RESUMEN
Este artículo aborda el análisis del Reglamento Europeo de Gobernanza de Datos (RGD) y su influencia en el desarrollo del altruismo de datos en la Unión Europea. Se centra en la institucionalización de un mercado único de datos, facilitando el análisis y la compartición transfronteriza de datos con fines no lucrativos, conforme a los dictámenes del RGD, que establece un marco jurídico definido para el altruismo de datos.
El presente estudio analiza la potencial sobrerregulación del RGD y los obstáculos burocráticos inherentes que podrían limitar su efectividad con respecto al altruismo de datos. Asimismo, se examina la interacción entre el RGD y el Reglamento General de Protección de Datos con el objetivo de identificar las áreas de conflicto y las dificultades operativas, particularmente aquellas que se encuentran relacionadas con los requisitos de consentimiento para el tratamiento de datos personales. También se realiza un breve estudio de caso del proyecto DATALOG, la primera entidad reconocida bajo este régimen en la UE, en el que se ilustra la capacidad del altruismo de datos para mejorar el bienestar del ciudadano y medioambiental.
En conclusión, se propone una revisión y simplificación del RGD para incentivar una mayor y más efectiva participación en las actividades de altruismo de datos. La complejidad actual del marco normativo podría desalentar a las organizaciones para inscribirse y participar activamente, por lo que se insta a los legisladores y autoridades competentes a que consideren ajustes normativos que fomenten un entorno más propicio para el altruismo de datos en la Unión Europea.
Palabras clave: Altruismo de datos; Reglamento Europeo de Gobernanza de Datos; organizaciones de altruismo de datos; innovación; DATALOG.
ABSTRACT
This article addresses the analysis of the European Data Governance Act (DGA) and its influence on the development of data altruism in the European Union. It focuses on the institutionalization of a single data market, facilitating cross-border data analysis and sharing for non-profit purposes, in accordance with the provisions of the DGA, which establishes a defined legal framework for data altruism.
This paper criticizes the potential over-regulation of the DGA and the inherent bureaucratic obstacles that could limit its effectiveness regarding data altruism. Additionally, it analyzes the interaction between the DGA and the General Data Protection Regulation (GDPR), identifying areas of conflict and operational difficulties, particularly in relation to the consent requirements for the processing of personal data. It also includes a brief case study of the Spanish DATALOG project, the first entity recognized under this regime in the EU, illustrating the capacity of data altruism to improve citizen and environmental well-being.
In conclusion, a revision and simplification of the DGA are proposed to encourage greater and more effective participation in data altruism activities. The current complexity of the regulatory framework could discourage organizations from registering and actively participating, thus it is urged that legislators and competent authorities consider regulatory adjustments that promote a more conducive environment for data altruism in the European Union.
Keywords: Data altruism; European Data Governance Act; data altruism organizations; innovation; DATALOG.
RÉSUMÉ
Cet article aborde l’analyse du Règlement Européen sur la Gouvernance des Données (RGD) et son influence sur le développement de l’altruisme des données dans l’Union Européenne (UE). Il se focalise sur l’institutionnalisation d’un marché unique des données, facilitant l’analyse et le partage transfrontaliers des données à des fins non lucratives, conformément aux dispositions du RGD qui établit un cadre juridique défini pour l’altruisme des données.
Cet article critique la surrèglementation potentielle du RGD et les obstacles bureaucratiques inhérents qui pourraient limiter son efficacité en matière d’altruisme des données. De plus, il analyse l’interaction entre le RGD et le Règlement Général sur la Protection des Données (RGPD), identifiant les zones de conflit et les difficultés opérationnelles, notamment en relation avec les exigences de consentement pour le traitement des données personnelles. Il inclut également une brève étude de cas du projet espagnol DATALOG, la première entité reconnue sous ce régime dans l’UE, illustrant la capacité de l’altruisme des données à améliorer le bien-être des citoyens et de l’environnement.
En conclusion, une révision et une simplification du RGD sont proposées pour encourager la participation plus grande et plus efficace des activités d’altruisme des données. La complexité actuelle du cadre réglementaire pourrait décourager les organisations de s’inscrire et de participer activement, c’est pourquoi il est urgent que les législateurs et les autorités compétentes envisagent des ajustements réglementaires qui favorisent un environnement plus propice à l’altruisme des données dans l’UE.
Mots clés: Altruisme des données; Règlement Européen sur la Gouvernance des Données; organisations d’altruisme des données; innovation; DATALOG.
El derecho digital y de datos ha experimentado diversos cambios a nivel europeo a lo largo de los últimos años. Algunas materias, como el derecho de protección de datos, se han podido homogeneizar, mientras que en otras se ha adoptado por primera vez. Este último ha sido el caso de la aprobación del Reglamento Europeo de Gobernanza de Datos (RGD; Data Governance Act - DGA)[3], que, entre otras disposiciones, establece las condiciones para las organizaciones de altruismo de datos y las distintas modalidades de altruismo de datos en la Unión Europea. Se trata de un paso importante para ofrecer a las organizaciones y proyectos de altruismo de datos la oportunidad de someter sus actividades a un marco jurídico uniforme. También garantiza el cumplimiento de normas de calidad y requisitos mínimos uniformes en toda Europa. El avance de la digitalización y el consiguiente aumento del uso de datos han creado nuevas oportunidades y retos para la sociedad en los últimos años. En este contexto, el concepto de altruismo de datos está cobrando importancia como enfoque del uso colectivo de los datos para el bien común. En la Unión Europea en particular, el altruismo de datos se considera una forma prometedora de promover la innovación, abordar los problemas sociales y reforzar la confianza de los ciudadanos en el mundo digital. En este sentido, el presente estudio pretende dar respuesta a la cuestión de si el RGD supone un marco jurídico adecuado, o incluso necesario, para alcanzar el objetivo de establecer reglas uniformes y prácticas de un tratamiento de datos orientado al bien común en la Unión Europea. Así, este estudio también pretende contribuir a una mejor comprensión y tipificación del concepto del altruismo de datos en el RGD.
El presente trabajo aborda cuestiones relacionadas con (II) el altruismo de datos en la Unión Europea; (III) las organizaciones de gestión de datos con fines altruistas; (IV) el contexto normativo a la luz del RGD y RGPD[4]; (V) las consecuencias para la actividad altruista en el ámbito de datos; (VI) el caso DATALOG como el primer proyecto de gestión de datos con fines altruistas reconocido a nivel europeo; para, posteriormente, realizar unas consideraciones finales (VII).
El altruismo de datos es un fenómeno relativamente reciente para la Unión Europea, que no se juridificó hasta la adopción del RGD. Al proceder a ello, la Unión Europea no se limitó a basarse en la interpretación lingüística general de la unidad léxica altruismo y situarla en el contexto del mundo de los datos —lo que no hubiese sido factible dada la amplia diversidad de significados posibles en el lenguaje general—, sino que decidió definir el término altruismo de datos de manera jurídicamente vinculante por primera vez.
A continuación, se presentan los fundamentos conceptuales del altruismo de datos, se explica su importancia para la sociedad y la economía en la era digital, se profundiza en la concepción que adopta el RGD para su tratamiento y se esboza su marco normativo.
Por lo general, el término altruismo se refiere a una forma desinteresada de pensar y actuar o a una actitud benévola o solidaria, aunque hay desacuerdo sobre si esto también requiere cierta pérdida o sacrificio por parte del cedente o contribuyente (Poma Choque, 2022: 9; Luks, 1988: 39). Para los fines del presente trabajo, nos parece oportuno suponer que esto no tiene por qué ser necesariamente el caso. Por tanto, el altruismo como tal se suele mencionar al mismo tiempo que otras características positivas con las que nacemos los seres humanos como seres sociales, por ejemplo, ayudar a los demás, ser solidario, compasivo o también generoso (Morán Astorga et al., 2014: 444). El abordaje de las cuestiones altruistas y del concepto de altruismo se remontan a finales del siglo xix, cuando el filósofo francés Auguste Comte trató por primera vez ampliamente este concepto (Poma Choque, 2022: 6). Aunque en ocasiones se atribuye a Comte la definición del altruismo como el «conjunto de las inclinaciones benevolentes de un individuo» (véase, por ejemplo, Poma Choque, 2022: 6; Dufal, 2020: 173), no existe ninguna constatación literal de ello en su obra, a pesar de que la perspectiva de esta sugiere que pudo haber sostenido este sentido (Comte, 1852: 9, 31, 88, 159).
Ciertamente, el concepto altruismo adquiere gran importancia en todos los ámbitos de nuestra sociedad actual, donde encontramos actitudes y conductas individualistas (Maceri, 2020: 92), por lo que, en general, debería prestarse más atención al comportamiento cooperativo y no egoísta. Las cooperativas de datos también están adquiriendo cada vez más importancia y ya formaban parte del ideario antes de que se aprobaran reglas con respecto al altruismo de datos en el RGD (Pastor Sempere, 2022: 13, 20). Asimismo, aunque estas persigan intereses similares, no deberían equipararse a las organizaciones altruistas de datos. Si trasladamos la interpretación que ha sido mencionada con anterioridad al término altruismo de datos, podemos concebirlo como la puesta a disposición o el tratamiento de datos de forma desinteresada y, por tanto, solidaria. En este sentido, cabe mencionar el concepto de donación de datos, que suele utilizarse como voz sinónima, puesto que también implica una actitud altruista o desinteresada debido al elemento donativo, es decir, a la transferencia gratuita de datos.
