Política de Uso de Datos de DataSpace

Última actualización: 15 de enero de 2026

Esta política establece las reglas, principios y procedimientos para el uso responsable de datos dentro del ecosistema DataSpace, garantizando el cumplimiento normativo, la protección de la privacidad y el uso ético de la información.

1. Principios Fundamentales

1.1 Soberanía de Datos

Los datos permanecen siempre bajo el control y propiedad de su proveedor original, quien mantiene:

  • Control total sobre quién accede a sus datos
  • Capacidad de definir condiciones específicas de uso
  • Derecho a revocar permisos en cualquier momento
  • Trazabilidad completa del uso de sus datos

1.2 Minimización de Datos

  • Solo se procesan los datos estrictamente necesarios para la finalidad específica
  • Los datos deben ser relevantes y limitados a lo necesario
  • Eliminación automática cuando ya no sean necesarios

1.3 Transparencia

  • Información clara sobre qué datos se procesan
  • Finalidades específicas y explícitas del procesamiento
  • Identidad de todos los participantes en el intercambio
  • Duración del almacenamiento y uso de los datos

1.4 Consentimiento Informado

  • Consentimiento específico, informado y libre
  • Posibilidad de retirar el consentimiento en cualquier momento
  • Información clara sobre las consecuencias de retirar el consentimiento

2. Clasificación de Datos

2.1 Datos Personales

Definición: Cualquier información relacionada con una persona física identificada o identificable. Tratamiento especial: Cumplimiento estricto del RGPD Medidas adicionales:

  • Pseudonimización obligatoria cuando sea posible
  • Cifrado end-to-end
  • Auditoría completa de accesos
  • Derechos ARCO garantizados

2.2 Datos Sensibles

Definición: Categorías especiales de datos personales según Art. 9 RGPD Restricciones:

  • Prohibición general de tratamiento salvo excepciones legales
  • Consentimiento explícito requerido
  • Medidas de seguridad reforzadas
  • Auditorías trimestrales obligatorias

2.3 Datos Comerciales Confidenciales

Definición: Información comercial con valor competitivo Protecciones:

  • Acuerdos de confidencialidad específicos
  • Controles de acceso granulares
  • Trazabilidad completa de uso
  • Restricciones de aggregación y análisis

2.4 Datos Públicos

Definición: Información públicamente disponible sin restricciones Uso: Libre uso respetando derechos de propiedad intelectual

3. Finalidades Autorizadas

3.1 Finalidades Permitidas

  • Investigación y Desarrollo: Innovación científica y tecnológica
  • Análisis Estadístico: Estudios agregados sin identificación individual
  • Mejora de Servicios: Optimización de productos y servicios existentes
  • Cumplimiento Normativo: Satisfacción de obligaciones legales
  • Interés Público: Beneficio social demostrable

3.2 Finalidades Restringidas

  • Fines Comerciales Directos: Requiere autorización específica
  • Marketing y Publicidad: Solo con consentimiento expreso
  • Perfilado Automatizado: Evaluación caso por caso
  • Toma de Decisiones Automatizada: Autorización del proveedor de datos

3.3 Finalidades Prohibidas

  • Discriminación de individuos o grupos
  • Vigilancia masiva sin justificación legal
  • Usos contrarios a derechos fundamentales
  • Actividades ilegales o no éticas

4. Condiciones de Uso

4.1 Licencias de Datos

Cada dataset incluye una licencia específica que define:

  • Usuarios autorizados: Quién puede acceder
  • Usos permitidos: Para qué se pueden usar
  • Restricciones: Limitaciones específicas
  • Duración: Período de validez del acceso
  • Compensación: Contraprestaciones económicas si aplica

4.2 Términos Estándar

  • Atribución: Reconocimiento del proveedor de datos
  • No redistribución: Prohibición de compartir con terceros
  • Uso específico: Limitado a la finalidad declarada
  • Auditoría: Derecho del proveedor a auditar el uso

4.3 Términos Personalizados

Los proveedores pueden establecer condiciones adicionales:

  • Restricciones geográficas
  • Limitaciones temporales
  • Requisitos de seguridad específicos
  • Obligaciones de reporte

5. Derechos de los Titulares de Datos

5.1 Derechos RGPD

  • Información: Conocer el tratamiento de sus datos
  • Acceso: Obtener copia de sus datos
  • Rectificación: Corregir datos inexactos
  • Supresión: "Derecho al olvido"
  • Limitación: Restringir ciertos tratamientos
  • Portabilidad: Trasladar datos a otro sistema
  • Oposición: Oponerse al tratamiento

5.2 Ejercicio de Derechos

  • Canal único: Portal web centralizado para solicitudes
  • Plazos: Respuesta en máximo 1 mes
  • Gratuidad: Sin coste para el titular
  • Verificación: Procedimiento seguro de identificación

