Engineering Personal Data Protection in EU Data Spaces

2401-507.

Las recientes iniciativas legislativas de la Unión Europea que promueven el intercambio de datos son instrumentos sectoriales y transversales que buscan poner datos a disposición regulando la reutilización de datos tanto públicos como privados, incluidos datos personales. También facilitan el intercambio de datos mediante la creación de nuevos intermediarios y entornos de intercambio donde las partes involucradas pueden agrupar datos e instalaciones de manera confiable y segura. Los Espacios de Datos Comunes Europeos (Espacios de Datos de la UE) son un concepto novedoso introducido en la estrategia europea para datos y desarrollado más a fondo en la Ley de Gobernanza de Datos (DGA, por sus siglas en inglés). Se prevé que faciliten la innovación, el crecimiento económico y la transformación digital, centrándose en la creación de un marco para el intercambio de datos que respete la privacidad, la seguridad y otras consideraciones regulatorias aplicables, al mismo tiempo que promueve la colaboración entre sectores y la interoperabilidad. Este informe intenta contextualizar los principales principios de diseño en relación con la protección de datos personales y demostrar cómo diseñar la protección de datos personales a través de dos casos de uso de un Espacio de Datos de la UE previsto en el ámbito farmacéutico. A pesar del potencial de los Espacios de Datos de la UE, aún hay consideraciones sobre las medidas técnicas y organizativas apropiadas y cómo incorporarlas en la práctica, tanto desde el punto de vista de la protección de datos como desde el de la ciberseguridad. Aunque ya existen muchas tecnologías de mejora de la privacidad que pueden ayudarnos a alcanzar objetivos específicos de protección de datos, no debemos pasar por alto el hecho de que se nos pide abordar nuevas operaciones de procesamiento, donde los roles y responsabilidades no siempre están claramente definidos. La Innovación Basada en Datos (DDI) no es un concepto totalmente nuevo; se trata de procesar grandes volúmenes de datos para extraer ideas significativas y crear innovaciones valiosas. En la última década, hemos estado discutiendo tanto las oportunidades como los desafíos de los grandes datos. Sin embargo, para aprovechar todo el poder analítico de los datos y lograr avances impactantes, debemos pasar de múltiples puntos de recopilación y análisis hacia un enfoque más colaborativo, respetando siempre la protección de datos personales y empresariales sensibles o críticos. La estrategia europea para datos, anunciada en 2020, es un plan quinquenal que presenta una visión de un ‘espacio europeo de datos único’, descrito como «un auténtico mercado único para datos, abierto a datos de todo el mundo, donde los datos personales y no personales, incluidos los datos comerciales sensibles, son seguros y las empresas tienen fácil acceso a datos industriales de alta calidad, impulsando el crecimiento y creando valor». En este contexto, la estrategia reconoce la importancia estratégica de invertir en Espacios de Datos de la UE como mecanismo para impulsar el crecimiento y la innovación en sectores económicos clave y dominios de interés público. A pesar de los beneficios de los Espacios de Datos de la UE, hay un desafío vinculado al número de partes interesadas con metas estratégicas divergentes y necesidades específicas de datos que pueden ser difíciles de conciliar. Además, dado que los Espacios de Datos de la UE operarán dentro del marco de la política y la ley de la Unión existente, es crucial identificar similitudes transversales entre sectores, terminología común, marcos de diseño y cumplimiento, y articular herramientas adecuadas de ingeniería de datos. Aunque la DGA proporciona un marco de gobernanza horizontal general para los Espacios de Datos de la UE, también destaca la necesidad de que operen de acuerdo con otras políticas y leyes de la Unión aplicables, como las relacionadas con la protección de datos, la ciberseguridad, la propiedad intelectual, etc., y cumplir con la legislación sectorial relevante. Un elemento esencial será la implementación de herramientas para agrupar, acceder, utilizar y compartir datos cumpliendo con la legislación aplicable, permitiendo a los titulares de datos gestionar los derechos de acceso y las condiciones con el tiempo. Además, para ser «accedidos y utilizados de la manera más efectiva y responsable posible», los Espacios de Datos de la UE deben diseñarse, establecerse y mantenerse para proporcionar un entorno de procesamiento seguro y supervisado. También deben seguir siendo técnicamente interoperables con otros, al tiempo que aseguran, según sea necesario, la confidencialidad comercial o estadística, la protección de los derechos de propiedad intelectual de terceros y la protección de datos personales. Por lo tanto, reglas consistentes y predecibles sobre el acceso y reutilización de datos son clave para que los titulares y usuarios de datos cumplan con la política y la ley de la Unión.