El comportamiento altruista en relación con los datos es concebible y puede tener sentido en casi todos los ámbitos de nuestra sociedad digital. Tanto en la práctica como en el (escaso) debate académico sobre esta temática, las consideraciones altruistas sobre los datos parecen crear especial interés sobre todo en el contexto sanitario (véase, por ejemplo, las muy interesantes observaciones de Sánchez García, 2023: 69). Por un lado, resulta comprensible, ya que una base de datos mejorada —independientemente del origen de los datos— puede conducir con rapidez a una notable simplificación de la investigación farmacéutica y médica y a una mejora de la atención sanitaria (véanse, por ejemplo, Bernardi et al., 2023: 2, 14; Stausberg y Harkener, 2023: 25, 26). Al mismo tiempo, esta tendencia también es motivo de preocupación. El altruismo de datos también despliega su potencial en otros ámbitos en los que las cuestiones de big data desempeñan un papel (pensemos, por ejemplo, en los datos abiertos). En otras áreas donde se generan potencialmente múltiples conjuntos de datos interesantes, también se abren perspectivas para la reutilización de esos datos en proyectos de interés comunitario y de innovación. Conforme avanza la digitalización y crece la disponibilidad de datos, el sector educativo podría ser solo un ejemplo de cómo las iniciativas de altruismo de datos podrían tener un impacto significativo, particularmente en áreas como la investigación sobre aprendizaje y atención. No obstante, es crucial considerar las complejidades legales relacionadas con la protección de datos en el sector educativo (véase, por ejemplo, Arenas Ramiro y Ortega Giménez, 2021). Sin embargo, resulta poco probable que los conceptos de altruismo de datos se establezcan a gran escala en estos ámbitos a corto plazo. En cambio, el proyecto español DATALOG de la Associació Dades pel Benestar Planetari de Barcelona es actualmente la única organización de altruismo de datos reconocida en la Unión Europea. Este proyecto se analizará con más profundidad más adelante en este artículo y podría ser un rayo de esperanza.
A nivel internacional, los enfoques y conceptos del altruismo de datos están constituyendo objeto de debate del discurso jurídico y de la ciencia del derecho. En el ámbito sanitario, en particular, las ventajas del altruismo de datos (por ejemplo, para la investigación) se están debatiendo tanto dentro como fuera de la Unión Europea (véanse, por ejemplo, Lalova-Spinks et al., 2023: 1; Kibbe, 2016: 41; Paseri, 2024: 137; Gefen et al., 2020: 552).
Las medidas estructurales y una voluntad de amplio alcance para compartir datos son cruciales para el éxito del establecimiento del previsto mercado interior europeo de datos. Este proceso debería facilitar el camino para la utilización de datos jurídicamente seguros y transnacionales que no solo aporten beneficios económicos, sino que también respalden fines no lucrativos. Teniendo esto en cuenta, la Unión Europea ha adoptado un enfoque regulador del altruismo de datos en virtud del RGD. Su objetivo es contribuir a la creación de amplios conjuntos de datos que se pongan a disposición sobre la base del altruismo de datos. Se pretende así permitir el análisis transfronterizo y el aprendizaje automático dentro de la Unión. Las disposiciones del capítulo IV del RGD pretenden crear el marco jurídico para el altruismo de datos, reforzar la confianza mediante la creación de organizaciones reconocidas de altruismo de datos y ofrecer a los Estados miembros un margen de actuación para promover medidas en el ámbito del altruismo de datos. Sin embargo, el proyecto del nuevo RGD ha sido cuestionado desde su aprobación y anteriormente, ya que se temía que se produjera una excesiva regulación en lugar de la adopción de un sistema de incentivos para el altruismo en materia de datos (véase, por ejemplo, Veil, 2022: 4, 6). El 23 de junio de 2022 entró en vigor el RGD, que se aplica desde el 24 de septiembre de 2023. Actualmente, genera especial interés comprender cómo encajan sus requisitos en el marco jurídico vigente de la UE. En particular, la compatibilidad del tratamiento de datos personales con la legislación vigente en materia de protección de datos requiere un examen minucioso.
Los arts. 16 a 25 del capítulo IV del RGD están dedicados exclusivamente a la cesión altruista de datos. Sin embargo, el término altruismo de datos ya se define en el art. 2 n.º 16 RGD. El Reglamento de Gobernanza de Datos define el altruismo de datos como
todo intercambio voluntario de datos basado en el consentimiento de los interesados para que se traten sus datos personales, o en el permiso de los titulares de datos para que se usen sus datos no personales, sin ánimo de obtener o recibir una gratificación que exceda de una compensación relativa a los costes en que incurran a la hora de facilitar sus datos, con objetivos de interés general tal como se disponga en el Derecho nacional, en su caso, como, por ejemplo, la asistencia sanitaria, la lucha contra el cambio climático, la mejora de la movilidad, la facilitación del desarrollo, elaboración y difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos, la elaboración de políticas públicas o la investigación científica de interés general (art. 2 n.º 16 RGD).
Asimismo, resulta significativo explicar que el tratamiento de datos no solo debe responder a una motivación altruista, sino que también su organización debe perseguir una causa de la misma índole. Ello se recoge del art. 18 lit. c RGD, que establece que la entidad deberá «ejercer su actividad sin ánimo de lucro y ser jurídicamente independiente de cualquier entidad que ejerza su actividad con fines lucrativos» para poder inscribirse en un registro público nacional de organizaciones de gestión de datos con fines altruistas.
Resulta interesante también la cuestión de la evaluación del consentimiento de menores para la cesión de datos. Es razonable asumir que, en este sentido, las consideraciones existentes sobre el consentimiento de menores también serían pertinentes (véase, al respecto, Heras Vives, 2019: 75).
La Unión Europea ofrece una definición genérica del término altruismo de datos con el fin de abordar el extenso ámbito en el que se encuentra presente. Además del área evidente de la asistencia sanitaria, también se incluyen explícitamente otros retos actuales, en particular la lucha contra el cambio climático y la mejora de la movilidad. El legislador europeo tiende a abordar diferentes ámbitos en los que se incluyen aspectos importantes para la administración electrónica y la mejora de las oportunidades de la UE como centro de investigación e innovación, como la simplificación del tratamiento, la compilación y la difusión de estadísticas oficiales, la mejora de la prestación de servicios públicos, la toma de decisiones gubernamentales o la investigación científica de interés general. Sin embargo, los aspectos mencionados no son en absoluto una lista cerrada, como se desprende de su carácter ejemplar. Todos los ámbitos de aplicación tienen en común que se deben perseguir objetivos de interés general, especialmente en lo que respecta al refuerzo de la competitividad de los Estados miembros, tanto entre ellos como frente a terceros países. Sin embargo, todos los ámbitos de aplicación tienen en común que deben perseguir objetivos de interés general, sobre todo, en lo que respecta al refuerzo de la competitividad de los Estados miembros, tanto entre ellos como frente a terceros países. Los muy diferentes niveles de desarrollo de los distintos Estados miembros en materia de administración electrónica y datos abiertos han sido motivo de preocupación durante años (Cassio Santos et al., 2023: 56; Xifré, 2023: 3) y hacen necesario considerar también opciones innovadoras de recopilación de datos para mejorarlos.
La definición del RGD también deja claro que el altruismo de datos puede referirse tanto a datos personales como no personales y, con los criterios de voluntariedad, gratuidad y persecución altruista de objetivos, establece otros requisitos que deben cumplirse para entrar en el ámbito de aplicación de las disposiciones del RGD. En cuanto al consentimiento como única forma admisible de tratar datos personales con fines altruistas en virtud del RGD, el art. 2 n.º 5 RGD remite al art. 4 n.º 11 RGPD. En consecuencia, el consentimiento es cualquier manifestación de voluntad libre, específica, informada e inequívoca del interesado por la que este, mediante una declaración o una clara acción afirmativa, manifiesta su acuerdo con el tratamiento de sus datos personales; también se aplican aquí los principios de consentimiento voluntario, específico, informado e inequívoco (véase el art. 4 n.º 11 RGPD).
