¡Pide presupuesto en 2 min! ✓
Glosario

¿Qué es el MUD o Mercado Único Digital?

15 Mins read

Tras la instauración y consolidación del Mercado Único Europeo (MUE) -instrumento básico de integración económica de la Unión, consistente en el establecimiento de un mercado común entre los estados miembros- los países miembros se han visto obligados a actualizar y adaptar sus políticas económicas al calor de la rápida digitalización de la economía, uniendo esfuerzos en la creación del denominado Mercado Único Digital.

¿Qué es el Mercado Único Digital?

Este Mercado Único Digital (MUD) aspira a conseguir lo mismo que el MUE en el ámbito digital y del comercio electrónico, a través de la supresión de barreras reglamentarias que puedan obstruir las negociaciones y el flujo de capitales e información dentro de las fronteras europeas. Tres grandes instrumentos jurídicos lo compondrían:

El MUD engloba el marketing digital, el ya mencionado comercio electrónico y las telecomunicaciones, que operarán en un entorno libre sin obstrucciones, donde empresas y personas sean capaces a desarrollar negocios, innovar y confluir, en un entorno armonizado
y unificado, con plena seguridad jurídica y sin gravámenes económicos desproporcionados.

Las empresas podrán hacer usos más completos de las tecnologías de la información, y, gracias a inversiones en redes de telecomunicación a través de toda la Unión, poder intercambiar datos y conocimiento de la forma más fácil vista hasta la fecha.

Sus medidas principales son:

  • Ciberseguridad: La UE armoniza a través de su Estrategia de Ciberseguridad y bajo la dirección de la Agencia de Seguridad de las Redes y de la Información una política general de ciberseguridad.
  • Eliminación de las tarifas de itinerancia: Desde el pasado 15 de Junio de 2017 los ciudadanos europeos podrán usar sus dispositivos móviles en cualquier estado miembro sin miedo a recibir una factura desorbitada a costa de las tarifas de “roaming” o itinerancia de datos, dado que se le aplicarán las mismas tarifas que en sus países de residencia.
  • Revisión de las políticas comerciales y condiciones de uso de las plataformas online: Con especial énfasis en la publicación de contenido ilegal.
  • Wifi4EU: Creación y puesta en práctica de la iniciativa Wifi4EU que incentiva el acceso público sin barrearas de los ciudadanos a la conectividad wifi en lugares de uso público tales como parques, plazas, edificios de la Administración, bibliotecas, hospitales, museos… por toda Europa, mediante incentivos económicos a los municipios.
  • Portabilidad del contenido online: En la línea a la eliminación de las tarifas de roaming, se busca permitir a los ciudadanos europeos acceder a sus servicios multimedia online con una misma suscripción en todos los países de la UE, sentando las bases a una normativa europea en derechos de autor.

El Reglamento 2018/1807, relativo a la libre circulación de datos no personales en la Unión Europea

En este contexto, el pasado 18 de Diciembre de 2018 entró en vigor el Reglamento UE 2018/1807, relativo a la libre circulación de datos no personales en la Unión Europea (en adelante, “Reglamento 2018/1807”, “el Reglamento”, o “Reglamento de libre circulación de datos no personales”) cuyas disposiciones no han sido aplicables hasta el pasado mes de Mayo.

Como su nombre indica este Reglamento regula todo el tratamiento de datos en la Unión que no revistan un carácter personal, siendo el contrapunto al trascendental REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), y se encarga de crear un marco legal y regulatorio de los procesos de digitalización de la economía y solventar los sobrevenidos problemas jurídicos que la sociedad digital ha generado en los últimos años.

Tal como se desarrolla en su exposición de motivos, esta regulación es absolutamente perentoria dados los avances radicales en digitalización a consecuencia de usos novedosos de tecnología tales como la inteligencia artificial, el denominado Internet de las Cosas (IoT) o el recientemente desarrollado 5G, – en definitiva, la digitalización de la economía de la Unión -, emplazando al legislador a tomar medidas para administrar un entorno que hacía tiempo había visto superado el marco legal hasta entonces vigente.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Así nace el Reglamento 2018/1807, el cual tiene como objeto garantizar la libre circulación de datos no personales, estableciendo para ello normas y reglas relativas a los requisitos de localización de datos, puesta a disposición de estos datos para las autoridades competentes y la portabilidad y comunicación de estos datos entre profesionales.

Concretamente, pone el foco en aquellos tratamientos de datos sin carácter personal que:

  • Se prestan como un servicio a usuarios que residan o estén establecidos en el territorio de la Unión Europea. Es importante matizar que esto será independiente de dónde se encuentre el proveedor del servicio.
  • Realizados por persona física o jurídica que residen o está establecida en la UE por necesidades propias.

