Política de Gobernanza de Dataspace

Última actualización: 18/02/2026

Esta Política de Gobernanza (en adelante, la «Política») establece el marco de gobernanza del espacio de datos Dataspace.es (en adelante, el «Espacio»), definiendo la estructura organizativa, los mecanismos de toma de decisiones, los procesos de participación, transparencia y rendición de cuentas, y las reglas que aseguran el funcionamiento eficiente, neutral y sostenible del ecosistema.

Esta Política se integra en el marco documental del Espacio y debe interpretarse de forma coherente con:

En caso de contradicción, se aplicará la jerarquía normativa prevista en el Acuerdo Marco (cláusula 3.2): normativa imperativa (RGPD/DGA/Data Act) → Acuerdo Marco → Políticas del Espacio → Contratos por caso de uso (DSA) → Anexos y guías técnicas.

1. Propósito

La gobernanza de Dataspace tiene como objetivo crear un ecosistema de intercambio de datos que sea:

  • Democrático e inclusivo.
  • Transparente en sus decisiones.
  • Eficiente en su operación.
  • Sostenible a largo plazo.

2. Normativa y marcos de referencia

Esta Política se fundamenta en:

2.1. Normativa europea y nacional

  • Reglamento (UE) 2022/868 (DGA): Cap. III (arts. 10-15) - obligaciones del intermediario de datos: neutralidad, separación funcional/contable, no explotación de datos, notificación a la autoridad competente, seguridad y transparencia.
  • Reglamento (UE) 2023/2854 (Data Act): condiciones equitativas, no discriminación, principios FRAND, interoperabilidad y portabilidad.
  • Reglamento (UE) 2016/679 (RGPD) y LO 3/2018 (LOPDGDD): cuando se traten datos personales en el marco de la gobernanza.
  • Reglamento (UE) 2024/1689 (AI Act): cuando servicios del Espacio incorporen sistemas de IA.
  • Reglamento eIDAS / eIDAS 2.0: identidad electrónica y servicios de confianza.

2.2. Estándares y especificaciones

  • UNE 0087:2025 - Definición y caracterización de los Espacios de Datos (pilares: interoperabilidad, gobernanza, creación de valor, modelo de madurez).
  • UNE 0085:2024 - Sistema de Gobierno del Dato.
  • UNE 0077-0081 - Gestión del dato (requisitos, roles, procesos) y calidad del dato (requisitos, dimensiones y métricas).
  • ISO/IEC 38505-1:2017 - Gobernanza de datos (aplicación de ISO 38500 al gobierno del dato).
  • ISO/IEC 27001:2022 - Sistema de Gestión de Seguridad de la Información (SGSI).
  • ENS (Esquema Nacional de Seguridad), cuando aplique por la participación de entidades del sector público.

2.3. Marcos de referencia del ecosistema

  • IDSA (IDS-RAM, Rulebook) — Modelo de Arquitectura de Referencia y reglas de gobernanza.
  • DSSC Blueprint — Building blocks organizativos y técnicos del Data Spaces Support Centre (Comisión Europea).
  • Gaia-X Trust Framework — Federación, self-descriptions, compliance automatizado.
  • FIWARE Data Space Connector — Componente técnico open-source conforme a IDS.
  • W3C (DCAT-AP-ES, ODRL, Verifiable Credentials) — Metadatos, políticas de uso y credenciales verificables.
  • CRED (Centro de Referencia de Espacios de Datos) — Guía de Gobernanza de Espacios de Datos (SEDIA / Ministerio para la Transformación Digital).

3. Principios de gobernanza

La gobernanza del Espacio se rige por los siguientes principios, alineados con el DSSC Blueprint, la Guía de Gobernanza del CRED y la UNE 0087:

  • Neutralidad e independencia: el Operador no explota los datos de los participantes para fines propios y actúa con imparcialidad (art. 12 DGA).
  • Transparencia: las decisiones, políticas, actas y procedimientos se publican en el Portal de Gobernanza del Espacio.
  • Participación inclusiva: todos los participantes tienen voz; las decisiones estratégicas se toman con representación equilibrada.
  • Responsabilidad y rendición de cuentas: cada órgano y rol tiene funciones definidas y responde de su ejercicio.
  • Proporcionalidad y subsidiariedad: las decisiones se toman al nivel más eficiente y proporcionado.
  • Interoperabilidad y apertura: diseño orientado a la federación con otros espacios de datos europeos.
  • Sostenibilidad: modelo económico no lucrativo, transparente y no discriminatorio.
  • Soberanía de datos: los participantes mantienen el control sobre sus activos conforme a las políticas de uso.
  • Seguridad y privacidad por diseño: integradas en todos los procesos de gobernanza.

