Cada vez se habla más del famoso Reglamento europeo de Protección de Datos y de las novedades y regulaciones que establece en materia de privacidad.

Por ello es importante conocer detalladamente todos estos nuevos aspectos incluidos en el mismo.

Os voy a hablar en este post sobre un nuevo derecho regulado en este Reglamento que es el derecho a la portabilidad de los datos de carácter personal.

Este derecho, junto con el derecho al olvido, aumentan la facultad de decisión y control de los ciudadanos sobre sus datos personales que facilitan a terceros.

¿Qué es el derecho a la portabilidad de los datos?

El derecho a la portabilidad de los datos consiste en otorgar a cualquier ciudadano europeo el derecho a que cualquier empresa que trate sus datos personales de forma automatizada se los ceda o los transfiera a cualquier otra empresa que este les indique en un formato:

  • estructurado,
  • inteligible y
  • automatizado.

Es decir, el ciudadano puede exigir a las empresas que estén tratando sus datos que se los devuelvan o que los pasen a otra empresa.

El Big Data hace a mi juicio necesario “el salto” desde una Protección de los Datos personales de raíz y vocación personal y constitucional, a una protección también patrimonial.

Si ése es el fin, la solución no podría venir por otra vía que la de la identificación de un nuevo derecho a la propiedad sobre los datos personales.

Por ello, el estudio inicial que la Comisión Europea incorporada a su nueva Propuesta de Reglamento europeo de protección de datos, publicada en enero de 2012, habla de “el derecho de propiedad” como uno de los afectados por esa nueva regulación.

Por otro lado, la trascendental sentencia 292/2000 del Tribunal Constitucional indicaba que el ámbito de operación del derecho a la protección de datos, no era solo el de la protección de la privacidad, sino también el de cualquier clase de bienes y derechos “constitucionalmente protegidos”.

Precedentes históricos de este derecho

En el año 2007 surge el “Data Portability Project“. Se pretendía trabajar para poder devolver a los usuarios el poder sobre sus propios datos. Y que pudieran disponer de una movilidad real de estos datos entre distintas aplicaciones o empresas, siempre acatando la privacidad de los usuarios.

No intervienen únicamente los usuarios, sino que también los desarrolladores pueden incorporarse. Se pretende buscar soluciones tecnológicas para poder llevar a cabo esa portabilidad. Sin la participación de la industria, esto no sería posible.

El 2008 se convirtió en el año de la portabilidad, y el proyecto consiguió la ratificación de los grandes, como Microsoft,  Google y el mismo Facebook.

Y ahora, diez años después, la portabilidad de los datos nos aparece ¡y como derecho! en el Reglamento europeo de Protección de Datos.

¿Es entonces tan novedoso, y tan “europeo” como se pretende?

Podemos concluir que no.

¿Qué dice el Reglamento?

El nuevo Reglamento europeo de Protección de Datos regula la portabilidad de los datos.

Establece que el derecho a la portabilidad permite a los usuarios interesados recibir los datos personales que han proporcionado a la empresa como responsable del tratamiento, y obliga a entregárselos en un formato estructurado (que permita su copia, traslado y transmisión con facilidad), de uso común y legible por máquina; para que los usuarios puedan

  • gestionarlos,
  • reutilizarlos e incluso
  • transmitirlos a otro responsable del tratamiento sin impedimentos.

Pero, qué se considera “formato estructurado comúnmente utilizado”.

En ninguna parte del Reglamento se habla de ello, y sin embargo, es lo más importante en el artículo. Se ha dejado a la Comisión la función de especificarlo, estableciendo

  • formatos,
  • normas técnicas,
  • peculiaridades y
  • procedimientos para la transmisión de los datos.

Si la empresa no actúa con un formato que sea común, no debería cumplir con la obligación de facilitar la portabilidad.

Este es uno de los motivos por los que la redacción del artículo es errónea. Si se condiciona este nuevo derecho a que los tratamientos se efectúen en formatos de uso común, se descuida la neutralidad tecnológica que permitiría ampliar esta obligación a cualquier tratamiento. Buscar la interactuación es bueno, pero una norma sobre datos personales no sería el sitio más adecuado. Y menos combinándola con el ejercicio de un derecho.