Para el caso concreto que los datos sean una combinación de información personal y no personal, sólo se aplicará el Reglamento a los no personales, y si estos fueran indisociables se aplicará sin perjuicio de lo recogido en el RGPD.

mud europe

Uno de los pilares fundamentales de este Reglamento, y quizá el más destacable por su carácter novedoso, es esta prohibición de los requisitos de localización geográfica para los tratamientos.

Esta nueva regulación europea para la libre circulación de datos no personales unifica criterios y asegura la cohesión entre los instrumentos jurídicos vigentes. En definitiva se propone que el almacenamiento y tratamiento de los datos digitales no personales sean regulados en la UE por las mismas normas de circulación. Este instrumento junto el RGPD cuadra el círculo en cuanto a libre circulación y portabilidad de cualquier tipo de datos en el seno de la Unión Europea.

Datos personales vs datos no personales

En aras de disipar dudas sobre el ámbito material de aplicación del Reglamento, es decir, definir el concepto de datos no personales -a parte de la propia idea del mismo- debemos contraponerlo al por todos conocido “dato de carácter personal”, que tan acostumbrados estamos a escuchar a raíz de la entrada en vigor y aplicación del RGPD.

El dato personal, tal como se encarga de definir el RGPD, se tratará de cualquier información de una persona identificada o identificable – entendiendo por ella cualquier persona cuya identidad sea susceptible de identificación de forma directa o indirecta – Esta identificación podrá producirse de formas muy variadas a través de los siguientes identificadores: nombre, número de identificación, localización, identificador en línea y cuestiones propias de la identidad física o corporal – genética, fisiológica, psíquica, económica, cultural o social-.

Por el otro lado entenderemos por datos no personales el conjunto de información englobado en los siguientes supuestos:

  • Datos originariamente no vinculados a una persona física identificada o identificable – en los términos vistos anteriormente –. Ejemplos claros sería por ejemplo datos climatológicos recabados a través de sensores o datos de funcionamiento de una determinada maquinaria enfocados a encontrar posibles fallos de funcionamiento.
  • Datos que inicialmente fueron personales pero que a través de un proceso se transformaron en datos anonimizados, no pudiendo relacionarse con ninguna persona.

Concretamente la Unión Europea ejemplifica así estos supuestos:

  • Datos agregados y anonimizados sobre agricultura de precisión que pueden ayudar a controlar y optimizar la utilización fertilizante.
  • Datos comerciales en el sector financiero que ayuden a perfilar los productos más populares o datos agregados de eventos individuales tales como viajes a título particular o patrones de viaje, que ya no son identificables y pueden calificarse como anónimos, utilizados para evaluar la popularidad de un producto y características.

Diferencia entre anonimización y seudonimización

La anonimización es un proceso que tiene como objetivo, eliminar la posibilidad de identificar a las personas físicas a través de la información de la que se dispone. Es decir, se aplica a los datos personales y es un procedimiento irreversible, lo que se podría denominar una “ruptura total”.

Para comprender un poco mejor este concepto, un ejemplo podría consistir en utilizar un nombre, sin sus apellidos, DNI, dirección… ¿Por qué? Porque únicamente con un nombre es muy difícil determinar de qué persona se trata o identificarla. La anonimización es un procedimiento común en el sector estadístico y no se encuentra sometido al RGPD.

Existen tres tipos de anonimización:

  • La generalización
  • La aleatorización
  • La eliminación

Para aportar más luz sobre este concepto, la AEPD publicó las “Orientaciones y garantías en los procedimientos de ANONIMIZACIÓN de datos personales”.

Por su parte, la seudonimización trata esos datos personales de tal forma que, en ningún caso, podrían atribuirse a una persona (salvo que se combinen con información adicional, que se encontrará separada y sometida a medidas específicas para garantizar que no se puedan vincular con una persona física concreta). Este concepto, fue principalmente introducido por el RGPD.

Un ejemplo práctico, podría consistir en sustituir el nombre y apellidos de una persona física, por un código, lo cual es frecuente y habitual en el ámbito de la práctica clínica.

Se puede realizar mediante sustitución de cifras por palabras, codificando la información, almacenamiento de información con número aleatorio y también intercambiando un número aleatorio por un conjunto de datos.

La finalidad de este procedimiento es garantizar la seguridad de los datos personales, sobre todo cuando se tratan datos especialmente protegidos (datos de salud, datos de ideología, origen racial…).

