Lliure circulació de dades no personals en la Unió Europea
Principio de libre circulación de datos
El principio de libre circulación de datos se ha definido como la "quinta libertad" del mercado único de la UE, junto con la libertad de movimiento de bienes, servicios, personas y capital. El libre flujo de datos, tanto personales como no personales, es un requisito esencial para impulsar el crecimiento de la economía de datos dentro de la Unión Europea y el uso de la computación en la nube, por lo que es necesario garantizar que empresas y administraciones públicas puedan almacenar y procesar datos en cualquier lugar de la UE. De este modo, el principio de libre circulación de datos no personales se une al principio de libre circulación de datos personales ya establecido en el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), garantizando un enfoque integral y coherente de la libre circulación y portabilidad de datos en la Unión Europea.
Reglamento (UE) 2018/1807 (Free Flow of non-personal Data)
El Reglamento (UE) 2018/1807, relativo a un marco para la libre circulación de datos no personales en la Unión Europea (conocido como Free Flow of non-personal Data) se enmarca dentro de la Estrategia para el Mercado Único Digital de la Comisión Europea.
Prohibición de restricciones a la localización de datos
El objetivo del Reglamento es establecer medidas destinadas a eliminar obstáculos, tanto técnicos como jurídicos, a la libre circulación de datos no personales (como por ejemplo aquellos generados en el Internet de las Cosas o la Inteligencia Artificial) entre Estados miembros de la UE, y prohíbe a los Estados miembros de la Unión Europea establecer restricciones o requisitos de localización de datos en su normativa, salvo cuando así se justifique por razones de seguridad pública.
En consecuencia, el Reglamento dota de seguridad jurídica a las empresas que, a partir de ahora, podrán procesar sus datos en cualquier país de la UE. Para ello, a más tardar el 30 de mayo de 2021, los Estados miembros deberán derogar los requisitos de localización existentes en leyes, reglamentos o disposiciones administrativas o que se derive de prácticas administrativas de carácter general, que no estén justificados por razones de seguridad pública. No obstante, no es de aplicación a las disposiciones relativas a la organización interna de los Estados miembros y por las que se atribuyen, entre las autoridades públicas y organismos de Derecho público, competencias y responsabilidades para el tratamiento de datos sin remuneración contractual de personas o entidades privadas, así como las disposiciones legales, reglamentarias y administrativas de los Estados miembros que disponen la aplicación de dichas competencias y responsabilidades.
Disponibilidad de datos para autoridades competentes
Por otro lado, el Reglamento establece el principio de disponibilidad de datos. Este principio garantiza que las autoridades competentes de los Estados miembros sigan teniendo acceso a los datos, incluso cuando estén ubicados en otro país, para fines de supervisión.
Portabilidad de datos
Por último, el Reglamento también busca facilitar que los usuarios profesionales puedan cambiar fácilmente de proveedor de servicios en la nube o transferir los datos a sus propios sistemas de información. A tal efecto, favorece la autorregulación en el ámbito de la portabilidad de datos, fomentando que proveedores y usuarios desarrollen conjuntamente códigos de conducta a nivel de la UE.
Dichos códigos de conducta deben definir un conjunto de buenas prácticas y la información detallada, clara y transparente que los proveedores deben proporcionar a sus usuarios antes de que se celebre un contrato. El grupo de trabajo SWIPO (Cloud Switching and Porting Data) es el encargado de desarrollar los citados códigos, en principio habiéndose previsto para servicios en la nube de Infraestructura como Servicio (IaaS) y para servicios en la nube de Software como Servicio (SaaS).
Calendario
- 18 de diciembre de 2018: Entrada en vigor del Reglamento.
- 28 de mayo de 2019: Fecha de aplicación del Reglamento. Entrada en vigor de todas las obligaciones que no tengan una fecha estipulada en el Reglamento.
- 30 de mayo de 2021: Fecha límite para la aplicación de las obligaciones establecidas en el artículo 4.3.