Por último, se deben adoptar recomendaciones básicas y uniformes sobre las condiciones de reutilización y las medidas técnicas y organizativas (TOMs) relacionadas, en particular para ayudar a los titulares de datos a comprender mejor cómo deben adaptar las reglas de seguridad y confidencialidad y ajustar sus políticas corporativas para cumplir con los requisitos de protección de datos de la UE (GDPR). Los titulares de datos están obligados a promover la interoperabilidad. De hecho, los proveedores de servicios de intercambio de datos deben «facilitar el intercambio de datos en el formato en que lo reciben del titular de datos y convertir los datos en formatos específicos solo para mejorar la interoperabilidad dentro y entre sectores, o si lo solicita el usuario de datos o cuando lo exija la ley de la Unión o para garantizar la armonización con normas internacionales o europeas de datos». Dicha interoperabilidad debe definirse en primer lugar a nivel de la UE, pero también teniendo en cuenta estándares técnicos o especificaciones bien reconocidos. Los intermediarios pueden facilitar la interoperabilidad y el intercambio de datos personales, ayudando a los titulares de datos a anonimizar o pseudonimizar datos personales, redactar y ejecutar acuerdos de intercambio de datos personales o facilitar el ejercicio de los derechos de los individuos. Este informe aborda el diseño e implementación de Espacios de Datos de la UE desde una perspectiva de ingeniería, con énfasis en la ingeniería de la protección de datos personales. Los principales objetivos son contextualizar los principales principios de diseño en relación con la protección de datos personales y demostrar cómo diseñar la protección de datos personales a través de dos casos de uso de un Espacio de Datos de la UE previsto en el ámbito farmacéutico. Este trabajo tiene como objetivo respaldar a los formuladores de políticas, reguladores y profesionales de la protección de datos, y se realiza en el contexto de las tareas de ENISA bajo la Ley de Ciberseguridad (CSA) para apoyar a los Estados miembros en aspectos específicos de ciberseguridad relacionados con la política y la ley de la Unión en materia de protección de datos y privacidad. Este trabajo se basa en las actividades de la Agencia en el área de Ingeniería de Protección de Datos y se produce en colaboración con el Grupo de Trabajo Ad Hoc de ENISA sobre Ingeniería de Protección de Datos. La DGA se aplica a «cualquier representación digital de actos, hechos o información», incluidos los datos personales. Cuando los datos compartidos incluyen datos personales, debe haber un mapeo entre los roles (y responsabilidades relevantes) entre la DGA y el GDPR. Sin embargo, esto puede no ser sencillo, dado que la operación de procesamiento depende de cómo se realiza el intercambio y cuál es el papel real del intermediario de datos. En el contexto de la DGA y el GDPR, el titular de datos es responsable de garantizar la recopilación, procesamiento y almacenamiento legales y adecuados de los datos, el intermediario de datos proporciona servicios para facilitar el intercambio, procesamiento y almacenamiento controlados de datos, y el usuario de datos recibe y utiliza datos para diversos fines, como análisis, investigación u otros intereses legítimos. Incluso basándonos en estas descripciones bastante genéricas, no se puede establecer de manera segura quién actúa como el responsable del tratamiento, si hay más de un responsable actuando conjuntamente, si hay un procesador y si los usuarios de datos son destinatarios de datos. Aunque el GDPR establece requisitos específicos que deben cumplir cada rol, no está claro bajo el modelo genérico qué entidad sola o qué entidades colectivamente «determinan los fines y los medios del tratamiento de datos personales», qué entidad actúa «en nombre del responsable del tratamiento» y si una entidad es «a la que se comunican los datos personales». Como señala la reciente publicación de la Agencia Española de Protección de Datos (AEPD), «El aspecto más importante que define una operación de tratamiento es su propósito». En esencia, la DGA y el GDPR crean un marco en el que titulares de datos, intermediarios de datos y usuarios de datos trabajan juntos para garantizar el intercambio, procesamiento y uso responsables y conformes de datos. Deben alinear sus prácticas con los principios y obligaciones delineados en ambas leyes para proteger los derechos y la privacidad de las personas, al tiempo que fomentan la innovación y las iniciativas basadas en datos.

