Espacios de Datos, soberanía y protección de datos desde el diseño

Foto Unsplash 

La aplicación de políticas de protección de datos, así como la protección de datos desde el diseño y por defecto, significan el empleo de herramientas de gestión, legales y técnicas que garantizan el cumplimiento de GDPR. Estas deben tenerse en cuenta desde las primeras etapas del diseño de un Espacio de Datos. Las Privacy Enhancing Technologies o PETs permiten implementar los principios de privacidad, pero las mismas herramientas son útiles para implementar las políticas de gobernanza que garantizan la confianza y la soberanía de los datos en un Espacio de Datos. Por lo tanto, las PET pueden ser, y deben ser, tecnologías de "doble uso" para ser eficientes y efectivas, integradas en el núcleo de los Espacios de Datos, cumpliendo diferentes propósitos en la economía de intercambio de acceso a datos.

"Los datos son el nuevo petróleo" es una frase que describe la importancia de la economía basada en datos. En este enfoque, los datos ya no son solo un elemento necesario para implementar un tratamiento, sino un activo por sí mismo que puede generar beneficios para cada entidad y la sociedad en su conjunto. Por lo tanto, la economía basada en datos va más allá de los límites de los titulares de datos, y su objetivo es crear un mercado de intercambio de acceso a datos con diferentes partes interesadas: organismos públicos, empresas, investigadores, pymes y personas físicas.

Como activo, los datos tienen la misma importancia que cualquier otro activo en una entidad. Cualquier tipo de entidad, desde organismos públicos hasta pymes, se define por sus activos: recursos financieros y humanos, bienes, instalaciones y locales, poder de procesamiento y comunicación, conocimiento empresarial, patentes, cuota de mercado, etc. Todas las entidades tienen la responsabilidad de una gestión adecuada de sus activos, ya que es su deber proteger los intereses de sus accionistas, clientes y ciudadanos. Sería ingenuo pensar que una empresa dará libre acceso a su capital, instalaciones o conocimientos técnicos a cualquier persona para cualquier propósito sin garantías de que no dañará a la propia empresa o a la sociedad. Por lo tanto, debemos esperar que una empresa, con respecto a sus activos de datos, se sume a las iniciativas de compartición del acceso a datos que mantengan bajo su control su know-how, participación de mercado, propiedad intelectual, secretos comerciales, competitividad y el cumplimiento y los principios éticos. Ese control le dará a la empresa la confianza suficiente para convertirse en un actor dentro el mercado de acceso a datos.

La necesidad de confianza y control será compartida por todas las partes interesadas en la economía basada en datos. Por ejemplo, hablemos de la investigación y el acceso a datos. El poder de investigación de un país o entidad no se evalúa por el número de investigadores o su presupuesto, sino por el número de patentes y la propiedad intelectual generadas. La "carrera de patentes" es una carrera en la que solo puede haber un ganador, porque significa obtener derechos legales para comercializar nuevos productos y servicios. Los investigadores, para estar dispuestos a entrar en el entorno de acceso a datos, deben confiar en que existen garantías reales de que todo su esfuerzo no se verá comprometido. En definitiva, necesitan garantías de que pueden desarrollar su trabajo en competencia leal con otros centros de investigación, empresas o países que tengan acceso a más recursos para el tratamiento de datos. 

Del mismo modo, los Estados, e incluso la UE, deben implementar herramientas de control en el mercado de acceso a datos para obtener garantías que aseguren el desarrollo industrial sostenible de la UE. Por ejemplo, se necesitan garantías para permitir un crecimiento de la economía sin penalizar a las PYME respecto a las grandes empresas. Incluso, a nivel nacional, es de suma importancia mantener el control de la información estratégica: sobre infraestructuras críticas, las noticias falsas, la manipulación social, pero también lo es, entre otros, los datos de salud o el perfil psicológico de los actuales y futuros líderes, representantes y miembros de las estructuras esenciales del país.

Por último, pero no menos importante, "las personas físicas deben tener el control de sus propios datos personales" (considerando 7 del RGPD) de tal manera que sea posible cumplir con el RGPD para garantizar los derechos y libertades de los interesados.

Ese control, y la confianza que las partes interesadas necesitan en la economía de acceso a datos, se denomina "soberanía de datos". La soberanía sobre los activos de datos de las empresas, los investigadores, los Estados (que gestionan activos/datos que pertenecen a los ciudadanos) y las personas físicas es la forma de "crear la confianza que permitirá que la economía digital se desarrolle en todo el mercado interior" (Considerando 7 del RGPD).

La forma de conseguir una "soberanía de datos" efectiva significa implementar una infraestructura abierta y federada, basada en la gobernanza, políticas, reglas y estándares, que permita generar confianza en todos los grupos de interés mediante un control efectivo de sus activos de datos mediante herramientas de gestión, legales y técnicas. Esto es lo que se denomina Espacio de Datos.

