Reglamento General de Protección de Datos (RGPD) : Derecho de portabilidad, oposición y a limitar las decisiones individuales automatizadas

2.6 DERECHO DE PORTABILIDAD

El derecho a la portabilidad viene regulado en los art. 20 y considerando 68 del RGPD.

Artículo 20: Derecho a la portabilidad de los datos

  1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
    1. el tratamiento esté basado en el consentimiento con arreglo al artículo 6 (Licitud del tratamiento), apartado 1, letra a), o el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
    2. el tratamiento se efectúe por medios automatizados.
  2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
  3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17 (Derecho al olvido). Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
  1. Alcance

Se establece como un derecho del interesado a recibir todos aquellos datos personales que le incumban y que haya facilitado a un responsable, siempre y cuando el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios automatizados.

Como excepción se establece aquellos supuestos en los que el tratamiento se funde en el cumplimiento de una misión de interés público o inherente al ejercicio del poder público.

  1. Modo

Se establece que los interesados deben de recibir los datos en un formato estructurado de uso común y de lectura mecánica e interoperable o, siempre que la tecnología lo permita, el interesado tendrá el derecho a que los datos personales se transmitan directamente de un responsable de tratamiento a otro.

El derecho a la portabilidad ha suscitado muchas cuestiones respecto qué datos deben ser facilitados al interesado o en su caso el responsable. Se establecen tres categorías de datos, los facilitados por el usuario, los originados por el responsable en el tratamiento de datos e incluso los inferidos por éste último. Para aclararnos dichas dudas y analizar en profundidad el derecho a la portabilidad y el tipo de datos deben de ser facilitados por el responsable al interesado, el Grupo de Trabajo 29 ha publicado una guía denominada:

“Sobre el derecho a la portabilidad de los datos, el 13 de diciembre de 2016, 16/EN/242”

En esta guía de interpretación se abordan las siguientes cuestiones:

  • ¿Cuáles son los principales elementos de la portabilidad de los datos?
  • ¿Cuándo es aplicable la portabilidad de los datos?
  • ¿De qué modo se aplican las normas generales que rigen el ejercicio de los derechos de los interesados a la portabilidad de los datos?
  • ¿Cómo deben proporcionarse los datos que pueden portarse?

Recomendamos su lectura para una correcta interpretación del derecho a la portabilidad, no obstante y en relación con la principal pregunta que se hacen los responsables respecto del alcance de la portabilidad, el GT 29 ha manifestado en dicha guía que los datos que cubre el derecho a la portabilidad son fundamentalmente los datos proporcionados de forma activa y consciente por el interesado, y aquellos datos que son proporcionados también por el interesado en virtud del uso del servicio o el dispositivo. En este último caso la guía del GT29 destaca como ejemplos de datos originados por el servicio, el historial de búsqueda, los datos de tráfico y los datos de ubicación. Podemos concluir por tanto que los datos inferidos o deducidos del interesado y por tanto creados por el responsable sobre la base de los datos proporcionados por éste último, no estarían incluidos en el derechos a la portabilidad.

PREGUNTAS FRECUENTES:

En lo relativo al alcance del derecho de portabilidad, el artículo 20 RGPD indica que solo se aplica al tratamiento basado en el consentimiento del interesado o ejecución de un contrato. ¿Excluye su aplicación, entonces, ante otros tratamientos como el necesario para cumplir una misión de interés público?

Efectivamente el derecho a la portabilidad se dará siempre y cuando el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato, por tanto, quedarían exceptuados cuando sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.

Una de las cuestiones que más incertidumbre pueden desprender es la extensión de este derecho. En este sentido, ¿qué datos debe el responsable facilitar a los interesados? ¿Solo aquellos que el interesado haya facilitado o todos los que se hayan podido generar durante el tiempo que la empresa los ha tratado? 

Efectivamente, es una de las cuestiones más controvertidas en relación al derecho de portabilidad. En principio, el derecho está pensado para que sea posible cambiar de proveedor de servicios y continuar con el servicio de una forma relativamente sencilla, pero con nuevo proveedor. Por tanto, sería más razonable preguntarse qué datos personales va a necesitar el nuevo proveedor. En definitiva, la portabilidad debe aplicarse sobre aquellos datos básicos para que el otro operador o empresa que presta servicios similares pueda empezar a trabajar sin necesidad de que tengas que rellenar otra vez todos los formularios que son necesarios para poder comenzar la relación jurídica. De este modo, facilitar absolutamente todos los datos puede suponer una extralimitación de lo que debería ser el derecho a la portabilidad, no obstante el GT29 ha establecido en su guía sobre el derecho de portabilidad que deberán ser facilitados los datos facilitados por el interesado y los obtenidos del mismo en la prestación del servicio, podemos por tanto encontrarnos en según qué servicios o casos con una cantidad masiva de datos del interesado que deberán ser facilitadas al mismo o a su nuevo proveedor. Desde mi punto de vista esto puede originar muchos problemas no sólo económicos por la dedicación de tiempo y personal para realizar la portabilidad, si no también de falta de información al usuario que autorice extracción masiva de sus datos por nuevos proveedores excediéndose dicha entrega de los datos que realmente quiere el interesado ceder al nuevo proveedor para la prestación del servicio.

