 |
| Fuente de la imagen: La ansiada tecla (M. Velasco, 2007) |
Resumen. - La creciente complejidad y volumen de datos generados en el sector público presentan retos significativos para su explotación y protección. Este artículo analiza el concepto de gobernanza de datos como un mecanismo esencial para garantizar la calidad, el valor y la transparencia de la información pública, al mismo tiempo que se abordan los retos jurídicos derivados de la protección de datos personales bajo el Reglamento General de Protección de Datos (RGPD). Se examina el marco regulatorio europeo y nacional, las medidas de protección de la privacidad y las responsabilidades de los diferentes actores en los espacios de datos. Se destaca la necesidad de un enfoque holístico que integre aspectos estratégicos, archivísticos, tecnológicos, normativos y económicos para una gestión eficaz de los datos en la era digital.
Palabras clave: Gobernanza de datos; Sector público; Protección de datos; RGPD; Transparencia; Reutilización de datos; Espacios de datos; Retos jurídicos.
Abstract. - The increasing complexity and volume of data generated in the public sector present significant challenges for its exploitation and protection. This article analyzes the concept of data governance as an essential mechanism for ensuring the quality, value, and transparency of public information, while addressing the legal challenges arising from the protection of personal data under the General Data Protection Regulation (GDPR). The article examines the European and national regulatory framework, privacy protection measures, and the responsibilities of different actors in data spaces. It highlights the need for a holistic approach that integrates strategic, archival, technological, regulatory, and economic aspects for effective data management in the digital age.
Keywords: Data governance; Public sector; Data protection; GDPR; Transparency; Data reuse; Data spaces; Legal challenges.
1. Introducción
La transformación digital ha impulsado un crecimiento exponencial en la cantidad de información generada por las administraciones públicas, tanto a través de procedimientos internos como de la interacción con la ciudadanía y las redes sociales (Cerrillo-Martínez y Casadesús-de-Mingo, 2021). Esta vasta cantidad de datos abre nuevas perspectivas para el desarrollo de servicios innovadores, el análisis avanzado y la toma de decisiones (Cerrillo-Martínez y Casadesús-de-Mingo, 2021). Sin embargo, esta evolución también incrementa la complejidad de la transparencia y plantea nuevos retos en la gestión, explotación y protección de la información pública (Cerrillo-Martínez y Casadesús-de-Mingo, 2021).
En este contexto, la gobernanza de datos emerge como un enfoque que va más allá de la mera gestión de datos, adoptando una visión holística que permite una correcta administración de la información en las autoridades públicas (Cerrillo-Martínez y Casadesús-de-Mingo, 2021). El objetivo de este artículo es analizar los retos jurídicos que implica la explotación y protección de la información pública dentro del marco de la gobernanza de datos en el sector público, prestando especial atención al cumplimiento del RGPD y a las medidas de privacidad en los denominados "espacios de datos".
2. La Gobernanza de Datos en el Sector Público: Un Marco Conceptual
La gobernanza de datos es un sistema de principios, valores y estándares que guían la interacción en la toma de decisiones sobre los datos entre las personas que los crean, gestionan y preservan, las que definen su acceso y uso, y las que los acceden, usan y reutilizan (Cerrillo-Martínez y Casadesús-de-Mingo, 2021). Este proceso es inclusivo e iterativo, buscando el beneficio compartido para las personas y la entidad (Paskaleva et al., 2017).
Su importancia radica en su capacidad para garantizar la calidad de la información (precisión, fiabilidad, integridad, usabilidad, reutilización, actualidad) y maximizar el valor de los activos de datos de una organización (Koltay, 2016; Pierce, Dismute y Yonke, 2008; Al-Ruithe, Benkhelifa y Hameed, 2018; Cerrillo-Martínez y Casadesús-de-Mingo, 2021). La gobernanza de datos asegura que la información cumple ciertos estándares y se gestiona para mantener su calidad a lo largo del tiempo, trascendiendo el control interno para asegurar la provisión de información pública a los ciudadanos (Cerrillo-Martínez y Casadesús-de-Mingo, 2021).
