Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de
Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
El estudio sobre la simbiosis entre protección de datos y open data es una introducción sobre el cómo conciliar la legislación de protección de datos personales de la Unión Europea con las políticas de datos abiertos.
La relación entre la protección de datos y los datos abiertos (Open data) es fundamentalmente una asociación complementaria que requiere de un extremado equilibrio para maximizar beneficios sociales, económicos y de transparencia, sin poner en riesgo la privacidad de las personas.
Los datos abiertos se refieren a la publicación, principalmente de datos digitales, por organismos públicos de manera accesible, reutilizable y libre para cualquier persona, con el objetivo de fomentar la transparencia, la innovación y la participación ciudadana. Sin embargo, la apertura de datos plantea desafíos importantes en cuanto a la protección de la privacidad y la seguridad de los datos personales.
Por otro lado, la protección de datos - especialmente bajo normativas como el RGPD en Europa – regula el tratamiento de los datos personales solo bajo estrictas condiciones para proteger los derechos fundamentales de las personas. Esto implica que, la apertura de datos por las administraciones, deben garantizar la no exposición de información que permita la identificación directa o indirecta de las personas físicas, recurriendo a técnicas, entre otras, la anonimización y la evaluación de riesgos de privacidad.
Concluyendo: la apertura de datos y la protección de datos personales no son objetivos opuestos, sino asociaciones que pueden integrarse mediante buenas prácticas, soluciones técnicas y marcos legales adecuados, permitiendo así que la transparencia y la innovación avancen sin menoscabar la privacidad y los derechos fundamentales de las personas.
Este estudio fue elaborado en el marco de data.europa.eu, una iniciativa de la Comisión Europea. El autor del estudio es Hans Graux. El suscrito solo ha traducido del inglés al castellano la Introducción del mismo con la ayuda del aplicativo Google Translator. El enlace al texto íntegro del mismo (17 págs.) obra en: https://data.europa.eu/sites/default/files/report/The%20Symbiosis%20between%20Data%20Protection%20and%20Open%20Data.pdf
A fin de acceder a normas similares y estándares europeos, las
empresas, organizaciones públicas y privados interesados en asesorías,
consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema,
sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_______________________________________
Introducción
En
la Unión Europea (UE), la protección de datos personales se reconoce como un
derecho fundamental en virtud de la Carta de los Derechos Fundamentales de la
Unión Europea[1].
En términos generales, esto implica que los datos personales —es decir,
cualquier dato que pueda vincularse a una persona física específica, como se
analizará con más detalle más adelante— deben tratarse con la debida
diligencia. Como señala el artículo 8 de la carta, los datos personales
«deberán ser tratados de forma leal, para fines específicos y sobre la base del
consentimiento del interesado o de cualquier otra base legítima establecida por
la ley».
Esta
descripción general del derecho a la protección de datos personales («el
derecho a la protección de datos») ha sido desarrollada en la carta en diversos
textos legales, entre los que destaca el Reglamento General de Protección de
Datos (RGPD[2])
de 2016, que sustituyó a la Directiva de Protección de Datos de 1995[3]. El RGPD describe las
principales normas y requisitos aplicables a la mayoría de las actividades de
tratamiento de datos personales en la UE, incluyendo la recopilación, el
intercambio o la reutilización de datos personales. Por ejemplo, el RGPD
contiene obligaciones en materia de transparencia (las personas deben ser
informadas sobre las actividades de tratamiento relacionadas con sus datos
personales), limitación de la finalidad (las actividades de tratamiento deben
limitarse a lo comunicado a las personas afectadas) y minimización de datos (el
tratamiento de datos personales debe limitarse a lo estrictamente necesario
para lograr los fines comunicados a dichas personas).
Dentro
de la UE, la legislación sobre datos abiertos surgió prácticamente en paralelo
con el marco de protección de datos de la UE. La primera directiva sobre información
del sector público (Directiva ISP[4]) se adoptó en 2003. Si
bien aún no utilizaba el concepto de «datos abiertos», sí proporcionaba un
marco que animaba (pero no exigía) a los organismos del sector público a poner
sus datos a disposición para su reutilización, con fines comerciales o no
comerciales, en condiciones justas y no discriminatorias.
La
Directiva ISP se modificó en 2013[5], en una revisión que hizo
obligatoria la reutilización como norma general, con algunas excepciones. Esta
enmienda también proporcionó la primera referencia a las políticas de datos
abiertos en sus considerandos, describiéndolas como políticas que «fomentan la
amplia disponibilidad y reutilización de la información del sector público con
fines privados o comerciales, con mínimas o nulas restricciones legales, técnicas
o financieras, y que promueven la circulación de información no solo para los
operadores económicos, sino también para el público».