3. Estructura organizativa

3.1. Operador del Espacio (DSO) y Director Ejecutivo

Entidad: CordubaTech (asociación sin ánimo de lucro) / GrayHats S.L.U. (marca comercial Dataspace, proveedor tecnológico).

Director Ejecutivo: Designado por el Comité de Gobernanza.

Funciones:

  • Gestión operativa diaria del Espacio: catálogo (Broker), Clearing House, Identity & Trust Services, soporte.
  • Secretaría del Espacio: convocatorias, actas, Portal de Gobernanza, gestión documental.
  • Ejecución de las decisiones del Comité de Gobernanza (CGE).
  • Coordinación de los comités técnicos.
  • Onboarding/offboarding de participantes (verificación técnica, legal y organizativa).
  • Cuando el Espacio se encuadre como servicio de intermediación de datos (DGA Cap. III), notificación/registro ante la autoridad competente y cumplimiento de las obligaciones de los arts. 11-12 DGA (neutralidad, separación funcional y contable, no explotación, información y seguridad).
  • Representación externa del ecosistema.

3.2. Comité de Gobernanza del Espacio (CGE)

Composición: órgano colegiado con representación equilibrada. La composición mínima recomendada es de 8 miembros elegidos por la Asamblea General:

  • 2 representantes de grandes empresas participantes.
  • 2 representantes de PYMES participantes.
  • 2 representantes de organismos públicos participantes (cuando aplique).
  • 1 representante del sector académico/investigación.
  • 1 representante del Operador (con voz, pero sin voto en decisiones que le afecten como parte interesada).

Mandato: 2 años, renovable. Elección por la Asamblea General.

Funciones:

  • Supervisión estratégica del Espacio.
  • Aprobación de políticas, procedimientos y anexos del Acuerdo Marco.
  • Aprobación del Programa Anual de Auditoría.
  • Resolución de conflictos de alto nivel entre participantes.
  • Supervisión del Operador y validación de su neutralidad.
  • Aprobación de cambios en el modelo de sostenibilidad y tarifas.
  • Aprobación de niveles de madurez y certificaciones reconocidas.

Régimen de sesiones: al menos trimestral, con posibilidad de sesiones extraordinarias. Las actas se publican en el Portal de Gobernanza (exceptuando información confidencial).

3.3. Asamblea General de Participantes

Composición: todos los participantes adheridos al Acuerdo Marco de Dataspace.

Funciones:

  • Aprobación y modificación del Acuerdo Marco (cambios sustanciales).
  • Elección de miembros del CGE.
  • Aprobación del presupuesto anual y del informe anual de actividad.
  • Decisiones sobre la admisión de nuevas categorías de participantes o cambios en la estructura de gobernanza.

Reuniones: al menos anual (ordinaria), con posibilidad de convocatorias extraordinarias a petición del CGE o de un 20% de los participantes.

3.4. Comité Técnico de Interoperabilidad (CTI)

Composición: expertos técnicos designados por el Operador/Director Ejecutivo y aprobados por el CGE. Se recomienda incluir representantes de los principales roles (DP, DC, AP, Connector Operator).

Funciones:

  • Definición y actualización de perfiles técnicos de conformidad (IDS/EDC/FIWARE DSC, DCAT-AP-ES, ODRL, VC).
  • Publicación de guías de interoperabilidad, desarrollo de estándares técnicos y niveles de madurez (conforme a UNE 0087).
  • Evaluación de tecnologías emergentes y recomendaciones de evolución.
  • Supervisión de la arquitectura del Espacio y validación de conectores.
  • Gestión de pruebas de conformidad para onboarding y durante la participación.
  • Recomendaciones sobre interoperabilidad.