En definitiva, la diferencia entre ambos términos radica en la posibilidad -reversible o no- de de vincular o asociar los datos de los que disponemos, con las personas físicas titulares de los mismos.

Conjuntos de datos mixtos: interacción con el RGPD

Para explicar este concepto, conviene analizar qué se entiende por datos mixtos y, para ello, debemos acudir a la guía publicada por la Comisión. Los datos mixtos son un conjunto de dos tipos de datos: los considerados personales y los que no lo son. El RGPD garantiza que se protejan los datos personales y, además, garantiza su libre circulación dentro de la Unión Europea.

¿Qué sucederá cuando nos encontremos con datos mixtos?

En principio, el RGPD se aplicará a los datos de carácter personal, mientras que, los que estén fuera de dicho concepto, se encontrarán bajo el paraguas del Reglamento 2018/1807.

No obstante, si se encuentran intrínsecamente vinculados, les será de aplicación el RGPD de forma global (aunque el RGPD sea en un inicio, solamente de aplicación a aquellos datos que revisten carácter personal).

Podemos encontrarnos ante datos mixtos, por ejemplo en el ámbito bancario, al relacionar los datos del cliente con todas aquellas transacciones que él mismo haya realizado. No obstante, y como veremos más adelante, su incidencia es abundante en muchos más sectores.

mercado unico digital

El concepto de libre circulación de datos y requisito de localización

El Reglamento 2018/1807, protege los datos no personales, prohibiendo expresamente la localización de los mismos, salvo que, por razones de seguridad pública, se encuentre justificado.

¿Qué requisitos alcanza la localización?

La prohibición, la condición, la restricción o cualquier obligación que establezcan leyes de Estados de la Unión Europea, que determinen que haya que tratar los datos en un determinado Estado. También se incluyen todas las obligaciones relacionadas con la conservación de esos datos de una determinada forma o en una localización concreta.

Conviene matizar que estas medidas han de ser siempre proporcionales, lo que significa que deben ir encaminadas a poder alcanzar el fin perseguido y que las empresas gozan de libertad para seleccionar en qué lugar van a tratar dichos datos.

En definitiva, el Reglamento, permite a todas las corporaciones europeas a decidir libremente dónde desean almacenar esos datos que tienen carácter no personal. Facilitando de esta forma el traspaso de información cuando se produce por ejemplo, un cambio de un proveedor de servicios en la nube a otro distinto.

El Reglamento obliga a todos los Estados miembros a suprimir las normas de sus ordenamientos jurídicos que obliguen a las empresas a conservar dicha información dentro de sus fronteras. Se otorga un plazo para implementar estas acciones, hasta el 30 de mayo de 2021. Este hecho, supone liberar de obstáculos a las empresas y a las entidades públicas.

Se estima que la incidencia del Reglamento 2018/1807, tendrá una fuerte repercusión económica, dado que supondrá un impulso para la economía de datos, con cifras previstas de hasta 739.000 millones de euros en el año 2020 (duplicando de este modo su valor actual), representando el 4% del PIB comunitario. Ello supondrá seguir avanzando hacia el Mercado Único Digital, que pretende pasar de 28 mercados de ámbito nacional a un único mercado digital para todos.

Ejercicio de derechos: portabilidad y protección de datos

En el contexto tecnológico actual son muchos los proveedores de contenidos y servicios puramente digitales. Estos proveedores pueden ser plataformas de streaming, servicios en la nube para la gestión de nuestros clientes, rrhh o contabilidad a través de un CRM o incluso simplemente sistemas en la nube de almacenamiento de datos, tanto personales como no personales.

Imaginemos por ejemplo esas listas musicales de reproducción que hemos ido configurando con no poco esfuerzo en nuestra empresa favorita de streaming, véase Youtube, Tidal o Deezer.

Pues bien, esa lista que hemos creado con nuestras preferencias musicales, es a efectos de la normativa un dato no personal y en todo caso susceptible de ser portado o exportado a otra plataforma de streaming en la que podremos reproducir dicha lista (si las pistas están igualmente disponibles a través del nuevo proveedor), no perdiendo durante ese cambio de proveedor nuestras preferencias o material almacenado.

Imaginemos ahora, que en vez de una lista musical de un usuario, es una entidad bancaria la que quiere migrar por completo su CRM a otro proveedor informático, pues bien, dado que en el CRM de la entidad bancaria se incluyen datos tanto personales como no personales, deberemos seguir dos reglamentos, el RGPD y el Reglamento de libre circulación de datos no personales o Reglamento 2018/1807.

mercado unico europeo

Esta capacidad de migrar entre plataformas recibe el nombre de portabilidad y favorece indudablemente tanto la competencia y la oferta final que recibe el usuario o consumidor final como la libre circulación de los datos no personales.