A pesar de su potencial, la literatura sobre gobernanza de datos es aún escasa y las experiencias de implementación en organismos gubernamentales no son comunes (Al-Ruithe, Benkhelifa y Hameed, 2019; Benfeldt-Nielsen, Persson y Madsen, 2018; Paskaleva et al., 2017; Cerrillo-Martínez y Casadesús-de-Mingo, 2021).
3. Retos Jurídicos de la Explotación de la Información Pública
La explotación de la información pública en la era digital se enfrenta a múltiples desafíos, impulsados por la transformación tecnológica y la necesidad de reutilizar los datos de manera eficiente.
3.1. La Reutilización de la Información del Sector Público
Los usos de los datos generados y difundidos por las agencias gubernamentales han aumentado significativamente para el análisis interno y el desarrollo de políticas predictivas y para su reutilización por parte de empresas y el público en general (Magalhaes y Roseira, 2020; Zuiderwijk et al., 2014; Cerrillo-Martínez y Casadesús-de-Mingo, 2021). La gobernanza de datos fomenta activamente esta reutilización, alineando la política de datos de una organización con sus objetivos estratégicos (Benfeldt-Nielsen, Persson y Madsen, 2018; Cerrillo-Martínez y Casadesús-de-Mingo, 2021).
El marco legal para la reutilización de la información del sector público incluye la Directiva (UE) 2019/1024 y la Ley española 37/2007. En este contexto, los datos en diferentes unidades pueden haber sido almacenados en formatos diversos, lo que dificulta la interoperabilidad y el procesamiento automático (Cerrillo-Martínez y Casadesús-de-Mingo, 2021). La falta de metadatos adecuados y de calidad de datos subyacente en muchos conjuntos de datos abiertos también afecta su utilidad para el gobierno y los ciudadanos (Sadiq y Indulska, 2017; Cerrillo-Martínez y Casadesús-de-Mingo, 2021).
3.2. Contexto de la Transformación Digital y Nuevos Sectores
La transformación digital es un proceso imparable que implica el ahorro de costes, la reducción de errores humanos y la multiplicación de la capacidad de servicio (Palomo Zurdo et al., 2022, p. 6). Esto incide directamente en el rol de muchos empleados y en las capacitaciones requeridas, destruyendo, creando o transformando empleos (Flechoso, 2020; Palomo Zurdo et al., 2022).
Las nuevas tecnologías como la inteligencia artificial, la robótica avanzada, la interoperabilidad de dispositivos sin intervención humana, la realidad virtual y aumentada, y los metaversos están cambiando paradigmas milenarios (Palomo Zurdo et al., 2022). La economía de plataformas o "uberización" de la economía está redefiniendo los sistemas de organización empresarial, donde el número de usuarios y los datos que generan tienen más valor que la facturación (Palomo Zurdo et al., 2022). La ciencia del análisis de big data, combinada con la inteligencia artificial, permite descubrir variables e interrelaciones que superan los análisis clásicos de la econometría (Palomo Zurdo et al., 2022).
Esta transición digital, acelerada por eventos como la pandemia de COVID-19, está impactando fuertemente en el sector de servicios, donde se concentra la mayor parte del empleo en países desarrollados (Palomo Zurdo et al., 2022). El valor de los datos se extiende a todas las profesiones, desde economistas y abogados hasta médicos y periodistas, quienes deberán adaptarse a convivir con sistemas tecnológicos que complementarán o transformarán su actividad (Palomo Zurdo et al., 2022).
4. Protección de la Información Pública: El Rol del RGPD y Medidas de Privacidad
La protección de los datos personales es un contrafuerte básico en la gobernanza de datos en el sector público, especialmente bajo el paraguas del Reglamento General de Protección de Datos (RGPD).
