Mercado Único Digital: La Comisión publica una guía sobre la libre circulación de datos no personales

La Comisión Europea ha publicado una nueva guía sobre la interacción entre la libre circulación de datos no personales y las normas de protección de datos de la UE.

 

Como parte de la estrategia del Mercado Único Digital, el nuevo Reglamento sobre la libre circulación de datos no personales, que ya resulta de aplicación en los Estados miembros, permitirá almacenar y tratar los datos en cualquier lugar de la UE sin restricciones injustificadas. La guía que se publica hoy pretende ayudar a los usuarios –en especial las pequeñas y medianas empresas– a entender cómo interactúan estas nuevas normas y el Reglamento general de protección de datos (RGPD), especialmente cuando los conjuntos de datos están formados tanto por datos personales como por datos no personales.

 

El vicepresidente del Mercado Único Digital, Andrus Ansip, afirmó: «Se prevé que, para 2025, la economía de los datos de la UE de los Veintisiete represente el 5,4 % de su PIB, lo que equivale a 544 mil millones EUR. No obstante, este enorme potencial se ve limitado cuando los datos no pueden circular libremente. Al eliminar las restricciones obligatorias de localización de datos, damos la oportunidad de optimizar los datos y las posibilidades que ofrecen a más particulares y empresas. La guía que se publica hoy aclarará plenamente cómo se relaciona la libre circulación de datos no personales con nuestras estrictas normas de protección de datos personales».

 

Mariya Gabriel, comisaria responsable de Economía y Sociedad Digitales, añadió: «Nuestra economía se basa cada vez más en los datos. Con el Reglamento sobre la libre circulación de datos no personales y el Reglamento general de protección de datos, contamos con un marco completo para un espacio común europeo de datos y para la libre circulación de todos los datos dentro de la UE. La guía que publicamos hoy ayudará a las empresas, especialmente las pequeñas y medianas, a entender cómo se relacionan ambos Reglamentos».

 

Junto con el Reglamento General de Protección de Datos (RGPD), que empezó a aplicarse hace un año, el nuevo Reglamento sobre la libre circulación de datos no personales ofrece un entorno jurídico y empresarial estable para el tratamiento de los datos. El nuevo Reglamento impide que los países de la UE introduzcan leyes que obliguen injustificadamente a conservar los datos únicamente dentro del territorio nacional. Se trata del primero de este tipo en todo el mundo. Estas nuevas normas aumentan la seguridad jurídica y la confianza de las empresas, y hace que a las pymes y nuevas empresas les resulte más sencillo desarrollar servicios nuevos e innovadores, utilizar las mejores ofertas de servicios de tratamiento de datos del mercado interior y expandir sus negocios más allá de las fronteras.

 

Esta nueva guía ofrece ejemplos prácticos sobre cómo deberían aplicarse las normas cuando una empresa trate conjuntos de datos en los que figuran tanto datos personales como datos de carácter no personal. También explica en qué consisten los datos personales y los datos no personales, así como los conjuntos de datos mixtos; enumera los principios de la libre circulación de datos y el impedimento de establecer requisitos de localización de datos conforme al RGDP y al Reglamento sobre la libre circulación de datos no personales; e incluye el concepto de portabilidad de los datos contemplado en este último instrumento. La guía también recoge los requisitos autorreguladores establecidos en ambos Reglamentos.

 

Antecedentes

 

La Comisión presentó el marco para la libre circulación de datos no personales en septiembre de 2017 como parte del discurso del Presidente Jean-Claude Juncker sobre el Estado de la Unión, para liberar todo el potencial de la economía europea de los datos y la estrategia del mercado único digital. El nuevo Reglamento resulta de aplicación desde ayer, 28 de mayo. Como parte de la nueva normativa, se solicitó a la Comisión que publicara una guía sobre la interacción entre este Reglamento y el Reglamento General de Protección de Datos (RGPD), especialmente en lo que se refiere a los conjuntos de datos formados tanto por datos personales como por datos no personales.

