Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Resumen
El estudio sobre la simbiosis entre protección de datos y open data es una introducción sobre el cómo conciliar la legislación de protección de datos personales de la Unión Europea con las políticas de datos abiertos.
La relación entre la protección de datos y los datos abiertos (Open data) es fundamentalmente una asociación complementaria que requiere de un extremado equilibrio para maximizar beneficios sociales, económicos y de transparencia, sin poner en riesgo la privacidad de las personas.
Los datos abiertos se refieren a la publicación, principalmente de datos digitales, por organismos públicos de manera accesible, reutilizable y libre para cualquier persona, con el objetivo de fomentar la transparencia, la innovación y la participación ciudadana. Sin embargo, la apertura de datos plantea desafíos importantes en cuanto a la protección de la privacidad y la seguridad de los datos personales.
Por otro lado, la protección de datos – especialmente bajo normativas como el RGPD en Europa – regula el tratamiento de los datos personales solo bajo estrictas condiciones para proteger los derechos fundamentales de las personas. Esto implica que, la apertura de datos por las administraciones, deben garantizar la no exposición de información que permita la identificación directa o indirecta de las personas físicas, recurriendo a técnicas, entre otras, la anonimización y la evaluación de riesgos de privacidad.
Concluyendo: la apertura de datos y la protección de datos personales no son objetivos opuestos, sino asociaciones que pueden integrarse mediante buenas prácticas, soluciones técnicas y marcos legales adecuados, permitiendo así que la transparencia y la innovación avancen sin menoscabar la privacidad y los derechos fundamentales de las personas.
Este estudio fue elaborado en el marco de data.europa.eu, una iniciativa de la Comisión Europea. El autor del estudio es Hans Graux. El suscrito solo ha traducido del inglés al castellano la Introducción del mismo con la ayuda del aplicativo Google Translator. El enlace al texto íntegro del mismo (17 págs.) obra en: https://data.europa.eu/sites/default/files/report/The%20Symbiosis%20between%20Data%20Protection%20and%20Open%20Data.pdf
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: [email protected]
_______________________________________
Introducción
En la Unión Europea (UE), la protección de datos personales se reconoce como un derecho fundamental en virtud de la Carta de los Derechos Fundamentales de la Unión Europea[1]. En términos generales, esto implica que los datos personales —es decir, cualquier dato que pueda vincularse a una persona física específica, como se analizará con más detalle más adelante— deben tratarse con la debida diligencia. Como señala el artículo 8 de la carta, los datos personales «deberán ser tratados de forma leal, para fines específicos y sobre la base del consentimiento del interesado o de cualquier otra base legítima establecida por la ley».
Esta descripción general del derecho a la protección de datos personales («el derecho a la protección de datos») ha sido desarrollada en la carta en diversos textos legales, entre los que destaca el Reglamento General de Protección de Datos (RGPD[2]) de 2016, que sustituyó a la Directiva de Protección de Datos de 1995[3]. El RGPD describe las principales normas y requisitos aplicables a la mayoría de las actividades de tratamiento de datos personales en la UE, incluyendo la recopilación, el intercambio o la reutilización de datos personales. Por ejemplo, el RGPD contiene obligaciones en materia de transparencia (las personas deben ser informadas sobre las actividades de tratamiento relacionadas con sus datos personales), limitación de la finalidad (las actividades de tratamiento deben limitarse a lo comunicado a las personas afectadas) y minimización de datos (el tratamiento de datos personales debe limitarse a lo estrictamente necesario para lograr los fines comunicados a dichas personas).
Dentro de la UE, la legislación sobre datos abiertos surgió prácticamente en paralelo con el marco de protección de datos de la UE. La primera directiva sobre información del sector público (Directiva ISP[4]) se adoptó en 2003. Si bien aún no utilizaba el concepto de «datos abiertos», sí proporcionaba un marco que animaba (pero no exigía) a los organismos del sector público a poner sus datos a disposición para su reutilización, con fines comerciales o no comerciales, en condiciones justas y no discriminatorias.
La Directiva ISP se modificó en 2013[5], en una revisión que hizo obligatoria la reutilización como norma general, con algunas excepciones. Esta enmienda también proporcionó la primera referencia a las políticas de datos abiertos en sus considerandos, describiéndolas como políticas que «fomentan la amplia disponibilidad y reutilización de la información del sector público con fines privados o comerciales, con mínimas o nulas restricciones legales, técnicas o financieras, y que promueven la circulación de información no solo para los operadores económicos, sino también para el público».