6. Obligaciones de los Participantes

6.1 Proveedores de Datos

  • Garantizar la legitimidad del origen de los datos
  • Proporcionar metadatos completos y precisos
  • Mantener actualizadas las condiciones de uso
  • Notificar cambios en el estado legal de los datos
  • Implementar medidas técnicas de protección

6.2 Consumidores de Datos

  • Respetar estrictamente las condiciones de uso
  • Implementar medidas de seguridad adecuadas
  • No intentar reidentificar datos anonimizados
  • Reportar incidentes de seguridad inmediatamente
  • Proporcionar información sobre el uso cuando se requiera

6.3 Responsabilidades Compartidas

  • Cumplimiento de la normativa aplicable
  • Cooperación en auditorías y controles
  • Notificación de brechas de seguridad
  • Mantenimiento de registros de tratamiento

7. Medidas Técnicas de Protección

7.1 Seguridad en Tránsito

  • Cifrado TLS 1.3 mínimo en todas las comunicaciones
  • Autenticación mutua entre conectores
  • Integridad de datos verificada criptográficamente

7.2 Seguridad en Reposo

  • Cifrado AES-256 para datos almacenados
  • Gestión segura de claves criptográficas
  • Backup cifrado y geográficamente distribuido

7.3 Control de Acceso

  • Autenticación multifactor obligatoria
  • Principio de menor privilegio
  • Revisión periódica de permisos
  • Logs detallados de todos los accesos

7.4 Anonimización y Pseudonimización

  • Técnicas de anonimización probadas científicamente
  • Pseudonimización cuando la anonimización no sea posible
  • Evaluación regular del riesgo de reidentificación

8. Monitorización y Auditoría

8.1 Monitorización Continua

  • Seguimiento en tiempo real del uso de datos
  • Detección automática de usos anómalos
  • Alertas por violaciones de condiciones de uso
  • Dashboard de cumplimiento para proveedores

8.2 Auditorías Programadas

  • Auditoría anual de todos los participantes
  • Auditorías trimestrales para datos sensibles
  • Auditorías extraordinarias por causas justificadas
  • Certificaciones de cumplimiento independientes

8.3 Registro de Actividades

  • Log completo de todas las transacciones
  • Trazabilidad end-to-end del flujo de datos
  • Registro de consentimientos y autorizaciones
  • Historial de modificaciones de permisos

9. Gestión de Incidentes

9.1 Tipos de Incidentes

  • Brechas de seguridad: Acceso no autorizado
  • Uso indebido: Violación de condiciones de uso
  • Errores técnicos: Fallos en la protección de datos
  • Incumplimientos normativos: Violación del RGPD

9.2 Procedimiento de Respuesta

  1. Detección: Identificación automática o manual
  2. Contención: Medidas inmediatas para limitar el impacto
  3. Evaluación: Análisis del alcance y gravedad
  4. Notificación: Comunicación a autoridades y afectados
  5. Investigación: Análisis detallado de causas
  6. Corrección: Implementación de medidas correctivas
  7. Prevención: Medidas para evitar recurrencia

9.3 Plazos de Notificación

  • Autoridades de Control: 72 horas máximo
  • Titulares de Datos: Sin dilación indebida si alto riesgo
  • Proveedores de Datos: 24 horas máximo
  • Participantes Afectados: 48 horas máximo

10. Cumplimiento Internacional

10.1 Transferencias Internacionales

  • Solo a países con nivel adecuado de protección
  • Cláusulas contractuales tipo cuando sea necesario
  • Decisiones de adecuación de la Comisión Europea
  • Evaluación de riesgos para cada transferencia

10.2 Normativas Aplicables

  • Unión Europea: RGPD, Directiva NIS2
  • España: LOPDGDD, normativa sectorial específica
  • Internacional: Principios de la OCDE, estándares ISO

11. Formación y Concienciación

11.1 Programa de Formación

  • Formación obligatoria para todos los usuarios
  • Actualización anual sobre cambios normativos
  • Formación específica por roles y responsabilidades
  • Certificación de competencias en protección de datos

11.2 Recursos Disponibles

  • Guías de buenas prácticas
  • Casos de uso y ejemplos
  • Herramientas de autoevaluación
  • Consultoría técnica especializada

12. Sanciones y Consecuencias

12.1 Medidas Disciplinarias

  • Advertencia formal: Por incumplimientos leves
  • Suspensión temporal: Restricción de acceso por período determinado
  • Exclusión del ecosistema: Para incumplimientos graves
  • Sanciones económicas: Según la gravedad del incumplimiento

12.2 Procedimiento Sancionador

  • Respeto al derecho de defensa
  • Proporcionalidad de las medidas
  • Posibilidad de recurso
  • Transparencia en el proceso

13. Revisión y Actualización

Esta política se revisa anualmente o cuando cambios significativos en la normativa o la tecnología lo requieran.

Contacto

Para consultas sobre uso de datos:

  • Email: info@dataspace.es
  • DPO: info@dataspace.es
  • Teléfono: +34 957 858 977

DataSpace - Política de Uso de Datos v1.0