Derecho a la portabilidad ¿Qué es y cómo ejercerlo?

Incluye modelos

El derecho a la portabilidad es uno de los derechos ARCO que protegen a las personas físicas ante el tratamiento de sus datos personales. Las características de este derecho o las formas para ejercerlo vienen explicadas tanto en el RGPD como en la LOPDGDD. Pero para hacerte más sencilla la consulta, en esta guía te contamos todo lo que tienes que saber sobre la portabilidad de datos personales.

¿Qué es el derecho a la portabilidad de los datos?

El derecho a la portabilidad de los datos consiste en otorgar a cualquier ciudadano europeo el derecho a que cualquier empresa que trate sus datos personales de forma automatizada se los ceda o los transfiera a cualquier otra empresa que este les indique en un formato:

  • Estructurado
  • Inteligible
  • Automatizado

Es decir, el ciudadano puede exigir a las empresas que estén tratando sus datos, incluso aquellas que manejan Big Data que se los devuelvan o que los pasen a otra empresa.

Es uno de los derechos ARCO, junto con los de Acceso, Rectificación, Limitación del tratamiento, Supresión y Oposición.

Ámbito de aplicación del derecho de portabilidad

El derecho de portabilidad se aplica en todos os Estados miembros de la Unión Europea, bajo el amparo del RGPD o Reglamento General de Protección de Datos.

En España, el ejercicio de este derecho también tiene como referencia el RGPD, y además la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales) que adapta la normativa europea al marco jurídico español.

Requisitos generales del procedimiento de portabilidad de datos

El artículo 20 del RGPD relativo a la portabilidad de datos indica que «el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando«:

  • El interesado haya otorgado su consentimiento expreso para el tratamiento de sus datos con uno o varios fines específicos.
  • El tratamiento sea necesario para la ejecución de un contrato o la aplicación de medidas precontractuales de las que el interesado es parte.
  • El tratamiento se realice a través de medios automatizados.

Asimismo, este artículo 20 del RGPD señala que el interesado tendrá derecho a la solicitar la transmisión de sus datos personales de un responsable a otro siempre y cuando esto sea técnicamente posible.

Este derecho no se aplicará cuando el tratamiento de los datos tenga como objetivo el cumplimiento de una obligación de interés público o como parte del ejercicio de los poderes públicos conferidos al responsable del tratamiento.

¿Cómo se ejerce el derecho a la portabilidad? Procedimiento

El derecho a la portabilidad de los datos personales se resume en:

  • Posibilidad de conseguir, «en un formato electrónico organizado y comúnmente usado», una copia de los datos que están siendo tratados. Formato que debe permitir que puedan seguir utilizándose por la persona interesada en otro sistema o aplicación informática.
  • Decidir transmitir esos datos a otro sistema (a otro proveedor o prestador de servicios), siempre que los datos objeto de esa trasmisión estén sujetos a un tratamiento automatizado. Para ello también se prevé que estos sean transferidos en un formato electrónico comúnmente utilizado. Todo ello sin que el responsable del tratamiento ponga obstáculos, impedimentos o dificultades para la cesión de esos datos.

En el primero de los casos (obtener una copia de los datos) el único requisito para el ejercicio del derecho de la portabilidad es que el responsable del tratamiento trate los datos de manera automatizada en un «formato estructurado y comúnmente utilizado».

En el segundo caso, el de solicitar el contrato de tratamiento de datos de tratamiento, deben darse los siguientes requisitos:

  • Datos que sean tratados de forma automatizada por el responsable del tratamiento.
  • Datos que haya suministrado la persona interesada.
  • El tratamiento se fundamente en el consentimiento o en un contrato.

Contenido de la solicitud

La solicitud de portabilidad de los datos debe contener:

  • Identificación: Nombre, apellidos y fotocopia del documento nacional de identidad del interesado o de la persona que lo represente. La fotocopia del documento nacional de identidad podrá ser sustituida siempre que se acredite la identidad por cualquier otro medio válido en derecho.
  • Petición concretando los datos sobre los que se quiere realizar la portabilidad.
  • Indicar el destino de los datos tras la portabilidad.
  • Documentación justificativa de la portabilidad solicitada.
  • Domicilio a efectos de notificaciones, fecha y firma del solicitante.

