la naturaleza del titular que realiza las cesiones de datos y del destinatario que las recibe. En este caso, podemos hablar de cesiones de datos públicas (que se refieren a las comparticiones de datos realizadas por entidades del sector público y por instituciones, órganos u organismos de la Unión, que pueden ser recibidas por otras entidades del sector público, por empresas o por particulares), cesiones de datos privadas (que aluden a las comparticiones de datos realizadas por empresas, que pueden ser recibidas por entidades del sector público e instituciones, órganos u organismos de la Unión, por otras empresas o por particulares) o cesiones de datos particulares (que hacen alusión a las comparticiones de datos realizadas por personas físicas individualmente, que pueden ser recibidas por entidades del sector público e instituciones, órganos u organismos de la Unión, por empresas o por otros particulares).

f) Parámetro cuantitativo, que considera el número de participantes en las cesiones de datos. En este caso, podemos hablar de cesiones de datos con, al menos, dos participantes y de cesiones de datos con, al menos, tres participantes. Las primeras ocurren cuando el titular de los datos los comparte directamente con el destinatario, sin la intervención de ningún intermediario. Las segundas requieren la participación de un tercero, como en el caso de los servicios de intermediación de datos, que permiten la transferencia de datos de un titular a otro.

g) Parámetro condicional, que considera si la cesión de datos está sujeta a una condición previa. En este contexto, podemos hablar de cesiones de datos no condicionadas a la voluntad del cedente y de cesiones de datos condicionadas a la voluntad del cedente. La portabilidad es un ejemplo de este último caso, donde la decisión del titular solicitante es necesaria para llevar a cabo la cesión.

h) Parámetro de legitimidad, que considera si las cesiones de datos son voluntarias u obligatorias. Así, podemos hablar de cesiones de datos consentidas y de cesiones de datos impuestas. Basta analizar el planteamiento seguido por la Unión Europea a lo largo de estos años a la hora de abordar las cesiones de datos para observar que, en él, ha primado la voluntad como regla general. Sin embargo, nada impide constatar la existencia de otros tantos supuestos, crecientes en número, que imponen una obligación legal de cesión de datos en favor de terceros; es más, son, cuantitativa y cualitativamente, tan relevantes los casos en los que se exige esta cesión de datos que bien podríamos afirmar que, con ellos, la regla general de la voluntad, pese a seguir vigente, queda, en cierto modo, menoscabada.

IV. PRINCIPIOS RECTORES DEL PRETENDIDO MERCADO ÚNICO DE DATOS

En el ámbito del Derecho, los principios juegan un papel fundamental al orientar la interpretación, la aplicación y la evolución normativa, estableciendo fundamentos sólidos que buscan garantizar un sistema legal justo y coherente. En el contexto que ahora nos ocupa, son varios los principios básicos que inspiran la circulación libre y segura de datos dentro de la Unión Europea, como veremos a continuación.

1. Localización, Accesibilidad, Interoperabilidad y Reutilización

De manera similar a la organización de los libros en una biblioteca(32), es crucial ordenar los datos de manera lógica para maximizar su accesibilidad y reutilización, impulsando, así, su utilidad para terceros distintos del titular o propietario. Es, este, el espíritu que emana del principio FAIR (Findable, Accesible, Interoperable, Reusable), principio que establece directrices para mejorar el la localización, el acceso, la reutilización y la interoperabilidad de los datos que circulan en estos espacios de datos(33), abordando los desafíos de gestionar y utilizar datos en un contexto de crecimiento exponencial y complejidad sin precedentes.

El principio FAIR, propuesto por primera vez en 2014 por un grupo de científicos y especialistas en datos, surge ante la necesidad de abordar la fragmentación, la falta de documentación y la dificultad de acceso a los datos científicos. Procurando dar respuesta a estos problemas, se sostiene en cuatro pilares o exigencias básicas:

En primer lugar, los datos deben ser localizables (Findable). Esto implica asignar identificadores únicos persistentes y proporcionar metadatos(34) descriptivos para facilitar su búsqueda y descubrimiento, tanto por humanos como por máquinas. Se vuelve necesaria, por ende, la identificación precisa de los datos y la creación de herramientas de exploración, además de una completa comprensión e interpretación del significado de aquella y del empleo de estas por parte de los usuarios.

En segundo lugar, los datos deben ser accesibles (Accesible). Deben estar disponibles para su acceso y uso. Con ese fin, resulta necesario que estén resguardados en una ubicación segura y de acceso abierto, o bien que se encuentren accesibles bajo condiciones específicas y políticas transparentes.

En tercer lugar, los datos deben ser interoperables (Interoperable). Deben estar estructurados de manera que puedan ser comprendidos y utilizados por diferentes sistemas y aplicaciones, utilizando formatos y estándares ampliamente aceptados. En concreto, <<[l]os conjuntos de datos deben poder combinarse con otros conjuntos de datos para lo cual resulta imprescindible propiciar actividades normativas donde se tengan en cuenta los tres aspectos de la interoperabilidad: semántico -uso de un vocabulario común, taxonomía-, legal -derechos-, y técnico -legibilidad por máquinas->>(35).

En cuarto lugar, los datos deben ser reutilizables (Reusable). Deben ser diseñados de manera que puedan ser combinados con otros conjuntos de datos, promoviendo la interoperabilidad semántica, legal y técnica para garantizar su legibilidad y uso eficaz por parte de las máquinas(36). La interoperabilidad semántica, legal y técnica de los datos se refiere a la capacidad de diferentes sistemas, plataformas o entidades para intercambiar y utilizar datos de manera efectiva y coherente. En concreto, la interoperabilidad semántica alude a la capacidad de los sistemas para comprender y utilizar los datos de manera consistente, incluso cuando provienen de fuentes diferentes; esto implica que los datos están estructurados y etiquetados de manera que su significado sea claro y comprensible para las máquinas, basándose en el uso de estándares y vocabularios comunes para describir los datos. Por su parte, la interoperabilidad legal hace referencia al marco normativo que rige el intercambio de datos entre diferentes sistemas o entidades, lo que incluye cuestiones como la propiedad de los datos, los derechos de acceso y uso, la privacidad y la protección de datos personales, así como las regulaciones relacionadas con la seguridad y la confidencialidad de la información. Por último, la interoperabilidad técnica muestra la capacidad de los sistemas para intercambiar datos de manera efectiva desde un punto de vista técnico, englobando aspectos como los formatos de datos, los protocolos de comunicación, la seguridad de la información y la infraestructura tecnológica necesaria para soportar el intercambio de datos de manera eficiente y segura.

Las alusiones normativas a este principio son variadas. La DRISP hace referencia a él en distintos apartados:

Uno, al tratar el formato que deben tener los documentos disponibles, establece que <<[s]in perjuicio del capítulo V, los organismos del sector público y las empresas públicas facilitarán sus documentos en cualquier formato o lengua en que existan previamente y, siempre que sea posible y apropiado, por medios electrónicos, en formas o formatos que sean abiertos, legibles por máquina, accesibles, fáciles de localizar y reutilizables>> (artículo 5.1 -en la misma línea, el artículo 5.3 LRIAP-).