Los Espacios de Datos deben permitir el acceso a los datos, considerando que el acceso significa "el uso de datos, de acuerdo con requisitos técnicos, legales u organizativos específicos, sin implicar necesariamente la transmisión o descarga de datos" (artículo 2.13 de la DGA). El acceso a los datos no significa necesariamente la difusión de datos y, por supuesto, no significa un filtrado de datos incontrolada. El acceso a los datos significa implementar formas de extraer información, útil para un contexto concreto, de diferentes fuentes de datos con el propósito de crear valor.

Un Espacio de Datos es implementado por herramientas de gestión, legales y técnicas y deben ser implementadas desde el diseño. Algunos ejemplos de tales herramientas son "los entornos de procesamiento seguro" (artículo .2.20 de DGA), la edge-computing, el procesamiento federado, la privacidad diferencial, SMPC, datos sintéticos, anonimización, seudonimización, técnicas de minimización de datos, etc. Otras herramientas deben proporcionar control, para las partes interesadas y por defecto en el caso de la difusión de datos, para implementar la gestión del ciclo de vida de los datos, la trazabilidad de datos y políticas de control de acceso. La gobernanza y las políticas son elementos clave de las herramientas de gestión y deben comenzar con una definición clara de roles y responsabilidades entre las partes interesadas, propósitos, gestión de riesgos desde diferentes perspectivas, estrategias de gestión de brechas de datos y cumplimiento de las diferentes regulaciones.

En el párrafo anterior parece que estamos hablando únicamente de herramientas de protección de datos personales por diseño y por defecto: herramientas de gestión y "Privacy Enhancing Technologies" o PETs. Sin embargo, estas herramientas pueden cumplir fines adicionales más allá de la protección de datos. Veamos el ejemplo de las herramientas de trazabilidad, que son clave para la implementación de los derechos establecidos en el GDPR y el ciclo de vida del consentimiento. Sin embargo, las herramientas de trazabilidad son también necesarias en un Espacio de Datos para implementar la monetización de datos, el control de la propiedad intelectual, los procesos de facturación, la gestión de patentes y todo lo relacionado con el cumplimiento de los contratos en un mercado de acceso a datos. Otro ejemplo proviene de la protección de datos desde el diseño como los entornos de procesamiento seguro o el procesamiento federado, entre otros. Por supuesto, tales estrategias son muy efectivas para implementar el cumplimiento de GDPR, pero también son herramientas ideales para mantener un control de los activos más valiosos de una corporación, como su know-how, o para garantizar un uso justo y ético de los datos en caso de investigación. La conclusión es que los PET pueden cumplir varios requisitos de gobernanza en un Espacio de Datos y funcionar como herramientas de "doble uso": requisitos de GDPR y otros requisitos que se derivan de los intereses de las empresas, los organismos públicos, la sostenibilidad del mercado de la UE, la investigación de la UE y la seguridad del Estado.

Debe haber un único modelo de gobernanza en un Espacio de Datos, y no es posible implementar una política de protección de datos como una capa separada. La integración de herramientas de privacidad y PETS en el modelo de gobernanza debe realizarse desde el diseño de los Espacios de Datos. De esta manera, pueden funcionar como herramientas de doble uso que facilitan la implementación de la soberanía de los datos y la confianza de las partes interesadas para participar en el mercado de acceso a los datos. De lo contrario, si un Espacio de Datos se construye apilando herramientas, una sobre otra, sobre la marcha, con diferentes propósitos, de manera no planificada, el resultado será un Espacio de Datos ineficiente e ineficaz. 

La gobernanza de la privacidad y los PET son herramientas que garantizan y facilitan el cumplimiento del RGPD. Además, estas herramientas también permiten implementar los principios de soberanía de datos en un Espacio de Datos y dan una respuesta a muchas de las preocupaciones sobre el acceso a datos. Las herramientas de protección de datos deben considerarse desde el diseño de los Espacios de Datos y deben integrarse plenamente en la gobernanza de un Espacio de Datos. Por lo tanto, los DPDs con un profundo conocimiento sobre la gestión de datos y las herramientas de privacidad por diseño deben involucrarse en el diseño de los Espacios de Datos para obtener lo establecido en GDPR: control de los propios datos, confianza en la economía basada en datos, seguridad jurídica para todas las partes interesadas.

Este post está relacionado con otros materiales publicados desde la División de Innovación y Tecnología de la AEPD, como son:

• Enfoque de los Espacios de Datos desde la perspectiva del RGPD
• Evento AEPD-ENISA sobre Espacios de Datos