El problema de la seguridad

La cesión de información, datos personales y otros, se debe efectuar identificando al individuo de forma correcta. ¿Cuántos servicios, la mayoría de ellos norteamericanos, están preparados para hacer esto? El RGPD establece mecanismos para intentar asegurar la seguridad a la hora de proceder a la cesión de datos y, sobre todo, otorgar potestad al interesado para ejercer el derecho a la portabilidad cuando así lo desee.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Elementos de la portabilidad de datos

Los principales elementos del derecho a la portabilidad de datos son:

  • Derecho a recibir los datos:  se atribuye al interesado el derecho a recibir un conjunto de datos personales que le conciernen y que han sido tratados por un responsable del tratamiento. También incluye la opción de almacenar esos datos en un dispositivo o nube privados. La portabilidad complementa el derecho de acceso y se ofrece a los interesados una forma sencilla de gestionar y reutilizar por sí mismos sus datos personales.
  • Derecho a transmitir datos personales de un responsable del tratamiento a otro responsable del tratamiento: Los datos pueden transmitirse también directamente de un responsable del tratamiento a otro a petición del interesado y cuando sea técnicamente posible y se prohíbe que los responsables del tratamiento obstaculicen esa transmisión. La portabilidad de los datos permite que los usuarios intercambien, de manera limitada y controlada, datos personales entre empresas. De esta forma, se enriquecen las experiencias y los servicios de los consumidores.
  • Responsabilidad: al realizarse la portabilidad, los responsables del tratamiento dejan de tener responsabilidad sobre el tratamiento que los interesados o cualquier tercero realicen de esos datos. Al responsable se le exigen garantías que demuestren que actúa en nombre del interesado. Por ejemplo, puede establecer
    procesos que garanticen que el tipo de datos personales transmitidos son efectivamente aquellos que el interesado desea transmitir. Esto podría hacerse obteniendo confirmación por parte del interesado cuando facilita su consentimiento inicial para el tratamiento o cuando se finaliza el contrato. Los responsables del tratamiento que responden a una solicitud de portabilidad de datos no tienen la obligación de verificar la calidad de los datos antes de transmitirlos. Antes de esa portabilidad, dichos datos ya deben ser exactos y estar actualizados.

Modelos de portabilidad de los datos

Modelo solicitud
Modelo respuesta

Excepciones y limitaciones al derecho de portabilidad

Existen varios supuestos en los que no será posible ejercer el derecho de portabilidad de datos personales.

  • Cuando los datos personales no hayan sido proporcionados por el interesado, es decir, hayan sido inferidos o deducidos por el responsable del tratamiento.
  • En caso de que los datos personales se refieran a terceros, ya que el ejercicio de este derecho no puede afectar negativamente los derechos y libertades de terceros. Consulta nuestro modelo de cesión de datos a terceros.
  • Cuando la base de legitimación de ese tratamiento no sea el consentimiento ni el cumplimiento de un contrato. Por ejemplo, en el caso de tratamientos realizados en base a un interés legítimo o en ejercicio de poderes públicos.
  • Si se ha producido la anonimización de datos personales o estos han sido suprimidos.

Respuesta a la solicitud de portabilidad de datos

La normativa sobre protección de datos establece que los responsables del tratamiento han de respetar los plazos para dar respuesta a la solicitud de portabilidad de datos, incluso si la respuesta es negativa. Dicho de otro modo, no se puede no contestar a una solicitud de portabilidad.

Estimación de la solicitud

La solicitud ha de ser estimada siempre y cuando los datos haya sido obtenidos mediante el consentimiento del titular, sean objeto para la ejecución de un contrato, o cuando los datos hayan sido tratados por medios automatizados.

Desestimación de la solicitud

Por su parte el responsable del tratamiento podrá desestimar la solicitud en caso de que los datos no hayan sido proporcionados por el responsable, cuando los datos se refieran a terceros, si la base legal para el tratamiento no es el consentimiento o cumplimiento de un contrato, o si los datos han sido suprimidos o sometidos a un proceso de anonimización.