Dos, al considerar los dispositivos prácticos para facilitar la búsqueda de los documentos disponibles para su reutilización, establece que <<[l]os Estados miembros en cooperación con la Comisión, continuarán los esfuerzos de simplificación del acceso a conjuntos de datos, en particular proporcionando un único punto de acceso y poniendo progresivamente a disposición conjuntos de datos adecuados que obren en poder de organismos del sector público en relación con todos los documentos a los que aplica la presente Directiva, así como con datos que obren en poder de las instituciones de la Unión, en formatos que sean accesibles, fáciles de localizar y reutilizables por medios electrónicos>> (artículo 9.2).

Tres, de forma explícita, en el artículo 10.1 (en la misma línea, el artículo 3.bis LRIAP), que regula la disponibilidad de datos de investigación, disponiendo que <<[l]os Estados miembros apoyarán la disponibilidad de los datos de investigación mediante la adopción de políticas nacionales y actuaciones pertinentes destinadas a hacer que los datos de la investigación financiada públicamente sean plenamente accesibles (<<políticas de acceso abierto>>) en aplicación del principio de apertura por defecto y de compatibilidad con los principios FAIR>>.

Por otro lado, el Reglamento de Gobernanza de Datos, de forma más limitada, lo menciona sólo en su considerando segundo, para indicar que <<[l]os espacios comunes europeos de datos deben hacer que los datos sean fáciles de encontrar, accesibles, interoperables y reutilizables (“principios FAIR”)>>.

Vale la pena mencionar, en relación con la accesibilidad a los datos, el papel de las licencias. Estas se emplean para salvaguardar los derechos de los titulares de los datos y, al mismo tiempo, permiten su uso y reutilización efectiva por parte de terceros. Algunos aspectos fundamentales de las licencias de datos se refieren a los usos permitidos (que especifican cómo pueden utilizarse los datos, si se pueden modificar, adaptar, redistribuir, utilizar con fines comerciales o no comerciales, etc.), la atribución (indicando cómo se debe reconocer la disponibilidad de los datos), las restricciones (para ciertos usos no deseados o no permitidos) o la compatibilidad (con otras licencias o estándares utilizados en la comunidad, para facilitar la combinación y la reutilización de diferentes conjuntos de datos)(37).

Hasta el momento, la regulación más detallada de las licencias se ha centrado en la normativa sobre acceso y reutilización de datos del sector público. Destaca, en este sentido, el artículo 4 LRIAP (y el artículo 5 RGD), que enumera las posibles modalidades para la disponibilidad de este tipo de datos, aplicables también a otros tipos de datos:

a) Reutilización de documentos disponibles al público sin condiciones, es decir, sin necesidad de licencia alguna.

b) Reutilización de documentos disponibles al público con condiciones establecidas en licencias-tipo, entendidas, estas últimas, como el <<conjunto de condiciones de reutilización predefinidas en formato digital, preferiblemente compatibles con licencias modelo públicas disponibles en línea>> [artículo 2.5) DDA y anexo.9) LRIAP].

c) Reutilización de documentos previa solicitud que debe seguir un procedimiento (como el mencionado en el artículo 10 LRIAP), pudiendo, en estos casos, incorporar condiciones establecidas en una licencia.

d) Acuerdos exclusivos, que, como norma general y al restringir la disponibilidad de datos para su reutilización por parte de entidades distintas de las involucradas, estarán prohibidos, salvo que sean estrictamente necesarios para la prestación de un servicio o la provisión de un producto de interés general que, de otro modo, no sería posible (artículos 6 LRIAP, 4 RGD y 8 RD).

La misma LRIAP menciona ciertas condiciones generales en su artículo 8, que incluyen: que el contenido de la información, incluyendo sus metadatos, no sea alterado; que no se desnaturalice el sentido de la información; que se cite la fuente; que se mencione la fecha de la última actualización; cuando la información contenga datos de carácter personal, la finalidad o finalidades concretas para las que es posible la reutilización futura de los datos, o, cuando la información, aun siendo facilitada de forma disociada, contuviera elementos suficientes que pudieran permitir la identificación de los interesados en el proceso de reutilización, la prohibición de revertir el procedimiento de disociación mediante la adición de nuevos datos obtenidos de otras fuentes.

Relacionando la accesibilidad, característica del principio FAIR, con los demás principios que promueven la circulación de los datos, las condiciones de las licencias deben ser claras, justas y transparentes, según los artículos 4.3 LRIAP y 5.2 RGD. No deben limitar la reutilización ni restringir la competencia, ni discriminar entre categorías comparables de reutilización, incluyendo la reutilización transfronteriza. Además, se deben proteger los datos, pudiendo establecer requisitos como: a) que el acceso a los datos se conceda solo después de garantizar que se han anonimizado los datos personales y se ha modificado, agregado o tratado la información comercial confidencial, incluyendo secretos comerciales o contenidos protegidos por derechos de propiedad intelectual; b) que el acceso y la reutilización de datos a distancia se realicen en un entorno de tratamiento seguro facilitado o controlado por el organismo del sector público de que se trate; c) que el acceso y reutilización de los datos se lleven a cabo en los locales físicos en los que se encuentre el entorno de tratamiento seguro de conformidad con unas normas de seguridad estrictas, siempre que no pueda habilitarse el acceso a distancia sin que ello ponga en peligro los derechos e intereses de terceros.

2. Tan abiertos como sea posible, tan cerrados como sea necesario

Este es un principio fundamental que algunos llaman “régimen de acceso a los datos en construcción”(38), un principio que podría considerarse como una extensión o resultado de los demás. Siguiendo el lema de este principio, busca destacar la importancia de lograr un equilibrio entre las acciones que promueven y facilitan la libre circulación de los datos y otros intereses que también requieren protección(39). Esto implica que las decisiones tomadas no deben ser tan amplias o expansivas como para desincentivar las inversiones en la producción y procesamiento de datos, obstaculizar su comercialización o violar los derechos (ya sea de confidencialidad comercial, incluidos secretos comerciales, profesionales o empresariales; de confidencialidad estadística; de protección de los derechos de propiedad intelectual de terceros; de seguridad pública o información sensible sobre infraestructuras críticas, o de protección de datos personales) que posea el titular de los datos u otras personas, ya sean físicas o jurídicas.

Por lo tanto, se requiere reconocer que la apertura de datos puede tener múltiples beneficios (como impulsar la innovación, facilitar la colaboración, mejorar la toma de decisiones basadas en datos y empoderar a los ciudadanos), al mismo tiempo que se reconoce que no todos los datos pueden ni deben ser compartidos sin restricciones derivadas de requisitos legales, éticos o de seguridad. Del mismo modo, se busca evitar que una compartición demasiado amplia de los datos pueda generar efectos negativos para una competencia adecuada entre todos los actores involucrados, como permitir a grandes plataformas digitales (que poseen grandes volúmenes de datos) beneficiarse de esta libre circulación para consolidar su posición dominante en el mercado o, incluso, transferirla a mercados secundarios(40).

Dada la premisa anterior, podemos desglosar este principio en dos aspectos fundamentales:

Por un lado, se debe promover la máxima transparencia en el acceso a los datos, es decir, fomentar la accesibilidad por defecto y el uso de datos abiertos(41). Se debe compartir información de manera abierta siempre que sea factible y adecuado. Esto implica que los datos deben estar disponibles en formatos accesibles, ser fácilmente descargables y utilizables por terceros interesados, con todas las ventajas, mencionadas, que incluyen la creación de espacios de datos comunes.

