En las fronteras de la aplicación directa del Reglamento (UE) 2016/679 General de Protección de Datos, centramos nuestra atención en el derecho a la portabilidad de los datos.
Según el artículo 20 del GRPD, el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. Se trata de un elemento que viene a otorgar un mayor poder de control del interesado sobre sus datos personales.
En la presente entrada daremos contestación a cuestiones de aplicación e interpretación que pueden surgir entorno a esta nueva figura, siguiendo las directrices del GT29 en la guía publicada al respecto.
Comenzamos señalando que se trata de un derecho accesorio al derecho de acceso que, antes de la formulación del derecho a la portabilidad, se veía limitado por el formato elegido por el responsable del tratamiento para proporcionar la información solicitada.
Pero, además se configurarse como un derecho accesorio, aporta un aspecto funcional que podrá ser aprovechado por las empresas o entidades para el intercambio fluido de información personal como una herramienta de migración de un determinado servicio. Especialmente en servicios que sea indispensable o giren en torno a los datos personales. Esto debido a que el derecho de portabilidad de los datos permite la transmisión directa de datos personales de un responsable del tratamiento a otro.
Así mismo, señala el GT29 que el presente derecho pasará a "convertirse en una herramienta importante que respaldará la libre circulación de datos personales en la UE y promoverá así la competencia entre los responsables del tratamiento. Facilitará el cambio entre distintos proveedores de servicios y, por lo tanto, promoverá el desarrollo de nuevos servicios en el contexto de la estrategia para el mercado único digital".
En cuanto al procedimiento de atención, se establece que el derecho a la portabilidad de los datos cuenta con un plazo para contestar por parte de la entidad de un mes, exceptuando aquellos casos más complejos para los que se concede un plazo de tres meses, pero siempre informando dentro del primer mes de las razones para dicho retraso.
Puede darse el supuesto de que el interesado requiriese que sus datos sean transmitidos directamente a otro Responsable, en dicho caso la entidad así deberá proceder siempre que sea técnicamente posible.
En caso de no atender o rechazar la solicitud, el Responsable del tratamiento debe indicarle expresamente al interesado «los motivos para no actuar, así como la posibilidad de presentar una queja a una autoridad supervisora y buscar reparación judicial». Se consideran causas válidas para esta denegación que el tratamiento sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
En cuanto al contenido de los datos portables, ya señala el GT 29 en las guías sobre el derecho a la portabilidad, que no se establece por el legislador un acotamiento de los datos que puedan ser objeto de este derecho de portabilidad: "la portabilidad de los datos representa una oportunidad para «reequilibrar» la relación entre los interesados y los responsables del tratamiento. Si bien el derecho a la portabilidad de los datos puede también mejorar la competencia entre los servicios (al facilitar el cambio de servicio), el RGPD regula los datos personales y no la competencia. En particular, el artículo 20 no limita los datos que se pueden portar a aquellos necesarios o útiles para el cambio de servicios".
No obstante, el Grupo de Trabajo del Artículo 29 considera que el derecho a la portabilidad de los datos no solo cubre los datos personales comunicados directamente por el interesado, si no también los datos personales generados por su actividad. Señala el GT29 que este nuevo derecho no puede verse menoscabado ni puede limitarse a la información personal comunicada directamente por el interesado.
A continuación, se expone un cuadro explicativo del derecho a la portabilidad que sirve de referencia informativa sobre las características más importantes de este nuevo derecho:
Ampliar Imagen
Una práctica recomendable es que los responsables del tratamiento comiencen a desarrollar los medios que contribuyan a responder a las solicitudes de portabilidad de datos, como herramientas de descarga e interfaces de programación de aplicaciones. Deben garantizar que los datos personales se transmitan en un formato estructurado, de uso común y lectura mecánica, y se les debe alentar a que aseguren la interoperabilidad del formato de los datos proporcionados en el ejercicio de una solicitud de portabilidad.
Es importante acotar que la portabilidad de los datos no conlleva el borrado de los datos de los sistemas del responsable del tratamiento ni afecta al periodo de retención o conservación informado como aplicable a los datos que el interesado ha proporcionado.
Así mismo, es necesario señalar que la transmisión del soporte de datos puede suponer un riesgo de violación de los datos personales. Será el responsable del tratamiento quien tenga que adoptar las medidas de seguridad adecuadas para proteger la confidencialidad de los datos contra tratamientos no autorizados o ilícitos y asegurar la disponibilidad e integridad ante la posibilidad de pérdida accidental, destrucción o daños.
Algunas de las medidas que pueden ser recomendables adoptar para garantizar la transmisión segura de dichos datos se circunscriben a la utilización de técnicas de cifrados y comunicados a destinatarios que hagan uso de métodos de autenticación, para asegurar tanto el transporte de los datos como la recepción de un destinatario correcto.
Sin duda la atención al derecho de portabilidad es una de las cuestiones novedosas que más repercusión tendrá a la hora de su puesta en práctica. Las implicaciones técnicas y jurídicas, sumadas a la necesidad de adopción de medidas de seguridad que cumplan con los requisitos recogidos en el RGPD, vaticinan una adaptación normativa con un alto grado de cualificación profesional.