Por ende, las disposiciones del RGD parecen ser especialmente relevantes para las organizaciones interesadas en utilizar datos recopilados o proporcionados para fines altruistas (ámbito de aplicación personal), tal como se detalla en el artículo. En concreto, estas organizaciones incluyen aquellas del ámbito de la investigación e innovación, así como aquellas que se encuentran en una posición transversal entre los objetivos de investigación y el bien común (como el proyecto DATALOG). Respecto del ámbito de aplicación espacial, las disposiciones mencionadas se aplican a organizaciones altruistas de datos sobre todo dentro de la Unión Europea que deseen obtener reconocimiento como tales. Según lo dispuesto en el RGD, no se especifica que estas organizaciones deban estar necesariamente ubicadas en la Unión Europea. Más bien, el art. 21 RGD establece requisitos particulares para la transferencia de datos a terceros países, lo cual sugiere que organizaciones altruistas de datos de terceros países podrían ser reconocidas por la UE, siempre y cuando cumplan con las normativas europeas. En cuanto al ámbito de aplicación personal, estas disposiciones afectan además tanto a dichas organizaciones como a las personas y entidades que deseen proporcionar datos personales o no personales para fines altruistas. En cuanto al ámbito temporal de aplicación, se puede mencionar su entrada en vigor el 23 de junio de 2022. No obstante, como se desprende de las siguientes explicaciones, no todos los Estados miembros han designado aún autoridades correspondientes para registrar organizaciones altruistas de datos, por lo que la fase de transición hasta la implementación efectiva de las disposiciones del RGD en todos los Estados integrantes de la UE podría prolongarse.
El capítulo IV, dedicado al altruismo de datos, consta de un total de diez artículos independientes (art. 16-25 RGD), que conforman en gran medida su marco normativo. Se complementan, entre otras disposiciones, con las ya mencionadas definiciones del art. 2 RGD y las disposiciones relativas a las autoridades competentes y las disposiciones de procedimiento (capítulo V RGD), que se analizarán con más detalle en el curso posterior del presente estudio. El art. 16 RGD estipula que los Estados miembros de la Unión Europea podrán establecer disposiciones organizativas o técnicas, o ambas, para facilitar el altruismo de datos. En particular, los Estados miembros podrán establecer políticas nacionales de altruismo de datos que puedan servir para ayudar a los interesados a facilitar voluntariamente datos personales que obren en poder de organismos del sector público con fines de altruismo de datos.
Los respectivos Estados miembros deberán informar a la Comisión de dichas estrategias nacionales a medida que se desarrollen. El art. 17 RGD establece las bases para las actividades de los registros públicos de organizaciones de altruismo de datos reconocidas. En consecuencia, cada autoridad responsable debe mantener un registro nacional público de dichas entidades y actualizarlo periódicamente (art. 17.1 RGD). Además, la Comisión Europea mantiene, con fines informativos, un registro público de organizaciones de altruismo de datos reconocidas; las organizaciones correspondientes inscritas en el registro nacional también podrán hacer uso de la denominación «Organización de gestión de datos con fines altruistas reconocida en la Unión» y de un logotipo común en sus comunicaciones escritas y orales (art. 17.2 RGD).
Los arts. 18, 19 y 20 RGD aclaran en primer lugar los requisitos generales de registro y transparencia para las organizaciones de altruismo de datos reconocidas, que, al igual que las disposiciones de los arts. 21 y ss. RGD, se analizan en detalle en la sección III del presente trabajo.
En relación con los elementos objetivos y subjetivos de la cesión altruista de datos según las disposiciones del RGD, se pueden identificar diversos aspectos. Algunos de estos elementos resultan ambiguamente interpretables. Dependiendo de si consideramos como elementos subjetivos aquellos de naturaleza variable que afectan exclusivamente a condiciones y expresiones específicas, o bien aquellos que inusualmente se extienden también a hechos, se pueden distinguir diferentes interpretaciones.
En el ámbito objetivo, es relevante mencionar en primer lugar el intercambio de datos, definido en el art. 2.10 del RGD. No obstante, es importante señalar que dicho artículo sí hace referencia al «intercambio de datos», pero de forma voluntaria. Así, pretendemos identificar aquí un elemento que combina lo objetivo y lo subjetivo, surgido de la voluntariedad subjetiva y el intercambio objetivo de datos, atribuyendo así al elemento una dualidad conceptual. No obstante, también sería factible interpretar el «intercambio voluntario de datos» como un elemento puramente objetivo en la cesión altruista de datos, debido al énfasis en el aspecto objetivo del intercambio (como también opina Sánchez García, 2023: 70). La cesión altruista de datos en sí misma (art. 2.16 RGD) puede analizarse a partir de elementos tanto objetivos como subjetivos. En el ámbito objetivo, resalta el tratamiento de datos personales como tal y el uso de datos no personales. Desde una perspectiva subjetiva, es crucial señalar que dicho tratamiento objetivo de datos personales debe contar con el consentimiento correspondiente, mientras que el uso de datos no personales requiere de una autorización. No obstante, este consentimiento y autorización poseen una dimensión objetiva en su naturaleza subjetiva, ya que deben ser otorgados de manera clara y verificable. Asimismo, desde una óptica subjetiva, es relevante que dichos métodos de procesamiento y uso ocurran bajo la premisa de llevarse a cabo sin ánimo de obtener una gratificación, con fines de interés general como la investigación científica o la mejora de los servicios públicos, entre otras.
Las organizaciones reconocidas de altruismo de datos establecidas por el RGD deben asumir una función central en su promoción. Se espera que esto genere, sobre todo, confianza en sus actividades y aumente así su disposición a facilitar datos (Molina del Pozo y González Crespo, 2023: 512). Las entidades que cumplen los requisitos serán reconocidas por las autoridades nacionales competentes e inscritas en los registros nacionales y europeos. Como veremos a lo largo de las siguientes consideraciones, las organizaciones de gestión de datos con fines altruistas reconocidas en la Unión serán de especial interés en el futuro. Los críticos podrían decir que el procedimiento de reconocer dichas entidades es demasiado burocrático y rígido. Sin embargo, también hay que señalar que la Unión Europea, con su exhaustivo procedimiento de registro, ha abierto la oportunidad de ofrecer a las organizaciones activas en el altruismo de datos un paraguas conceptual y legalmente definido bajo el que pueden operar de forma ordenada. Al mismo tiempo, la clasificación como organización reconocida también representa hasta cierto punto una característica de calidad y un sello de aprobación, que indica a los consumidores, pacientes y otros interesados que sus datos personales o de otro tipo están en buenas manos con la organización. Es probable que los requisitos de registro, relativamente estrictos, también contribuyan a ello. Quedaría por comprobar si el enfoque normativo vigente acaba teniendo éxito con el paso del tiempo. En la actualidad, el hecho de que DATALOG sea la única organización de gestión de datos con fines altruistas reconocida en toda la Unión Europea sugiere que el concepto debería reexaminarse críticamente y, en caso necesario, ajustarse en ámbitos puntuales. Además, no hay que olvidar que hasta la fecha solo un pequeño número de Estados miembros ha notificado a la Comisión Europea sus organismos y autoridades competentes o incluso ha designado a las autoridades nacionales como tales organismos competentes. Es obvio que un amplio registro de organizaciones altruistas de datos solo puede funcionar si su inscripción es posible en todas partes en la Unión Europea.
En principio, el RGD no contempla privilegios en materia de protección de datos para las organizaciones altruistas de datos. Su interés consiste en poder denominarse como una «organización de gestión de datos con fines altruistas reconocida en la Unión», utilizar un logotipo asociado y estar inscritas en los registros públicos pertinentes (art. 17.2 RGD). Ciertamente, puede afirmarse que su registro debe considerarse una medida de fomento de la confianza, que habría de facilitar la tarea de convencer a los ciudadanos para que cedan sus datos. Para su reconocimiento, la institución debe realizar en primer lugar una actividad altruista de datos tal como se define en el art. 18 RGD (véase art. 2 n.º 16 RGD). Además, debe tener personalidad jurídica con arreglo a la legislación nacional, operar sin ánimo de lucro y actuar con independencia jurídica de cualquier organización que persiga fines lucrativos, así como llevar a cabo actividades de altruismo de datos de tal manera que estén funcionalmente separadas de sus otras actividades (art. 18 RGD). Además, estas entidades deben tener en cuenta los demás requisitos del capítulo IV RGD, incluidas las disposiciones del reglamento, que es publicado por la Comisión de conformidad con el art. 22.1 RGD y debe incluir normas sobre los requisitos de información apropiados, los requisitos técnicos adecuados y los requisitos de seguridad, las denominadas hojas de ruta de comunicación y las recomendaciones sobre las normas de interoperabilidad pertinentes. El art. 20 RGD también establece otros requisitos de transparencia que deben cumplir las organizaciones de altruismo de datos reconocidas. Según el art. 20.1 RGD, esto incluye el registro completo y exacto de todas las personas a las que se ha dado la oportunidad de tratar los datos en posesión de esta organización de altruismo de datos reconocida, sus datos de contacto, el momento o la duración del tratamiento o el uso de los datos, los fines del tratamiento y los honorarios pagados por las personas que tratan los datos. Además, las organizaciones de altruismo de datos deben elaborar un informe anual de actividades y presentarlo a la autoridad competente (art. 20.2 RGD). A continuación, el art. 21 RGD regula los requisitos especiales para la protección de los derechos e intereses de los interesados y los titulares de los datos en relación con sus datos y, por tanto, establece otras normas para el tratamiento de datos personales y no personales. El registro como organización reconocida de altruismo de datos es, por tanto, voluntario y no constituye un requisito previo para la actividad de altruismo de datos en sí (véase el considerando 46.2). Las organizaciones de altruismo de datos también pueden ser servicios de intermediación de datos en el sentido del RGD, por lo que en este caso también deberán tenerse en cuenta los requisitos del capítulo III RGD.