3.5. Comité de Cumplimiento, Seguridad y Privacidad

Composición:

  • Delegado de Protección de Datos (DPO) del Operador o experto legal en protección de datos.
  • Responsable de Seguridad de la Información (CISO) del Operador o experto en ciberseguridad y GRC.
  • Auditor independiente (externo).
  • Representante de participantes (rotativo).

Funciones:

  • Supervisión del cumplimiento normativo (RGPD, LOPDGDD, DGA, Data Act, ENS, AI Act).
  • Coordinación de auditorías de cumplimiento (programa anual aprobado por el CGE).
  • Supervisión de la gestión de incidentes y brechas de seguridad/privacidad.
  • Emisión de recomendaciones vinculantes en materia de protección de datos, seguridad y ciberseguridad.
  • Gestión del canal de denuncias y de incidencias de cumplimiento.
  • Coordinación con la AEPD y con la autoridad competente DGA cuando proceda.

4. Roles de participación en el Espacio

De conformidad con el Acuerdo Marco (cláusula 5) y la UNE 0087, los participantes pueden ejercer uno o varios roles simultáneamente.

El rol de Proveedor de Datos (DP) consiste en publicar o poner a disposición activos de datos, con obligaciones de clasificar los datos, proveer metadatos conforme a DCAT-AP-ES, definir licencias y políticas de uso mediante ODRL y garantizar la legitimación para el tratamiento y compartición de los datos.

El rol de Consumidor de Datos (DC) implica descubrir, negociar y acceder a activos de datos, respetar las usage policies, abstenerse de reidentificar datos cuando estén anonimizados o pseudonimizados, borrar o devolver los datos al expirar las licencias o contratos y cooperar en auditorías relacionadas con el uso de los datos.

El rol de App/Service Provider (AP) se refiere a la oferta de servicios (por ejemplo, analítica o inteligencia artificial) sobre datos del Espacio, respetando las licencias y políticas de uso, cumpliendo el AI Act cuando aplique y no exponiendo los datasets fuente de forma contraria a las condiciones acordadas.

El rol de Broker corresponde al servicio de catálogo y descubrimiento de metadatos, con la obligación de no acceder al payload de los datos, garantizar la no discriminación entre participantes y asegurar la disponibilidad del catálogo.

El rol de Clearing House (CH) se centra en el registro de evidencias, contratos y trazabilidad de las transacciones, debiendo custodiar las evidencias con integridad y disponibilidad.

El rol de Identity & Trust Services (IdP/TS) abarca la gestión de identidad, credenciales y atributos verificables, con exigencia de conformidad con eIDAS y el modelo de Verifiable Credentials, así como alta disponibilidad y mecanismos de revocación.

El rol de Connector Operator implica operar conectores conformes (IDS/EDC/FIWARE DSC), asegurando la conformidad técnica, el parcheado y el hardening de los mismos.

El ejercicio de roles no es exclusivo y exige cumplir las condiciones establecidas por el CTI y las políticas de seguridad e interoperabilidad del Espacio.

5. Procesos de toma de decisiones

5.1. Clasificación de decisiones

Las decisiones del Espacio se clasifican en estratégicas, políticas y operativas, técnicas, de cumplimiento y operativas urgentes.

Las decisiones estratégicas, como la modificación del Acuerdo Marco, cambios en la estructura de gobernanza o nuevas líneas estratégicas, corresponden a la Asamblea General y requieren una mayoría de dos tercios de los votos.

Las decisiones políticas y operativas, como la aprobación o modificación de políticas, el presupuesto operativo, el programa de auditoría o la admisión y exclusión de participantes, competen al CGE y se adoptan por mayoría simple.

Las decisiones técnicas, relativas a estándares, perfiles de conformidad, certificación de conectores y guías de interoperabilidad, corresponden al CTI, que actúa con consenso técnico y con ratificación posterior del CGE.

Las decisiones de cumplimiento, como recomendaciones vinculantes en materia de seguridad y privacidad, gestión de incidentes y canal de denuncias, se adoptan en el Comité de Cumplimiento por mayoría simple.

Las decisiones operativas urgentes, como la suspensión temporal de un participante o servicio por riesgo grave de seguridad o incumplimiento manifiesto, se toman por el Operador como decisión ejecutiva y deben ser ratificadas posteriormente por el CGE en un plazo máximo de 72 horas.

