Es posible que no haya que esperar mucho tiempo para que esta solicitud, imprevisible hasta la fecha, se convierta en una práctica habitual para todos nosotros.
Es quizá una de las novedades más llamativas, si bien ni mucho menos la más importante de entre las que contempla el inminentemente aplicable (a partir del 25 de mayo de 2018) Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (SP/LEG/19835). Concretamente, es el art. 20 de la norma comunitaria el que prevé y regula este derecho sin precedentes en nuestro país:
“Artículo 20. Derecho a la portabilidad de los datos
- El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al art. 6, apdo. 1, letra a), o el art. 9, apdo. 2, letra a), o en un contrato con arreglo al art. 6, apdo. 1, letra b), y
b) el tratamiento se efectúe por medios automatizados.
2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apdo. 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
3. El ejercicio del derecho mencionado en el apdo. 1 del presente artículo se entenderá sin perjuicio del art. 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
4. El derecho mencionado en el apdo. 1 no afectará negativamente a los derechos y libertades de otros”.
Para un estudio pormenorizado de la nueva regulación sobre protección de datos, os recomendamos nuestra Guía práctica publicada en diciembre de 2018, con Comentarios doctrinales, Textos legislativos, Formularios y Esquemas:
Como no podía ser de otra forma, la futura Ley española de Protección de Datos de Carácter Personal, que servirá para adaptar nuestra normativa interna a los nuevos postulados de la UE, también prevé el derecho a la portabilidad de los datos, si bien hablo de prever y no de regular, porque el actual proyecto, disponible en nuestra web especializada TOP JURÍDICO Protección de Datos, que se tramita en las Cortes, aún en plazo de enmiendas ante el Congreso, se limita en su art. 17 a expresar que “El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679”.
La Agencia Española de Protección de Datos, en su inestimable labor de facilitar a empresas y particulares el cumplimiento de los nuevos deberes que se nos avecinan, así como de difundir y dar a conocer nuestras nuevas prerrogativas, ha elaborado unas “Directrices sobre el derecho a la portabilidad de los datos en el nuevo Reglamento Europeo de Protección de Datos” (SP/DOCT/23263).
No pretendo, a través de este post, hacer un análisis exhaustivo del nuevo derecho a la portabilidad de los datos, entre otras razones, porque el lector ya tiene a su disposición los elaborados para Sepín en la obra “El nuevo Reglamento Europeo de Protección de Datos: Guía para su adaptación”, disponible en formato navegable en su Biblioteca On-line. No obstante, si quisiera resaltar, a modo de pinceladas, los aspectos más relevantes de cada uno de los 4 apartados que componen el ya transcrito art. 20 del Reglamento Europeo de Protección de Datos Personales (REPD, en adelante).
Apartado 1:
- El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando: a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y b) el tratamiento se efectúe por medios automatizados.
Comienza el precepto haciendo referencia al derecho a recibir los datos personales que incumban el interesado; así pues, las dos primeras premisas, valga la redundancia, consisten en recibir datos “personales”, y que afecten al interesado; quedando excluida la recepción y/o portabilidad de otro tipo de información que no merezca el calificativo de datos de carácter personal o que no afecten al interesado.
Además, los datos personales deben transmitirse en un formato estructurado, de uso común y lectura mecánica. El objetivo es conseguir la interoperabilidad del formato en el que se facilitan los datos. La propia Exposición de Motivos del REPD indica que “Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos”.
En segundo lugar, para que podamos irrogarnos este derecho a la portabilidad, es necesario que se trate de datos que hayan sido o estén siendo tratados sobre la base de nuestro previo consentimiento o en cumplimiento de un contrato. En este sentido, el Grupo de Trabajo del art. 29 considera que no se incluirían los datos creados por el responsable del tratamiento (utilizando los datos observados o facilitados directamente como información), tales como un perfil de usuario creado por el análisis de datos en bruto recogidos por un sistema de medición inteligente, pero sí los datos personales que se observan a partir de las actividades de los usuarios, tales como registros de actividad, historial de uso de sitios web o actividades de búsqueda.
Por último, el art. 20.1 alude a la necesidad de que estemos ante un tratamiento automatizado de datos, dejando al margen los datos que únicamente consten en archivos en papel.
Apartado 2:
- Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
En este apartado se da un paso más y se llega a la auténtica portabilidad o, mejor dicho, a la portabilidad en su máxima expresión. Como indica la Agencia en sus Directrices, este elemento de la portabilidad de los datos proporciona a los interesados la posibilidad, no solo de obtener y reutilizar, sino también de transmitir a otro proveedor de servicios (ya sea en el mismo sector empresarial o en otro) los datos que han facilitado.
Apartado 3:
- El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
En primer lugar, debe tenerse en cuenta que el hecho de solicitar la portabilidad de los datos a un responsable no conlleva, necesariamente, que nuestros datos sean suprimidos por aquel. Podemos seguir usando los servicios del responsable del tratamiento incluso después de una operación de portabilidad de datos. La portabilidad tampoco afecta al plazo de conservación de los datos por los responsables del tratamiento.
Es por ello que el apdo. 3 del art. 20 aclara que el ejercicio de nuestro derecho a la portabilidad se entiende sin perjuicio del art. 17, que a la postre es el que regula el derecho a la supresión o, el derecho al olvido.
Así pues, los responsables del tratamiento no podrán escudarse en el ejercicio previo o posterior del derecho a la portabilidad de los datos como modo de retrasar o negarse a responder a otros derechos del interesado, entre ellos, el de supresión.
En cuanto a los límites contenidos en el apdo. 3, la exposición de Motivos los justifica en la especial naturaleza de este derecho: “Por su propia naturaleza, dicho derecho no debe ejercerse en contra de responsables que traten datos personales en el ejercicio de sus funciones públicas. Por lo tanto, no debe aplicarse, cuando el tratamiento de los datos personales sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable”.
Apartado 4:
- El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
Es el lógico y común límite al ejercicio de nuestros derechos personales. Como reflexionó Sartre, la libertad de unos acaba donde comienza la de los demás.
Este apartado 4 encuentra su explicación, o antecedente, en el Considerando 68 REPD: “Cuando un conjunto de datos personales determinado concierna a más de un interesado, el derecho a recibir tales datos se debe entender sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento”.
Para explicar las consecuencias prácticas de esta limitación es muy recomendable la lectura de las Directrices de la AEPD, así como los ejemplos por ella difundidos. A modo de simple resumen, y como desenlace de este post, transcribo a continuación parte de sus Conclusiones al respecto:
“A fin de evitar efectos negativos sobre los terceros involucrados, el tratamiento de dichos datos personales por parte de otro responsable del tratamiento se permite solo en la medida en que los datos se mantengan bajo el control exclusivo del usuario solicitante y se gestionen solo para necesidades puramente personales o domésticas. Un «nuevo» responsable del tratamiento receptor (al que se puedan transmitir los datos a solicitud del usuario) no podrá utilizar los datos de terceros que se le transmitan para sus propios fines, p. ej. proponer productos y servicios de mercadotecnia a esos terceros interesados. Por ejemplo, esta información no debe utilizarse para enriquecer el perfil del tercero interesado y reconstruir su entorno social, sin que él lo sepa y dé su consentimiento, ni puede utilizarse para extraer información sobre esos terceros y crear perfiles específicos, aunque sus datos personales se encuentren ya en poder del responsable del tratamiento. De no ser así, tal tratamiento podría considerarse ilícito e injusto, especialmente si no se informa a los terceros afectados y estos no pueden ejercer sus derechos como interesados”.