Os regulamentos atuais sobre proteção de dados, RGPD e LOPDGDD, introduziram novidades em matéria de direitos. Além do reconhecido “direito ao esquecimento”, o “direito à portabilidade” também foi novidade. Tentaremos explicar neste artigo e esclarecer as dúvidas que possam surgir em relação ao mesmo aquando da interpretação literal da definição dada pelo RGPD.

O Regulamento Geral de Proteção de Dados define o direito de portabilidade, no seu artigo 20, e reconhece que o interessado terá o direito de receber os dados pessoais que lhe incumbem, e que forneceu ao responsável pelos tratamento de dados, em formato estruturado, de uso comum e leitura mecânica, e a transmiti-los a outra pessoa responsável pelo tratamento, sem ser impedido pelo responsável ao qual os forneceria em certos casos.

Em que casos? Quando:

  • O tratamento baseia-se no consentimento concedido pela parte interessada para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;
  • O tratamento é realizado por meios automatizados.

Ao exercer o seu direito à portabilidade de dados, a parte interessada terá o direito de transmitir dados pessoais diretamente de responsável a responsável quando tecnicamente possível.

Formatos de portabilidade interoperáveis

Por sua vez, o Considerando 68 do RGPD prevê o seguinte:

Para reforçar ainda mais o controlo sobre os seus próprios dados, quando o processamento de dados pessoais é realizado por meios automatizados, os titulares de dados que forneceram dados pessoais a um responsável pelo tratamento dos dados também devem poder recebê-los num formato estruturado, de uso comum, de leitura mecânica e interoperável, e transmiti-los a outro responsável. Os responsáveis ​​devem ser incentivados a criar formatos interoperáveis ​​que permitam a portabilidade dos dados.

Esse direito deve ser aplicado quando a parte interessada fornecer os dados pessoais, dando o seu consentimento ou quando o tratamento for necessário para a execução de um contrato. Não deve ser aplicado quando o tratamento tiver uma base jurídica diferente da do consentimento ou contrato. Pela sua própria natureza, o referido direito não deve ser exercido contra os responsáveis ​​pelo processamento de dados pessoais no exercício das suas funções públicas.

Portanto, não deve ser aplicado quando o processamento de dados pessoais for necessário para cumprir uma obrigação legal aplicável ao responsável pelo tratamento ou para o cumprimento de uma missão realizada no interesse público ou no exercício de poderes públicos conferidos ao responsável.

O direito do titular dos dados de transmitir ou receber os seus dados pessoais não deve obrigar o responsável pelo tratamento a adotar ou manter sistemas de tratamento tecnicamente compatíveis. Quando um determinado conjunto de dados pessoais diz respeito a mais de um titular, o direito de os receber deve ser entendido sem prejuízo dos direitos e liberdades dos outros titulares, de acordo com este Regulamento.

Por outro lado, esse direito não deve comprometer o direito do titular dos dados de obter a exclusão de dados pessoais e as limitações desse direito incluídos no RGPD e, em particular, não deve implicar a exclusão de dados pessoais referentes ao titular dos dados que tenham sido fornecidos para a execução de um contrato, na medida e durante o tempo em que os dados pessoais forem necessários para a execução do referido contrato.

A parte interessada deve ter o direito de transmitir dados pessoais diretamente de um responsável para outro, quando tecnicamente possível.

Além disso, o art. 17 do LOPDGDD, na epígrafe “Direito à portabilidade”, estabelece o seguinte: “O direito à portabilidade deve ser exercido em conformidade com o disposto no artigo 20 do Regulamento (UE) 2016/679”.

Dados inferidos e derivados

Dito isto, é importante esclarecer que os dados que podem ser considerados “inferidos” e “derivados” não são objeto do direito de portabilidade, entendidos como aqueles que resultam da aplicação das informações geradas no desenvolvimento do serviço de conhecimento ou de técnicas próprias do responsável ou seja, provenientes da aplicação dos dados relacionados com o produto ou serviço de técnicas que fazem parte do know-how da pessoa responsável (como, entre outras, técnicas matemáticas ou resultantes da aplicação de algoritmos).

As Diretivas adotadas pelo grupo de trabalho criado pelo artigo 29.º da Diretiva 95/46 / CE no que diz respeito ao exercício do direito à portabilidade são muito esclarecedoras e úteis. Nesse sentido, o guia GT do art. 29 mencionado acima refere-se às ferramentas para levar a cabo a portabilidade de dados.

Do ponto de vista técnico, os responsáveis pelos dados devem oferecer opções diferentes para implementar o direito à portabilidade de dados. Por exemplo, devem oferecer ao titular dos dados a opção de descarga direta e, ao mesmo tempo, permitir que os titulares transmitam os dados diretamente para outro responsável, o que pode ser feito disponibilizando uma API, ou seja, interfaces para aplicações ou serviços web que os responsáveis pelos dados põem à disposição para que outros sistemas ou aplicações possam interagir e trabalhar com os seus sistemas.

Quando pode exercer-se a portabilidade

Concluindo, deve ficar claro que o direito à portabilidade apenas pode ser exercido nos casos previstos no artigo 20 do RGPD, e devem ser determinadas as condições sobre quais os dados que devem ser “transmitidos”:

Primeira condição: dados pessoais que dizem respeito à parte interessada.
Segunda condição: dados fornecidos pela parte interessada.
Terceira condição: o direito à portabilidade de dados não deve afetar adversamente os direitos e liberdades de terceiros.

Da mesma forma, mais informações, bem como formulários para o exercício do direito de portabilidade, podem ser encontrados no site da Agência Espanhola de Proteção de Dados.