Ambos instrumentos normativos incluyen la portabilidad de los datos como derecho, que en el caso del Reglamento de libre circulación de datos no personales se recoge en el artículo primero del mismo, y fija como uno de sus objetivos principales el de garantizar la portabilidad de los datos en aquellos casos en los que estos sean tratados conforme a fines y usos profesionales.

Asimismo el Reglamento avanza en la configuración de este derecho, indicando que la comisión tiene entre sus objetivos el de elaborar y facilitar la creación de códigos de conducta que contribuyan a impulsar la portabilidad de los datos no personales, basándose en criterios y principios de transparencia e interoperabilidad, beneficiando así a los consumidores, usuarios profesionales y favoreciendo la libre competencia entre proveedores de servicios.

Aplicación del Reglamento 2018/1807 en sectores específicos

A continuación, os facilitamos algunos ejemplos que muestran la virtualidad práctica o incidencia, que los conjuntos de datos mixtos o la aplicación del Reglamento 2018/1807 pueden tener:

Bancario

En este sector habitualmente se trabaja con grandes conjuntos de datos tales como datos de filiación de los clientes, números de sus tarjetas, registros de acceso a las plataformas y apps bancarias, contratos, firmas, detalles de operaciones. Estos datos combinan tanto datos personales no datos no personales por lo que la entidad bancaria deberá en todo caso garantizar que el tratamiento de ambos tipos de datos a través de sus CRM (programa de gestión de los clientes) garantice el cumplimiento de las obligaciones establecidas en los reglamentos europeos de datos.

Sanitario

Los profesionales de la sanidad, desde pequeñas clínicas hasta los hospitales de las grandes ciudades también utilizan en su actividad diaria grandes conjuntos de datos, desde datos de filiación de sus pacientes hasta historiales clínicos y otros datos de salud, considerados a efectos del RGPD como datos especialmente protegidos. En algunos casos incluso se hacen grandes estudios sanitarios con fines de investigación en los que se manejan datos a nivel de big data. Actualmente existen multitud de apps y programas informáticos en el sector que permiten una gestión integral del centro sanitario incluyendo conjuntos de datos mixtos que facilitan sinergias interdepartamentales y contribuyen al desarrollo del sector, introduciendo mejoras que redundan en el paciente .

Servicios en la nube

Actualmente la Comisión Europea está especialmente en centrada en este tipo de servicio a través del Grupo de trabajo SWIPO en el que expertos del sector y usuarios profesionales, así como pymes, asociaciones y grandes tecnológicas están trabajando en el desarrollo de códigos de conducta autorregulados sobre la portabilidad de datos entre proveedores de servicios en nube. Al mismo tiempo el Grupo de Trabajo CSPCERT trata de desarrollar mecanismos de certificación de seguridad para servicios en la nube. El Grupo de Trabajo SWIPO, está desarrollando códigos de conducta que abarcan diversas cuestiones relacionadas con la actividad tales como infraestructura de servicios como cubren todo el espectro de servicios en nube; desde la infraestructura y plataforma (Iaas y Paas), como a nivel de software como servicio (SaaS).

Internet de las Cosas (IoT)

Debido a la ingente cantidad de datos generados a través de IoT, las empresas deben gestionar la manera más idónea de aprovechar y procesar este flujo de información sin poner en riesgo la privacidad y la la ciberseguridad de las redes a las que estos dispositivos se conectan dado que un mal uso de estos dispositivos pondría en riesgo nuestros hogares y lugares de trabajo. Actualmente dado el inmenso camino y potencial desarrollo de estas tecnologías es difícil predecir cómo evolucionará el sector y qué aspectos será necesario regular en un futuro quizás limitando la conectividad de ciertos dispositivos electrónicos no esenciales. Algunos ejemplos de IoT, serían los relojes inteligentes, la domótica, dispositivos de limpieza automáticos (Roomba), e incluso los drones.

Sector estadístico

A nivel estadístico se debe tener especial consideración al respecto de los datos personales tratados, que una vez anonimizados podrían ser usados como datos no personales, pero siempre teniendo que cuenta que no sea posible una “desanonimizacion” dado que en tal caso se debería aplicar el RGPD y no el reglamento de libre circulación de datos no personales. En definitiva, el proceso de anonimización debe ser irreversible.

