Portabilidad de los datos y el nuevo Reglamento europeo de Protección de Datos

656
derecho a la portabilidad de los datos de carácter personal

Cada vez se habla más del famoso Reglamento europeo de Protección de Datos y de las novedades y regulaciones que establece en materia de privacidad. Por ello es importante conocer detalladamente todos estos nuevos aspectos incluidos en el mismo y, sobre todo, saber que en menos de dos años debemos estar totalmente adaptados a esta normativa o nos enfrentaremos a cuantiosas sanciones.

Os voy a hablar en este post sobre un nuevo derecho regulado en este Reglamento que es el derecho a la portabilidad de los datos de carácter personal. Este derecho, junto con el derecho al olvido, aumentan la facultad de decisión y control de los ciudadanos sobre sus datos personales que facilitan a terceros.

¿Qué es el derecho a la portabilidad de los datos?

El derecho a la portabilidad de los datos consiste en otorgar a cualquier ciudadano europeo el derecho a que cualquier empresa que trate sus datos personales de forma automatizada se los ceda o los transfiera a cualquier otra empresa que este les indique en un formato estructurado, inteligible y automatizado. Es decir, el ciudadano puede exigir a las empresas que estén tratando sus datos que se los devuelvan o que los pasen a otra empresa.

El Big Data hace a mi juicio necesario “el salto” desde una Protección de los Datos personales de raíz y vocación personal y constitucional, a una protección también patrimonial.

Si ése es el fin, la solución no podría venir por otra vía que la de la identificación de un nuevo derecho a la propiedad sobre los datos personales. Por ello, el estudio inicial que la Comisión Europea incorporada a su nueva Propuesta de Reglamento europeo de protección de datos, publicada en enero de 2012, habla de “el derecho de propiedad” como uno de los afectados por esa nueva regulación. Por otro lado, la trascendental sentencia 292/2000 del Tribunal Constitucional indicaba que el ámbito de operación del derecho a la protección de datos, no era solo el de la protección de la privacidad, sino también el de cualquier clase de bienes y derechos “constitucionalmente protegidos”.

Precedentes históricos de este derecho

En el año 2007 surge el “Data Portability Project“. Se pretendía trabajar para poder devolver a los usuarios el poder sobre sus propios datos, y que pudieran disponer de una movilidad real de estos datos entre distintas aplicaciones o empresas, siempre acatando la privacidad de los usuarios. No intervienen únicamente los usuarios, sino que también los desarrolladores pueden incorporarse, ya que se pretende buscar soluciones tecnológicas para poder llevar a cabo esa portabilidad. Sin la participación de la industria, esto no sería posible.

El 2008 se convirtió en el año de la portabilidad, y el proyecto consiguió la ratificación de los grandes, como Microsoft,  Google y el mismo Facebook. Y ahora, más de 8 años después, la portabilidad de los datos nos aparece ¡y como derecho! en el Reglamento europeo de Protección de Datos. ¿Es entonces tan novedoso, y tan “europeo” como se pretende? Podemos concluir que no.

¿Qué dice el Reglamento?

El nuevo Reglamento europeo de Protección de Datos regula la portabilidad de los datos de la siguiente forma:

1. Cuando se traten datos personales por vía electrónica en un formato estructurado comúnmente utilizado, el interesado tendrá derecho a obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.

2. Cuando el interesado haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales.

3. La Comisión podrá especificar el formato electrónico contemplado en el apartado 1 y las normas técnicas, modalidades y procedimientos para la transmisión de datos personales de conformidad con lo dispuesto en el apartado 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.

Pero, qué se considera “formato estructurado comúnmente utilizado”. En ninguna parte del Reglamento se habla de ello, y sin embargo, es lo más importante en el artículo. Se ha dejado a la Comisión la función de especificarlo, estableciendo formatos,  normas técnicas, peculiaridades y procedimientos para la transmisión de los datos.

Si la empresa no actúa con un formato que sea común, no debería cumplir con la obligación de facilitar la portabilidad. Este es uno de los motivos por los que la redacción del artículo es errónea. Si se condiciona este nuevo derecho a que los tratamientos se efectúen en formatos de uso común, se descuida la neutralidad tecnológica que permitiría ampliar esta obligación a cualquier tratamiento. Buscar la interactuación es bueno, pero una norma sobre datos personales no sería el sitio más adecuado, y menos combinándola con el ejercicio de un derecho.