Según el art. 23.1 RGD, en cada Estado miembro deben designarse una o varias autoridades responsables de las organizaciones altruistas de datos. Estas también pueden ser autoridades competentes para los servicios de intermediación de datos (art. 26.1 RGD). Dado que el art. 26.1 RGD no exige necesariamente la creación de nuevas autoridades, la transferencia de tareas a las autoridades nacionales existentes, como las autoridades de protección de datos, también es una opción. Además, el art. 26 RGD establece otros requisitos para las autoridades competentes y el cumplimiento de sus funciones. Deben ser funcionalmente independientes y desempeñar sus tareas de manera imparcial, transparente, coherente y oportuna, así como garantizar la competencia leal y la no discriminación (art. 26.1 y 26.2 RGD).
Los responsables de su registro reconocidos deben verificarlo, llevarlo a cabo (art. 19.5 RGD) y supervisar el cumplimiento de los arts. 16 y ss. RGD (art. 24 RGD). En caso de incumplimiento persistente de las normas, el art. 24.5 RGD estipula que la organización de altruismo de datos reconocida pierde su derecho a designarse como tal y también es eliminada de los registros públicos pertinentes a escala nacional y de la Unión. Por lo tanto, se cancelaría su estatus.
Tanto el texto español como el alemán de la norma emplean en este contexto alternativamente los términos «registro» e «inscripción» y son, por tanto, imprecisos o equívocos a este respecto. El texto inglés pertinente de la norma se refiere consistentemente a registration —al igual que el texto francés: enregistrement—, por lo que no deberíamos enfrentarnos a ningún reto insuperable a la hora de interpretar el texto de la norma y cabe suponer que la discrepancia etimológica entre «registro» e «inscripción» no debería tener ningún significado jurídicamente relevante.
Las competencias de las autoridades de protección de datos no se ven afectadas por las disposiciones del RGD (art. 1.3 RGD y su considerando 51), en virtud de las cuales el art. 23.3 RGD establece que la autoridad responsable del registro de las organizaciones altruistas de datos desempeña sus funciones en cooperación con la autoridad de protección de datos pertinente.
Así pues, el RGD crea un marco de gobernanza para las actividades de altruismo de datos y se basa en la creación de transparencia y confianza, lo que debería contribuir a capacitar a las personas y organizaciones en términos de acceso, control, intercambio, uso y reutilización de datos (considerando 5). Dado que esto también excluye el empleo remunerado según las ideas de la UE (véase el considerando 46), se plantea la cuestión de cómo estas entidades pueden cumplir los requisitos exhaustivos en la práctica y si el incentivo deseado puede crearse realmente mediante el registro y la designación. En abril de 2024, dieciséis de los veintisiete Estados miembros de la Unión Europea aún no habían notificado a ninguna organización o autoridad competente de conformidad con los arts. 7, 13 o 23 RGD (Comisión Europea, 2024).
Tres Estados miembros han notificado al menos a una autoridad u organismo y solo ocho han notificado tanto al organismo competente respectivo en virtud del art. 7 de la DGA como a las autoridades nacionales competentes en virtud de los arts. 13 o 23 RGD (Comisión Europea, 2024). En la siguiente tabla se pueden consultar los organismos y autoridades competentes de conformidad con los arts. 7, 13 y 23 RGD:
Tabla 1.
Organismos y autoridades competentes de conformidad con los arts. 7, 13 y 23 RGD
| N. ° | Estado Miembro | Organismo competente (art. 7 DGA) | Autoridades competentes en materia de servicios de intermediación de datos (art. 13 DGA) | Autoridades competentes para la inscripción en el registro de las organizaciones de gestión de datos con fines altruistas (art. 23 DGA) |
|---|---|---|---|---|
| 1 | Alemania | N.N. | N.N. | N.N. |
| 2 | Austria | N.N. | N.N. | N.N. |
| 3 | Bélgica | N.N. | N.N. | N.N. |
| 4 | Bulgaria | Minister of e-Government; President of the National Statistical Institute |
Minister of e-Government |
Minister of e-Government |
| 5 | Chequia | N.N. | N.N. | N.N. |
| 6 | Chipre | N.N. | N.N. | N.N. |
| 7 | Croacia | Central State Office for the Development of Digital Society | Central State Office for the Development of Digital Society | Central State Office for the Development of Digital Society |
| 8 | Dinamarca | N.N. | N.N. | N.N. |
| 9 | Eslovaquia | N.N. | N.N. | N.N. |
| 10 | Eslovenia | N.N. | N.N. | N.N. |
| 11 | España | Ministerio para la Transformación Digital y de la Función Pública y sus respectivas Secretarías de Estado, Direcciones Generales y Subsecretarías (desde el 20 de noviembre de 2023) | Ministerio para la Transformación Digital y de la Función Pública y sus respectivas Secretarías de Estado, Direcciones Generales y Subsecretarías (desde el 20 de noviembre de 2023) | Ministerio para la Transformación Digital y de la Función Pública y sus respectivas Secretarías de Estado, Direcciones Generales y Subsecretarías (desde el 20 de noviembre de 2023) |
| 12 | Estonia | N.N. | N.N. | N.N. |
| 13 | Finlandia | Statistics Finland; Finnish Social and Health Data Permit Authority Findata |
Finnish Transport and Communications Agency Traficom |
Finnish Transport and Communications Agency Traficom |
| 14 | Francia | N.N. | N.N. | N.N. |
| 15 | Grecia | N.N. | N.N. | N.N. |
| 16 | Hungría | The National Data Asset Agency | The National Data Protection and Freedom of Information Authority | The National Data Protection and Freedom of Information Authority |
| 17 | Irlanda | Researcher Co-ordination Unit, Central Statistics Office (CSO) |
The Competition and Consumer Protection Commission |
The Competition and Consumer Protection Commission |
| 18 | Italia | N.N. | N.N. | N.N. |
| 19 | Letonia | N.N. | N.N. | N.N. |
| 20 | Lituania | The State Data Agency | The State Data Protection Inspectorate | The State Data Protection Inspectorate |
| 21 | Luxemburgo | N.N. | Ministry of State, Department of Media, Connectivity and Digital Policy |
Ministry of State, Department of Media, Connectivity and Digital Policy |
| 22 | Malta | N.N. | N.N. | N.N. |
| 23 | Países Bajos | Statistics Netherlands | The Authority for Consumers and Markets | The Authority for Consumers and Markets |
| 24 | Polonia | N.N. | N.N. | N.N. |
| 25 | Portugal | N.N. | Administrative Modernisation Agency | Administrative Modernisation Agency |
| 26 | Rumanía | N.N. | Authority for Digitalization of Romania (ADR) |
N.N. |
| 27 | Suecia | N.N. | N.N. | N.N. |
Fuente: elaboración propia a partir de Comisión Europea (2024).
En la medida en que los datos personales son objeto de tratamiento, se plantea la cuestión de la interacción entre el RGD y el RGPD, que se produce en un total de treinta y siete ocasiones donde se aborda su relación o se hace referencia a determinadas nociones jurídicas, como cuando se remite a la definición de determinados términos del RGPD. En casos concretos, la relación exacta entre los dos actos jurídicos debe determinarse mediante la interpretación, que probablemente será de suma importancia en la práctica. También, ha de tenerse en cuenta que el RGD —por ejemplo, en su art. 21— estipula requisitos que se aplican por igual a los datos personales y a los no personales, con lo que iguala el nivel de protección. No obstante, resulta necesario distinguir si un requisito para el tratamiento de datos se deriva en última instancia del RGD o, en el caso de los datos personales, del RGPD.
RGPD y RGD se complementan en lo que respecta a las condiciones en las que los datos personales pueden tratarse con fines no lucrativos. Dentro del RGD, el art. 1.3 normaliza inicialmente que las disposiciones de la Unión y nacionales sobre protección de datos personales se aplicarán a todos los datos personales tratados en relación con el RGD, que el RGPD en particular se aplicará sin perjuicio del RGD y que, en caso de conflicto, el RGPD prevalecerá sobre las disposiciones del RGD. Además, la primera frase del considerando 4 establece que el RGD no afectará a las disposiciones del RGPD. A su vez, tanto el art. 1.3 RGD como el considerando 4 dejan claro que el RGD no crea una base jurídica independiente o nueva para el tratamiento de datos personales, ni afecta a los derechos y obligaciones derivados del RGPD.
Por muy clara que pueda parecer a primera vista esta distinción entre ambos actos jurídicos, resulta aún menos clara cuando se intenta armonizar las disposiciones de RGD y RGPD. En particular, las deficiencias técnicas del RGD dan lugar a ambigüedades y dificultan la interpretación del texto de la norma. A veces se plantea la cuestión de si el legislador se ha desviado deliberadamente de los requisitos del RGPD con la redacción del RGD y, por tanto, ha querido establecer una normativa más específica para el altruismo de datos, si se trata de una denominación errónea no intencionada y, por tanto, irrelevante, o si existe un verdadero conflicto entre el RGD y el RGPD, de modo que las disposiciones del RGPD prevalecerían en virtud del art. 1.3 RGD.