Por otro lado, es crucial proteger los datos cuando existan derechos de su titular o de terceros, es decir, garantizar la protección por defecto. Reconociendo que no todos los datos pueden o deben ser compartidos sin restricciones, especialmente aquellos que son sensibles, confidenciales o que tienen implicaciones en la seguridad, es imperativo aplicar medidas para proteger la privacidad de las personas, prevenir el uso indebido de los datos o mitigar riesgos potenciales. En tales supuestos, se deben implementar medidas para limitar la libre circulación de los datos, aunque, en circunstancias específicas, se pueden aplicar salvaguardas como la anonimización de datos, la implementación de medidas de seguridad robustas o la restricción del acceso a grupos autorizados, muchas de las cuales están contempladas en la normativa, con el objetivo de equilibrar de manera adecuada la compartición y la protección de datos.

Un antecedente inmediato del principio de protección de datos (desde el diseño y) por defecto se encuentra en el artículo 25 del Reglamento General de Protección de Datos (precedido del considerando 78). Este precepto, inicialmente previsto para datos personales, debe aplicarse en conjunción con la reciente normativa destinada a promover la compartición de datos.

En su primer apartado, regula la protección de datos desde el diseño, estableciendo que, considerando el estado de la tecnología, el coste de la implementación, así como la naturaleza, alcance, contexto y objetivos del tratamiento, además de los riesgos de diversa probabilidad y gravedad asociados con el tratamiento en relación a los derechos y libertades de las personas físicas (lo que implica la obligación de realizar un análisis de riesgos para cada caso específico), deben aplicarse medidas técnicas y organizativas apropiadas tanto en la fase de determinación de los medios de tratamiento como durante el tratamiento mismo. Estas medidas, como la seudonimización(42), están diseñadas para aplicar eficazmente los principios de protección de datos(43), como la minimización de datos, e incorporar las garantías necesarias en el tratamiento de datos personales, con el fin de cumplir con los requisitos legales vigentes y proteger eficazmente los derechos de los interesados. Este apartado establece un marco en el que la protección está contextualizada, con el objetivo de prevenir la violación del derecho fundamental a la protección de datos personales de los interesados, especialmente en el caso de datos sensibles, como los datos de salud o financieros (amparados por los artículos 9 RGPD y 9 LOPDGDD)(44). Además de los aspectos tecnológicos, también se deben considerar aspectos económicos, incluido el coste total de implementación. El Dictamen del Supervisor Europeo de Protección de Datos(45) destaca <<[] debate la necesidad de integrar a nivel práctico la protección de datos y la privacidad desde el inicio mismo de las nuevas tecnologías de la información y la comunicación (lo que se denomina el principio de “privacidad desde el diseño”). Para imponer el cumplimiento de este principio, el Dictamen debate la necesidad de asegurar el principio de “privacidad desde el diseño” en el marco jurídico de la protección de datos al menos de dos modos diferentes: en primer lugar, integrándolo como un principio general y vinculante, y en segundo lugar, incorporándolo en determinados ámbitos de las TIC que presentan riesgos concretos relacionados con la protección de los datos y la privacidad mitigables mediante una arquitectura técnica y un diseño adecuados>>. Por lo tanto, la aplicación de este principio está estrechamente vinculada a lo que se conoce como enfoque basado en el riesgo; así lo confirmó el, ya extinto, Grupo de Trabajo del Artículo 29(46), que señalaba que este enfoque basado en el concepto de riesgo, objeto de un intenso debate en el Parlamento Europeo y el Consejo durante el proceso de adopción del RGPD, constituye el núcleo de la normativa actual sobre la materia y ha influido en numerosas medidas adoptadas en este nuevo marco, como el presente principio o la evaluación de impacto en la protección de datos, que se han convertido en herramientas esenciales para identificar y valorar los riesgos.

En relación con la protección de datos por defecto, el segundo apartado establece que deben implementarse medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se traten los datos personales necesarios para cada una de las finalidades específicas del tratamiento [principio de minimización de datos -artículo 5.1.c) RGPD(47)]. Esta obligación se aplica tanto a la cantidad de datos personales recopilados, como a la extensión del tratamiento, su período de retención y su accesibilidad. Además, estas medidas deben asegurar especialmente que, por defecto, los datos personales no estén accesibles para un número indeterminado de personas físicas sin la intervención de la persona(48).

Es evidente, por lo tanto, que el principio “tan abiertos como sea posible, tan cerrados como sea necesario” reconoce fundamentalmente que no todas las situaciones requieren el mismo nivel de apertura o de restricción. En lugar de ser una regla inflexible, es una guía adaptable que insta a evaluar cada contexto específico y a tomar decisiones equilibradas según los beneficios y riesgos involucrados en cada caso.

El origen de este principio en la Unión Europea se encuentra en las indicaciones de la Comisión Europea relativas a la gestión de información en proyectos emergidos bajo el Programa Marco Horizonte 2020(49). El refrendo legal lo encontramos en relación con la reutilización de datos de investigación en poder de organismos del sector público. El considerando 28 DRISP subraya la importancia de la aplicación de este principio, motivado por la búsqueda de un equilibrio justo entre las políticas de acceso abierto por defecto, específicamente en relación con los datos de la investigación financiada con fondos públicos; para lograr esto, es esencial tener plenamente presente <<[] las inquietudes relacionadas con la privacidad, la protección de datos personales, la confidencialidad, la seguridad nacional, los intereses comerciales legítimos, como los secretos comerciales, y los derechos de propiedad intelectual de terceros>>. Al respecto, prosigue el considerando 52, <<[a]nonimizar la información constituye un medio para conciliar los intereses a la hora de hacer la información del sector público tan reutilizable como sea posible con las obligaciones contraídas en virtud de la normativa sobre la protección de datos>>.

En esta misma dirección, su artículo 10 (así como, en nuestro Derecho interno, el artículo 3.bis LRIAP) aborda específicamente la cuestión de los datos de investigación, haciendo referencia explícita a este principio en su primer apartado. En este sentido, establece la responsabilidad de los Estados miembros de respaldar, bajo el principio de apertura por defecto, la disponibilidad de datos de investigación financiados con fondos públicos a través de la implementación de políticas nacionales y medidas apropiadas que promuevan su acceso completo. No obstante, también enfatiza la necesidad de vincular esta apertura con <<[] los derechos de propiedad intelectual e industrial, la protección de datos personales y la confidencialidad, la seguridad y los intereses comerciales legítimos de conformidad con el principio “tan abiertos como sea posible, tan cerrados como sea necesario”. Estas políticas de acceso abierto se dirigirán a las organizaciones que realizan actividades de investigación y a las organizaciones que financian la investigación>>.

A la postre, el Reglamento de Gobernanza de Datos (que amplía el conjunto de datos reutilizables en control de los organismos públicos) ha introducido un considerando 16 que detalla los casos y acciones para incentivar la utilización de datos de investigación. Este apartado se expresa de la siguiente forma: <<[c]on miras a facilitar y fomentar la utilización con fines de investigación científica de los datos que obren en poder de los organismos del sector público, se anima a estos a que elaboren un planteamiento y procesos armonizados que permitan que esos datos sean fácilmente accesibles para fines de investigación científica por razones de interés público. Esto podría significar, entre otras cosas, la creación de procedimientos administrativos racionalizados, formatos normalizados de datos, metadatos informativos sobre las opciones metodológicas y de recogida de datos, y campos de datos normalizados que permitan unir de forma fácil conjuntos de datos procedentes de diferentes fuentes de datos del sector público cuando sea pertinente con fines de análisis. El objetivo de dichas prácticas debe consistir en promover los datos financiados y producidos con fondos públicos con fines de investigación científica, de conformidad con el principio de “tan abiertos como sea posible, tan cerrados como sea necesario”>>.

