El pasado martes entró en vigor el Reglamento de Protección de datos NO personales. Se trata de la primera norma que regula la circulación de datos no personales en todo el mundo y la segunda en Europa que pretende establecer un control sobre esos datos. La intención de este Reglamento es lograr un mercado digital único.
Este Reglamento pretende consolidar la normativa sobre circulación de datos en el ámbito comunitario, sobre todo frente a la aplicación inmediata de nuevas tecnologías como la Inteligencia artificial, el 5G o el Internet de las cosas.
Su propósito fundamental es asegurar a los usuarios el acceso y almacenamiento legítimo de datos en cualquier lugar de la UE. Con esta norma se eliminan los impedimentos que establezcan las legislaciones de los Estados miembros.
Se acompaña esta ley de una guía, dirigida sobre todo a medianas empresas, en la que se resuelven dudas sobre su aplicación.
Novedades del Reglamento de Protección de datos no personales
Las principales novedades introducidas en esta nueva normativa son las siguientes:
- Libre acceso y almacenamiento de datos por cualquier persona en cualquier país comunitario. Se prohíbe a los Estados miembros que restrinjan esa libre circulación, excepto por razones de seguridad.
- Las bases de datos de los organismos y empresas sujetas al Reglamento deben ser accesibles en caso de que cualquier autoridad competente les realice una petición de información legítima. Y también cuando esos datos se traten o almacenen fuera de la UE.
- Establece la implantación en las empresas de códigos de conducta autorregulatorios que garanticen el cumplimiento de esta norma. De esta forma se podrán unificar en las empresas determinados temas como la accesibilidad o la portabilidad de los datos, unificando los procesos y asegurando la transparencia.
- Existe una regulación diferenciada y distinto tratamiento jurídico para los datos de carácter mixto. Estos son aquellos que contengan información tanto personal como privada. Con carácter general, será aplicable el RGPD a los datos personales y este Reglamento de Protección de datos no personales a los privados. Pero en los casos en los que sea muy difícil separar unos datos de otros, será aplicable el RGPD a ese conjunto de datos mixtos.
Objetivo de esta normativa
Con esta regulación se intenta aplicar una semejante protección a los datos personales y a los no personales, aunque con distinciones.
El Reglamento se crea con el objetivo principal de garantizar la libre circulación de datos no personales dentro de la UE, salvo que exista una prohibición o limitación basada en motivos de seguridad pública. Tanto el rgpd para datos personales como este Reglamento establecen las normas sobre la libre circulación de los diferentes tipos de datos. Pero no existe obligación de almacenar esos distintos tipos de datos de manera separada.
Esta norma se aplica tanto a personas jurídicas como a personas físicas que realicen un tratamiento de datos de personas que tengan su establecimiento o residencia dentro de la UE. Se refiere únicamente a los datos de carácter no personal y no se aplica en transferencias de datos con países no pertenecientes a la UE.
Los datos no personales son definidos como aquellos datos que no están relacionados con una persona física, identificada o identificable. Por ejemplo, los datos sobre la necesidad de mantenimiento de máquinas industriales o los datos sobre características climáticas originados por sensores que se alojan en los aerogeneradores. También se incluyen los datos que en un principio eran datos personales pero posteriormente se convierten en anónimos.
Interacción entre el RGPD y el Reglamento de libre circulación de datos no personales
El Reglamento de libre circulación de datos no personales tiene la finalidad de garantizar la libre circulación de aquellos datos que no tengan el carácter de personales. Esos datos no personales son definidos como aquellos datos que no son personales.
El RGPD define los datos personales como toda la información que haga referencia a una persona física identificada o identificable. Es decir, aquella persona cuya identidad pueda determinarse, directa o indirectamente, a través de un identificador. Por ejemplo, son datos personales el nombre, número de DNI, datos de localización o aspectos específicos de su identidad física, psíquica, genética, cultural, social o económica de esa persona.
En el RGPD se habla de la seudonimización de datos personales en determinados ámbitos como la investigación para ocultar la identidad de una persona. A través de la seudonimización es posible tratar los datos personales sin asociarlos con una persona concreta. Solo se podría conocer la identidad de esa persona usando información adicional sobre la que se han aplicado medidas de seguridad como el cifrado. Pero esos datos seudonimizados son considerados datos personales ya que, usando la información adicional, puede identificarse a una persona concreta.
Datos no personales
Estos datos no personales, como indicaba anteriormente, son aquellos no considerados como datos personales.
Los tipos de datos no personales son:
- Datos no relacionados con una persona física identificada o identificable.
- Datos personales convertidos en anónimos. La anonimización de los datos es diferente a la seudonimización ya que esos datos anonimizados no pueden relacionarse con una persona específica aunque se use información adicional.
Siempre que un dato pueda relacionarse de cualquier manera con una persona determinada, identificándola directa o indirectamente, debe considerarse como dato personal.
Los datos personales son los referidos a personas físicas por lo que los datos sobre personas jurídicas se considerarán datos no personales. Pero en ciertos casos esos datos pueden considerarse como personales. Por ejemplo, cuando el nombre de la persona jurídica es el mismo que el de la persona física o si esa información se puede relacionar con una persona física.
Datos mixtos
El Reglamento de libre circulación de datos no personales prohíbe los requisitos de localización de datos no personales, salvo que existan motivos de seguridad pública en cumplimiento del principio de proporcionalidad.
El RGPD, además de asegurar la protección de los datos personales, garantiza su libre circulación. Con ambas normas se establece la libre circulación de todos los datos en el ámbito de la UE.