Plazos

Asimismo, la ley de protección de datos señala que el responsable del tratamiento ha de responder a la petición de portabilidad de datos en el plazo de un mes desde que se realizó la solicitud. La normativa prevé que este plazo puede ser ampliado a tres meses, siempre y cuando se trate de casos complejos y el responsable informe al interesado sobre los motivos de dicho retraso.

Ejemplos

Un ejemplo claro de la posibilidad de ejercer la portabilidad de los datos es al cambiarse de una operadora de telefonía a otra. Cuando cambiamos de compañía de teléfono, estamos solicitando que se transfieran los datos que hemos generado de la empresa antigua a la nueva, con el objetivo de que puedan realizar la prestación del servicio. En este caso se realiza una portabilidad, sin ser necesario que se acuda al derecho de supresión.

O imaginemos que contamos con los servicios de una asesoría fiscal, que actúa como responsable del tratamiento de nuestros datos, ya que le hemos otorgado el consentimiento para que desarrolle sus funciones. Si el día de mañana decidimos cambiar de asesoría, podemos solicitar a nuestra antigua asesoría que transfiera los datos a la nueva, como ejercicio de nuestro derecho a la portabilidad.

Sanciones si no se atiende el derecho a la portabilidad

Incumplir con el derecho de portabilidad en protección de datos podría suponer la comisión de una infracción que podría ser sancionada, cuando se trate de empresas, con multa administrativa de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Sin perjuicio de lo anterior, es necesario recordar que las autoridades de protección de datos tienen también poderes correctivos. En relación con los derechos, como el de portabilidad, implican que puedan ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado.

En el caso de las Administraciones Públicas, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Consulta en nuestra web otros ejemplos de sanciones por no cumplir la ley de protección de datos.

Preguntas frecuentes

¿La portabilidad, conlleva la supresión de los datos?

No, la portabilidad de los datos no conlleva su supresión automática. Esto es, el interesado puede seguir beneficiándose del servicio si así lo considera. Parece que la sintonía es que cuando se ejerza un derecho se haga sin perjuicio del resto.

¿Qué datos deben incluirse?

El RGPD establece que deben incluirse los datos personales del interesado, así como los que haya facilitado a un responsable en observación de la actividad. Dentro de estos segundos encontramos los facilitados de forma activa (ej.: nombre de usuario) y los observados en virtud del uso del servicio.

¿Cuánto puede tardar un responsable en responder a una solicitud de portabilidad?

El responsable facilitará información a sus actuaciones, sin dilación indebida y en cualquier caso, en el plazo de un mes desde la recepción.

El período puede ampliarse a un máximo de tres en los casos complejos. En este caso, será necesario informar al interesado de las razones de la demora.

¿Cómo debe informarse a los interesados sobre este nuevo derecho?

Los responsables del tratamiento deben informar a los interesados sobre la existencia del derecho a la portabilidad de los datos en forma concisa, transparente, inteligible, de fácil acceso y con un lenguaje claro y sencillo.

¿El ejercicio del derecho a la portabilidad de los datos afecta al ejercicio de los demás derechos del interesado?

No. Cuando una persona ejerce su derecho a la portabilidad de los datos (o a otro derecho contemplado por el RGPD) lo hace sin perjuicio de ningún otro derecho. El interesado puede ejercer sus derechos en tanto el responsable del tratamiento de los datos siga ejerciendo dicho tratamiento.

Si el interesado desea ejercer su derecho a la supresión, oposición o acceso a sus datos personales, el responsable del tratamiento no podrá utilizar el ejercicio previo o posterior del derecho a la portabilidad de los datos como modo de retrasar o negarse a responder a otros derechos del interesado.

¿Qué ocurre si ejerzo el derecho a la portabilidad y no se tramita?

En ese caso puedes denunciar la protección de datos ante la AEPD (Agencia Española de Protección de Datos). Esta investigará los hechos y, en caso de considerar que existe una infracción del RGPD, impondrá a la empresa la sanción correspondiente.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.