Códigos de conducta y mecanismos de certificación

Si se pretende facilitar la portabilidad de datos no personales entre distintos proveedores o sistemas parece inevitable que pongamos de acuerdo a los distintos partícipes del tráfico digital, véase, pymes y grandes empresas, asociaciones de internautas y usuarios, proveedores de servicios en red.

Entes todos ellos con sus distintos intereses y particularidades por lo que parece que la solución ideal a la portabilidad de los datos y por tanto al favorecimiento de la libre circulación de los mismos pasa por la creación y adhesiones de los partícipes en el tráfico a códigos de conducta que deben especificar ciertos aspectos básicos con el fin de armonizar y garantizar el libre tráfico digital de los datos no personales. Estos códigos de conducta y mecanismos de certificación resultan especialmente útiles si los responsables y encargados del tratamiento pretenden unificar criterios y dar cumplimiento conjunto al recientemente publicado Reglamento.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




A este respecto, el apartado segundo del art. 6 del Reglamento (UE) 2018/1807 atribuye a la Comisión la labor de garantizar esa cooperación a la que antes aludiamos , tan necesaria para armonizar el sector sino que también tal y como indica el apartado tercero de la misma norma alienta a proveedores de servicios a aplicar y desarrollar estos códigos de conducta y mecanismos de certificación antes del 29 de mayo de 2020.

Actualmente, el Grupo de trabajo del European Trusted Cloud Service Provicer Working Group desarrolla un mecanismo de certificación para servicios en la nube dentro de la unión que será presentado a su término a la Comisión con el objetivo de favorecer la libre circulación de datos,favorecer la libre y justa competencia y promover políticas corporativas de papel “cero” gracias al uso de estos de cloud computing. No obstante , con la reciente publicación del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo de 17 de abril de 2019 (Cibersecurity Act) y el gran impulso que se pretende dar a la importancia de la ENISA ( Agencia de la Unión Europea para la Ciberseguridad) parece ser que será esta última la encargada de desarrollar el mecanismo de certificación común dentro de la unión, el cual certificaría no sólo aspectos sobre privacidad y ciberseguridad de datos personales, sino también de datos no personales.

Conviene recordar también, que el artículo 4.2 del RGPD, indica que la adhesión a códigos de certificación son indicios de la responsabilidad activa y proactiva de responsables y encargados del tratamiento.

El propio considerando 31 del Reglamento establece que en los códigos de conducta se deberán detallar cuestiones tales como: los procedimientos adecuados para el uso y almacenamiento de copias de seguridad o la legibilidad de los datos entre plataformas facilitando los datos en un lenguaje estructurado, de uso común y de lectura automática,dado que el uso de lenguajes distintos dificultaría y devendría ineficaz el espíritu de la portabilidad.

Preguntas frecuentes

En mi empresa no puedo desligar determinada información en datos personales y no personales, ¿qué instrumento debería aplicar?

El legislador ha previsto que, para aquellos casos donde una organización sea incapaz a diferenciar el dato personal del no personal, la norma de aplicación se tratará de la más garantista, tratándose por tanto del RGPD, encargado de regir de forma general el dato mixto.

¿Qué normativa se aplicaría a los datos anónimos?

Como hemos señalado con anterioridad, los datos anónimos no están sometidos a la aplicación del RGPD, por lo que les sería de aplicación el Reglamento 2018/1807, siempre y cuando la reidentificación de una persona física, fuese imposible y la anonimización, irreversible.

Si he designado un Delegado de Protección de Datos (DPD), ¿esta figura también se encarga de asesorarme sobre la aplicación del Reglamento 2018/1807?

El DPD es una figura introducida por el RGPD y regulada exclusivamente por la normativa en materia de protección de datos. A priori, sus funciones se encuadran únicamente en el ámbito de los datos personales, si bien, por ejemplo, ante supuestos de conjuntos de datos mixtos, su asesoramiento podrá resultar de utilidad, especialmente en sectores conflictivos como el sanitario.

 

Si necesitas asesoramiento personalizado, puedes contactarnos en el teléfono 91 489 64 19 o en el correo electrónico lopd@atico34.com.

Related posts
Glosario

Los 20 mejores conversores de imágenes en 2021

17 Mins read
Siempre que no puedas usar una foto, un gráfico o cualquier tipo de archivo de imagen en particular de la manera que…
Glosario

Top 20 conversores de vídeo en 2021

18 Mins read
De vez en cuando todos nos encontramos incapaces de abrir un archivo de video de cierto formato. Aquí es donde un software…
Glosario

Los 20 mejores conversores de audio

17 Mins read
Tener el mejor software de conversión de audio en tu PC o Mac es una herramienta extremadamente útil. Si te encanta la…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.