A pesar de esta delimitación normativa del principio sólo a datos públicos de investigación, es igualmente aplicable a cualquier otro dato, personal o no personal, susceptible de ser compartido con terceros potenciales que, con las adecuadas precauciones, puedan utilizarlos para fines específicos, tanto en beneficio propio como de la sociedad en general. Por lo tanto, se puede concluir que los espacios de datos deben ser abiertos para promover la competencia, pero tan cerrados como sea necesario para garantizar el cumplimiento de las normas y valores acordados.

3. Transparencia

Este principio juega un papel fundamental para fortalecer la confianza de los involucrados en la circulación y disponibilidad de los datos. No obstante, su precedente más inmediato y relevante hasta la fecha se encuentra en la normativa de protección de datos personales, donde la transparencia es uno de los principios rectores del tratamiento [según el artículo 5.1.a) RGPD].

Merced a esta exigencia, plasmada principalmente en los artículos 12 a 14 RGPD y 11 LOPDGDD, la transparencia en el tratamiento de datos personales requiere que el responsable del tratamiento (es decir, el titular de los datos que determina el propósito y los medios del tratamiento, según el artículo 4.7 RGPD) tome todas las medidas necesarias para proporcionar al interesado información completa sobre las circunstancias del tratamiento de sus datos personales, así como sobre los derechos que le corresponden de acuerdo con los artículos 15 a 22 del precitado Reglamento RGPD y 12 a 18 de la Ley nacional. Esta obligación de proporcionar información debe ser clara, transparente, comprensible y de fácil acceso, utilizando un lenguaje sencillo y claro, especialmente cuando se trata de información dirigida a menores de edad. Además, debe ser proporcionada por escrito o por otros medios, como el electrónico, si bien el interesado puede solicitar que se le transmita verbalmente, siempre que el responsable del tratamiento pueda demostrar la identidad del interesado por otros medios jurídicamente válidos (considerando 58 y el artículo 12.1, ambos del Reglamento General de Protección de Datos).

La doctrina(50) destaca que el principio de transparencia, surgido con el RGPD, no se limita a exigir al responsable del tratamiento la provisión de información al interesado sobre los tratamientos realizados sobre sus datos personales y la comunicación en torno a los derechos que este puede ejercitar al respecto, sino que se centra en la forma en que estas obligaciones deben ser cumplidas. El legislador, partiendo de la complejidad que entraña el entorno virtual, sostiene que el mero cumplimiento, por el responsable del tratamiento, de tales obligaciones no garantiza que el interesado comprenda la lógica detrás del tratamiento de sus datos ni perciba su capacidad de disposición sobre ellos, especialmente en un entorno tecnológico complejo. Por lo tanto, se busca abordar esta situación estableciendo la información que se ha de suministrar con carácter de mínimos, los derechos que se pueden ejercitar y, con especial énfasis, la forma en que esta información y estos derechos han de proporcionarse y habilitarse. El éxito del principio de transparencia radica en lograr estos objetivos de manera efectiva(51).

Ampliando la regulación también a los datos no personales y para los supuestos en los que el fin sea la compartición de datos, aparecen plasmaciones de la misma necesidad de transparencia en diversos aspectos, muchos centrados en la reutilización de datos por parte de las Administraciones Públicas. En concreto, la DRISP requiere que el precio total, excepcional a la norma de gratuidad, establecido para cubrir los costes marginales asociados a la reproducción, disponibilidad y divulgación de documentos, así como para la anonimización de datos personales y las medidas para proteger la información comercial confidencial, se determine de acuerdo con criterios transparentes (artículo 6.4). Además, el siguiente precepto (junto con el artículo 7.4 LRIAP) regula la transparencia necesaria en las tarifas estándar (condiciones aplicables, monto, base de cálculo), que deben ser establecidas previamente y publicadas, siempre que sea factible y apropiado, por medios electrónicos. Lo mismo se aplica a los acuerdos exclusivos que, como excepción a la regla general de libre disposición de datos para todos los posibles agentes del mercado, se abordan en el artículo 12, el cual requiere, en sus apartados segundo y cuarto (así como en los apartados 2 a 4 del artículo 6 LRIAP y en los apartados 3 y 5 del artículo 4 RGD), transparencia en las condiciones finales de dichos acuerdos. El artículo 4.3.a) LRIAP también establece la transparencia en las condiciones de las licencias, mientras que el RGD hace lo propio con las condiciones de la reutilización (artículo 5, apartados 2 y 4) y las tasas por permitir dicha reutilización (artículo 6, apartados 1 y 2 -en la misma línea, la disposición adicional quinta LRIAP-).

Además de lo anterior, en el caso de los servicios de intermediación de datos(52), el RGD establece la obligación del prestador de ser transparente en el proceso de acceso al servicio, lo que incluye la divulgación de precios y condiciones [letra f) del artículo 12], así como, cuando implique el tratamiento de datos personales, proporcionar información y asesoramiento al interesado sobre los posibles usos de los datos por terceros y las condiciones generales aplicables a dichos usos antes de que los interesados otorguen su consentimiento [letra m) del precepto anterior]. Respecto a los servicios de gestión de datos con fines altruistas, se establece la obligación de mantener un registro completo y preciso, y de presentar un informe anual, ambos conteniendo la información mínima requerida según lo dispuesto en el artículo 20. Por último (apartado segundo del artículo 26), tanto las autoridades competentes en materia de servicios de intermediación de datos como las autoridades responsables del registro de organizaciones de gestión de datos con fines altruistas ejercerán sus funciones de manera, entre otras, transparente.

Por último, el marco legal establecido en el RD (apartado primero del artículo 8) para las transferencias de datos entre empresas requiere que el titular de los datos los ponga a disposición de los destinatarios de manera transparente. Además, tanto los titulares como los destinatarios tendrán acceso a órganos de resolución de las disputas que puedan surgir, en lo que aquí interesa, en relación con la forma transparente de poner los datos a disposición, siendo esta transparencia uno de los elementos a tener en consideración para determinar si tales órganos disponen de los conocimientos técnicos necesarios y, por ende, merecen la certificación por parte del Estado miembro en el que están establecidos [artículo 10, apartados 1 y 2, letra b)].