El informe aborda la relevancia y la necesidad de establecer medidas efectivas de protección de datos personales en el contexto de los Espacios de Datos de la Unión Europea (UE). El documento se centra en la ingeniería de soluciones para garantizar la privacidad y seguridad de la información sensible en un entorno cada vez más interconectado y orientado a los datos. El informe destaca la importancia de comprender y cumplir con el Reglamento General de Protección de Datos (GDPR) de la UE, que establece directrices específicas para la recopilación, procesamiento y almacenamiento de datos personales. Se enfatiza la necesidad de que las empresas adopten enfoques proactivos en el diseño de sistemas y aplicaciones que minimicen los riesgos para la privacidad desde el principio. El documento también aborda la necesidad de incorporar prácticas de privacidad por diseño y por defecto en el desarrollo de tecnologías de la información. Esto implica la implementación de medidas técnicas y organizativas desde la fase inicial de diseño de productos y servicios para garantizar la protección integral de los datos personales. Se destaca la importancia de la pseudonimización y la anonimización como técnicas para minimizar la identificación directa de individuos. Además, el informe examina las implicaciones de la transferencia transfronteriza de datos dentro de la UE y hacia terceros países. Se enfatiza la necesidad de establecer mecanismos robustos de transferencia de datos, como las cláusulas contractuales tipo y los códigos de conducta, para garantizar que los datos personales estén debidamente protegidos en cualquier ubicación geográfica. En el ámbito de la ingeniería de software, el informe aborda la importancia de la ciberseguridad y la implementación de protocolos de encriptación sólidos para salvaguardar la integridad y confidencialidad de los datos personales. Se destaca la necesidad de actualizar y auditar regularmente las medidas de seguridad para hacer frente a las amenazas en constante evolución. En resumen, el informe ofrece un enfoque integral para abordar los desafíos asociados con la protección de datos personales en los Espacios de Datos de la UE, destacando la importancia de la conformidad con el GDPR, la incorporación de prácticas de privacidad desde el diseño y la implementación de medidas técnicas avanzadas para garantizar la seguridad de la información.

Para leer más ingrese a:

 

https://www.enisa.europa.eu/publications/engineering-personal-data-protection-in-eu-data-spaces


https://www.enisa.europa.eu/publications/engineering-personal-data-protection-in-eu-data-spaces/@@download/fullReport

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Compartir artículo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Busca los documentos, noticias y tendencias más relevantes del sector eléctrico

Buscador de documentos
Buscador de noticias y tendencias

Banco de Información

Descripción del semáforo tecnológico

Los documentos se clasifican en varios colores tipo semáforo tecnológico que indican el nivel de implementación de la tecnología en el país

Tecnología en investigación que no ha sido estudiado o reglamentado por entidades del sector.

La tecnología se aplica de manera focal y se encuentra en estudio por parte de las entidades del sector.

La tecnología se aplica de manera escalable y se encuentran políticas y regulaciones focales establecidas.

La tecnología se aplica a través de servicios  y se encuentran políticas y regulaciones transversales establecidas.

La tecnología se aplica de manera generalizada  y se tiene un despliegue masivo de esta.

Para acceder a todos los documentos publicados y descargarlos ingresa aquí