5.2. Proceso de propuestas y cambios

El proceso de propuestas y cambios sigue las fases de presentación, admisión a trámite, consulta pública, análisis de impacto, votación/aprobación y publicación e implementación.

  1. Presentación: cualquier participante puede presentar propuestas al órgano competente a través del Portal de Gobernanza.
  2. Admisión a trámite: el órgano evalúa la pertinencia y clasifica la propuesta.
  3. Consulta pública: para cambios sustanciales, periodo mínimo de 30 días para comentarios (conforme al Acuerdo Marco, cláusula 21.1).
  4. Análisis de impacto: evaluación técnica, económica, legal y, cuando proceda, de protección de datos (EIPD/DPIA).
  5. Votación/aprobación: según el tipo de decisión y la mayoría requerida.
  6. Publicación e implementación: publicación en el Portal de Gobernanza con plazos de entrada en vigor (mínimo 15 días para cambios menores, 30 días para sustanciales).

6. Participación y Derechos

6.1 Categorías de Participantes

Participantes Fundadores

  • Derechos de voto completos.
  • Acceso privilegiado a información estratégica.
  • Participación en todos los comités.

Participantes Estándar

  • Derechos de voto según contribución al ecosistema.
  • Acceso a información operativa.
  • Participación en comités según expertise.

Participantes Observadores

  • Sin derechos de voto.
  • Acceso a información pública.
  • Posibilidad de presentar propuestas.

6.2 Criterios de Participación

  • Técnicos: Capacidad de implementar conectores certificados.
  • Legales: Cumplimiento de normativa de protección de datos.
  • Económicos: Capacidad de contribuir al sostenimiento del ecosistema.
  • Estratégicos: Alineación con los objetivos de Dataspace.

7. Onboarding y offboarding de participantes

7.1. Adhesión (onboarding)

Conforme al Acuerdo Marco (cláusula 4):

  1. Solicitud formal a través del Portal de Gobernanza.
  2. Aceptación del Acuerdo Marco y de las políticas aplicables.
  3. Superación del proceso de verificación técnica (conector conforme, metadatos, pruebas de interoperabilidad), legal (poderes, contratos, cumplimiento RGPD/DGA) y organizativa (contactos, procedimientos de seguridad e incidentes).
  4. Firma por representante con poderes suficientes.
  5. Emisión de credenciales verificables y alta en el directorio del Espacio.

7.2. Salida (offboarding)

Conforme al Acuerdo Marco (cláusula 18):

  1. Notificación formal o resolución por incumplimiento.
  2. Revocación de credenciales y desactivación de conectores.
  3. Eliminación o devolución de datos conforme a contratos/políticas y certificado de destrucción cuando proceda.
  4. Cierre de evidencias en el Clearing House.
  5. Las obligaciones de confidencialidad, propiedad intelectual, responsabilidad y auditoría subsisten por el periodo indicado en los anexos o, en su defecto, 5 años.

8. Neutralidad del Operador y cumplimiento DGA

Cuando los servicios del Espacio se encuadren como intermediación de datos conforme al DGA (Cap. III):

  • El Operador actuará con neutralidad, transparencia e independencia (art. 12 DGA).
  • No explotará los datos de los participantes para fines propios, salvo para operación, seguridad, auditoría y mejora del servicio.
  • Mantendrá separación funcional y contable entre la actividad de intermediación y otras actividades comerciales, cuando aplique.
  • Notificará/registrará la actividad ante la autoridad competente conforme al art. 11 DGA.
  • Informará a los participantes sobre las condiciones de uso del servicio de intermediación, incluida la jurisdicción en que se almacenan los datos.
  • Adoptará medidas para garantizar un alto nivel de seguridad en el almacenamiento, tratamiento y transmisión de datos no personales, y para datos personales, las medidas del art. 32 RGPD.

9. Transparencia y rendición de cuentas

9.1. Portal de Gobernanza

El Operador/Director Ejecutivo mantendrá un Portal de Gobernanza accesible a todos los participantes que incluya:

  • Acuerdo Marco y políticas y procedimientos vigentes (incluida esta Política).
  • Actas de todas las reuniones del CGE y de la Asamblea General (exceptuando información confidencial).
  • Registro público de participantes y sus roles.
  • Guías de interoperabilidad (CTI) y perfiles de conformidad.
  • Programa Anual de Auditoría y resultados (resumen).
  • Modelo de sostenibilidad, tarifas y contribuciones.
  • Canal de propuestas y canal de denuncias.