¿Cómo se ejerce el derecho a la portabilidad?

portabilidad de los datos derechos arco reglamento europeo de proteccion de datos

Como indiqué anteriormente, el derecho a la portabilidad de los datos se resume en dos facultades:

  • Posibilidad de conseguir, “en un formato electrónico organizado y comúnmente usado”, una copia de los datos que están siendo tratados. Formato que debe permitir que puedan seguir utilizándose por la persona interesada en otro sistema o aplicación informática.
  • Decidir transmitir esos datos a otro sistema (a otro proveedor o prestador de servicios), siempre que los datos objeto de esa trasmisión estén sujetos a un tratamiento automatizado. Para ello también se prevé que estos sean transferidos en un “formato electrónico comúnmente utilizado”. Todo ello sin que el responsable del tratamiento ponga obstáculos, impedimentos o dificultades para la cesión de esos datos.

En el primero de los casos (obtener una copia de los datos) el único requisito para el ejercicio del derecho de la portabilidad es que el responsable del tratamiento trate los datos de manera automatizada en un “formato estructurado y comúnmente utilizado.

En el segundo caso, el de solicitar la transferencia de los datos a otro responsable de tratamiento, deben darse los siguientes requisitos:

  • Datos sean tratados automatizadamente por el responsable del tratamiento
  • Datos se hayan suministrado por la persona interesada
  • Tratamiento se fundamente en el consentimiento o en un contrato

Contenido de la solicitud de portabilidad

La solicitud de portabilidad de los datos debe contener:

  • Identificación: Nombre, apellidos y fotocopia del documento nacional de identidad del interesado o de la persona que lo represente. La fotocopia del documento nacional de identidad podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en derecho.
  • Petición concretando los datos sobre los que se quiere realizar la portabilidad.
  • Indicar el destino de los datos tras la portabilidad.
  • Documentación justificativa de la portabilidad solicitada.
  • Domicilio a efectos de notificaciones, fecha y firma del solicitante.

El problema de la seguridad

El artículo está escrito pensando en las grandes empresas, o más concretamente, en servicios que traten gran cantidad de datos (Google, Facebook y similares).

La cesión de toda la información, datos personales y otros, se debe efectuar identificando al individuo de forma correcta.

¿Cuántos servicios, la mayoría de ellos norteamericanos, están preparados para hacer esto?

¿es el reconocimiento del usuario su fuerte? Ni de broma.

Lo que pretende la UE que sea un derecho, más bien lo está transformando en una peligrosa amenaza para la seguridad de la información de los usuarios.

Ya puestos a inventarse nuevos derechos, deberían haber mencionado un “derecho a la seguridad”.

Dar acceso sin dilación a todos los datos personales tratados en un sistema origina riesgos por encima de lo considerado como razonable.

Sé que soy muy insistente… pero la rueda ya se ha descubierto.

En el año 2000, el Comité Asesor sobre Seguridad y Acceso Online de la FTC (EE.UU.), avisó sobre el alto riesgo que el acceso en línea a la información de los usuarios podía provocar dar acceso a la persona equivocada puede transformar una política de privacidad en una política anti-privacidad.

¿Qué costaba leerse ese informe? ¡Que tiene 16 años ya!

Portabilidad en Movistar, Vodafone, Orange….

Estas empresas de telecomunicaciones, como responsables del tratamiento, deben informar siempre en sus políticas de privacidad de la disponibilidad del nuevo derecho a la portabilidad de forma clara y exhaustiva, explicando:

  • distintos tipos de datos que un interesado puede recibir cuando ejerce el derecho de acceso frente a cuando ejerce el derecho a la portabilidad,
  • plazo de respuesta al derecho a la portabilidad,
  • motivos que pueden dar lugar a la respuesta negativa por parte de la empresa,
  • responsabilidad de los usuarios que reciben sus datos de almacenarlos de forma segura para proteger su información recomendando el formato o formatos apropiados así como el mantenimiento del cifrado.