Dado que el RGD no crea expresamente una base jurídica independiente para el tratamiento de datos personales (véase el art. 1.3 RGD, así como el considerando 4), la licitud del tratamiento se rige (como anteriormente) por las disposiciones de los arts. 6 y 9 RGPD. Además del consentimiento (art. 6.1 o art. 9.2 RGPD), también podría considerarse el tratamiento basado en un fundamento jurídico distinto, como por ejemplo en el caso de la necesidad del tratamiento de datos para la ejecución de un contrato en el que el interesado es parte (art. 6.1 lit. b RGPD). Sin embargo, esta opción queda descartada debido a la redacción expresa del art. 2 n.º 16 RGD, que requiere siempre el consentimiento expreso del interesado. Por su parte, el tratamiento de datos con fines benéficos sí puede seguir basándose en los motivos de justificación del RGPD, aunque en este caso no se permite que la organización se registre como una entidad reconocida de altruismo de datos. En el caso de que dicha designación facilite la confianza con los interesados, podrían gestionar los datos a través del consentimiento previo. Asimismo, se han de cumplir otros requisitos del RGPD que se encuentran establecidos por la legislación que ampara la protección de datos.
El RGPD establece que el consentimiento para el tratamiento de datos personales con uno o varios fines específicos debe darse de manera voluntaria, informada e inequívoca (véanse los arts. 4 n.º 11, 6.1 y 7.1 RGPD). Las obligaciones de información se definen con mayor detalle en los arts. 13 y 14 RGPD, y los demás derechos de los interesados en los arts. 15 y ss. RGPD.
Además, de conformidad con el art. 7.3 RGPD, existe el derecho a retirar el consentimiento en cualquier momento, lo que conlleva la inadmisibilidad del tratamiento ulterior de los datos personales. En consecuencia, las organizaciones altruistas de datos deben disponer de una gobernanza adecuada para excluir del tratamiento posterior aquellos datos afectados por la retirada y para poder suprimirlos. Mientras que el art. 7.3 RGPD se limita a estipular que la retirada debe ser tan sencilla como la concesión del consentimiento, el RGD va incluso más allá. Según el art. 21.3 RGD, la organización altruista de datos debe proporcionar herramientas para obtener el consentimiento o permiso y la retirada del consentimiento. Además, los reglamentos que aún deben promulgarse de conformidad con el art. 22 RGD pueden establecer otros requisitos relativos a la información que debe facilitarse, así como requisitos técnicos y de seguridad adecuados. La previsión del consentimiento como única vía para el tratamiento altruista de datos en el sentido del RGD también tiene como consecuencia que, en caso de revocación o ineficacia del consentimiento, queda excluida la invocación de otro motivo de tratamiento.
Especialmente en proyectos de investigación en el ámbito médico o científico, que por naturaleza están sujetos a desarrollos volátiles, pueden surgir desafíos con respecto al consentimiento que, en caso de duda, podrían resultar en la imposibilidad de utilizar datos recopilados para fines altruistas en la práctica sin obtener nuevamente el consentimiento. Esta situación claramente contradice el objetivo del legislador europeo, que originalmente buscaba mejorar el uso y procesamiento de datos para fines altruistas.
Sin embargo, en situaciones de conflicto, la prioridad del RGPD sobre el RGD conlleva la consecuencia burocrática de que un consentimiento específico debe ser renovado si el proyecto de investigación cambia, o si un consentimiento previamente otorgado pero no específicamente definido es inválido, a menos que esté relacionado con un tema de investigación específico. Por ejemplo, si un paciente consintiera abstractamente en el uso de sus datos para proyectos de investigación en oncología, este consentimiento conforme al RGD no sería suficientemente específico según los términos del RGPD.
Por otro lado, si el paciente consintiera tanto según las disposiciones del RGD como del RGPD en el procesamiento altruista de sus datos para un proyecto específico de investigación oncológica, cualquier cambio sustancial posterior en el proyecto o el desarrollo de un nuevo proyecto no permitiría utilizar sus datos sin obtener nuevamente el consentimiento según el RGPD. Esta renovación del consentimiento sería en muchos casos demasiado laboriosa e incluso en algunos casos imposible, lo que dejaría sin efecto el propósito original de la cesión altruista de datos.
Los principios de limitación de la finalidad, limitación del almacenamiento y minimización de datos normalizados en el art. 5 RGPD están en conflicto con el objetivo del tratamiento altruista de datos. Los requisitos de limitación de la finalidad establecidos en el art. 5.1 RGPD estipulan que el tratamiento solo puede llevarse a cabo para fines específicos, explícitos y legítimos. Sin embargo, si los datos se facilitan con fines altruistas, puede que no quede claro para cuántos y qué fines específicos se tratarán en el futuro. Existen privilegios legales tanto para fines de archivo de interés público, como para fines de investigación científica, histórica o para fines estadísticos. Esto puede explicar determinados fines altruistas de los datos en el sentido del RGD. Sin embargo, los requisitos exactos para la especificidad del consentimiento siguen sin estar claros incluso en estos casos. Así, por ejemplo, no se permite la concesión inespecífica del consentimiento para «fines de interés general». Conceptos como broad consent o dynamic consent podrían ofrecer una solución en este caso (véase Muller et al., 2023: 2; Wenchao y Nannan, 2024: 159), pero su admisibilidad aún no se ha evaluado jurídicamente de forma concluyente (Rachut, 2024: 248 y ss.). Siempre pueden surgir más dificultades si una finalidad de tratamiento es altruista en el sentido del RGD pero no está privilegiada por el RGPD, lo que da lugar a requisitos de protección de datos diferentes. Sin embargo, en el debate académico sobre la disposición (individual) a la hora de facilitar datos, tanto personales como no personales, se reconoce adecuadamente que la cesión de datos para fines socialmente relevantes se enfrenta cada vez más a reacciones de rechazo por falta de información (Wenzel y Scherer, 2023: 5, 9, 38). Esta actitud podría ser síntoma de nuestro tiempo, pues podría aplicarse a un tratamiento con fines diferentes. En un principio, se aplicarían las disposiciones del art. 6.4 RGPD, aunque resulta cuestionable cómo debe entenderse el art. 21.2 RGD, que estipula que el tratamiento de datos no se llevará a cabo para fines distintos de aquellos de interés general para los que el interesado o el responsable autorizó. Esto supondría una restricción en comparación con las opciones disponibles en virtud del art. 6.4 RGPD (Rachut, 2024: 251).
Además, existen conflictos entre el objetivo del tratamiento integral de datos con fines altruistas y el art. 5.1 RGPD, que, como principios de limitación del almacenamiento y minimización de datos, estipulan que el tratamiento de datos debe limitarse al alcance necesario y temporal para su gestión (Rachut, 2024: 251).
En este punto, el RGD no abordó los problemas conocidos, no especificó los privilegios existentes en virtud del RGPD, ni proporcionó a las organizaciones reconocidas más privilegios, a pesar de que estas facilidades podrían suponer un incentivo para la actividad altruista de datos.
El art. 25 RGD muestra que existe una conciencia fundamental de esta cuestión a nivel europeo. Está prevista la introducción de un formulario europeo de consentimiento para el altruismo de datos con el fin de reducir la inseguridad jurídica y, al mismo tiempo, aliviar la carga de las organizaciones de altruismo de datos sin ánimo de lucro. La Comisión lo adoptará previa consulta con el Consejo Europeo de Protección de Datos y teniendo en cuenta las recomendaciones de otras partes interesadas, y permitirá obtener el consentimiento para la protección de datos en todos los Estados miembros en un formato normalizado, arts. 25.1 y 25.2 RGD. Contrariamente al término «formulario de consentimiento», esto debería aplicarse también a la autorización para tratar datos no personales. En este caso, debe tenerse en cuenta que los requisitos para esta autorización no se derivan del RGPD, sino exclusivamente del RGD.
Sorprendentemente, el formulario de consentimiento europeo no está vinculado a una finalidad de tratamiento específica, sino a la operación de tratamiento individual. Esto puede considerarse una nueva desviación del RGPD o un (renovado) descuido editorial.
Para tener en cuenta la complejidad y heterogeneidad del tratamiento altruista de datos, el formulario de consentimiento europeo debe tener una estructura modular y, por tanto, ser adaptable a diferentes sectores y fines, art. 25.2 RGD. Además de conceder el consentimiento o la autorización, también debería ser posible retirar el consentimiento utilizando este formulario, art. 25.3 RGD. Según el art. 25.4 RGD, el formulario deberá ser comprensible y podrá ser obtenido de forma impresa o mediante formato electrónico. El art. 25 RGD no contiene más especificaciones, por lo que hasta ahora solo existe una vaga idea del formulario de consentimiento europeo.
