A lo largo de este año, los CIO han dedicado tiempo a estudiar la Ley de Datos, el marco regulatorio digital europeo compuesto por un conjunto de leyes unidas por el objetivo de fomentar la innovación en las empresas europeas y abrir nuevos mercados. Entró en vigor en enero y se aplicará a partir de septiembre de 2025 para definir quién puede acceder y utilizar los datos generados en la UE en todos los sectores económicos. La medida tiene como objetivo garantizar una distribución justa del valor de los datos entre los actores digitales, estimular un mercado de datos competitivo, abrir oportunidades para la innovación basada en datos y hacer que los datos sean más accesibles. En la práctica, es el marco de reglas a partir del cual una empresa basada en datos puede despegar.
Se trata, de hecho, de una ley nacida en la era del big data, que incluye datos personales y de valor comercial, con el potencial de aportar competitividad a la UE, siempre que se gestione de forma que se protejan los derechos de las empresas y los particulares. Por este motivo, la Ley de Datos otorga a todos un mayor control sobre sus datos, permitiendo a las empresas migrar los servicios de procesamiento de datos de un proveedor a otro con mayor facilidad. La Ley de Datos también implementa salvaguardas contra las transferencias ilegales de datos por parte de los proveedores de la nube y prevé el desarrollo de estándares de interoperabilidad para la reutilización de datos en distintos sectores.
“La oportunidad que se ofrece es enorme”, afirma Maria Roberta Perugini, abogada de protección de datos y gobernanza de datos y miembro del Comité Europeo de Protección de Datos. “La Ley de Datos pretende abrir el mercado de datos definiendo ciertas reglas para circular y valorizar los datos de forma segura. Para las empresas, apoya el modelo de negocio basado en datos del futuro. Y el CIO tiene un papel clave, sobre todo en el inicio de este proceso, y tendrá que demostrar un gran espíritu creativo en la implementación de procesos relacionados con los datos, porque en el marco de la apertura del mercado de la información, el CIO tendrá que encontrar formas de crear valor”.
Giacomo Degasperi, experto legal y fundador de la plataforma de información italiana Legal4Tech, también destaca los efectos positivos de la ley. “El objetivo de la Ley de Datos es facilitar el acceso de las empresas a los datos de los dispositivos conectados como medio para generar retornos, así como facilitar la innovación basada en datos”, afirma. “La ley ofrece grandes oportunidades para que los CIO incentiven la innovación porque facilita que las empresas, especialmente las pymes, accedan a los datos para crear nuevos modelos de negocio. Muchos datos no se utilizan porque no es fácil acceder a ellos, pero la ley garantiza el acceso y la interoperabilidad, y exige que las empresas sean más conscientes y maduras en el uso de los datos”.
Qué establece la Ley de Protección de Datos de la UE
Perugini detalla que la nueva ley parte del hecho de que los productos conectados y los servicios digitales relacionados carecían de un marco regulatorio armonizado capaz de reorganizar y especificar quién tiene derecho a utilizar los datos, sobre qué base y bajo qué condiciones.
En la actualidad, los datos generados por los dispositivos conectados están controlados principalmente por los proveedores de los mismos, lo que limita el acceso de los usuarios y la capacidad de compartirlos con terceros. Con la Ley de Datos, los usuarios tendrán derecho a acceder a sus datos y compartirlos libremente con otros. Para ello, a partir de septiembre de 2026, los fabricantes tendrán que ofrecer en el mercado dispositivos y aplicaciones que cumplan con el principio de accesibilidad de datos desde el diseño, es decir, que sean accesibles de forma segura y directa y que puedan compartirse con terceros. Esto crea nuevas oportunidades para servicios y modelos de negocio innovadores basados en el uso compartido de datos.
La Ley de Datos también protege a las empresas europeas de las cláusulas abusivas en los contratos de intercambio de datos que una parte contratante impone unilateralmente a la otra. Esto permitirá, en particular, a las pymes participar de forma más activa en el mercado de datos. Además, permitirá a los clientes cambiar de proveedor de nube de forma sencilla y rentable o combinar servicios de datos de distintos proveedores.