 

Las normas sobre la libre circulación de datos no personales se ajustan a las medidas vigentes sobre la libre circulación y la portabilidad de datos personales en la UE. Estas normas:

 

Garantizan la libre circulación de datos a través de las fronteras: Las nuevas normas establecen un marco para el almacenamiento y el tratamiento de los datos en el conjunto de la UE e impiden las restricciones de localización de datos. Los Estados miembros deberán comunicar toda restricción de localización de datos existente o prevista a la Comisión, que, a su vez, determinará si están justificadas o no. Ambos Reglamentos funcionarán juntos para permitir la libre circulación de datos —personales y no personales—, creando de este modo un espacio común europeo de los datos. En el caso de un conjunto de datos mixto, la disposición del RGPD que garantiza la libre circulación de datos personales se aplicará a la parte del conjunto relativa a este tipo de datos y el principio que tiene por objeto la libre circulación de datos no personales se aplicará a la parte relativa a estos datos.

Garantizan la disponibilidad de los datos para el control reglamentario: Las autoridades públicas podrán acceder a los datos para realizar supervisiones y controles de vigilancia dondequiera que se almacenen o traten los datos en la UE. Los Estados miembros podrán sancionar a los usuarios que no permitan, previa solicitud por parte de una autoridad competente, el acceso a los datos almacenados en otro Estado miembro.

Fomentan la creación de códigos de conducta para los servicios en la nube con objeto de facilitar el cambio de proveedor de servicios en la nube a más tardar en noviembre de 2019. Con ello, el mercado de servicios en la nube se volverá más flexible y los servicios de datos de la UE resultarán más asequibles.

 

Preguntas y respuestas.

 

1. ¿Cuál es la finalidad de esta guía?

La guía cumple la obligación establecida en el Reglamento de libre circulación de datos no personales según la cual la Comisión debe publicar orientaciones sobre la interacción entre este Reglamento y el Reglamento general de protección de datos (RGPD), en particular en lo que se refiere a los conjuntos de datos formados tanto por datos personales como por datos no personales. Su objetivo es ayudar a los usuarios, especialmente las pequeñas y medianas empresas, a entender cómo interactúan ambos Reglamentos.

 

De conformidad con los documentos del RGPD existentes, elaborados por el Comité Europeo de Protección de Datos, esta guía pretende aclarar qué normas resultan de aplicación en el tratamiento de datos personales y no personales. Ofrece un resumen útil de los conceptos clave de la libre circulación de datos personales y no personales dentro de la UE, y explica al mismo tiempo la relación entre los dos Reglamentos en términos prácticos y con ejemplos concretos.

 

2. ¿Quiénes se beneficiarán de la guía?

La guía es particularmente útil para empresas privadas, especialmente pequeñas y medianas empresas, para organizaciones y otras entidades que tratan datos en el desarrollo de su actividad profesional. Esto incluye la elaboración, recolección, almacenamiento, transmisión y otras operaciones de tratamiento de datos personales y no personales. La guía puede resultar de utilidad incluso a las empresas que únicamente traten datos no personales, ya que muestra situaciones en las que los datos pueden estar sujetos a requisitos de localización o, en determinadas condiciones, a normas de protección de datos.

 

La guía también permite garantizar que el derecho de los ciudadanos a que se protejan sus datos personales se respete siempre, incluso cuando sus datos estén mezclados con otros tipos de datos, o que dichos datos estén adecuadamente anonimizados.

 

Además, la guía también tiene valor informativo para las autoridades públicas, que tratan datos con regularidad y participan en la elaboración de normas legislativas y administrativas en torno al tratamiento de datos.

 

3. ¿Qué cuestiones se recogen en la guía?

Además de describir el ámbito de aplicación del Reglamento sobre la libre circulación de datos no personales y del RGPD, la guía muestra la relación entre estos dos conjuntos de normas de la UE. Explica la interacción entre los dos Reglamentos con relación a la libre circulación de datos. Además, expone los conceptos de datos no personales y datos personales, y aclara qué normas deben seguirse cuando se tratan conjuntos de datos mixtos, es decir, conjuntos de datos compuestos tanto de datos personales como no personales. El documento también desarrolla el concepto de portabilidad de los datos y sus matices entre el RGDP y el Reglamento sobre la libre circulación de datos no personales. Ofrece a las empresas un resumen sobre los códigos de conducta para la transmisión de datos y el cambio de proveedor de servicios de tratamiento de datos, y describe el papel del trabajo de autorregulación, como los códigos de conducta y los mecanismos de certificación para demostrar el cumplimiento de las normas de protección de datos. A fin de presentar el panorama sobre cómo contribuyen ambos Reglamentos a la libre circulación de datos en la UE, la guía explica en qué consisten los requisitos de localización de datos contemplados en el Reglamento sobre la libre circulación de datos no personales y el principio de libre circulación del RGPD.

 

4. ¿Qué son los datos no personales?