Por prometedor que parezca el planteamiento de una solución de consentimiento normalizada, fiable y jurídicamente segura utilizando este formulario, el organismo emisor carece de un aspecto crucial: la competencia en materia de protección de datos. Aunque el art. 25.1 RGD prevé la consulta al Consejo Europeo de Protección de Datos, esto no garantiza que el formulario en sí o su uso en casos individuales dé lugar a un consentimiento que cumpla la ley de protección de datos en el sentido del RGPD. Además, el uso del formulario de consentimiento europeo no da lugar a ninguna ficción o presunción de licitud del consentimiento. Ya en el marco de la introducción del RGPD, la implementación de los principios de licitud y seguridad del tratamiento de datos, así como del consentimiento del interesado, representó una de las novedades más importantes (Ortega Giménez, 2018: 2). La importancia de estos factores se subraya ahora claramente en el marco de la regulación del altruismo de datos. Las autoridades de protección de datos y los tribunales competentes siguen estando autorizados para comprobar la admisibilidad conforme a la legislación sobre protección de datos. El formulario de consentimiento europeo elaborado por la Comisión no ofrece ninguna salvaguardia a este respecto y, en el peor de los casos, podría incluso dar lugar a que el consentimiento se maneje de forma demasiado descuidada, perjudicando en última instancia el proyecto de altruismo de datos. Por tanto, que el formulario de consentimiento europeo sea un éxito depende en gran medida de una mayor coordinación entre la Comisión y las autoridades de protección de datos, así como de su aplicación real en la práctica. Sin embargo, no podrá ofrecer la esperada solución rápida y fácil a la compleja cuestión del consentimiento.
El consentimiento como base para el tratamiento de datos personales con fines altruistas va acompañado de ciertos retos que han sido reconocidos, pero no resueltos, por el legislador europeo. Por ejemplo, aún no está claro cómo puede configurarse de manera significativa el consentimiento para el altruismo de datos, qué requisitos se imponen a la especificidad de la finalidad y cómo han de cumplir las organizaciones altruistas de datos los requisitos, a veces paralelos, del RGPD y RGD si no se les permite perseguir una finalidad lucrativa y, por tanto, no pueden aportar los recursos financieros correspondientes para cumplir estos complejos requisitos.
El RGD y el RGPD contienen disposiciones idénticas en algunos aspectos, aunque sus requisitos difieren en lo que respecta al tratamiento de datos personales, ya que el RGD complementa las obligaciones ya existentes en el RGPD.
Las normas estandarizadas en el capítulo IV del RGPD se aplican, en principio, a todos los datos —personales o no personales—, por lo que aquellos que no estaban salvaguardados o lo estaban, pero en menor medida, sí se encuentran sujetos a dicha protección. Según este contexto, los arts. 20 y siguientes del RGPD significan, por un lado, que los datos personales solo pueden ser tratados por una organización reconocida de altruismo de datos sujeta a requisitos aún más estrictos y, por otro, que los datos no personales están sujetos a un nivel de protección más elevado que los datos personales en general en caso de tratamiento de altruismo de datos. Esto podría verse como una normalización de los requisitos y, por tanto, un medio para reducir la complejidad, o como un paradójico exceso de regulación.
Tanto el suministro como el tratamiento de datos personales con fines altruistas ya eran posibles antes del RGD. Este reglamento establece el marco jurídico para el tratamiento de datos autorizados y lo flexibiliza en determinados ámbitos, por ejemplo, para su gestión con fines de investigación. Sin embargo, el RGD no aborda las incertidumbres existentes en el marco del RGPD y, por lo tanto, no reduce los obstáculos para las actividades altruistas de datos. Al contrario, el RGD restringe aún más las posibilidades que ofrece el RGPD: por un lado, la estrecha definición limita el altruismo de datos al tratamiento de datos personales sobre la base del consentimiento; por otro lado, el RGD amplía el catálogo existente de obligaciones de las organizaciones altruistas de datos en virtud del RGPD y, por lo tanto, aumenta el esfuerzo requerido para las actividades altruistas de datos.
Según lo expuesto con anterioridad, podrían hacerse las siguientes predicciones para las actividades de las entidades de altruismo de datos: si desean beneficiarse del valor añadido de una organización de altruismo de datos reconocida en la UE (nombre, logotipo, registro), también deben tener en cuenta los demás requisitos del RGPD, además de los requisitos de protección de datos. En lo que respecta al tratamiento de datos personales, algunos de ellos van más allá de los requisitos —aún aplicables— del RGPD. El RGD restringe (aún más) las posibilidades de actividades altruistas de datos que ofrece el RGPD. En lugar de ampliar las opciones para el tratamiento de datos sin ánimo de lucro y eliminar las incertidumbres jurídicas existentes, la estructura paralela de RGD y RGPD conduce a una mayor complejidad.
Esto tampoco se puede remediar con el formulario de consentimiento europeo previsto para el altruismo de datos, ya que es cuestionable cómo se van a aplicar en la práctica los retos existentes con respecto a los requisitos de protección de datos para el consentimiento. Surgen dificultades particulares de la preeminencia fundamental del RGPD sobre el RGD y las competencias asociadas de las autoridades de protección de datos, que en caso de duda pueden llegar a una evaluación de la permisibilidad del tratamiento altruista de datos diferente de la de las autoridades responsables de las organizaciones altruistas de datos. Es probable que la complejidad, las normativas paralelas y las imprecisiones técnicas de la legislación, en combinación con las obligaciones adicionales impuestas por el RGD, hagan poco atractivo el tratamiento altruista de datos. Por lo tanto, cabe preguntarse si las organizaciones interesadas decidirán realmente registrarse como organización reconocida de altruismo de datos debido a estas obligaciones y riesgos o si, por el contrario, tomarán otros caminos para generar confianza con el fin de estar «solo» sujetas a los requisitos legales generales (de protección de datos).
La primera y hasta ahora única iniciativa reconocida como organización altruista de datos en la Unión Europea es el proyecto DATALOG de la Associació Dades pel Benestar Planetari, con sede en Barcelona. Ya en el año 2022, el proyecto DATALOG obtuvo una primera ayuda de desarrollo del Ayuntamiento de Barcelona en la convocatoria «La ciudad proactiva» (UPF, 2022). El objetivo de esta asociación, en particular, es promover la base de conocimientos de las ciudades y sus interesados por medio de datos y sistemas inteligentes que repercutan en el bienestar del planeta, con especial atención a la lucha contra el cambio climático, las cuestiones energéticas, el fomento de la movilidad sostenible, la economía circular y el bienestar de las personas y el medio ambiente en general (DATALOG, 2024). Se trata de una iniciativa conjunta de la Universidad Pompeu Fabra de Barcelona y la agencia de innovación Ideas for Change, también con sede en Barcelona. La iniciativa está financiada en gran parte por el Ayuntamiento de Barcelona y cuenta con el apoyo del Ministerio de Ciencia e Innovación y la Agencia Estatal de Investigación. La plataforma está oficialmente en funcionamiento desde el 11 de abril de 2024 (UPF, 2024).
La finalidad de DATALOG consiste en ayudar a los ciudadanos interesados (por el momento de la ciudad de Barcelona) a recopilar datos sobre su consumo de agua, luz y gas, y, a partir de ahí, analizar críticamente y optimizar sus hábitos de consumo (DATALOG, 2024). Se pretende que los usuarios ahorren costes reconociendo el impacto de su comportamiento en su consumo real (DATALOG, 2024). Además, las previsiones de consumo deben ayudarles a ver su propio comportamiento de consumo en un contexto orientado a la toma de decisiones (DATALOG, 2024). Al mismo tiempo, los datos de consumo recogidos y cotejados deben ayudar a identificar las tendencias que se dan en los distintos hogares y los patrones que afectan a la calidad de vida en la ciudad (DATALOG, 2024). Este proyecto parece especialmente prometedor a la vista de la preocupante situación climática en toda España, pero especialmente en la comunidad autónoma de Cataluña y el área metropolitana de Barcelona (véase también Mateu, 2024). Los ciudadanos interesados pueden facilitar sus datos a DATALOG dándose de alta previamente en la plataforma a través de la web datalog.es. A continuación, DATALOG recopilará los datos de consumo pertinentes y creará un perfil personalizado del consumo de agua, electricidad y gas del hogar (DATALOG, 2024). En cuanto se dispone de datos suficientes, los participantes pueden comparar y evaluar sus datos de consumo en la plataforma de visualización (DATALOG, 2024). Así, con estos nuevos conocimientos, los ciudadanos pueden optimizar su consumo y ahorrar no solo recursos, sino también dinero (DATALOG, 2024).
Para alcanzar este objetivo, DATALOG implementa un proceso integral de gestión y gobernanza de datos, en el cual los aspectos de recolección, almacenamiento, calidad, intercambio, gobernanza y seguridad de datos desempeñan un papel fundamental. En lo que respecta a la recolección de datos, DATALOG destaca que la fuente más importante son los datos proporcionados por los ciudadanos. Estos datos pueden ser introducidos directamente por los propios ciudadanos o facilitados por los proveedores de energía y agua, conforme a un acuerdo previo con los usuarios respectivos (Maccani et al., 2024: 14).