¿Cómo se ejerce el derecho a la portabilidad?

Como indiqué anteriormente, el derecho a la portabilidad de los datos se resume en dos facultades: por un lado la posibilidad de conseguir, “en un formato electrónico organizado y comúnmente usado”, una copia de los datos que están siendo tratados, formato que debe permitir que puedan seguir utilizándose por la persona interesada en otro sistema o aplicación informática.

Y por otro lado también podrá decidir transmitir esos datos a otro sistema (a otro proveedor o prestador de servicios), siempre que los datos objeto de esa trasmisión estén sujetos a un tratamiento automatizado, para lo que también se prevé que estos sean transferidos en un “formato electrónico comúnmente utilizado”, todo ello sin que el responsable del tratamiento ponga obstáculos, impedimentos o dificultades para la cesión de esos datos.

En el primero de los casos (obtener una copia de los datos) el único requisito para el ejercicio del derecho de la portabilidad es que el responsable del tratamiento trate los datos de manera automatizada en un “formato estructurado y comúnmente utilizado.

En el segundo caso, el de solicitar la transferencia de los datos a otro responsable de tratamiento, deben darse los siguientes requisitos:

  • Que los datos sean tratados automatizadamente por el responsable del tratamiento
  • Que los datos se hayan suministrado por la persona interesada
  • Que el tratamiento se fundamente en el consentimiento o en un contrato

El problema de la seguridad

El artículo está escrito pensando en las grandes empresas, o más concretamente, en servicios que traten gran cantidad de datos (Google, Facebook y similares). La cesión de toda la información, datos personales y otros, se debe efectuar identificando al individuo de forma correcta. ¿Cuántos servicios, la mayoría de ellos norteamericanos, están preparados para hacer esto?¿es el reconocimiento del usuario su fuerte? Ni de broma. Lo que pretende la UE que sea un derecho, más bien lo está transformando en una peligrosa amenaza para la seguridad de la información de los usuarios. Ya puestos a inventarse nuevos derechos, deberían haber mencionado un “derecho a la seguridad”.

Dar acceso sin dilación a todos los datos personales tratados en un sistema origina riesgos por encima de lo considerado como razonable. Sé que soy muy insistente… pero la rueda ya se ha descubierto. En el año 2000, el Comité Asesor sobre Seguridad y Acceso Online de la FTC (EE.UU.), avisó sobre el alto riesgo que el acceso en línea a la información de los usuarios podía provocar: dar acceso a la persona equivocada puede transformar una política de privacidad en una política anti-privacidad. ¿Qué costaba leerse ese informe? ¡Que tiene 16 años ya!

Conclusiones

  • La aplicación práctica del derecho a la portabilidad está unida a dificultades, tecnológicas, jurídicas y operativas
  • Se debe evaluar si el derecho a la portabilidad realmente debe ser una facultad vinculada a un derecho fundamental o se trata de un mecanismo más unido al derecho de los consumidores o al derecho mercantil
  • Se incorporan nuevas amenazas a la seguridad de los datos, que deberán ser consideradas como riesgos y disminuidas en todo lo posible, especialmente en lo referido a los medios de identificación y autenticación de los usuarios
  • La Comisión tiene una gran labor por delante para precisar los formatos electrónicos que permitirán el ejercicio material del derecho a la portabilidad de los datos
  • Los responsables de los tratamientos, directa o indirectamente, deberán establecer los mecanismos precisos para posibilitar el ejercicio material del derecho a la portabilidad de los datos, con lo que pueda suponer de inversiones en el desarrollo de esos servicios, y siempre considerando la necesidad de que la industria se adapte a unos formatos que debe determinar la Comisión
  • Y por último, la Comisión tiene que estudiar más detalladamente la repercusión que ocasionaría el derecho a la portabilidad en el mercado y la competitividad de los servicios electrónicos
Portabilidad de los datos y el nuevo Reglamento europeo de Protección de Datos
4.5 (90%) 6 votos

Dejar respuesta