Bruselas, 10 de marzo. El Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) acaban de adoptar conjuntamente un dictamen sobre la propuesta de Ley de Gobernanza de Datos (DGA, del inglés Digital Governance Act). La propuesta pretende promover la disponibilidad de datos, gracias al aumento de la confianza en los intermediarios[1] y el refuerzo de los mecanismos para el intercambio de datos en la UE. Más en concreto, se trataría de alentar la disponibilidad de los datos del sector público para su reutilización, el intercambio de datos entre empresas y la posibilidad de utilizar los datos de carácter personal merced a un «intermediario de datos personales». Además, la DGA está destinada a permitir el uso de datos con fines altruistas.
El CEPD y el SEPD reconocen el objetivo legítimo de la DGA de mejorar las condiciones para la puesta en común de datos en el mercado interior. Al mismo tiempo, la protección de los datos personales es un elemento esencial e imprescindible para confiar en la economía digital. Con este dictamen conjunto, el CEPD y el SEPD invitan a los colegisladores a garantizar que la futura DGA encaje plenamente con la legislación de la UE en materia de protección de datos personales, para así fomentar la confianza en la economía digital y dar el mismo amparo que garantiza el Derecho de la UE, bajo la supervisión de las autoridades de control de los Estados miembros de la UE.
En palabras de Andrea Jelinek, presidenta del CEPD: «El marco jurídico de la UE en materia de protección de datos no solo no obstaculiza el desarrollo de la economía de los datos, sino que lo hace posible: solo se podrá confiar en cualquier intercambio de este tipo si se respeta la legislación vigente. El RGPD es el cimiento sobre el que ha de asentarse el modelo europeo de gobernanza de los datos, y por ello subrayamos la necesidad de garantizar la coherencia con el RGPD en lo tocante a la competencia de las autoridades de control, las funciones de los distintos agentes implicados, la base jurídica para el tratamiento de datos personales, las garantías necesarias y el ejercicio de los derechos de los interesados».
Por su parte, Wojciech Wiewiórowski, SEPD, ha declarado: «Somos conscientes de la importancia cada vez mayor que para la economía y la sociedad cobran los datos, tal como ya indica la Estrategia Europea de Datos. No obstante, el uso del Big Data conlleva una gran responsabilidad, lo que trae parejo el necesario establecimiento de salvaguardias para la protección de datos. El marco general para los espacios europeos de datos debe garantizar que no se vea afectado el acervo en este ámbito».
El CEPD y el SEPD consideran que los legisladores de la UE deben velar por que la DGA deje meridianamente claro que no alterará ni el nivel de protección de los datos personales, ni los derechos y obligaciones fijados por la legislación sobre protección de datos.
Al hablar de la reutilización de los datos personales en poder de los organismos del sector público, el CEPD y el SEPD recomiendan adaptar la DGA a las normas actuales de protección de datos personales del RGPD y a la Directiva sobre datos abiertos. Además, ha de aclararse que solamente se podrán reutilizar los datos personales que obren en poder de organismos del sector público cuando la legislación de la UE o de los Estados miembros ampare dicho uso. Esta legislación tendrá que detallar claramente las finalidades compatibles para las que proceda autorizar legalmente el tratamiento ulterior de los datos o aquellas que constituyan una medida necesaria y proporcional en una sociedad democrática para salvaguardar los objetivos del artículo 23 del RGPD.
En cuanto a los proveedores de servicios de intercambio de datos, el dictamen conjunto destaca la necesidad de garantizar la información y los controles previos para los particulares, teniendo en cuenta los principios de protección de datos desde el diseño y por defecto, transparencia y limitación de la finalidad. Además, deben aclararse cuáles son las modalidades a través de las que dichos proveedores de servicios pueden asistir eficazmente a los particulares a la hora de ejercer sus derechos como interesados.
En cuanto a la cesión de datos con fines altruistas, el CEPD y el SEPD recomiendan que la DGA defina mejor los fines de interés general de este tipo de cesión, que debe estructurarse de tal modo que quienes lo deseen puedan dar su consentimiento o retirarlo sin mayores complicaciones.
A la luz de los posibles riesgos que para los interesados puede conllevar el que sean proveedores de servicios de intercambio de datos o las organizaciones altruistas de datos quienes traten sus datos personales, el CEPD y el SEPD consideran que el sistema de registro mediante declaración responsable de dichas entidades, como está establecido en la DGA, no permite aplicar un control por veto lo suficientemente riguroso. De ahí que el CEPD y el SEPD recomienden sondear procedimientos alternativos que incluyan herramientas de control y responsabilidad más sistemáticas, como por ejemplo la adhesión a un código de conducta o un mecanismo de certificación.
Por lo demás, el dictamen conjunto también recoge recomendaciones sobre la designación de las autoridades de control establecidas por el RGPD para que ejerzan el control del cumplimiento de las disposiciones de la DGA, en consulta con otras autoridades sectoriales pertinentes.
______________________________________
[1] Véase la exposición de motivos de la propuesta, página 1.
Nota a los editores: Se ruega tengan en cuenta que todos los documentos adoptados durante la sesión plenaria del CEPD se someten a los necesarios controles jurídicos, lingüísticos y de formato, y que los documentos se harán públicos en el sitio web del CEPD tras esos controles.
EDPB_Press Release_statement_2021_02