4. Justicia, Razonabilidad y No discriminación

La conveniencia de promocionar cesiones de datos en condiciones justas, razonables y no discriminatorias ha sido fundamental desde el inicio de la regulación sobre compartición de datos. El considerando octavo de la Directiva 2003/98/CE, reflejado, a la postre y en su mayor parte, en el considerando vigésimo DRISP, estableció que <<[s]e necesita disponer de un marco general para las condiciones de reutilización de los documentos del sector público con el fin de garantizar que dichas condiciones sean equitativas, proporcionadas y no discriminatorias>>. El principio de equidad implica que las condiciones de reutilización de documentos del sector público deben ser justas para todas las partes interesadas, lo que significa que no debe haber discriminación en términos de quién puede acceder a los documentos o bajo qué condiciones, de modo que todos los solicitantes deben tener igualdad de oportunidades para acceder a los documentos y para utilizarlos en sus propias aplicaciones, servicios o investigaciones. La proporcionalidad, por su parte, se refiere a la adecuación y la correspondencia entre las condiciones de reutilización y el propósito previsto; así, las tarifas de licencia u otras condiciones impuestas para la reutilización de documentos públicos deben ser proporcionales al valor y al coste real de producción de los documentos, no pudiendo imponerse tarifas excesivas que desalienten la reutilización ni condiciones que restrinjan injustamente el acceso a la información pública. Por último, el principio de no discriminación implica que todas las partes interesadas, independientemente de su tamaño o recursos, deben recibir un trato equitativo en lo que respecta a la reutilización de documentos del sector público, de suerte que las condiciones no deben favorecer injustamente a ciertos solicitantes sobre otros y no debe haber discriminación arbitraria en el acceso a los documentos o en las tarifas de licencia aplicadas.

No obstante, es en la compartición de datos entre empresas donde este principio, conocido como FRAND (Fair, Reasonable and Non-Discriminatory), cobra mayor relevancia. La obligación legal de poner los datos a disposición del destinatario en ciertos casos, junto con las condiciones para evitar cláusulas abusivas entre empresas, consolidan claramente el régimen FRAND en la compartición de datos. Este momento marca la necesidad imperiosa de un régimen detallado para este principio.

La flexibilidad del régimen FRAND, que otorga el protagonismo en la definición de las condiciones de acceso a las partes y no a un regulador, ha hecho atractivo este régimen para ordenar las condiciones de contratación obligatoria en mercados acusadamente dinámicos, como es el caso de las obligaciones de acceso previstas en el Reglamento de Mercados Digitales(53) y, ahora, en la definición de las condiciones para la cesión de datos.

V. CONCLUSIONES

El enfoque europeo en materia de datos representa una respuesta crucial a los cambios transformadores que abarcan todos los aspectos de nuestra sociedad. En un mundo cada vez más dependiente de la tecnología digital, la recopilación y el análisis de datos se han vuelto fundamentales para el funcionamiento de la economía y la sociedad en su conjunto. En este contexto, la Unión Europea reconoce la importancia de este fenómeno y se enfrenta al desafío de adaptarse y regularlo de manera efectiva.

En el centro de esta transformación se encuentra la necesidad de mejorar la productividad empresarial, especialmente para las microempresas y pymes, que constituyen la mayoría del tejido empresarial europeo. Sin embargo, esta mejora debe lograrse sin comprometer los valores fundamentales de la Unión Europea, como la privacidad de los datos y los derechos individuales. Además, la competencia de las grandes plataformas digitales extranjeras plantea desafíos adicionales, ya que cuentan con una capacidad sin precedentes para recopilar, procesar y utilizar datos.

Ante esta situación, la Unión Europea ha optado por un enfoque que fomente la participación y la compartición de datos entre todos los actores involucrados. En lugar de permitir la concentración de datos en unas pocas empresas dominantes, se propone la creación de un espacio común europeo de datos, donde se garantice un equilibrio en la distribución del valor generado. Este enfoque no sólo busca mejorar la competitividad de las empresas europeas, sino también proteger los valores éticos y los derechos de los ciudadanos.

La Estrategia Europea de Datos, aprobada en 2020, marca un hito importante en este camino hacia una economía ágil de datos. Representa un compromiso firme con la compartición progresiva e igualitaria de datos, donde todos contribuyan y se beneficien mutuamente. Para respaldar esta estrategia, la Unión Europea ha introducido nuevos marcos legislativos destinados a promover la circulación de datos y a crear un mercado interior altamente competitivo.

Dos reglamentos clave en este contexto son el Reglamento de Gobernanza de Datos y el Reglamento de Datos. El primero busca fomentar la compartición voluntaria de datos (que sigue siendo la regla general), mientras que el segundo establece otros tantos supuestos, crecientes en número, que imponen una obligación legal de cesión de datos en favor de terceros. Es más, son, cuantitativa y cualitativamente, tan relevantes los casos en los que se exige esta cesión de datos que bien podríamos afirmar que, con ellos, la regla general de la voluntad, pese a seguir vigente, queda, en cierto modo, menoscabada.

Además de estos aspectos legislativos, se reconoce la necesidad de clarificar y sistematizar la terminología utilizada en el ámbito de los flujos de datos. La proliferación de términos como circulación, reutilización, compartición, cesión o puesta a disposición ha generado una confusión significativa, lo que subraya la importancia de establecer una estructura coherente y unificada para un análisis preciso de los marcos normativos emergentes. La propuesta de estandarización de la terminología, basada en la legislación existente y los paralelismos con la regulación de protección de datos personales, se presenta como un enfoque sólido para clarificar los términos utilizados y facilitar la comprensión de las nuevas regulaciones.

En particular, destaca la importancia de distinguir entre diferentes tipos de datos y establecer una clasificación detallada de las cesiones de datos. Esta clasificación multidimensional proporciona un marco analítico completo para comprender la dinámica y los requisitos asociados con los diferentes tipos de cesiones de datos. Se propone una redefinición de los sujetos responsables de las cesiones de datos, introduciendo los conceptos de “titular primario de los datos” y “titular secundario o derivado de los datos”, a fin de aclarar los roles y responsabilidades en el proceso de cesión de datos.

Además de la compartición de datos, los principios rectores del pretendido mercado único de datos también se enfocan en la gestión y utilización de los mismos. Estos principios se establecen como un marco para mejorar la localización, accesibilidad, interoperabilidad y reutilización de los datos, así como para equilibrar la libre circulación de datos con la protección de los derechos y la seguridad. Además, resulta fundamental la transparencia y la justicia en la circulación y disponibilidad de datos, tanto en el ámbito público como en el empresarial. Estos principios son esenciales para garantizar un acceso equitativo y no discriminatorio a los datos, así como para promover un ecosistema de datos más equitativo y accesible para todos los involucrados.

VI. BIBLIOGRAFÍA

Caballero, Ismael, <<Principios FAIR: el secreto de los magos de los datos>>, en datos.gob.es.

Cerrillo I Martínez, Agustí, <<La información del sector público: del acceso a la reutilización>>, en Galán Galán, Alfredo/ Cerrillo I Martínez, Agustí (Coords.), La reutilización de la información del sector público, Granada, Ed. Comares, 2006, pp. 1-24.

Cerrillo I Martínez, Agustí, <<Reutilización de la información del sector público e Inteligencia Artificial>>, en Gamero Casado, Eduardo (Dir.), Inteligencia Artificial y sector público: retos, límites y medios, Valencia, Ed. Tirant lo Blanch, 2023, pp. 465-501.

Clabo Clemente, Néstor/Ramos Vielba, Irene, <<Reutilización de datos abiertos en la administración pública en España y uso de licencias-tipo>>, en Revista española de documentación científica, núm. 3, 2015, pp. 1-14.

Comisión Europea, European data market SMART 2013/0063, final report, 01 de febrero de 2017.

Díaz Fraile, Juan María, <<El documento electrónico y la firma digital: su regulación en la Unión Europea>>, en Noticias de la Unión Europea, núm. 177, 1999, pp. 9-30.

