Los lagos de datos en la Data Governance Act
La Data Governance Act o Ley de Gobernanza de Datos (DGA) pretende crear un mercado único de datos (personales o de otro tipo) en la UE, incluyendo una nueva estrategia para compartir datos a través de proveedores de servicios de intermediación de datos. Esta estrategia tiene como objetivo reforzar la fiabilidad de los espacios comunes de datos europeos y permitir a las empresas interesadas compartir datos más fácilmente a través de estos intermediarios que podrían actuar como "mercado de datos" o terceros de confianza. Este nuevo enfoque se basa en la neutralidad y la transparencia, al tiempo que deja a las empresas y a los particulares el control de sus propios datos.
Contexto de los data pools de la DGA
Los lagos de datos o data pools son espacios centralizados en los que las empresas pueden compartir, obtener y/o mantener datos, lo que puede ser útil en el marco de relaciones comerciales en las que varias compañías alimentan el mismo data pool con sus propios datos (por ejemplo, para reducir costes), para que las mismas u otras empresas accedan y hagan uso de esta información dentro de unas condiciones predeterminadas.
Sin duda, este nuevo sistema ofrece muchas posibilidades para la industria, como el entrenamiento de algoritmos, el aprendizaje automático (machine learning), la optimización de procesos, el desarrollo de nuevos productos, las iniciativas de investigación y desarrollo, etc.
Los participantes en el data pool podrán decidir qué datos compartir, quién podrá acceder a ellos y en qué condiciones, teniendo en cuenta las normas y condiciones técnicas de los servicios de intermediación de datos (y otras normativas, como las leyes de competencia). La puesta en común de los datos podría ser multilateral para los participantes, o estar abierta a terceros que quieran acceder a esos datos, para "el uso común o individual de los mismos".
Uno de los objetivos de los lagos de datos en el marco de la DGA es promover la puesta en común de la información y la creación de espacios o mercados de datos europeos que beneficien a la industria y la investigación. Una opción para estos data pools es el acceso abierto y disponible para cualquier empresa interesada en igualdad de condiciones (por ejemplo, mediante la concesión de licencias).
El acceso a la información de los data pools no tiene por qué ser necesariamente gratuito. Las empresas participantes, a través de este mecanismo, podrán recibir "royalties" o "compensaciones" por su contribución, lo que supone un incentivo para la creación de espacios de datos.
Otros tipos de data pools que no están cubiertos por la DGA no están necesariamente prohibidos, pero no estarán sujetos a este nuevo marco legal (con sus ventajas e inconvenientes). Además, los data pools y los servicios de intermediación de datos son diferentes de los servicios en la nube o de análisis, de los softwares de intercambio de datos, de los navegadores web o de los servicios de correo electrónico, que no están bajo el paraguas de la DGA. Estos servicios sólo proporcionan herramientas técnicas para que las empresas compartan datos con otros y/o no tienen como objetivo establecer una relación comercial entre los titulares de los datos y los usuarios de los mismos.
Tipos de datos que pueden alimentar el data pool
¿Qué datos pueden compartirse en los data pools? Todos los datos que las empresas tienen derecho a comunicar a terceros, con algunas excepciones limitadas, como los contenidos protegidos por derechos de autor. En otras palabras, cualquier dato no personal puede alimentar los data pools siempre que no esté protegido por leyes sectoriales (por ejemplo, secretos comerciales, propiedad intelectual, normativa de competencia, etc.).
En cuanto a los datos personales, pueden compartirse siempre que esta puesta en común cumpla con el Reglamento General de Protección de Datos ("RGPD"). En este contexto, el uso de la anonimización o la seudonimización podría facilitar la puesta en común de los datos personales en los data pools cumpliendo con el RGPD. En cualquier caso, mientras los datos sigan siendo personales, los data pools deben permitir a los interesados ejercer sus derechos de protección de datos. La DGA no crea una nueva base legitimadora para tratar los datos, ni más facilidades que las ya existentes. En este sentido, puede que la nueva normativa se quede corta.