Los datos mixtos están formados por datos personales y datos no personales. Estos son muy comunes actualmente debido al uso de Internet de las cosas, la Inteligencia artificial y el Big Data.
Algunos ejemplos de datos mixtos son:
- Registro fiscal de las empresas, donde se incluyen los datos de contacto de su director general.
- Datos bancarios con información de clientes y de transacciones
- Datos asociados al Internet de las cosas, donde con algunos datos puedan realizarse suposiciones referidas a personas identificables.
Por tanto, en casos de datos mixtos:
- El Reglamento de libre circulación de datos no personales se aplica a la parte formada por datos no personales.
- El RGPD se aplica a la parte de datos personales.
- Si ambos tipos de datos están totalmente unidos y es imposible su separación, será aplicable el RGPD a todo el conjunto de datos.
Libre circulación de datos y supresión de requisitos de localización
Como indicaba anteriormente, el Reglamento de libre circulación de datos no personales prohíbe los requisitos de localización de datos, salvo que se se justifique por razones de seguridad pública.
Los requisitos de localización de datos son cualquier prohibición, condición, restricción u obligación establecidas por las leyes de los Estados miembros o derivadas de prácticas administrativas generales que obliguen a tratar los datos en un determinado Estado miembro o complique ese tratamiento en otro Estado miembro. Esto incluye tanto medidas directas como indirectas que impidan la libre circulación de datos no personales.
Dentro de los requisitos directos de localización de datos estarían, por ejemplo, la obligación de almacenar los datos en un país determinado o de cumplir unos requisitos técnicos únicos de un determinado país.
Dentro de los requisitos indirectos de localización de datos se incluyen los requisitos para usar instalaciones tecnológicas certificadas o aprobadas en un Estado miembro concreto u otros requisitos que pretendan dificultar ese tratamiento de datos en otro país de la UE.
Cualquier requisito de localización de datos debe cumplir el principio de proporcionalidad. Es decir, las medidas que se impongan deben ser adecuadas para cumplir el fin perseguido y vayan más allá de lo necesario para ese fin.
Además, se establece la libertad de las empresas para decidir dónde tratarán sus datos.
Los Estados miembros deben facilitar información sobre los requisitos de localización de datos que apliquen y deben publicarla en los sitios web nacionales.
Ámbito de aplicación del Reglamento
El Reglamento de libre circulación de datos no personales se aplica únicamente a los tratamientos de datos no personales realizados dentro del territorio de la UE.
Ese tratamiento debe reunir unos requisitos:
- Se preste un servicio a usuarios que estén establecidos en territorio de la UE, aunque el proveedor se encuentre fuera de ese territorio.
- El tratamiento se realice por una persona física o jurídica residente o con establecimiento en la UE para sus necesidades propias.
En caso de que el tratamiento en su totalidad se realiza fuera de la UE no se aplica este Reglamento pero sí es aplicable el RGPD si existen datos personales, sobre todo los requisitos exigidos para realizar transferencias internacionales a terceros países.
Portabilidad de datos
Una de las finalidades de este Reglamento de libre circulación de datos no personales es impedir la dependencia de un único proveedor. Esto sucede cuando el proveedor bloquea los datos y los usuarios no pueden cambiar ese proveedor.
No deben existir obstáculos para realizar portabilidades de datos para que los usuarios puedan elegir libremente al proveedor al que desean transferir sus datos. De esta forma se asegura una eficaz competencia en el mercado.
Cada vez es más importante la portabilidad de datos entre empresas en una gran cantidad de servicios digitales, entre los que se incluyen los servicios en la nube.
La Comisión europea debe facilitar la elaboración de códigos de conducta dentro de la UE. Estos códigos de conducta se referirán también a la transferencia de datos entre distintos sistemas de TI y al cambio de proveedores de servicios.
Igualmente, la Comisión ha empezado a impulsar las actividades de grupos de trabajo de partes interesadas en la nube del Mercado Único Digital, donde se reúnen expertos en la nube y usuarios profesionales.
Estos códigos de conducta deben complementarse con las cláusulas contractuales tipo para favorecer la aplicación de los primeros con suficiente especificación técnica y legal.
Relación con el RGPD
En ambos Reglamento se regula la portabilidad de datos y los casos de cambios de proveedor de TI.
En el RGPD, el derecho a la portabilidad está centrado en las relaciones entre el interesado y el responsable del tratamiento. Se refiere al derecho que tiene el titular de los datos a que el responsable del tratamiento le facilite esos datos en un formato estructurado y legible. Y también al derecho del interesado a que ese responsable del tratamiento transfiera sus datos a otro responsable sin ningún obstáculo.
El Reglamento de libre circulación de datos no personales no establece el derecho a la portabilidad de los usuarios sino la elaboración de unos códigos de conducta voluntarios para el sector. En este caso, la portabilidad se centra en la relaciones entre empresas, entre un usuario profesional y un proveedor de servicios.
En caso de datos mixtos, la portabilidad puede regirse tanto por el RGPD como por el Reglamento de libre circulación de datos no personales.
Garantizar la seguridad jurídica y la confianza en el tratamiento de datos es esencial para la capacidad de la UE de sacar el máximo partido de los datos.
Los dos Reglamentos lo garantizan y ambos persiguen el objetivo de la libre circulación de datos. Juntos, el Reglamento de libre circulación de datos no personales y el Reglamento general de protección de datos, conforman la base para la libre circulación de todos los datos en la Unión Europea y una economía europea de datos altamente competitiva.