A pesar del énfasis en el intercambio de datos, el cumplimiento de las normas de privacidad sigue siendo un aspecto central de la Ley de Datos. Las empresas deben asegurarse de que cada uso de los datos se explique claramente a los propietarios de los mismos, ofreciéndoles la posibilidad de dar o retirar fácilmente el consentimiento para cada actividad. Por este motivo, la Ley de Datos promueve el desarrollo de contratos inteligentes, o acuerdos automatizados, que ejecutan transacciones en función de condiciones predefinidas. Estas herramientas no solo garantizan la transparencia en los acuerdos de intercambio de datos, sino que descentralizan el control dentro de la economía digital.
“La gestión de la información da una gran competitividad a las empresas, incluidas las pymes, y esta ley representa una oportunidad”, afirma Perugini. “Pero hay que actuar con determinación, sabiendo que sin datos las empresas desaparecen”.
Cómo trabajan los CIO en la Ley de Datos
Tal como exige la normativa vigente para la sanidad privada, la empresa de gestión de asistencia sanitaria para personas mayores Karol Strutture Sanitarie recoge los datos de los pacientes en sus historiales médicos, lo que les permite utilizarlos incluso después de la hospitalización. Los datos son registrados por los dispositivos médicos, permanecen en los registros y se comparten con los proveedores o fabricantes de dichos dispositivos.
“La Ley de Datos tiene un impacto en la compartición de datos”, afirma Massimo Anselmo, su director de Sistemas de la Información. “Un aspecto importante es, por ejemplo, nuestra capacidad de utilizar los datos de los pacientes con fines de investigación después de anonimizarlos, de acuerdo con el GRPD. La Ley de Datos nos ayuda porque define más claramente cómo utilizar estos datos, y actualmente estamos tratando de entender si, en comparación con el pasado, hay más datos que podemos poner a disposición de los pacientes. Por tanto, no solo los resultados de una prueba diagnóstica, sino también las especificaciones de la máquina utilizada. La mayoría de las máquinas médicas son de nuestra propiedad, pero con la ley de datos, siempre tendremos una relación con el fabricante para analizar los registros y verificar su correcto funcionamiento o programar el mantenimiento. También preveo una intervención en los contratos con los proveedores, junto con el despacho jurídico, y en las máquinas de alquiler para controlar qué datos se comparten y durante cuánto tiempo”.
El impacto en la gobernanza de datos de Karol tampoco será un gran cambio, añade Anselmo. “Tendré que trabajar, sobre todo, en la supervisión del tráfico de datos y la protección de las comunicaciones, aislando algunos datos y regulando el acceso”, explica.
De la nube a la privacidad: los puntos destacados de la ley
Hay algunos artículos concretos de la Ley de Datos que podrían despertar el interés de los CIO. Los artículos 4 a 6, por ejemplo, establecen que las empresas deben adoptar herramientas y procesos para garantizar el acceso a los datos de los usuarios directamente o a través de terceros autorizados, y dar soporte a sus solicitudes de acceso. Estas obligaciones afectan a los fabricantes de dispositivos conectados, pero también a los proveedores de servicios como la nube o el análisis de datos. Para los CIO, esto significa que se les facilitará el cambio de un proveedor a otro.
También es pertinente la obligación de interoperabilidad, descrita en los artículos 28 y 30, o la capacidad de las aplicaciones y sistemas de intercambiar datos de forma segura y automática más allá de las fronteras geográficas y políticas. Por ello, los proveedores de servicios de computación en la nube y en el borde deben garantizar la interoperabilidad de los datos, y que esta se extienda a las API, que deben ser abiertas y estandarizadas.
“El CIO podrá verificar que sus proveedores de tecnología cumplan con estos estándares y la posibilidad de migrar entre proveedores o utilizar múltiples proveedores”, afirma Degasperi. “Esto es particularmente relevante para los proveedores de la nube. El CIO tendrá que asegurarse de que utilizan plataformas compatibles que faciliten y abaraten la migración a otra plataforma”.
El artículo 3 es importante en relación con el GRPD. “Si las empresas comparten datos entre sí, deben proteger la privacidad y la ciberseguridad, otra tarea del CIO”, afirma. “También hay partes en los artículos 14 y 15 sobre contratos. Debe haber coordinación con el equipo legal porque las empresas tienen que garantizar que las cláusulas contractuales con los proveedores cumplan con las disposiciones de la Ley de Datos sobre qué datos se pueden recopilar, quién puede acceder a ellos, durante cuánto tiempo se pueden almacenar, etcétera”.