La información compartida en el data pool no debe ser enriquecida o modificada por el proveedor de servicios de intermediación. Debe ofrecerse tal y como la proporcionen los participantes, con alguna adaptación del formato para la armonización de los estándares o la mejora de la interoperabilidad.
Gestión del data pool: proveedores de servicios de intermediación de datos
Los data pools deben ser gestionados por una nueva parte interesada definida en la DGA: el proveedor de servicios de intermediación de datos. Este se define como:
"servicio cuyo objeto sea establecer relaciones comerciales para el intercambio de datos entre un número indeterminado de interesados y titulares de datos, por una parte, y usuarios de datos, por otra, a través de medios técnicos, jurídicos o de otro tipo".
Esta nueva función de prestación de servicios de intermediación para la puesta en común de datos traerá consigo oportunidades de negocio para las empresas tecnológicas. Los servicios de intermediación de datos permiten la interconexión entre los participantes del pool con los usuarios de los datos, y deberán garantizar la seguridad de los datos y el cumplimiento de los principios de la DGA.
Los proveedores de servicios de intermediación de datos se enfrentan a un régimen con bastantes restricciones y deben cumplir unas condiciones estrictas. Deben ser neutrales y tratar a las empresas y entidades usuarias de los pools de manera justa y transparente, y garantizar que los precios no sean discriminatorios. En el marco de su actividad de intermediación de datos, no pueden estar sujetos a un conflicto de intereses, ni utilizar y procesar los datos del pool (ni siquiera los metadatos recogidos en el marco de la prestación de sus servicios) para fines distintos a los de ofrecer los datos a las empresas usuarias del data pool. No podrán utilizar los datos del pool para sus propios fines. Además, deben garantizar la seguridad de sus servicios y establecer procedimientos para evitar prácticas fraudulentas. Por último, el proveedor de servicios de intermediación de datos "deberá mantener un registro de toda la actividad de intermediación de datos".
Su actividad está sujeta a la notificación previa a la autoridad competente designada por cada Estado miembro. Dicha autoridad podría crearse per se a tal efecto, o ser gestionada por autoridades ya existentes, como la de protección de datos, la de competencia o cualquier otra autoridad pública. La autoridad adecuada deberá ser elegida antes del 24 de septiembre de 2023.
En cualquier caso, cuando varias empresas acuerdan la creación de un data pool, el modelo de gobernanza y cumplimiento es clave. Es esencial definir claramente desde el principio del proyecto los controles, quién los realiza y cómo se revisan y actualizan.
Fecha de aplicación
La DGA se aplicará a partir del 24 de septiembre de 2023, por lo que las empresas que quieran tomar la iniciativa de convertirse en intermediarios tienen que empezar a planificar sin demora, ya que las condiciones para informar de la actividad y los requisitos para convertirse en intermediario son bastante laboriosos.
Con todo, el hecho de que las normas para los data pools estén reconocidas en un reglamento europeo es un avance positivo. Proporciona seguridad jurídica a las empresas que desean suministrar u obtener datos y la certeza de que, cumpliendo esta regulación (y, en su caso, otras que podrían aplicarse como el RGPD o las leyes de competencia), este intercambio de datos es legal. Será interesante ver cómo interactúa esta regulación con otras que ya aparecen en el horizonte en determinados sectores, como el Reglamento para crear el Espacio Europeo de Datos Sanitarios.
Próximos pasos
- Determinar si un espacio de intercambio de datos gestionado por un servicio de intermediación puede ser interesante y beneficioso para su empresa.
- Los proveedores de servicios de intermediación de datos deben empezar ya a adecuar sus estructuras y políticas empresariales para preparar la notificación a los reguladores.
- Las empresas que deseen crear un data pool deben asegurarse de que las normas de gobernanza del data pool cumplen con la DGA.
- A la hora de crear un data pool, hay que tener en cuenta otras legislaciones, como el RGPD o las leyes de competencia de la UE.