La Directiva sobre la ISP fue sustituida en 2019 por la Directiva sobre datos abiertos[6], que describe los datos abiertos como «datos en un formato abierto que pueden ser libremente utilizados, reutilizados y compartidos por cualquier persona para cualquier fin». La Directiva sobre datos abiertos reforzó aún más la obligación de los organismos del sector público de poner sus documentos a disposición como datos abiertos, siempre que sea posible.
Los marcos jurídicos relativos a los datos abiertos y la protección de datos pueden aplicarse de forma acumulativa, es decir, cuando un documento o conjunto de datos debe estar disponible como datos abiertos, pero al mismo tiempo contiene datos personales. En esos casos, puede resultar difícil para los organismos del sector público encontrar la manera adecuada de conciliar ambos conjuntos de obligaciones. Los datos abiertos consisten fundamentalmente en poner los datos a disposición libremente para su reutilización, mientras que la protección de datos se centra en la implementación de controles adecuados.
Por lo tanto, si un conjunto de datos contiene datos personales —lo cual puede ocurrir, como explicaremos más adelante, pero ciertamente no es la tendencia general—, un proveedor de datos podría mostrarse reacio a publicarlos como datos abiertos. Al fin y al cabo, si efectivamente existen datos personales en el conjunto de datos, normalmente se aplicaría el RGPD, y tanto el proveedor de datos como quien reutiliza los datos deberían tomar medidas para garantizar su cumplimiento. Deberían ofrecer transparencia sobre el uso de los datos personales, definir claramente la finalidad del uso permitido y garantizar que la cantidad de datos compartidos se minimice al máximo.
En la práctica, esto puede ser un desafío. La transparencia hacia las personas que pueden vincularse a los datos personales (los «interesados» en el RGPD) sobre la reutilización de sus datos personales puede ser difícil de garantizar, ya que normalmente no se dispone de datos de contacto que permitan la comunicación con ellos. Implementar los principios de limitación de la finalidad y minimización de datos es igualmente complejo para los proveedores de datos, ya que compartir datos personales con quien reutiliza también constituye una forma de tratamiento de datos personales que debe cumplir con el RGPD. Como resultado, el proveedor de datos y el reutilizador de datos tendrían que llegar a acuerdos sobre el tipo de uso permitido de los datos personales y qué datos personales son estrictamente necesarios para lograr dicho objetivo. Este enfoque no es especialmente escalable y contradice en cierta medida las políticas de datos abiertos.
Por consiguiente, la principal estrategia de cumplimiento del RGPD consiste en evitar la inclusión de datos personales en conjuntos de datos que se ponen a disposición como datos abiertos. Esto puede lograrse no poniendo a disposición conjuntos de datos que contengan datos personales o anonimizándolos, de modo que el conjunto de datos deje de contener datos personales y el RGPD deje de ser aplicable. Por supuesto, cualquiera de estas estrategias requiere la posibilidad de determinar con exactitud qué se considera un dato personal, con un grado razonable de precisión, es decir, determinar si un conjunto de datos puede vincularse a una persona física. Además, debe ser posible determinar quién es responsable en caso de errores.
[1] Parlamento Europeo, Consejo de la Unión Europea y Comisión Europea, Carta de los Derechos Fundamentales de la Unión Europea, Oficina de Publicaciones de la Unión Europea, Luxemburgo, 2012 (DO C 326 de 26.10.2012, pp. 391-407, ELI: http://data.europa.eu/eli/treaty/char_2012/oj)
[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1-88, ELI: http://data.europa.eu/eli/reg/2016/679/oj)
[3] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, pp. 31-50, http://data.europa.eu/eli/dir/1995/46/oj)
[4] Directiva 2003/98/CE del Parlamento Europeo y del Consejo, de 17 de noviembre de 2003, relativa a la reutilización de la información del sector público (DO L 345 de 31.12.2003, pp. 90-96, http://data.europa.eu/eli/dir/2003/98/oj)
[5] Directiva 2013/37/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, por la que se modifica la Directiva 2003/98/CE relativa a la reutilización de la información del sector público (DO L 175 de 27.6.2013, p. 1-8, http://data.europa.eu/eli/dir/2013/37/oj)
[6] Directiva (UE) 2019/1024 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, relativa a los datos abiertos y la reutilización de la información del sector público (DO L 172 de 26.06.2019, p. 56-83, http://data.europa.eu/eli/dir/2019/1024/oj)