4.1. Aplicación del RGPD en los Espacios de Datos
Las agencias gubernamentales manejan grandes cantidades de datos personales, lo que exige que la transparencia se gestione conforme al RGPD (Cerrillo-Martínez y Casadesús-de-Mingo, 2021). Cualquier reutilización de datos personales debe adherirse a los principios del RGPD: licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad. Para el cumplimiento pleno del RGPD, las operaciones de tratamiento deben estar bien definidas.
La legitimación del tratamiento de datos personales en el marco de un espacio de datos puede basarse en cualquiera de las bases jurídicas del Artículo 6 del RGPD. Para la reutilización de datos en poder de organismos del sector público, el derecho de la Unión o de los Estados miembros debe prever una base jurídica adecuada, que los organismos del sector público deben definir de manera consciente.
4.2. Protección de Datos desde el Diseño y por Defecto (Privacy by Design and Default)
La aplicación del enfoque de "privacidad desde el diseño" (Privacy by Design) en los espacios de datos es básico para garantizar la protección de los datos. Esto implica que el acceso a los datos no necesariamente implica su transmisión o descarga, permitiendo la reutilización con garantías de protección de datos.
Se utilizan diversas técnicas de mejora de la privacidad (PETs), como:
• Compute-to-data: Llevar los recursos computacionales al origen de los datos en lugar de transferir los datos, preservando así la privacidad.
• Anonimización y seudonimización: Procesamientos que generan un nuevo conjunto de datos que deshabilita la capacidad de relacionar los datos con una persona identificada o identificable. La anonimización, por ejemplo, mediante privacidad diferencial, añade ruido aleatorio para garantizar la utilidad de los resultados sin identificar individuos (AEPD, 2021).
• Generación de datos sintéticos y aprendizaje federado (Federated Learning): Permiten el análisis de datos sin la exposición directa de la información personal (AEPD, 2023)
• Entornos de Procesamiento Seguro (Secure Processing Environments): Entornos físicos o virtuales y organizacionales que garantizan el cumplimiento de la legislación de la Unión, como el RGPD, especialmente en relación con los derechos de los interesados.
Es esencial que los Estados miembros apoyen a los organismos del sector público para que utilicen óptimamente estas técnicas. Además, se debe realizar una evaluación sistemática de la anonimidad de los resultados almacenados en el espacio de datos antes de ponerlos a disposición del usuario.
La reutilización de datos de organismos del sector público debe realizarse de tal manera que, si se implementa mediante transmisión de datos personales, estos deben ser anonimizados. Los reutilizadores tienen la obligación de confidencialidad y la prohibición de reidentificar a los interesados, debiendo tomar medidas técnicas y operativas para prevenirlo. La reidentificación se considera una violación de datos personales, y los reutilizadores del sector público deben notificar cualquier incumplimiento que la permita.
4.3. Roles y Responsabilidades desde la Perspectiva del RGPD
En los espacios de datos, el tratamiento de datos personales está sujeto a las regulaciones de protección de datos. Los organismos del sector público mantienen la función de responsable del tratamiento según el RGPD, incluso cuando reciben asistencia de terceros o utilizan organismos competentes que actúan según sus instrucciones. El usuario de datos es quien define los propósitos y los medios del tratamiento.
La gobernanza de los datos debe garantizar una supervisión adecuada. Los supervisores de las solicitudes de acceso deben establecer las condiciones bajo las cuales se otorgará el acceso a los datos personales. Es necesario asegurar una supervisión humana suficiente en los procesos automatizados de acceso a datos que involucren información.
Además, las Administraciones Públicas están obligadas a hacer público un inventario de sus actividades de tratamiento, accesible por medios electrónicos, que contenga la información establecida en el Artículo 30 del RGPD y su base jurídica. Los interesados deben tener la posibilidad de oponerse al tratamiento de sus datos cuando se base en interés legítimo o público (Artículo 21 del RGPD), con excepciones para fines de investigación científica o histórica o estadísticos.
Finalmente, las transferencias internacionales de datos deben basarse en una decisión de adecuación o, en su defecto, en garantías adecuadas.
