Una de las tantas novedades del nuevo RGPD es el llamado derecho a la portabilidad. Con toda seguridad, el lector reconocerá esta palabra del sector de la telefonía, pues quién no ha querido cambiar de compañía y seguir conservando el mismo número. Bien, el artículo 20 del Reglamento regula esta figura. Dispone que el interesado tendrá derecho a recibir los datos personales proporcionados a un responsable, ‘en un formato estructurado, de uso común y lectura mecánica’. Pero esto no se queda aquí, porque estos datos se podrán transmitir, a su vez, a otro responsable. Lo que nos lleva a preguntarnos: ¿supondrá esto una nueva guerra por conseguir clientes? ¿Cómo va a encajar este sistema en la competencia desleal? Pero estas preguntas no las podemos contestar aún, pues hasta donde sabemos, el futuro es difícil de prever. De momento.
¿Cómo y cuándo se aplica este derecho?
El objetivo de este derecho es, según el Reglamento, ‘facultar a los interesados para trasladar, copiar o transmitir datos personales de un entorno informático a otro'. Por ejemplo, un lector suscrito a un periódico solicita al responsable todos los datos que tiene sobre él. Desde la totalidad de artículos leídos, pasando por el tiempo empleado en la navegación, o las descargas que ha hecho. Puede, incluso, obligarlo a transmitir esos datos a la competencia y evitar tomarse la ‘molestia' de hacerlo él mismo. En cambio, el receptor no está obligado a percibir de esos datos.
Es aquí donde surgen las primeras preguntas. ¿Los datos que circulen de un responsable a otro, a instancia del interesado, deben ser exactos y limitados a las exigencias de este último? Sí, claramente. No pueden ir más allá, ni tampoco quedarse cortos. También importa -y mucho- el límite del tiempo que el responsable inicial puede conservar los datos. Dice el RGPD que ‘no será más tiempo del necesario o más allá de un período de retención especificado'. De otro lado, recordemos también que el tratamiento de datos debe estar siempre relacionado con la finalidad.
Este derecho se aplica, bien en virtud del consentimiento del interesado -supuestos de categorías especiales-, o bien en pro de un contrato en el que el interesado es parte.
¿Esta portabilidad, conlleva la supresión de los datos?
El artículo 17 RGPD responde negativamente a esta cuestión, pues la portabilidad de los datos no conlleva su supresión automática. Esto es, el interesado puede seguir beneficiándose del servicio si así lo considera. Parece que la sintonía es que cuando se ejerza un derecho se haga sin perjuicio del resto.
¿Qué datos deben incluirse?
Enumera el RGPD, en su artículo 20.1, que deben ser los datos personales del interesado, así como los que haya facilitado a un responsable en observación de la actividad. Dentro de estos segundos encontramos los facilitados de forma activa (ej.: nombre de usuario) y los observados en virtud del uso del servicio. Un ejemplo de estos últimos sería el tiempo empleado en la navegación por la página del periódico que venimos mencionando.
De otro lado, también debemos insistir que el cumplimiento de este derecho no afectará negativamente a los derechos y libertades de otros. Con esto se pretende, según el Considerando 68, que ‘cuando un conjunto de datos afecta a más de un interesado, el derecho a recibirlos se entiende sin perjuicio del menoscabo de los derechos y libertados de los otros'.
Es también importante que el responsable se asegure de comprobar la identidad del interesado antes de facilitarle los datos. El RGPD le permite solicitar toda la información necesaria al respecto.
¿Cuánto puede tardar un responsable en responder a una solicitud de portabilidad?
En artículo 12.3 RGPD nos da la solución a nuestra pregunta. El responsable facilitará información a sus actuaciones, sin dilación indebida y en cualquier caso, en el plazo de un mes desde la recepción. El período puede ampliarse a un máximo de tres en los casos complejos. En este caso, será necesario informar al interesado de las razones de la demora. Lo que sí que queda claro es que el responsable no puede dejar una solicitud sin respuesta.
¿Cómo deben proporcionarse los datos?
Esto son, los medios que tiene el responsable para la operación. El RGPD dispone que se deberán facilitar datos cuando la viabilidad sea técnicamente posible. La intención es que se creen mecanismos interoperables entre todos los responsables para tanto para recibir como para enviar. Pueden hacerlo a través de una transmisión directa o una herramienta automatizada que permita la extracción. Habitualmente, y por el añadido del gran volumen y complejidad, el mecanismo idóneo será el segundo. Los formatos que más resuenan son los que ya se vienen usando: XML, JSON, CSV. Parece ser que no es suficiente con un archivo PDF porque la práctica no lo considera suficientemente estructurado y descriptivo.
A grandes rasgos, estas son algunas de las características a tener en cuenta. Yo, si estuviese en su lugar, me andaría con cuidado. Las sanciones son muy elevadas.
Enlaces a considerar: