A estas alturas, todos conocemos la importancia de la Agenda Digital de la Unión Europea, fruto, entre otras cosas, de la cada vez mayor importancia de la economía basada en datos.
El crecimiento del llamado «internet de las cosas», la inteligencia artificial y el aprendizaje automático o las tecnologías big data tienen un peso cada día mayor en la economía y la sociedad en general, y se caracterizan principalmente por el uso intensivo de datos, tanto personales como no personales.
Para adaptar la normativa europea a estas nuevas realidades, últimamente hemos vivido grandes cambios normativos de gran calado, a los que pronto se unirán otros que actualmente están en trámite.
Vayamos por partes
Un primer bloque de normas ha tenido que ver con los datos personales en la Unión. La estrella de este bloque es el famoso RGPD (Reglamento General de Protección de Datos). Sin embargo, junto a este, varias otras normas han sido o están siendo reformadas, entre las que destacan:
- Directiva 2016/680, sobre tratamiento de datos personales relacionados con infracciones penales o con la ejecución de sanciones penales y libre circulación de dichos datos, que garantiza, entre otras cosas, la protección de datos de testigos y sospechosos de delitos utilizados por parte de las autoridades policiales y judiciales.
- Reglamento 2018/1725, sobre protección de datos por las instituciones, órganos y organismos de la Unión, que vendría a ser algo así como el RGPD de los órganos comunitarios.
A estas normas se une el Futuro Reglamento e-Privacy (en este momento en tramitación), norma que complementa y particulariza al RGPD y protege la privacidad en el marco de las comunicaciones electrónicas, aunque no consistan en datos personales.
Pero en realidad hoy no venimos a hablar de ninguna de ellas.
Y me diréis, ¿tanto para no hablar de nada de esto? Bueno, solo quería poneros en contexto. Resulta que junto con este bloque de normas sobre protección de datos personales, se ha aprobado también un Reglamento sobre datos no personales que ha pasado mucho más desapercibo pero que tiene de igual importancia. Y es de esto de lo que venimos a hablar.
Al lío: el Reglamento de datos no personales
El pasado 28 de noviembre de 2018 se publicó en el Diario Oficial de la Unión Europea el Reglamento sobre la libre circulación de datos no personales en la UE, que entrará en vigor el 18 de diciembre de 2018.
¿Cuándo tengo que utilizar el Reglamento?
Los datos no personales son igualmente importantes en la economía actual. Pensemos, por ejemplo, en el uso de datos de agricultura, que ayudan a gestionar de forma eficiente el agua y los plaguicidas o la producción industrial automatizada. También pensemos en el uso de datos anónimos, muy importantes porque la anonimización se ha convertido en el santo grial que hace que no tengamos que cumplir con las obligaciones tan extensas de protección de datos personales. Caso aparte es la dificultad de obtener un set de datos verdaderamente anonimizado, pero este no es el tema de hoy.
¿Por qué es necesaria esta norma?
Hasta ahora, varios Estados miembros tenían normas nacionales que limitaban dónde podían localizarse los datos, lo que impedía el libre flujo de los datos en la UE. Uno de los principales motivos para limitar este flujo de datos entre Estados es la desconfianza que generaba entre las autoridades de un Estado no poder acceder a datos que un proveedor almacenaba en otro Estado. Eso es porque el proveedor podría excusarse en que un Estado no tenía competencia para investigarle si los datos los trataba en otro Estado. Además, esto tenía la consecuencia de que existiera mucha menos competencia entre proveedores de servicios basados en datos.
Y ya sabemos que en la UE nos gustan la libre competencia y la libre circulación de todo y todos. Por eso, las principales medidas del Reglamento son:
- Aplicar el principio de libre circulación de los datos (al igual que el RGPD), salvo cuando exista una justificación por razones de seguridad pública. De este modo se pretende también fomentar la potabilidad de los datos, de forma que se traduzca en una mayor libertad de elección de proveedores de servicios basados en datos, así como la libre competencia y precios más competitivos.
- Los proveedores están obligados a poner los datos a disposición de las autoridades nacionales competentes, incluso cuando el tratamiento se produce en otro Estado miembro, así como decretar la nulidad de las cláusulas contractuales que prohíban este acceso.
- Antes de junio de 2021, todos los Estados miembros deben llevar a cabo una revisión de sus normas nacionales para detectar dónde imponen limitaciones a la localización de los datos y preguntarse si son justificables o no. Si creen que tienen justificación, deben convencer a la Comisión de esto. Si no tienen justificación, la provisión debe derogarse.
¿Y qué pasa si no puedo (o no quiero) separar los datos personales de los no personales?
Ciertamente, puede darse (y casi seguro que lo hace) el caso de que una organización no pueda desligar los datos que son personales y los que no lo son. El problema de ello sería que no sabríamos sobre qué parte de los datos aplicar las normas sobre datos personales y sobre qué otra parte las normas sobre datos no personales.
Bueno, el Reglamento ha previsto esta opción y la solución en ese caso es aplicar las medidas de protección de datos personales (como el RGPD), que son más garantistas para los ciudadanos.
Por último, la norma tampoco contiene ningún tipo de obligación sobre almacenar datos personales y no personales por separado, de modo que deja libertad a cada organización para gestionar sus datos a su gusto, porque en realidad esto no tiene importancia siempre que cumplas todas tus obligaciones.
En definitiva, esta norma refleja la profunda transformación que está llevando a cabo la Unión Europea para actualizar sus normas de acuerdo con las nuevas realidades basadas en datos. A los demás nos queda seguir leyendo y actualizándonos porque, como dijimos antes… ¡esta vorágine de nuevas normas aún no ha acabado!