5. Consideraciones sobre Costes y Sostenibilidad
La implementación de la gobernanza de datos y la transformación digital en el sector público implican inversiones significativas. España ha puesto en marcha un Plan de Digitalización de Pymes (5.000 millones de euros hasta 2023), un Plan Nacional de Competencias Digitales (3.750 millones de euros en 2021-2023), y el Plan de Digitalización de las Administraciones públicas (2.600 millones de euros en tres años), entre otras iniciativas, financiadas en gran parte por fondos europeos del Mecanismo de Recuperación y Resiliencia (Palomo Zurdo et al., 2022). En total, 20.000 millones de euros están destinados al capítulo digital, lo que representa aproximadamente un tercio del total de fondos que España recibirá del NGEU (Palomo Zurdo et al., 2022).
Estos fondos buscan el desarrollo de infraestructuras y la transformación de los sectores productivos, la formación, capacitación y actualización de la fuerza laboral en competencias digitales para mantener la competitividad y generar riqueza (Palomo Zurdo et al., 2022). El reto es evitar transformaciones superficiales y apostar por la formación masiva para garantizar la empleabilidad y el bienestar social (Palomo Zurdo et al., 2022).
6. Conclusiones
La gobernanza de datos en el sector público es indispensable para afrontar la complejidad que supone la gestión de un volumen creciente de información en un entorno de transformación digital acelerada. Permite maximizar el valor de los datos a través de su reutilización y explotación y cumplir con las exigentes normativas de protección de datos personales, como el RGPD.
Los retos jurídicos son sustanciales, requiriendo un marco legal robusto y medidas tecnológicas avanzadas que permitan la explotación de la información sin comprometer la privacidad de los individuos. La adopción de principios de privacidad desde el diseño, el uso de técnicas como la anonimización, la seudonimización y los entornos de procesamiento seguro, son necesarios para equilibrar la transparencia con la protección de datos.
La implementación exitosa de la gobernanza de datos demanda una clara definición de roles y responsabilidades entre los distintos actores (responsables, encargados, usuarios de datos), así como la inversión continua en capacitación y en infraestructuras tecnológicas.
La colaboración entre las administraciones y el aprovechamiento de los fondos europeos son clave para asegurar una transición sostenible hacia una sociedad digital en la que la información pública sea un motor de prosperidad, con plenas garantías de protección y respeto por los derechos fundamentales de la ciudadanía.
_______________
7. Referencias Bibliográficas
Agencia Española de Protección de Datos (AEPD). (2019, Noviembre). Cifrado y Privacidad: El cifrado en el RGPD. Recuperado de [approach-to-data-spaces-from-gdpr-perspective.pdf, p. 689].
Agencia Española de Protección de Datos (AEPD). (2020, Junio). Cifrado y Privacidad III: Cifrado homomórfico. Recuperado de [approach-to-data-spaces-from-gdpr-perspective.pdf, p. 689].
Agencia Española de Protección de Datos (AEPD). (2021, Octubre). Anonimización y seudonimización (II): Privacidad diferencial. Recuperado de [approach-to-data-spaces-from-gdpr-perspective.pdf, p. 689].
Agencia Española de Protección de Datos (AEPD). (2022, Mayo). Privacy by Design: Computación Multipartita Segura: Compartición aditiva de secretos. Recuperado de [approach-to-data-spaces-from-gdpr-perspective.pdf, p. 656].
Agencia Española de Protección de Datos (AEPD). (2023, Febrero). Cuándo revisar las medidas de protección de datos. Recuperado de [approach-to-data-spaces-from-gdpr-perspective.pdf, p. 690].