Duaso Calés, Rosario, <<Los principios de protección de datos desde el diseño y protección de datos por defecto>>, en Piñar Mañas, José Luis (Dir.), Reglamento General de Protección de Datos: hacia un nuevo modelo de privacidad, Madrid, Ed. Reus, 2016, pp. 295-320.

European Commission, H2020 Programme guidelines on FAIR data management in Horizon 2020, 2016.

García Saura, Pilar Juana, <<Los datos de investigación. Del data sharing a su reutilización en la Ciencia>>, en Valero Torrijos, Julián/Martínez Gutiérrez, Rubén (Dirs.), Datos abiertos y reutilización de la información del sector público, Granada, Ed. Comares, 2022, pp. 57-79.

Garrido Juncal, Andrea, <<El derecho a la reutilización de la información del sector público y el principio ‘tan abiertos como sea posible, tan cerrados como sea necesario’>>, en Puentes Cociña, Beltrán/Quintiá Pastrana, Andrei (Coords.), El Derecho ante la transformación digital: oportunidades, riesgos y garantías, Barcelona, Ed. Atelier, pp. 91-104.

Grupo de Trabajo del Artículo 29, Dictamen 4/2007 sobre el concepto de datos personales (01248/07/ES, WP 136).

Grupo de Trabajo del Artículo 29, Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, 844/14/ES (WP 217, de 09 de abril de 2014).

Grupo de Trabajo del Artículo 29, Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento “entraña probablemente un alto riesgo” a efectos del Reglamento (UE) 2016/679 [17/ES, WP 248 rev.01].

Grupo de Trabajo del Artículo 29, Recomendación 99/1, sobre el tratamiento invisible y automático de datos personales en Internet efectuado por software y hardware (DG XV D 5093/98/final, WP 17).

Heim, Mathew/Nikolic, Igor, <<A FRAND regime for dominant digital platforms>>, en Journal of Intellectual Property, Information Technology and E-Commerce Law, núm. 18, 2019, pp. 38-55.

Hernández Corchete, Juan Antonio, <<Transparencia en la información al interesado del tratamiento de sus datos personales y en el ejercicio de sus derechos>>, en Piñar Mañas, José Luis (Dir.), Reglamento General de Protección de Datos: hacia un nuevo modelo de privacidad, Madrid, Ed. Reus, 2016, pp. 205-226.

Hoffman, Jörg, <<Safeguarding innovation through data governance regulation: the case of digital payment services>>, en Data access, consumer interests and public welfare, Baden-Baden, Ed. Nomos, 2021, pp. 343-400.

López-Tarruella Martínez, Aurelio, Propiedad intelectual e innovación basada en los datos, Madrid, Ed. Dykinson, 2021.

Martínez Gutiérrez, Rubén, <<Datos abiertos, interoperabilidad y reutilización de tecnología para la inteligencia artificial del sector público>>, en Cotino Hueso, Lorenzo/Castellanos Claramunt, Jorge (Dirs.), Algoritmos abiertos y que no discriminen en el sector público, Valencia, Ed. Tirant lo Blanch, 2023, pp. 97-114.

Miralles López, Ramón Martín, <<Protección de datos desde el diseño y por defecto (art. 25 RGPD. Art. 28 LOPDGDD)>>, en López Calvo, José (Coord.), La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD, Madrid, Ed. Wolters Kluwer, 2019, pp. 421-426.

Oroz Valencia, Lourdes, <<Aproximación a la obligación de la protección de datos desde el diseño y por defecto>>, en Actualidad administrativa, núm. 1, 2018.

Parlamento Europeo, <<Las pequeñas y medianas empresas>>, abril de 2023.

Plaza Penadés, Javier, Propiedad intelectual y sociedad de la información: Tratados OMPI, Directiva 2001/29/CE y responsabilidad civil en la Red, Cizur Menor, Ed. Thomson Reuters Aranzadi, 2002.

Reimsbach-Kounatze, Christian, <<Enhancing access to and sharing of data: striking the balance between openness and control over data>>, en Data access, consumer interests and public welfare, Baden-Baden, Ed. Nomos, 2021, pp. 25-68.

Rodríguez Ayuso, Juan Francisco, Figuras y responsabilidades en el tratamiento de datos personales, Barcelona, Ed. Bosch, 2019.

Sánchez García, Alfonso, <<El valor económico de la información pública y la regulación del precio de su reutilización>>, en Valero Torrijos, Julián/Martínez Gutiérrez, Rubén (Dirs.), Datos abiertos y reutilización de la información del sector público, Granada, Ed. Comares, 2022, pp. 215-252.

Supervisor Europeo de Protección de Datos, Dictamen del Supervisor Europeo de Protección de Datos acerca de la promoción de la confianza en la sociedad de la información mediante el impulso de la protección de datos y la privacidad (DOUE C 280/1, de 16 de octubre de 2010).

Wilkinson, Mark et al., <<The FAIR guiding principles for scientific data management and stewardship>>, en Scientific data, núm. 3, 2016.

NOTAS:

(1). Este trabajo ha sido realizado en el marco de los siguientes Proyectos de Investigación: en primer lugar, "Marco jurídico para la disputabilidad y equidad de los servicios básicos de plataforma en el sector digital: el control de los gatekeepers” (DISEQGATE)", de la Universidad Nacional de Educación a Distancia, financiado por las Ayudas para Investigadores Tempranos UNED-SANTANDER 2023, del que soy Investigador Principal (IP); en segundo lugar, "La digitalización de las Administraciones Públicas responsables ante los retos del envejecimiento" (ref. CIGE/2022/55), financiado por la Conselleria de Innovación, Universidades, Ciencia y Sociedad Digital de la Generalitat Valenciana, del que el IP es el Profesor D. José Miguel Beltrán Castellanos.

(2). De acuerdo con el artículo 2 del Anexo de la Recomendación de la Comisión de 6 de mayo de 2003 sobre la definición de microempresas, pequeñas y medianas empresas (Diario Oficial de la Unión Europea -DOUE, en lo sucesivo- L 124/36, de 20 de mayo de 2003): <<1. La categoría de microempresas, pequeñas y medianas empresas (PYME) está constituida por las empresas que ocupan a menos de 250 personas y cuyo volumen de negocios anual no excede de 50 millones de euros o cuyo balance general anual no excede de 43 millones de euros. 2. En la categoría de las PYME, se define a una pequeña empresa como una empresa que ocupa a menos de 50 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 10 millones de euros. 3. En la categoría de las PYME, se define a una microempresa como una empresa que ocupa a menos de 10 personas y cuyo volumen de negocios anual o cuyo balance general anual no supera los 2 millones de euros>>.

(3). Parlamento Europeo, <<Las pequeñas y medianas empresas>>, abril de 2023.

(4). La economía de los datos evalúa el impacto general del mercado de datos en la economía en su totalidad. Este concepto engloba la generación, recolección, almacenamiento, procesamiento, distribución, análisis, entrega y aprovechamiento de datos mediante tecnologías digitales. Además, abarca los efectos directos, indirectos e inducidos del mercado de datos en las economías (Comisión Europea, European data market SMART 2013/0063, final report, 01 de febrero de 2017).

(5). DOUE L 152/1, de 03 de junio de 2022.

(6). DOUE L 345/90, de 31 de diciembre de 2003.

(7). DOUE L 175/1, de 27 de junio de 2013.

(8). DOUE L 172/56, de 26 de junio de 2019.

(9). DOUE L 2854, de 22 de diciembre de 2023.