9.2. Informes periódicos

  • Informe anual de actividad y financiero: presentado a la Asamblea General.
  • Informe de cumplimiento normativo: elaborado por el Comité de Cumplimiento (semestral).
  • Informe de seguridad e incidentes: elaborado por el CISO (al menos anual, o tras incidentes significativos).
  • Informe de interoperabilidad y madurez: elaborado por el CTI (anual), conforme a los niveles de madurez de la UNE 0087.

9.3. Mecanismos de Control

  • Canal de denuncias confidencial.
  • Proceso de revisión de decisiones.
  • Evaluación periódica de la gobernanza.

9.4. Auditorías

  • Auditoría financiera: anual, realizada por auditor independiente.
  • Auditoría de cumplimiento normativo: conforme al Programa Anual de Auditoría aprobado por el CGE, con alcance técnico, organizativo y legal.
  • Auditorías de conformidad técnica: para participantes, tanto en onboarding como durante su participación (conforme al Acuerdo Marco, cláusula 13).
  • Auditorías extraordinarias: por causas justificadas (incidentes, denuncias, cambios regulatorios).

10. Gestión Financiera

10.1 Fuentes de Financiación

  • Cuotas de participación.
  • Tasas por transacciones.
  • Servicios de valor añadido.
  • Subvenciones públicas y proyectos de investigación.

10.2 Presupuesto y Gastos

  • Presupuesto anual aprobado por la Asamblea General.
  • Transparencia completa en el uso de fondos.
  • Reservas para sostenibilidad a largo plazo.

11. Gestión de riesgos

11.1. Identificación y evaluación

El Operador, con el apoyo del Comité de Cumplimiento y del CTI, mantendrá un registro de riesgos actualizado que cubra:

  • Riesgos técnicos: fallos de sistema, ciberataques, pérdida de disponibilidad de servicios esenciales.
  • Riesgos legales y regulatorios: cambios normativos (DGA, Data Act, AI Act), incumplimientos, sanciones.
  • Riesgos de protección de datos: brechas de seguridad, tratamientos ilícitos, transferencias no autorizadas.
  • Riesgos económicos: sostenibilidad financiera, dependencia de financiación pública.
  • Riesgos reputacionales: pérdida de confianza del ecosistema.
  • Riesgos de interoperabilidad: incompatibilidad con otros espacios, obsolescencia tecnológica.

11.2. Mitigación

  • Plan de continuidad de negocio: RPO/RTO definidos en los SLA de Servicios Esenciales, pruebas periódicas.
  • Gestión de incidentes: procedimiento de detección, contención, evaluación, notificación (72 h a autoridades, 24 h a participantes afectados), investigación, corrección y prevención.
  • Seguro de responsabilidad civil (recomendado).
  • Reservas financieras de contingencia.
  • Protocolo de comunicación de crisis: portavoz designado, escalado, coordinación con autoridades.

12. Evolución y Adaptación

12.1 Revisión Periódica

  • Revisión anual de la eficacia de la gobernanza.
  • Evaluación de la satisfacción de participantes.
  • Benchmarking con otras iniciativas similares.

12.2 Mejora Continua

  • Incorporación de feedback de participantes.
  • Adaptación a cambios tecnológicos.
  • Evolución según mejores prácticas internacionales.

13. Modelo de sostenibilidad económica

Conforme al Acuerdo Marco (cláusula 14) y al principio de no lucro:

  • Contribuciones de membresía: si las hubiera, diferenciadas por categoría y proporcionales.
  • Tasas por servicios: certificación/conformidad, soporte especializado, formación.
  • Financiación pública/privada: proyectos de investigación, subvenciones europeas y nacionales (Digital Europe, NextGen, CRED, etc.).
  • Principios: transparencia, no discriminación y proporcionalidad. El Anexo de Tarifas se publica en el Portal de Gobernanza y se revisa anualmente por el CGE.

Cualquier ingreso se destina a la operación, mejora y sostenibilidad del Espacio.

