Para dicho Foro, la protección de datos es una cuestión clave en el ámbito del intercambio y la notificación de datos B2G. No sólo se aplica al intercambio de datos personales o de identificación personal, sino también a los datos observados, como clics y transacciones digitales. Se ha expresado preocupación por la obligatoriedad de compartir datos en tiempo real y por la aparición de nuevas normas sin una evaluación adecuada del impacto sobre la privacidad de los datos, la vigilancia y las salvaguardias adecuadas para proteger los datos de los usuarios. Algunos Estados miembros de la UE han adoptado una interpretación del RGPD mucho más estricta que otros. Esto ha llevado, por ejemplo, a archivar el programa de aprendizaje MaaS en los Países Bajos, que implicaba compartir algunos datos MaaS con instituciones académicas con fines analíticos.
Hay protocolos disponibles o en desarrollo que abordan la privacidad de los datos, uno de los cuales es el holandés CDS-M. Este protocolo se diseñó para la puesta en común de datos de micromovilidad con las autoridades públicas, pero se espera que algunos principios se apliquen a la puesta en común de datos entre dos partes cualesquiera, incluida la MDMS con las autoridades públicas. La privacidad de los datos puede abordarse de otras maneras, incluyendo la obtención del consentimiento del usuario para compartir datos y la agregación y anonimización de datos. Con respecto al consentimiento del usuario, una PTA ha expresado su preocupación de que la plataforma MDMS pueda diseñarlo de tal manera que el usuario probablemente lo rechace y, por lo tanto, ha pedido a la CE que aborde esta cuestión, potencialmente a través de términos de consentimiento estándar/armonizados. Sean cuales sean los medios que se adopten para proteger la privacidad de los datos, es imperativo que se respeten los principios de protección de datos, como la transparencia y la minimización de datos.
En cuanto a la puesta en común de datos personales con el fin de autentificar credenciales, se sugirió que esto podría lograrse a través de plataformas de terceros como MyData, que separan la identificación, la autenticación y el uso. En última instancia, el monedero europeo de identidad digital podría ofrecer una solución, aunque para ello faltan muchos años. El principio de portabilidad de datos del RGPD ofrece otra forma de compartir datos personales (voluntarios y observados) de un responsable del tratamiento a otro para transferencias ad hoc; son obligatorias si las solicita el interesado.
Agregación de datos
En general, se reconoce que el nivel de agregación de datos debe determinarse en función del caso de uso y de la aplicabilidad del RGPD. Otro reconocimiento común es que el nivel de agregación afecta a la utilidad de los datos. Por lo tanto, se necesitan más conocimientos sobre el nivel más adecuado de agregación de datos. Una autoridad regional está trabajando con una plataforma de agregación de datos para comparar la eficiencia de trabajar con datos brutos y agregados. Si el intercambio de datos brutos se considera demasiado delicado, se sugirió que podría ser necesario avanzar hacia un enfoque común para el tratamiento de datos que esté escrito en la ley. En Francia se está trabajando precisamente en esta cuestión.
En lo que respecta específicamente a los datos personales, cualquier agregación por parte de la plataforma MDMS requiere una base jurídica. Por último, aunque la agregación de datos puede ofrecer una solución a la privacidad de los datos, choca con la propiedad intelectual de una empresa. A diferencia de los datos brutos, los datos agregados tienen un valor económico para una empresa. Es necesario reconocerlo y prever incentivos para el sector privado, que podrían ser financieros o en especie, como el intercambio recíproco de datos.
Compensación por compartir datos
Las opiniones sobre la conveniencia de cobrar por los datos compartidos por los proveedores de MDMS con las autoridades públicas son dispares. Como actividad principal de una plataforma de SGDM, los datos deberían estar disponibles sin coste adicional. Sin embargo, se reconoce que cualquier tratamiento y distribución de esos datos supondría un coste para la plataforma. Este coste/esfuerzo puede compensarse en especie, por ejemplo, compartiendo datos o en forma monetaria cuando el intercambio de datos no sea equivalente. Muchas partes interesadas coincidieron en que la aplicabilidad o el nivel de la compensación dependerían del tipo de datos compartidos (para el caso de uso en cuestión) y del esfuerzo necesario para producir esos datos. Cuando se acuerde una remuneración, se sugirió que la carga de la prueba sobre el coste y el esfuerzo recaiga en el proveedor de MDMS; y que se apliquen las condiciones FRAND. Se prevé que la definición de las condiciones FRAND en el contexto de los MDMS suponga un reto. Puede que sea necesario desarrollar directrices preliminares para algunos casos de uso típicos. La Ley de Datos puede ofrecer una referencia a este respecto.