Agencia Española de Protección de Datos (AEPD). (2023, Abril). Aprendizaje Federado: Inteligencia Artificial sin comprometer la privacidad. Recuperado de [approach-to-data-spaces-from-gdpr-perspective.pdf, p. 690]. A
l-Badi, A., Tarhini, A., & Khan, A.-I. (2018). Exploring big data governance frameworks. Procedia Computer Science, 141, 271–277. https://doi.org/10.1016/j.procs.2018.10.181 [iolea,+300402_Cerrillo_Casadesus.pdf, p. 712]
Al-Ruithe, M., Benkhelifa, E., & Hameed, K. (2019). A systematic literature review of data governance and cloud data governance. Personal and Ubiquitous Computing, 23, 839–859. https://doi.org/10.1007/s00779-017-1104-3 [iolea,+300402_Cerrillo_Casadesus.pdf, p. 713]
Benfeldt-Nielsen, O., Persson, J.-S., & Madsen, S. (2018). Why governing data is difficult: Findings from Danish local government. In A. Elbanna, Y. Dwivedi, D. Bunker, & D. Wastell (Eds.), Smart Working, Living and Organising. TDIT 2018. IFIP Advances in Information and Communication Technology, 533, 15–29. https://doi.org/10.1007/978-3-030-04315-5_2 [iolea,+300402_Cerrillo_Casadesus.pdf, p. 714]
Cerrillo-Martínez, A., & Casadesús-de-Mingo, A. (2021). Data governance for public transparency. Profesional de la Información, 30(4), e300402. https://doi.org/10.3145/epi.2021.jul.02 [iolea,+300402_Cerrillo_Casadesus.pdf, p. 692-723]
Esteban Ruiz, N. (2021). Proyecto de recuperación de la ribera del río Abión, entre los parajes “Puente de la Tejada” y “Pozo de la Peña” en el municipio de El Burgo de Osma, Soria. (TFG). Universidad de Valladolid.
Flechoso, J. (coord.). (2020). El empleo en la era digital. Ed. Almuzara. [Dialnet-SostenibilidadSocialYEmpleoComoRetoDeLaTransformac-8717021.pdf, p. 51]
Koltay, T. (2016). Data governance, data literacy and the management of data quality. IFLA Journal, 42(4), 303–312. https://doi.org/10.1177/0340035216672238 [iolea,+300402_Cerrillo_Casadesus.pdf, p. 719]
Magalhaes, G., & Roseira, C. (2020). Open government data and the private sector: An empirical view on business models and value creation. Government Information Quarterly, 37(3), 101248. https://doi.org/10.1016/j.giq.2017.08.004 [iolea,+300402_Cerrillo_Casadesus.pdf, p. 720]
Palomo Zurdo, R., Dopacio, C.I., & Rey Paredes, V. (2022). Sostenibilidad social y empleo como reto de la transformación digital: el nuevo sexto sector digital de la economía. REVESCO. Revista de Estudios Cooperativos, 142, e83719. https://dx.doi.org/10.5209/REVE.83719 [Dialnet-SostenibilidadSocialYEmpleoComoRetoDeLaTransformac-8717021.pdf, p. 1-52]
Paskaleva, K., Evans, J., Martin, C., Linjordet, T., Yang, D., & Karvonen, A. (2017). Data governance in the sustainable smart city. Informatics, 4(41). http://www.mdpi.com/2227-9709/4/4/41 [iolea,+300402_Cerrillo_Casadesus.pdf, p. 721]
Pierce, E., Dismute, W.-S., & Yonke, C. L. (2008). The state of information and data governance–understanding how organizations govern their information and data assets. IQ International publications, Industry report. [iolea,+300402_Cerrillo_Casadesus.pdf, p. 722]
Sadiq, S., & Indulska, M. (2017). Open data: Quality over quantity. International Journal of Information Management, 37(3), 150–154. https://doi.org/10.1016/j.ijinfomgt.2017.01.003 [iolea,+300402_Cerrillo_Casadesus.pdf, p. 722]
Zuiderwijk, A., Janssen, M., & Dwivedi, Y. K. (2014). Editorial: Open data and government transparency. Journal of Theoretical and Applied Electronic Commerce Research, 9(3), 1–6. [iolea,+300402_Cerrillo_Casadesus.pdf, p. 696.