14. Resolución de conflictos

14.1 Tipos de Conflictos

  • Conflictos entre participantes.
  • Conflictos sobre interpretación de políticas.
  • Conflictos sobre decisiones técnicas.

14.2 Mecanismos de Resolución

Conforme al Acuerdo Marco (cláusula 22):

  1. Negociación directa: las partes procurarán resolver la disputa de buena fe.
  2. Mediación interna: a través del Operador/Director Ejecutivo o de un mediador designado por el CGE.
  3. Mediación externa: mediador independiente conforme al Reglamento de Mediación aplicable.
  4. Arbitraje de derecho: en Córdoba, España, idioma español, conforme al Reglamento de la Corte de Arbitraje correspondiente.
  5. Jurisdicción competente: sin perjuicio de acciones judiciales inaplazables.

Ley aplicable: Derecho español y de la Unión Europea.

15. Formación y concienciación

  • Formación obligatoria para todos los participantes en el proceso de onboarding (gobernanza, uso de datos, seguridad, privacidad).
  • Actualización anual sobre cambios normativos y de políticas del Espacio.
  • Formación específica por roles (DP, DC, AP, etc.) y por funciones de gobernanza.
  • Guías de buenas prácticas, casos de uso y herramientas de autoevaluación disponibles en el Portal de Gobernanza.

16. Comunicación

16.1. Canales internos

  • Portal de Gobernanza (información oficial, documentación, propuestas, denuncias).
  • Comunicaciones del Operador a participantes (correo electrónico registrado, notificaciones en portal).
  • Newsletter mensual para participantes.
  • Foros técnicos especializados por rol/sector.
  • Eventos anuales y webinars regulares.

16.2. Comunicación externa

  • Portavoz oficial designado por el CGE.
  • Protocolo para declaraciones públicas y participación en eventos.
  • Coordinación de comunicación de crisis conforme al protocolo del apartado 9.2.

17. Relación con otros textos legales y políticas del Espacio

La presente Política se relaciona con otros documentos del Espacio que cubren distintos alcances y que se integran en el marco normativo y contractual.

El Aviso Legal recoge la información identificativa, las condiciones de uso del sitio web, la propiedad intelectual y la normativa aplicable, estando disponible en /aviso-legal.

La Política de Privacidad regula el tratamiento de datos personales, los derechos de los interesados, los datos de contacto del DPO, las transferencias y las medidas de seguridad, accesible en /politica-privacidad.

La Política de Cookies define las cookies del sitio web, el régimen de consentimiento y la participación de terceros, disponible en /politica-cookies.

La Política de Uso de Datos establece las reglas de uso de datos en el Espacio, las licencias, el uso de ODRL, las obligaciones por rol y las medidas de seguridad, accesible en /politica-uso-datos.

El Acuerdo Marco de Participación recoge las condiciones jurídicas, organizativas y técnicas de adhesión y participación en el Espacio y se configura como un documento contractual.

El Data Sharing Agreement (DSA) es el contrato operativo por caso de uso, también de naturaleza contractual, que concreta las condiciones de compartición y uso de datos para cada iniciativa específica.

18. Entrada en Vigor

Esta política entra en vigor con su aprobación por la Asamblea General y será revisada anualmente para asegurar su efectividad y relevancia.

19. Revisión y actualización

Esta Política se revisa al menos anualmente o cuando cambios significativos en la normativa, la tecnología o la gobernanza del Espacio lo requieran.

Los cambios sustanciales requieren aprobación del CGE y un periodo público de comentarios de 30 días (conforme al Acuerdo Marco, cláusula 21.1). Los cambios menores (técnicos/operativos) pueden adoptarse con preaviso de 15 días mediante publicación en el Portal de Gobernanza.

20. Contacto

  • Correo general: info@Dataspace.es
  • Delegado de Protección de Datos (DPO): José Carlos Almansa Moreno - dpo@grayhats.com
  • Teléfono: +34 957 858 977
  • Dirección postal: Avenida Gran Capitán 46, oficina 1-1, Córdoba, España
  • Autoridad de control (protección de datos): Agencia Española de Protección de Datos (AEPD) — www.aepd.es

Dataspace - Política de Gobernanza v1.0