18/04/2017
El nuevo Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“Reglamento general de protección de datos” o “RGPD”), plantea un nuevo marco normativo para ciudadanos y organizaciones en materia de protección de datos de carácter personal.
Respecto a los derechos que pueden ejercer los ciudadanos ante las empresas que tratan sus datos personales (los hasta ahora conocidos como derechos “ARCO”), el RGPD introduce un nuevo elemento, el derecho a solicitar la portabilidad de los datos.
Ante las posibles dudas que pueda concitar el contenido y los elementos de este nuevo derecho, el Grupo de Autoridades europeas de protección de datos también conocido como Grupo de Trabajo del Artículo 29, ha elaborado una serie de directrices prácticas que ayudarán por una parte a los responsables del tratamiento a atender las solicitudes de portabilidad que reciban y, por otra parte, a dar a conocer a los ciudadanos las posibilidades de control que tienen sobre su información personal.
Contenido y elementos del Derecho de Portabilidad
El RGPD define el derecho de portabilidad de los datos en el artículo 20(1) del modo siguiente:
“El interesado tiene derecho a recibir los datos personales que le conciernen, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y legible por máquina y tiene derecho a transmitir dichos datos a otro responsable del tratamiento sin impedimentos del responsable del tratamiento al que haya facilitado los datos […]”
Como vemos, este derecho tiene dos vertientes: por un lado ofrece a los interesados la posibilidad de solicitar la transmisión directa de sus datos personales de un responsable del tratamiento a otro, permitiendo su reutilización entre proveedores de servicios con los que el interesado mantiene alguna relación. Por otro lado, sirve para que el interesado pueda recibir sus datos personales en un formato electrónico, para almacenarlos en su dispositivo privado, sin tener que transferirlos necesariamente a otro responsable. En este sentido, el derecho a la portabilidad complementa al derecho de acceso, ofreciendo un manera sencilla la gestión y reutilización los datos personales.
A efectos del derecho de portabilidad, los datos personales son los que:
1) conciernan al interesado
2) hayan sido proporcionados por este
3) no afecten negativamente a los derechos y libertades de terceros.
Estos conceptos no deben interpretarse restrictivamente. En concreto, los datos que conciernan al interesado podrían incluir también datos de terceros cuando, por ejemplo, este realice una solicitud de portabilidad de datos a una compañía telefónica en las que se incluya su registro de llamadas entrantes y salientes o cuando solicite a su proveedor de correo electrónico la transmisión de todo su directorio de contactos. Sin embargo, si estos registros se transmiten a un nuevo responsable del tratamiento, este no debe procesarlos con ningún fin que pueda afectar negativamente a los derechos y libertades de terceros.
En relación al segundo punto, se considera que los datos personales -que incluyen también los datos personales generados por su propia actividad como consecuencia del uso del servicio en cuestión-, han de haber sido proporcionados de manera consciente y activa por su titular. Por tanto, este derecho no queda limitado a la información personal facilitada de manera directa a la empresa en un contrato, formulario, por teléfono, etc. A modo de ejemplo, más o menos cercano, el interesado tendría la posibilidad de solicitar a Google que le proporcione su historial de búsqueda, los datos de localización que almacenen, etc.
Herramientas recomendadas para la satisfacción del derecho a la portabilidad por los responsables de los datos.
Las herramientas que recomienda el Grupo de Trabajo del Artículo 29 para responder a la solicitudes de portabilidad de datos son, por un lado, la de ofrecer a los interesados la posibilidad de descargar de forma directa un archivo con sus datos personales en formato reutilizable. Podría habilitarse por ejemplo un mecanismo similar al que está disponible en Facebook desde hace varios años: la posibilidad de descargar un archivo Zip con una copia de tus datos, incluyendo, todos tus mensajes y conversaciones de chat, fotos, publicaciones, etc.
Por otro lado, a fin de permitir la transferencia directa de datos a otro responsable de tratamiento, se recomienda desarrollar e implementar interfaces (APIs) u otros mecanismos que habiliten la interoperabilidad de los formatos en los que se contienen los datos de cada responsable.
Retos y deberes que plantea el derecho a la portabilidad para los responsables de los datos.
En atención al contenido y a las posibilidades que abarca el derecho a la portabilidad, la ejecución del mismo puede convertirse en una posible fuente de riesgo para los responsables o prestadores de servicios al no haber habilitado a tiempo los medios para hacer efectivas las solicitudes que reciba. A estos efectos, el grupo de trabajo del 29 recomienda que organizaciones e industrias interesadas comiencen a trabajar de manera conjunta en el desarrollo de estándares comunes y formatos interoperables, e implementarlos a nivel europeo para, llegado el momento, cumplir con los requisitos exigidos para garantizar el ejercicio de este derecho a la portabilidad de los datos.
Asimismo, los responsables deben tomar medidas y precauciones específicas dependiendo de si los transmitentes o los receptores de los datos son:
.- El responsable transmitente de los datos es el garante de la transmisión efectiva de datos y de tomar las medidas de seguridad necesarias para garantizar que los datos personales se transmitan de forma segura a su destino. En materia de información, sin perjuicio de las obligaciones generales en este aspecto, el Grupo de trabajo del 29 recomienda que los responsables informen de manera clara sobre el tipo de datos que el sujeto recibirá al solicitar la portabilidad de sus datos, así como informar sobre el derecho de portabilidad antes de darse de baja de un servicio a efectos de permitir la recuperación de sus datos.
.- Por su parte, el responsable receptor, debe garantizar que los datos recibidos son pertinentes y proporcionados en relación con el tratamiento que efectúa. Esto es especialmente relevante y exige un especial deber de cautela cuando los datos transmitidos puedan contener datos que conciernen a terceros. Siguiendo el ejemplo antes apuntado del interesado que solicita la transmisión de todo su directorio de direcciones de email, el nuevo responsable deberá tratarlos con el mismo propósito, es decir, como un listado de contactos usada solo por el interesado para su gestión para necesidades de ámbito doméstico. Cualquier tratamiento para finalidades propias del responsable receptor que no haya sido previamente consentido está terminantemente prohibido (por ejemplo, el envío de publicidad por parte del responsable al mencionado listado de contactos). En materia de información, como buena práctica, se recomienda informar al interesado sobre las categorías de datos que son relevantes para la prestación de sus servicios.
Para ayudar a reducir aún más los riesgos en relación a los terceros cuyos datos personales puedan verse afectados por la portabilidad, todos los responsables (tanto transmisores como receptores), deberían implementar herramientas que permitan a los interesados seleccionar los datos pertinentes y excluir los datos de terceros. Además, deberían poner en práctica mecanismos de autorización para otros interesados involucrados a fin de facilitar la transmisión de datos en aquellos casos en los que las partes estén dispuestas a dar su consentimiento, por ejemplo, porque también deseen trasladar sus datos a algún otro responsable del tratamiento. Tal situación podría darse en las redes sociales.
Como se ha expuesto, la aplicación práctica del derecho a la portabilidad viene acompañada de complejidades tecnológicas, jurídicas y operativas. Los responsables de los tratamientos deberán implantar los mecanismos necesarios para facilitar el ejercicio material de este derecho por parte de los interesados antes de la aplicación del RGPD, el 25 de mayo de 2018, pues, si nos acogemos a la literalidad del Reglamento, la insatisfacción de este derecho puede ser castigada con multas administrativas de una cuantía máxima equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, o de hasta veinte (20) millones de euros, optándose por la de mayor cuantía.