La opción preferida es recibirlos directamente de las bases de datos de los proveedores de servicios, previa autorización de los ciudadanos (Maccani et al., 2024: 14). En este caso, se activan procesos automáticos para conectarse a las fuentes externas de las compañías de energía y agua. La eficacia de este proceso depende en gran medida del nivel de preparación de la entidad que gestiona los datos (Maccani et al., 2024: 14).
Uno de los principales desafíos es asegurar la calidad y la integridad de los datos introducidos. Las posibles asimetrías en la cantidad de datos (por ejemplo, una abundante cantidad de datos en determinados barrios y, por el contrario, una escasa cantidad de datos debido a la falta de participación en otros barrios) también pueden plantear un reto significativo (Maccani et al., 2024: 15). Para obtener resultados precisos y extraer conclusiones válidas, es esencial evitar posibles distorsiones en los datos. DATALOG cuenta con procesos internos de calidad de datos para garantizar esto (Maccani et al., 2024: 15).
El intercambio de datos brutos con terceros se realiza bajo estrictos controles de privacidad y seguridad, evitando la divulgación de información personal y aplicando, cuando sea necesario, métodos de agregación y enmascaramiento conforme a los requisitos del RGPD (Maccani et al., 2024: 15). DATALOG tiene planes de implementar un conjunto predefinido de preguntas en la plataforma, que estarán disponibles bajo demanda. Además, DATALOG está evaluando la posibilidad de utilizar el aprendizaje federado para entrenar modelos específicos para terceros sin que los datos abandonen la plataforma. Todas las utilizaciones de datos o servicios desde la plataforma se llevarán a cabo mediante la implementación de un acuerdo de compartición de datos. Estos acuerdos definen el propósito de la divulgación de datos y especifican las acciones a tomar en cada fase, clarificando así las responsabilidades de todas las partes involucradas (Maccani et al., 2024: 15).
Desde el inicio, DATALOG ha adoptado un enfoque integrado de seguridad, que incluye procesos regulares de respaldo de datos y el desarrollo de un plan de recuperación ante desastres, para asegurar que los datos almacenados estén protegidos contra pérdidas, fallas del sistema u otros daños. De esta manera, también se previenen fallos del servidor e intentos de acceso ilegal a los sistemas de DATALOG, especialmente en relación con los datos utilizados para el entrenamiento de inteligencia artificial (Maccani et al., 2024: 16).
El proyecto DATALOG se presenta como una iniciativa sumamente prometedora que ofrece una perspectiva inspiradora sobre el futuro del altruismo de datos. Como pionero en la Unión Europea, DATALOG demuestra cómo el bienestar de ciudades y comunidades puede ser fomentado mediante el uso compartido de datos. Este enfoque trasciende los aspectos meramente económicos, promoviendo una comprensión más profunda del impacto tanto individual como colectivo sobre el medio ambiente y los recursos naturales.
DATALOG tiene el potencial de convertirse en un modelo ejemplar para otras iniciativas que buscan reconocer y aprovechar las oportunidades que brinda el altruismo de datos. Abre la puerta a colaboraciones estratégicas destinadas a encontrar soluciones conjuntas a problemas sociales urgentes, como el cambio climático y el desarrollo sostenible. El éxito de DATALOG no solo se evaluará en función de su capacidad para gestionar y optimizar los datos de consumo, sino también por su habilidad para empoderar a las comunidades. Esto permitirá a los ciudadanos tomar decisiones informadas y comprender, así como moldear, su influencia en el futuro.
La sensibilización y la concienciación sobre la importancia del altruismo de datos deberían ser cada vez más importantes en la actualidad política. Incluso una regulación prudente puede ser un primer paso importante para allanar el camino a las prácticas de altruismo de datos. Un importante hito en este contexto lo marca el art. 25 RGD, que aborda un problema central en el contexto del tratamiento de datos personales: las incertidumbres sobre las condiciones del consentimiento y los requisitos para su voluntariedad. Si bien es cierto que el formulario de consentimiento europeo se aplica en general a todos los datos cuyo tratamiento con fines altruistas se rige por el RGD. El mayor reto residirá en el cumplimiento de los requisitos de consentimiento previstos en el RGPD, es decir, para los datos personales. Al reconocer esta cuestión en el RGD, se ha dado un paso importante para aclarar y mejorar el panorama jurídico en relación con el altruismo de datos. Resulta evidente que las mejoras en este ámbito pueden integrarse fácilmente en las normas y reglamentos existentes. Esto podría hacerse, por ejemplo, elaborando directrices claras para el consentimiento del uso de datos que garanticen una mayor transparencia y comprensibilidad para los interesados. Además, es importante que la regulación no sea excesivamente restrictiva, sino que establezca un equilibrio entre la protección de la privacidad y el fomento de las actividades altruistas con los datos. Un exceso de regulación podría desalentar posibles iniciativas de altruismo de datos o crear obstáculos burocráticos innecesarios que entorpezcan el proceso de intercambio de datos. Ahora corresponde a los legisladores y responsables políticos aprovechar este impulso y adoptar nuevas medidas para fomentar y apoyar la práctica altruista de los datos. Para ello es necesario supervisar y adaptar continuamente las leyes y políticas vigentes para garantizar que sigan el ritmo de la constante evolución de las tecnologías y las necesidades de la sociedad.
El altruismo de datos, el suministro altruista de datos y el tratamiento altruista de datos ya estaban legalmente permitidos antes del RGD. El RGD obliga ahora a estas actividades a someterse a un corsé organizativo con numerosos obstáculos burocráticos. Es poco probable que esto promueva realmente el objetivo de poder procesar más datos con fines benéficos. En cambio, sí es beneficioso que el RGD ofrezca sobre todo la posibilidad de poder denominarse organización altruista de datos reconocida en la Unión. La exhaustiva regulación del RGD, que se complementa con otros requisitos de los Estados miembros y de la Comisión, no solo contribuye a aumentar la complejidad, sino que también provoca una mayor inseguridad jurídica debido a las numerosas incoherencias e imprecisiones y, por tanto, riesgos que podrían disuadir a los participantes o interesados del proyecto de altruismo de datos. Los retos existentes en la legislación sobre protección de datos —como el alcance del principio de limitación de la finalidad o el ámbito del consentimiento— tampoco se resuelven con el RGD; en algunos casos, incluso se agravan. Con el formulario europeo de consentimiento para el altruismo de datos, al menos se ha intentado hacer viables en la práctica los complejos requisitos de consentimiento mediante una especie de plantilla, aunque este también ofrece material para numerosas preocupaciones. Estas se pueden basar principalmente en las diferentes competencias de las autoridades implicadas, en particular las diferentes responsabilidades de las autoridades de control de la protección de datos —que son responsables de comprobar el consentimiento con arreglo a la ley de protección de datos, entre otras— y las autoridades responsables de las organizaciones altruistas de datos, que son responsables de comprobar los demás requisitos con arreglo al RGD.
En definitiva, de acuerdo con lo anteriormente expuesto, se pueden extraer las siguientes conclusiones con respecto a la pregunta de investigación planteada al inicio. El RGD aborda por primera vez el altruismo de datos en el derecho positivo, pero se centra exclusivamente en el marco organizativo y deja intactas las normativas vigentes en materia de protección de datos. En lugar de establecer privilegios para el tratamiento de datos, el RGD solo prevé el reconocimiento y la inscripción en un registro público para las organizaciones altruistas de datos, lo que crea obstáculos adicionales sin incentivos.
Aunque se nombran los retos existentes en materia de protección de datos, siguen sin abordarse. Incluso es posible que el formulario de consentimiento europeo previsto para el altruismo de datos no pueda aplicarse de forma práctica, en particular debido a la falta de conocimientos en materia de protección de datos por parte de la Comisión que lo crea. La complejidad, la existencia de normativas paralelas y las imprecisiones técnicas de la legislación, unidas a las obligaciones adicionales impuestas por el RGD, podrían restar atractivo al tratamiento altruista de datos.
Por lo tanto, sigue siendo cuestionable si, a la vista de estas obligaciones y riesgos, las organizaciones interesadas optarán realmente por registrarse como organización altruista de datos reconocida, o si, por el contrario, elegirán otras formas de generar confianza para limitarse a cumplir los requisitos legales generales (de protección de datos).
El RGD es sin duda un marco jurídico necesario, pero no puede ser considerado óptimo en su totalidad. Aunque la normativa del RGD contiene muchos aspectos acertados e importantes en materia de altruismo de datos, deja de lado un significativo potencial de innovación. La Unión Europea debería haber aprovechado y seguir aprovechando la oportunidad de crear un marco jurídico realista que apoye e incentive activamente la búsqueda de enfoques de altruismo de datos de alta calidad.