La
Directiva sobre la ISP fue sustituida en 2019 por la Directiva sobre datos
abiertos[6], que describe los datos
abiertos como «datos en un formato abierto que pueden ser libremente
utilizados, reutilizados y compartidos por cualquier persona para cualquier
fin». La Directiva sobre datos abiertos reforzó aún más la obligación de los
organismos del sector público de poner sus documentos a disposición como datos
abiertos, siempre que sea posible.
Los
marcos jurídicos relativos a los datos abiertos y la protección de datos pueden
aplicarse de forma acumulativa, es decir, cuando un documento o conjunto de
datos debe estar disponible como datos abiertos, pero al mismo tiempo contiene
datos personales. En esos casos, puede resultar difícil para los organismos del
sector público encontrar la manera adecuada de conciliar ambos conjuntos de
obligaciones. Los datos abiertos consisten fundamentalmente en poner los datos
a disposición libremente para su reutilización, mientras que la protección de
datos se centra en la implementación de controles adecuados.
Por
lo tanto, si un conjunto de datos contiene datos personales —lo cual puede
ocurrir, como explicaremos más adelante, pero ciertamente no es la tendencia
general—, un proveedor de datos podría mostrarse reacio a publicarlos como
datos abiertos. Al fin y al cabo, si efectivamente existen datos personales en
el conjunto de datos, normalmente se aplicaría el RGPD, y tanto el proveedor de
datos como quien reutiliza los datos deberían tomar medidas para garantizar su
cumplimiento. Deberían ofrecer transparencia sobre el uso de los datos
personales, definir claramente la finalidad del uso permitido y garantizar que
la cantidad de datos compartidos se minimice al máximo.
En
la práctica, esto puede ser un desafío. La transparencia hacia las personas que
pueden vincularse a los datos personales (los «interesados» en el RGPD) sobre
la reutilización de sus datos personales puede ser difícil de garantizar, ya
que normalmente no se dispone de datos de contacto que permitan la comunicación
con ellos. Implementar los principios de limitación de la finalidad y
minimización de datos es igualmente complejo para los proveedores de datos, ya
que compartir datos personales con quien reutiliza también constituye una forma
de tratamiento de datos personales que debe cumplir con el RGPD. Como
resultado, el proveedor de datos y el reutilizador de datos tendrían que llegar
a acuerdos sobre el tipo de uso permitido de los datos personales y qué datos
personales son estrictamente necesarios para lograr dicho objetivo. Este
enfoque no es especialmente escalable y contradice en cierta medida las
políticas de datos abiertos.
Por
consiguiente, la principal estrategia de cumplimiento del RGPD consiste en
evitar la inclusión de datos personales en conjuntos de datos que se ponen a
disposición como datos abiertos. Esto puede lograrse no poniendo a disposición
conjuntos de datos que contengan datos personales o anonimizándolos, de modo
que el conjunto de datos deje de contener datos personales y el RGPD deje de ser
aplicable. Por supuesto, cualquiera de estas estrategias requiere la
posibilidad de determinar con exactitud qué se considera un dato personal, con
un grado razonable de precisión, es decir, determinar si un conjunto de datos
puede vincularse a una persona física. Además, debe ser posible determinar
quién es responsable en caso de errores.
[1] Parlamento
Europeo, Consejo de la Unión Europea y Comisión Europea, Carta de los Derechos
Fundamentales de la Unión Europea, Oficina de Publicaciones de la Unión
Europea, Luxemburgo, 2012 (DO C 326 de 26.10.2012, pp. 391-407, ELI: http://data.europa.eu/eli/treaty/char_2012/oj)
[2] Reglamento (UE)
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga
la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de
4.5.2016, pp. 1-88, ELI: http://data.europa.eu/eli/reg/2016/679/oj)
[3] Directiva
95/46/CE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por la que se deroga
la Directiva 95/46/CE (Reglamento general de protección de datos) del Consejo,
de 24 de octubre de 1995, relativa a la protección de las personas físicas en
lo que respecta al tratamiento de datos personales y a la libre circulación de
estos datos (DO L 281 de 23.11.1995, pp. 31-50, http://data.europa.eu/eli/dir/1995/46/oj)
[4] Directiva
2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003,
relativa a la reutilización de la información del sector público (DO L 345 de
31.12.2003, pp. 90-96, http://data.europa.eu/eli/dir/2003/98/oj)
[5] Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (DO L 175 de 27.6.2013, p. 1-8, http://data.europa.eu/eli/dir/2013/37/oj)
[6]
Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio
de 2019, relativa a los datos abiertos y la reutilización de la información del
sector público (DO L 172 de 26.06.2019, p. 56-83, http://data.europa.eu/eli/dir/2019/1024/oj)
No hay comentarios:
Publicar un comentario