(10). La regulación de las transferencias internacionales de datos personales aparece recogida en los artículos 44 a 50 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o RGPD -DOUE L 119/1, de 04 de mayo de 2016-) y 40 a 43 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales [LOPDGDD (Boletín Oficial del Estado -BOE- núm. 294, de 06 de diciembre de 2018)].

(11). El artículo 32.1 RD incurre en el error de limitar esta obligación únicamente a los proveedores de servicios de tratamiento de datos personales, aunque posteriormente hace referencia a las transferencias internacionales de datos no personales; por esta razón, sería apropiado omitir la palabra “personales”. En cualquier caso, habría sido adecuado incluir en el RD una definición de proveedor de servicios de tratamiento de datos para precisar si esta actividad puede ser realizada por personas físicas, jurídicas o ambas, y si puede tener carácter público y/o privado.

(12). Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (DOUE L 265/1, de 12 de octubre de 2022).

(13). Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (DOUE L 277/1, de 27 de octubre de 2022).

(14). Considerando 2 RMD.

(15). DOUE L 241/1, de 17 de septiembre de 2015.

(16). La Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior [Directiva sobre el comercio electrónico o DCE (Diario Oficial de las Comunidades Europeas -en adelante, DOCE- L 178/1, de 17 de julio del año 2000)] contempla, de manera específica, la situación en la que ciertos servicios de la sociedad de la información pueden ser considerados como tal incluso si no son pagados por sus usuarios, siempre y cuando constituyan una actividad económica para el proveedor de dichos servicios. Ha sido frecuente en la doctrina (destaca Díaz Fraile, Juan María, <<El documento electrónico y la firma digital: su regulación en la Unión Europea>>, en Noticias de la Unión Europea, núm. 177, 1999, pp. 17-18; en la misma línea, Plaza Penadés, Javier, Propiedad intelectual y sociedad de la información: Tratados OMPI, Directiva 2001/29/CE y responsabilidad civil en la Red, Cizur Menor, Ed. Thomson Reuters Aranzadi, 2002, p. 229) entender que la naturaleza onerosa de la prestación es un elemento fundamental. Esto implica que cualquier actividad llevada a cabo de manera electrónica y que tenga un valor económico, independientemente de si el usuario final paga por el servicio o no, debe considerarse dentro de esta definición. Por lo tanto, se incluyen todos aquellos servicios que generen ingresos, ya sea de forma directa (a través de tarifas pagadas por los usuarios) o indirecta (mediante publicidad o el uso de datos de usuarios registrados). Por el contrario, quedan excluidos aquellos otros en los que no existe actividad económica, como suele ser el caso de páginas o blogs personales. Esta distinción es especialmente relevante en el contexto de las plataformas digitales, donde pueden obtener ingresos de un lado sin que el otro lado pague directamente. Es el caso, por ejemplo, de servicios como Google, que no es retribuido por los usuarios finales que acceden a las búsquedas que el motor proporciona, sino por las empresas que remuneran a Google por insertar su publicidad en los resultados de búsqueda.

(17). BOE núm. 166, de 12 de julio de 2002.

(18). Consistiría, como lacónicamente define Cerrillo I Martínez, Agustí, <<Reutilización de la información del sector público e Inteligencia Artificial>>, en Gamero Casado, Eduardo (Dir.), Inteligencia Artificial y sector público: retos, límites y medios, Valencia, Ed. Tirant lo Blanch, 2023, p. 469, <<[] en el uso de datos con un propósito distinto para el que estos datos fueron generados>>.

(19). BOE núm. 276, de 17 de noviembre de 2007.

(20). La noción de tratamiento aparece recogida en el artículo 4.2) RGPD como <<cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción>>. En la misma línea, los artículo 3.2) RDNP, 2.12) RGD o 2.11) RD.

(21). En la normativa que estamos examinando, se hace referencia exclusivamente a la cesión de datos, separándola de la reutilización y limitándola a situaciones de altruismo bajo la modalidad Consumidor a Administración. Específicamente, se define la cesión altruista de datos como <<todo intercambio voluntario de datos basado en el consentimiento de los interesados para que se traten sus datos personales, o en el permiso de los titulares de datos para que se usen sus datos no personales, sin ánimo de obtener o recibir una gratificación que exceda de una compensación relativa a los costes en que incurran a la hora de facilitar sus datos, con objetivos de interés general tal como se disponga en el Derecho nacional, en su caso, como, por ejemplo, la asistencia sanitaria, la lucha contra el cambio climático, la mejora de la movilidad, la facilitación del desarrollo, elaboración y difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos, la elaboración de políticas públicas o la investigación científica de interés general>> [artículo 2.16) RGD].

(22). Definición propia.

(23). No abordaremos en detalle cada uno de estos términos ni la posible confusión que la normativa ha generado al respecto, ya que no es el objetivo de este estudio. Sin embargo, para una exploración más exhaustiva de este tema, vid. Cerrillo I Martínez, Agustí, <<La información del sector público: del acceso a la reutilización>>, en Galán Galán, Alfredo/ Cerrillo I Martínez, Agustí (Coords.), La reutilización de la información del sector público, Granada, Ed. Comares, 2006, pp. 1-24; Sánchez García, Alfonso, <<El valor económico de la información pública y la regulación del precio de su reutilización>>, en Valero Torrijos, Julián/Martínez Gutiérrez, Rubén (Dirs.), Datos abiertos y reutilización de la información del sector público, Granada, Ed. Comares, 2022, pp. 215-218.

(24). Asimismo, la definición de dato personal fue pormenorizadamente diseccionada por el Grupo de Trabajo del Artículo 29, Dictamen 4/2007 sobre el concepto de datos personales (01248/07/ES, WP 136), órgano consultivo que brindaba asesoramiento a la Comisión Europea sobre temas de protección de datos y que contribuía al desarrollo de políticas armonizadas de protección de datos en la Unión Europea fue sucedido, tras la entrada en vigor del Reglamento General de Protección de Datos, por el Comité Europeo de Protección de Datos. Asimismo, la jurisprudencia del Tribunal de Justicia de la Unión Europea (en adelante, TJUE), en relación con la definición de datos personales, reconoce la interpretación amplia de dicha noción [entre otras, STJUE de 29 de enero de 2009, Productores de Música de España (Promusicae)/Telefónica de España SAU (C-275/06); STJUE de 24 de noviembre de 2011, Scarlet Extended SA/Société belge des auteurs, compositeurs et éditeurs SCRL (SABAM) (C-70/10); STJUE de 19 de octubre de 2016, Patrick Breyer/Bundersrepublik Deutschland (C-582/14)].

(25). Numerus apertus.

(26). DOUE L 303/59, de 28 de noviembre de 2018.

(27). Comunicación de la Comisión al Parlamento Europeo y al Consejo “Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea” [COM(2019) 250 final], p. 9.

(28). Comunicación de la Comisión al Parlamento Europeo y al Consejo “Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea” [COM(2019) 250 final], p. 10. En la misma línea, artículo 2.2 RDNP.

(29). Definición propia.

(30). Definición propia.

(31). Definición propia.

(32). Caballero, Ismael, <<Principios FAIR: el secreto de los magos de los datos>>, en datos.gob.es.

(33). Se enfatiza en el análisis que se hace de este principio en Wilkinson, Mark et al., <<The FAIR guiding principles for scientific data management and stewardship>>, en Scientific data, núm. 3, 2016.