Indudablemente, no es demasiado tarde para tener en cuenta las cuestiones planteadas, pero no debería postergarse en el tiempo. En este momento corresponde a los Estados miembros hacer todo lo que esté en su mano a nivel nacional para permitir el registro de organizaciones altruistas de datos de la forma menos burocrática posible, dentro de los límites de sus respectivas capacidades y de conformidad con la legislación de la UE. Corresponde ahora a los gobiernos nacionales y el legislador europeo contribuir activamente a garantizar que los beneficios potenciales del altruismo de datos puedan materializarse plenamente en la Unión Europea.
| [1] |
Profesora contratada doctora en la Universidad Técnica de Múnich (TUM), Alemania, Cátedra de Derecho y Seguridad de la Transformación Digital (Prof. Dr. Dirk Heckmann), TUM School of Social Sciences and Technology, Department of Governance y a su vez directora ejecutiva del centro de investigación multidisciplinar TUM Center for Digital Public Services. |
| [2] |
Colaborador-asistente de investigación en la Universidad Técnica de Múnich (TUM), Alemania, Cátedra de Derecho y Seguridad de la Transformación Digital (Prof. Dr. Dirk Heckmann), TUM School of Social Sciences and Technology, Department of Governance y el TUM Center for Digital Public Services. |
| [3] |
Reglamento (UE) 2022/8068 del Parlamento Europeo y del Consejo, de 30 de mayo de 2022, relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos) (DO L 152, de 3 de junio de 2022, p. 1). |
| [4] |
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (DO L 119, de 4 de mayo de 2016, p. 1). |
|
Arenas Ramiro, M. y Ortega Giménez, A. (2021). Tratamiento de datos personales en centros educativos. Cuestiones prácticas. Las Rozas, Madrid: SEPIN. |
|
|
Bernardi, F. A., Alves, D., Crepaldi, N., Bettiol Yamada, D., Costa Lima, V. y Rijo, R. (2023). Data quality in health research: integrative literature review. Journal of Medical Internet Research, 25, 1-20. Disponible en: https://doi.org/10.2196/41446. |
|
|
Comisión Europea (2024). Organismos y autoridades nacionales competentes en virtud de la Ley de Gobernanza de Datos. Comisión Europea, 02-10-2023. Disponible en: https://shorturl.at/MMARe. |
|
|
Comte, A. (1852). Catéchisme positiviste. Paris: Auguste Comte. Disponible en: https://shorturl.at/4KvxD. |
|
|
DATALOG (2024). DATALOG. Dades pel Benestar Planetari. Disponible en: https://shorturl.at/3KkSQ. |
|
|
Dufal, R. (2020). La bienveillance du droit de l’environnement. La bienveillance du droit public. Mare & Martin. Disponible en: https://shorturl.at/00Hgj. |
|
|
Gefen, G., Ben-Porat, O., Tennenholtz, M. y Yom-Tov, E. (2020). Privacy, altruism, and experience: estimating the perceived value of internet data for medical uses. En A. El Seghrouchni, G. Sukthankar, T.-Y. Liu, y M. van Steen (eds.). WWW ‘20: companion proceedings of the web conference 2020 (pp. 552-556). New York: Association for Computer Machinery. Disponible en: https://doi.org/10.1145/ 3366424.3383414. |
|
|
Heras Vives, L. de las y Verda y Beamonte, J. R. de (2019). Consentimiento de los menores de edad. En M. Arenas Ramiro y A. Ortega Giménez (eds.). Comentarios a la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales en relación con el Reglamento General de Protección de Datos. Las Rozas, Madrid: SEPIN. |
|
|
Kibbe, W. (2016). Cancer clinical research: enhancing data liquidity and data altruism. Chapter 3. En B. W. Hesse, D. K. Ahern y E. Beckjord (eds.). Oncology informatics (pp. 41-53). Cambridge: Cambridge Academic Press. Disponible en: https://doi.org/10.1016/C2014-0-01230-0. |
|
|
Lalova-Spinks, T., Meszaros, J. y Huys, I. (2023). The application of data altruism in clinical research through empirical and legal analysis lenses. Frontiers in Medicine, 10, 1-14. Disponible en: https://doi.org/10.3389/fmed.2023.1141685. |
|
|
Luks, A. (1988). Helper’s high. Psychology Today, 22 (10), 39-42. |
|
|
Maccani, G., Ahtes, J., Portela, M., Rubio, T. y Estivill-Castro, V. (2024). Exploring technologies for data altruism organizations. A product white paper from DATALOG. v2. DATALOG. Disponible en: https://shorturl.at/FisIu. |
|
|
Maceri, S. (2020). Una oportunidad para el altruismo. Revista de Originales de Filosofía Ariel, 27, 90-93. Disponible en: https://shorturl.at/HrRre. |
|
|
Mateu, P. (2024). Cataluña entrará en fase de emergencia por sequía. ¿Cómo me afectarán las restricciones? National Geographic España, 10-04-2024. Disponible en: https://shorturl.at/1YhyF. |
|
|
Molina del Pozo, C. F. y González Crespo, L. (2023). La cesión de datos en la nueva Ley de Gobernanza Europea de Datos. Revista Internacional Consinter de Direito, 16, 507-520. Disponible en: https://doi.org/10.19135/revista.consinter.00016.00. |
|
|
Morán Astorga, C., Vicente Castro, F., Sánchez Cabaco, A. y Montes Velasco, E. (2014). La psicología positiva: antigua o nueva concepción. International Journal of Developmental and Educational Psychology, 3 (1), 439-450. Disponible en: http://dx.doi.org/10.17060/ijodaep.2014.n1.v3.522. |
|
|
Muller, S. H. A., van Thiel, G. J. M. W., Mostert, M. y van Delden, J. J. M. (2023). Dynamic consent, communication and return of results in large-scale health data reuse: survey of public preferences. Digital Health, 9, 1-14. Disponible en: https://doi.org/10.1177/20552076231190997. |
|
|
Ortega Giménez, A. (2018). El Reglamento General de Protección de Datos de la Unión Europea en la empresa: novedades prácticas. Diario La Ley, 15, 1-28. |
|
|
Paseri, L. (2024). The ethical and legal challenges of data altruism for the scientific research sector. En M. Arias-Oliva, J. Pelegrín-Borondo, K. Murata, A. M. Lara Palma y M. Ollé Sensé (eds.). Smart ethics in the digital world. Proceedings of the International Conference on the Ethical and Social Impacts of ICT 2024. 21st International Conference on the Ethical and Social Impacts of ICT (pp. 137-141). Logroño: ETHICOMP. Disponible en: https://shorturl.at/GsAMJ. |
|
|
Pastor Sempere, C. (2022). La nueva Economía Social del Dato. Revista Jurídica de Economía Social y Cooperativa, 41, 13-44. Disponible en: https://doi.org/10. 7203/CIRIEC-JUR.41.25571. |
|
|
Poma Choque, J. T. (2022). El mito del altruismo. Universidad, Escuela y Sociedad, 12 (1), 5-13. Disponible en: https://doi.org/10.30827/unes.i12.21743. |
|
|
Rachut, S. (2024). Datenaltruismus unter dem Data Governance Act. Zeitschrift für Datenschutz, 14 (5), 248-253. |
|
|
Sánchez García, A. (2023). El altruismo de datos en el ámbito sanitario. En B. Andreu Martínez (ed.). Los datos de salud como eje de la transformación digital de la sanidad (pp. 69-106). Granada: Comares. |
|
|
Santos, C., Pedro, N., Mattar, J. y Carrascal, S. (2023). Competencias digitales en el contexto ibérico: un estudio de evidencias. Vivat Academia. Revista de Comunicación, 156, 40-65. Disponible en: https://doi.org/10.15178/va.2023.156. |
|
|
Stausberg, J. y Harkener, S. (2023). Data quality and data quantity: complements or contradictions? En J. Mantas, P. Gallos, E. Zoulias, A. Hasman, M. S. Househ, M. Charalampidou y A. Magdalinou (eds.). Healthcare transformation with informatics and artificial intelligence (pp. 24-27). Amsterdam: IOS Press. Disponible en: https://doi.org/10.3233/SHTI230414. |
|
|
Universidad Pompeu Fabra (2022). El proyecto DaTALoG, premiado en la convocatoria de ayudas «La ciudad proactiva» del Ayuntamiento de Barcelona. Universitat Pompeu Fabra, 13-12-2022. Disponible en: https://shorturl.at/EhEDF. |
|
|
Universidad Pompeu Fabra (2024). La nueva plataforma DATALOG analizará datos del consumo energético de personas residentes en Barcelona y las ayudará a optimizarlo. Universitat Pompeu Fabra, 11-04-2024. Disponible en: https://shorturl.at/DeIiU. |
|
|
Veil, W. (2022). Data altruism: how the European Union is screwing up a good idea. Berlin: AlgorithmWatch. Disponible en: https://shorturl.at/GyP6q. |
|
|
Wenchao, H. y Nannan, S. (2024). Theoretical research on data utilization-system construction of data trust and altruistic sharing. Academic Journal of Humanities and Social Sciences, 7 (2), 151-161. Disponible en: https://doi.org/10.25236/AJHSS.2024.070221. |
|
|
Wenzel, C. y Scherer, A. (2023). Sharing data for social good: from uninformed consent to misinformed dissent. Social Science Research Network 1-44. Disponible en: http://dx.doi.org/10.2139/ssrn.4407097. |
|
|
Xifré, R. (2023). Política industrial en la Unión Europea y España: debates recientes. Cuadernos de Información Económica, 295, 1-8. Disponible en: https://shorturl.at/WXhXA. |