La normativa vigente en materia de protección de datos, RGPD y LOPDGDD, introdujo novedades en materia de derechos. Además del reconocido “Derecho al Olvido” también fue novedad el “Derecho a la Portabilidad”, el cual vamos a tratar de explicar en el presente artículo y esclarecer aquellas dudas que puedan surgir de la interpretación literal de la definición dada por el RGPD.

El Reglamento General de Protección de Datos define el derecho de portabilidad, en su artículo 20, y reconoce que el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado en determinados casos.

¿En qué casos? Cuando:

  • El tratamiento esté basado en el consentimiento otorgado por el interesado para el tratamiento de sus datos personales para uno o varios fines específicos;
  • El tratamiento se efectúe por medios automatizados.

Al ejercer su derecho a la portabilidad de los datos, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Formatos interoperables de portabilidad

Por su parte el Considerando 68 del RGPD dispone lo siguiente:

Para reforzar aún más el control sobre sus propios datos, cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos.

Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato. No debe aplicarse cuando el tratamiento tiene una base jurídica distinta del consentimiento o el contrato. Por su propia naturaleza, dicho derecho no debe ejercerse en contra de responsables que traten datos personales en el ejercicio de sus funciones públicas.

Por lo tanto, no debe aplicarse cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.

El derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles. Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento.

Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el RGPD y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato.

El interesado debe tener derecho a que los datos personales se transmitan directamente de un responsable del tratamiento a otro, cuando sea técnicamente posible.

Por otra parte, el art. 17 de la LOPDGDD bajo el epígrafe “Derecho a la portabilidad” establece lo siguiente: “El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679”.

Datos inferidos y derivados

Dicho esto, es importante matizar que no son objeto del derecho de portabilidad aquellos datos que puedan ser considerados “inferidos” y “derivados”, entendidos como los que resulten de la aplicación a la información generada en el desarrollo del servicio de conocimientos o técnicas propias del responsable; es decir, procedentes de la aplicación sobre los datos relacionados con el producto o servicio de técnicas que forman parte del know how del responsable (como pueden ser entre otros, técnicas matemáticas o resultantes de la aplicación de algoritmos).

Resultan muy clarificadoras y de gran ayuda, las Directrices adoptadas por el Grupo de Trabajo creado por el artículo 29 de la Directiva 95/46/CE relativas al ejercicio del derecho a la portabilidad. En este sentido, la citada guía del GT del art 29, hace referencia a las herramientas, para llevar a cabo la portabilidad de datos.

Desde el punto de vista técnico, los responsables del tratamiento deben ofrecer diferentes opciones de puesta en práctica del derecho a la portabilidad de los datos. Por ejemplo, deben ofrecer al interesado la opción de descarga directa y al mismo tiempo permitir que los interesados transmitan directamente los datos a otro responsable del tratamiento, lo que podría efectuarse poniendo a disposición una API, es decir interfaces de aplicaciones o servicios web que ponen a disposición los responsables del tratamiento para que otros sistemas o aplicaciones pueden enlazarse y trabajar con sus sistemas.

Cuándo se puede ejercer la portabilidad

En conclusión, tiene que quedar claro que el derecho de portabilidad sólo puede ejercerse en los casos previstos en el artículo 20 del RGPD, y se tienen que dar ciertas condiciones respecto a que datos se deben “portar”:

  • Primera condición: datos personales que conciernen al interesado.
  • Segunda condición: datos proporcionados por el interesado.
  • Tercera condición: el derecho a la portabilidad de los datos no deberá afectar negativamente a los derechos y libertades de otros.

Asimismo, se puede encontrar más información, así como formularios para el ejercicio del derecho de portabilidad en la web de la Agencia Española de Protección de Datos.