(34). Los metadatos representan una descripción organizada del contenido o la utilización de los datos con el propósito de facilitar su descubrimiento o aplicación.

(35). García Saura, Pilar Juana, <<Los datos de investigación. Del data sharing a su reutilización en la Ciencia>>, en Valero Torrijos, Julián/Martínez Gutiérrez, Rubén (Dirs.), Datos abiertos y reutilización de la información del sector público, Granada, Ed. Comares, 2022, p. 75.

(36). Martínez Gutiérrez, Rubén, <<Datos abiertos, interoperabilidad y reutilización de tecnología para la inteligencia artificial del sector público>>, en Cotino Hueso, Lorenzo/Castellanos Claramunt, Jorge (Dirs.), Algoritmos abiertos y que no discriminen en el sector público, Valencia, Ed. Tirant lo Blanch, 2023, pp. 97-114.

(37). Existen varias licencias de datos comunes, entre las que se destacan la licencia Creative Commons, que proporcionan una variedad de opciones predefinidas para permitir distintos niveles de uso y reutilización de los datos, y la licencia abierta de datos (Open Data Commons), diseñada específicamente para datos abiertos y de acceso público. Para un análisis exhaustivo de cada una de estas licencias, vid. Clabo Clemente, Néstor/Ramos Vielba, Irene, <<Reutilización de datos abiertos en la administración pública en España y uso de licencias-tipo>>, en Revista española de documentación científica, núm. 3, 2015, pp. 1-14.

(38). López-Tarruella Martínez, Aurelio, Propiedad intelectual e innovación basada en los datos, Madrid, Ed. Dykinson, 2021, p. 16.

(39). Reimsbach-Kounatze, Christian, <<Enhancing access to and sharing of data: striking the balance between openness and control over data>>, en Data access, consumer interests and public welfare, Baden-Baden, Ed. Nomos, 2021, p. 27.

(40). Hoffman, Jörg, <<Safeguarding innovation through data governance regulation: the case of digital payment services>>, en Data access, consumer interests and public welfare, Baden-Baden, Ed. Nomos, 2021, p. 343.

(41). Garrido Juncal, Andrea, <<El derecho a la reutilización de la información del sector público y el principio ‘tan abiertos como sea posible, tan cerrados como sea necesario’>>, en Puentes Cociña, Beltrán/Quintiá Pastrana, Andrei (Coords.), El Derecho ante la transformación digital: oportunidades, riesgos y garantías, Barcelona, Ed. Atelier, p. 92.

(42). Ahora bien, el Grupo de Trabajo del Artículo 29, Dictamen 06/2014 sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE, 844/14/ES (WP 217, de 09 de abril de 2014), p. 50, subrayó la importancia de implementar un deber general de utilizar seudónimos para los datos personales, siempre que resultara factible y proporcional, de acuerdo con el objetivo del tratamiento de dichos datos.

(43). Duaso Calés, Rosario, <<Los principios de protección de datos desde el diseño y protección de datos por defecto>>, en Piñar Mañas, José Luis (Dir.), Reglamento General de Protección de Datos: hacia un nuevo modelo de privacidad, Madrid, Ed. Reus, 2016, p. 298; Oroz Valencia, Lourdes, <<Aproximación a la obligación de la protección de datos desde el diseño y por defecto>>, en Actualidad administrativa, núm. 1, 2018, p. 7.

(44). Grupo de Trabajo del Artículo 29, Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento “entraña probablemente un alto riesgo” a efectos del Reglamento (UE) 2016/679 [17/ES, WP 248 rev.01], p. 22.

(45). Supervisor Europeo de Protección de Datos, Dictamen del Supervisor Europeo de Protección de Datos acerca de la promoción de la confianza en la sociedad de la información mediante el impulso de la protección de datos y la privacidad (DOUE C 280/1, de 16 de octubre de 2010).

(46). Grupo de Trabajo del Artículo 29, Directrices sobre la evaluación de impacto relativa a la protección de datos (EIPD) y para determinar si el tratamiento “entraña probablemente un alto riesgo” a efectos del Reglamento (UE) 2016/679, op. cit., p. 16.

(47). Miralles López, Ramón Martín, <<Protección de datos desde el diseño y por defecto (art. 25 RGPD. Art. 28 LOPDGDD)>>, en López Calvo, José (Coord.), La adaptación al nuevo marco de protección de datos tras el RGPD y la LOPDGDD, Madrid, Ed. Wolters Kluwer, 2019, p. 425.

(48). Podemos hacer referencia a los trabajos abordados por el Grupo de Trabajo del Artículo 29, Recomendación 99/1, sobre el tratamiento invisible y automático de datos personales en Internet efectuado por software y hardware (DG XV D 5093/98/final, WP 17), p. 34, donde, en el contexto del tratamiento invisible y automático de datos personales en la red realizado por software y hardware, se enfatizaba en la necesidad de garantizar que la configuración de los productos informáticos no facilitase, por defecto, la recopilación, almacenamiento o transmisión de información persistente del usuario. Aunque en aquel momento se hacía referencia específica al software y hardware, la influencia de esta recomendación es evidente en la actualidad, en un período caracterizado por el avance de numerosas innovaciones tecnológicas que conllevan el procesamiento, frecuentemente extenso, de datos personales.

(49). European Commission, H2020 Programme guidelines on FAIR data management in Horizon 2020, 2016.

(50). Hernández Corchete, Juan Antonio, <<Transparencia en la información al interesado del tratamiento de sus datos personales y en el ejercicio de sus derechos>>, en Piñar Mañas, José Luis (Dir.), Reglamento General de Protección de Datos: hacia un nuevo modelo de privacidad, Madrid, Ed. Reus, 2016, pp. 214-215.

(51). Rodríguez Ayuso, Juan Francisco, Figuras y responsabilidades en el tratamiento de datos personales, Barcelona, Ed. Bosch, 2019, p. 9.

(52). Será servicio de intermediación de datos [artículo 2.11) RGD] <<todo servicio cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo, incluidos los servicios destinados al ejercicio de los derechos de los interesados en relación con los datos personales, pero excluidos, al menos, los servicios siguientes: a) los servicios que obtengan datos de titulares de datos y que los agreguen, enriquezcan o transformen con el fin de añadirles un valor sustancial y concedan licencias a los usuarios de datos para la utilización de los datos resultantes, sin establecer una relación comercial entre los titulares de datos y los usuarios de datos; b) los servicios dedicados a la intermediación de contenido protegido por derechos de autor; c) los servicios utilizados exclusivamente por un único titular de datos para permitir la utilización de los datos que obren en poder de dicho titular de datos, o los utilizados por múltiples personas jurídicas en un grupo cerrado, incluyendo también los utilizados en las relaciones con proveedores o con clientes o las colaboraciones establecidas contractualmente, en particular, los que tienen como objetivo principal garantizar las funcionalidades de los objetos y dispositivos conectados al internet de las cosas; d) los servicios de intercambio de datos ofrecidos por organismos del sector público sin la intención de establecer relaciones comerciales>>.

(53). Heim, Mathew/Nikolic, Igor, <<A FRAND regime for dominant digital platforms>>, en Journal of Intellectual Property, Information Technology and E-Commerce Law, núm. 18, 2019, pp. 38-55, pp. 38-55.

Comentarios