Publicado en Actualidad Jurídica Aranzadi, revista número 937.

En la economía digital los datos son el nuevo petróleo, la piedra sobre la que se sustentan los nuevos modelos de negocio que están transformando exponencialmente la economía, el trabajo y nuestro estilo de vida. Los datos nutren el Internet de las cosas (IoT), las comunicaciones máquina a máquina (m2m), la robótica el big data o la inteligencia artificial. Estas tecnologías abren paso a la denominada industria 4.0, “la cuarta revolución industrial”.

Muchos de estos datos son personales, pero otros no lo son. Uno de los objetivos de la Agenda Digital de la Unión es actualizar el marco regulatorio de ambos tipos de datos para alcanzar el Mercado Único Digital. Una vez promulgados el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y la Directiva 2016/680, se están debatiendo actualmente dos reglamentos adicionales que completarán la revisión de dicho marco: el Reglamento e-Privacy y el Reglamento sobre libre circulación de datos no personales. 

Muchos de estos datos son personales, pero otros no lo son. Uno de los objetivos de la Agenda Digital de la Unión es actualizar el marco regulatorio de ambos tipos de datos para alcanzar el Mercado Único Digital. Una vez promulgados el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) y la Directiva 2016/680, se están debatiendo actualmente dos reglamentos adicionales que completarán la revisión de dicho marco: el Reglamento e-Privacy y el Reglamento sobre libre circulación de datos no personales. 

Datos personales

En el contexto del profundo cambio cultural para las organizaciones que supuso el RGPD, el Reglamento e-Privacy busca sustituir la Directiva que regula la privacidad y la protección de datos personales en las comunicaciones electrónicas. Se pretende una coherencia con el RGPD, concretando y adaptando las normas generales de protección de datos y privacidad al ecosistema de las nuevas formas y tecnologías de comunicación (e.g. OTTs). 

En el proceso legislativo en curso, la controversia entre Comisión, Parlamento y Consejo Europeo se condensa en lo siguiente: (i) a qué datos afecta y a quiénes se aplica; (ii) con qué legitimación se permite la instalación de cookies y otras tecnologías de seguimiento (consentimiento del usuario y un número de excepciones que pueden ampliarse a la medición de audiencia –cuando no se utilizan cookies de terceros– y a cuestiones de seguridad y contexto laboral); (iii) codificación del modo en que el principio de privacidad por defecto y diseño, recogido en el RGPD, debe interpretarse en la relación entre navegadores y sitios web (configuración obligatoria del navegador que rechace tecnologías de seguimiento); (iv) pero con la posibilidad de que el usuario preste consentimientos específicos a los prestadores; y (v) la prohibición de condicionar el acceso a un contenido o servicio cuando existe negativa del usuario a la instalación de tecnologías de seguimiento (“adblocker blockers” o “tracking walls”). Se cuestiona si todo lo anterior requiere de lex specialis o puede ser abordado con los instrumentos del RGPD.

Como apuntaba la propuesta del Consejo de 5 de diciembre de 2017, hay dos puntos principales que requieren un debate adicional; la existencia de otras bases jurídicas o legitimación para el tratamiento de los datos más allá del consentimiento del usuario (i.e. interés legítimo) y la necesidad de encontrar un equilibrio entre la protección de la privacidad y la supervivencia de modelos de negocio legítimos que peligran (los basados en la observación del usuario y que permiten ofrecer servicios/ contenidos gratuitos financiados con publicidad). El objetivo inicial de que este Reglamento pudiera aplicarse a 25 de mayo de 2018 como el RGPD, parece cada vez más inalcanzable.

Datos no personales 

Los datos de carácter no personal son aquellos datos que no se refieren a una persona física identificada o identificable e incluyen los datos no personales generados por máquinas, m2m, Internet de las Cosas, las fábricas del futuro y los sistemas conectados autónomos o incluso datos personales que han sido anonimizados. Estos datos quedan fuera del ámbito de aplicación del RGPD. No obstante, en septiembre de 2017 y tras la Comunicación publicada nueve meses antes (“La Construcción de una economía de los datos europea”), la Comisión Europea publicó el proyecto de Reglamento sobre libre circulación de datos no personales en la Unión Europea.

El Proyecto de Reglamento se centra en las cuestiones que han de posibilitar la libertad de circulación de este tipo de datos, eliminando las barreras técnicas y legales que lo impiden (incluyendo la nube, como se identificó en la Estrategia de computación en la nube que la Comisión Europea publicó en julio de 2014). Se establecen normas relativas a la localización de datos, disponibilidad por las administraciones públicas y portabilidad por usuarios profesionales. 

El Proyecto de Reglamento pretende extender la portabilidad de los datos, introducida como derecho para los datos personales por el RGDP, a los datos no personales, cuando un usuario profesional tenga interés en cambiar de proveedor o portar datos a sus propios sistemas informáticos.  

No se abordan, sin embargo, cuestiones analizadas en la Comunicación como el acceso y la transferencia de datos generados por máquinas, la responsabilidad y seguridad en el contexto de las tecnologías emergentes o la interoperabilidad, más allá de establecer que se debe ofrecer un formato legible por máquina, estructurado y de uso frecuente. 

A la luz de lo expuesto, es necesario no perder de vista la evolución de estas iniciativas legislativas que pueden impactar de manera significativa en el flujo de datos en la Unión.