Los datos no personales son distintos de los datos personales, tal como establece el RGPD. Los datos no personales se pueden clasificar por origen como:

 

- datos que originalmente no se relacionaban con una persona física identificada o identificable, como los datos sobre las condiciones climáticas generados por los sensores instalados en aerogeneradores o los datos sobre las necesidades de mantenimiento de las máquinas industriales; o

- datos que inicialmente eran datos personales, pero más tarde se convirtieron en anónimos.

Aunque la guía recoge otros ejemplos de datos no personales, también explica el concepto de datos personales, anonimizados y pseudoanonimizados, para facilitar su comprensión, y describe los límites entre los datos personales y los datos no personales.

 

5. ¿Qué son los conjuntos de datos mixtos?

En la mayoría de las situaciones cotidianas, los conjuntos de datos suelen estar compuestos tanto por datos personales como no personales. Esto a menudo se conoce como «conjunto de datos mixtos». Los conjuntos de datos mixtos representan la mayoría de los conjuntos de datos utilizados en la economía de datos y normalmente se recogen gracias a desarrollos tecnológicos como el Internet de las cosas (es decir, objetos que se conectan digitalmente), la inteligencia artificial y las tecnologías que permiten el análisis de macrodatos.

 

Un ejemplo de conjunto de datos mixto es el registro fiscal de una empresa, en el que se mencione el nombre y número de teléfono del director general de la empresa. También puede referirse al conocimiento que tiene una empresa de los problemas informáticos y las correspondientes soluciones partiendo de informes individuales de incidencias, o a los datos estadísticos anonimizados de una institución de investigación y los datos en bruto recogidos inicialmente, como las respuestas de particulares a las preguntas de una encuesta.

 

6. ¿Es necesario tratar por separado los datos personales y no personales?

No, ni el Reglamento sobre la libre circulación de datos personales ni el RGPD imponen la obligación de separar los conjuntos de datos mixtos ni de tratar los datos personales y no personales de forma separada. En la mayor parte de los casos, hacerlo sería difícil, e incluso imposible. Por consiguiente, la guía explica cuáles son las normas aplicables conforme al Reglamento sobre la libre circulación de datos personales, y en particular su artículo 2, apartado 2, en el caso de los conjuntos de datos mixtos:

  • el Reglamento sobre la libre circulación de datos no personales se aplica a la parte de datos no personales del conjunto de datos;
  • la disposición de libre circulación del Reglamento general de protección de datos se aplica a la parte de datos personales del conjunto de datos.

Si la parte de datos no personales y las partes de datos personales están «inextricablemente ligadas», los derechos y obligaciones de protección de datos derivados del RGPD se aplicarán completamente a todo el conjunto de datos mixtos, incluso cuando los datos personales representen solo una pequeña parte del conjunto de datos.

 

La guía también explica el concepto de estar «inextricablemente ligados» y ofrece ejemplos prácticos sobre la aplicación de las normas anteriores.

 

7. ¿Entran en conflicto los dos Reglamentos?

No hay obligaciones contradictorias en el RGPD y el Reglamento sobre la libre circulación de datos no personales. Mientras que el RGPD garantiza un alto nivel de normas en materia de protección de datos y permite la libre circulación de datos personales, el Reglamento sobre la libre circulación de datos no personales permite la libre circulación de estos últimos. Ambos Reglamentos permiten la libre circulación de la totalidad de los datos dentro de la UE.

 

Además, el Reglamento sobre la libre circulación de datos no personales no contiene obligaciones para las empresas, y las cuestiones prácticas del tratamiento de datos no personales son opcionales para las empresas particulares. El Reglamento sobre la libre circulación de datos no personales no limita la libertad contractual de las empresas al permitirles elegir la ubicación para el tratamiento de sus datos.

 

8. ¿Por qué la guía incluye también labores de autorregulación?

El objetivo del Reglamento sobre la libre circulación de datos es permitir la libre circulación de los datos no personales en la UE. Varios grupos de partes interesadas están elaborando códigos de conducta sobre la transmisión de datos y el cambio de proveedor de servicios en las relaciones empresariales, así como códigos de conducta sobre la protección de datos contemplada en el RGPD. También se trabaja en el ámbito de los certificados de ciberseguridad de los servicios en la nube. Por tanto, la autorregulación permitirá a los agentes del mercado ser más innovadores y crear confianza en sus sectores, y posiblemente responder mejor a los cambios del mercado.