Para Perugini, un punto relevante es la carga de la accesibilidad desde el diseño. Si los dispositivos conectados deben diseñarse para que el acceso a los datos de los usuarios sea siempre directamente posible, el CIO tendrá que ocuparse de las soluciones técnicas relacionadas con la autorización de acceso basada en las credenciales del usuario y la seguridad de la transmisión a terceros. Esto puede afectar al CIO independientemente de si la empresa actúa como fabricante, vendedor, proveedor o usuario de un dispositivo conectado.
“El CIO debe ser parte activa en la creación de las reglas y soluciones para estos accesos, y debe conocer bien el producto conectado y la Ley de Datos, e intentar diseñar acciones tanto técnicas como organizativas para su cumplimiento”, afirma Perugini. “El CIO debe prevenir el riesgo de violación por parte de hackers y usuarios no autorizados”.
También está la cuestión de la conservación de los datos. El CIO debe establecer, junto con otras funciones de la empresa, los plazos de conservación, que deben programarse en función del uso real de los datos recopilados por los dispositivos conectados. “Por supuesto, puede haber una superposición con el RGPD, que sigue siendo la principal ley de referencia en materia de datos personales”, afirma.
Tareas del CIO
Hay muchas cosas que el CIO tendrá que hacer a la luz de las disposiciones de la Ley de Datos. Mientras tanto, como explicó Perugini, los CIO deben realizar la debida diligencia sobre los datos que sus empresas recopilan de los dispositivos conectados y comprender dónde se encuentran en la cadena de valor, ya sea como propietarios, usuarios o destinatarios.
“Si la empresa produce una máquina industrial conectada y se la da a un cliente y luego se encarga del mantenimiento de la máquina, se encuentra recopilando los datos como propietaria”, afirma. “Si la empresa es cliente de la máquina, es usuaria y cogenera los datos. Pero si es una empresa la que adquiere los datos de la máquina, es receptora porque el usuario o el fabricante le ha permitido ponerlos a disposición o participa en un mercado de datos. Los CIO también pueden ver si hay datos generados por otros en el mercado que se puedan utilizar para el análisis interno y adquirirlos. Cualquier uso o intercambio de datos debe estar regulado por un acuerdo entre las partes interesadas mediante contratos”.
El CIO también tendrá que evaluar los contratos con los proveedores, asegurarse de que las condiciones sean compatibles y negociar con ellos el acceso a los datos de forma directa e interoperable. Además, el CIO tiene que evaluar si la infraestructura de TI de la empresa es adecuada para garantizar la interoperabilidad y la seguridad de los datos según el RGPD. Y es importante mantener informados a los equipos sobre los cambios normativos y colaborar con colegas del equipo jurídico o con asesores legales. La acción de TI por sí sola no es suficiente. En cumplimiento de la Ley de Datos, los aspectos organizativos y de gobernanza son esenciales, y el CIO tendrá que colaborar con otras funciones.
Pero la adquisición de habilidades sobre la Ley de Datos y el posible uso de consultores podría aumentar los costes de cumplimiento, especialmente para las pymes. Pero según Degasperi, existe una gran oportunidad para crear un ecosistema digital más abierto y colaborativo que evite los monopolios de datos. “Por supuesto, las empresas deben adoptar un enfoque consciente y estratégico, y el CIO tendrá que repensar la gobernanza de los datos”, afirma. “La clave será encontrar un equilibrio entre cumplir con las obligaciones regulatorias y aprovechar las oportunidades”.
Perugini aconseja a las empresas abandonar la mentalidad conservadora para aprovechar la ley europea y transformarse realmente en empresas basadas en datos. Para ello será necesario estudiar atentamente las disposiciones y comprender cómo aplicarlas a las operaciones. Esta será, en parte, una tarea para el CIO creativo porque, a partir de las herramientas que ofrece la Ley de Datos, tendrá que descubrir cómo utilizarlas para impulsar la innovación.
Read More from This Article: ¿Qué les espera a los CIO con la Ley de Datos de la UE?
Source: News