Modelo

Aquí puedes descargar el modelo para solicitar la portabilidad de tus datos personales.

Preguntas frecuentes

¿La portabilidad, conlleva la supresión de los datos?

No, la portabilidad de los datos no conlleva su supresión automática. Esto es, el interesado puede seguir beneficiándose del servicio si así lo considera. Parece que la sintonía es que cuando se ejerza un derecho se haga sin perjuicio del resto.

¿Qué datos deben incluirse?

El RGPD establece que deben incluirse los datos personales del interesado, así como los que haya facilitado a un responsable en observación de la actividad. Dentro de estos segundos encontramos los facilitados de forma activa (ej.: nombre de usuario) y los observados en virtud del uso del servicio.

¿Cuánto puede tardar un responsable en responder a una solicitud de portabilidad?

El responsable facilitará información a sus actuaciones, sin dilación indebida y en cualquier caso, en el plazo de un mes desde la recepción.

El período puede ampliarse a un máximo de tres en los casos complejos. En este caso, será necesario informar al interesado de las razones de la demora.

¿Cómo debe informarse a los interesados sobre este nuevo derecho?

Los responsables del tratamiento deben informar a los interesados sobre la existencia del derecho a la portabilidad de los datos en forma:

  • concisa,
  • transparente,
  • inteligible,
  • de fácil acceso y
  • con un lenguaje claro y sencillo.

¿El ejercicio del derecho a la portabilidad de los datos afecta al ejercicio de los demás derechos del interesado?

No. Cuando una persona ejerce su derecho a la portabilidad de los datos (o a otro derecho contemplado por el RGPD) lo hace sin perjuicio de ningún otro derecho. El interesado puede ejercer sus derechos en tanto el responsable del tratamiento de los datos siga ejerciendo dicho tratamiento.

Si el interesado desea ejercer su derecho a la supresión, oposición o acceso a sus datos personales, el responsable del tratamiento no podrá utilizar el ejercicio previo o posterior del derecho a la portabilidad de los datos como modo de retrasar o negarse a responder a otros derechos del interesado.

Sanciones

Incumplir con el derecho de portabilidad de los datos podría suponer la comisión de una infracción que podría ser sancionada, cuando se trate de empresas, con multa administrativa de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

aviso alerta

¡Cuidado! Incumplir con el derecho de portabilidad de los datos, es sancionable

Sin perjuicio de lo anterior, es necesario recordar que las autoridades de protección de datos tienen también poderes correctivos. En relación con los derechos, como el de portabilidad, implican que puedan ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado.

En el caso de las Administraciones Públicas, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Conclusiones

De todo esto podemos sacar las siguientes conclusiones:

  • La aplicación práctica del derecho a la portabilidad está unida a dificultades, tecnológicas, jurídicas y operativas
  • Se debe evaluar si el derecho a la portabilidad realmente debe ser una facultad vinculada a un derecho fundamental. O se trata de un mecanismo más unido al derecho de los consumidores o al derecho mercantil
  • Se incorporan nuevas amenazas a la seguridad de los datos, que deberán ser consideradas como riesgos y disminuidas en todo lo posible. Especialmente en lo referido a los medios de identificación y autenticación de los usuarios
  • La Comisión tiene una gran labor por delante para precisar los formatos electrónicos que permitirán el ejercicio material del derecho a la portabilidad de los datos
  • Los responsables de los tratamientos, directa o indirectamente, deberán establecer los mecanismos precisos para posibilitar el ejercicio material del derecho a la portabilidad de los datos. Con lo que pueda suponer de inversiones en el desarrollo de esos servicios. Y siempre considerando la necesidad de que la industria se adapte a unos formatos que debe determinar la Comisión
  • Y por último, la Comisión tiene que estudiar más detalladamente la repercusión que ocasionaría el derecho a la portabilidad en el mercado y la competitividad de los servicios electrónicos

¿Necesitas cumplir la LOPD?

Portabilidad de los datos y el nuevo Reglamento europeo de Protección de Datos
4.8 (95%) 12 votos