CONCLUSIONES

  • Es el derecho a recibir el interesado u otro responsable los datos personales del interesado en formato común y estructurado siempre y cuando el tratamiento se base en el consentimiento o en la ejecución de un contrato.

 

2.7 DERECHO DE OPOSICIÓN

El derecho a la oposición viene regulado en el art. 21 y en los considerandos 69 a 70 del RGPD.

Artículo 21: Derecho de oposición

  1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el artículo 6, apartado 1, letras e) (interés público) o f) (interés legítimo), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
  2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
  3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales dejarán de ser tratados para dichos fines.
  4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de cualquier otra información.
  5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la Directiva 2002/58/CE (sobre privacidad, ver considerando 173), el interesado podrá ejercer su derecho a oponerse por medios automatizados que apliquen especificaciones técnicas.
  6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de conformidad con el artículo 89 (Garantías y excepciones aplicables al tratamiento con fines de archivo en interés público…), apartado 1, el interesado tendrá derecho, por motivos relacionados con su situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario para el cumplimiento de una misión realizada por razones de interés público.
  1. Alcance

Se establecen los siguientes supuestos específicos en los que poder ejercitar el derecho de oposición:

  • En los supuestos de tratamiento de datos en interés público (6.1 e)
  • En los supuestos de interés legítimo (6.1 f).

En el caso de que los datos sean tratados con finalidades de Marketing Directo el responsable está obligado en todo momento a dejar de tratar los datos en cuanto el interesado se oponga a dicho tratamiento. Además, deberá comunicar su derecho al interesado en la primera comunicación que realice de forma clara y al margen de cualquier otra información.

  1. Modo

A diferencia de nuestra normativa, en la que era el interesado quién debía demostrar la situación particular para la oposición, en el RGPD se invierte dicha carga siendo obligación del responsable demostrar que existen motivos suficientes que prevalezcan sobre los derechos y libertades del interesado. En caso contrario, dejará de tratar los datos personales del interesado.

PREGUNTAS FRECUENTES:

En relación con este derecho y el derecho de supresión, en este último caso ¿el ejercicio de la supresión supone que el interesado permite al responsable tener sus datos en mis sistemas, con la circunstancia de que no puedo usarlos?

El derecho a la supresión no significa que los datos deban ser eliminados, sino que debe dejarse de tratar los mismos, y por tanto podrían ser mantenidos conforme a los requisitos del artículo 17.3. Aunque se supriman los datos porque dejan de ser útiles para la finalidad en la que fueron recabados, o porque ejerciten el derecho de supresión, es posible su conservación para defenderte frente a reclamaciones, ya que de lo contrario quedarías en indefensión frente por ejemplo una demanda del interesado que sabe que ejercitó el derecho de supresión.

Los supuestos del 17.3 serían:

  • El ejercicio de las libertades de expresión e información
  • El Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros.
  • Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • Razones de interés público en el ámbito de la salud pública.
  • Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento
  • Formulación, ejercicio o defensa de reclamaciones.

En conclusión, mientras que en la oposición estamos ante un tratamiento ilegítimo en apariencia o un tratamiento sobre el cual prevalecen los derechos del interesado, manifestando el mismo su disconformidad (su oposición a dicho tratamiento, valga la redundancia); el derecho de supresión supone dejar de utilizar una serie de datos personales sobre los cuales en su día hubo una base legal y justificada para su tratamiento.

CONCLUSIONES

  • Se invierte la carga de la prueba siendo el responsable el que debe de demostrar la existencia de intereses superiores a los del interesado.
  • Opt-out en el marketing Directo.

 

2.8 DERECHO A LIMITAR LAS DECISIONES INDIVIDUALES AUTOMATIZADAS

El derecho a las decisiones automatizadas viene regulado en los art. 21 y considerandos 69 a 70 del RGPD.

Artículo 22: Decisiones individuales automatizadas, incluida la elaboración de perfiles

  1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
  2. El apartado 1 no se aplicará si la decisión:
    1. es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del tratamiento;
    2. está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, o
    3. se basa en el consentimiento explícito del interesado.
  3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la decisión.
  4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales contempladas en el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado.
  1. Alcance

Se incluyen las elaboraciones de perfiles o profiling y se establece que los interesados tendrán derecho a no ser objeto de dichos tratamientos basados únicamente en tratamientos automatizados que produzcan efectos jurídicos o afecten al interesado de forma similar. El considerando 71 establece como ejemplos:

“la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna”

Así mismo, establece dicho considerando lo que puede llegar a entenderse por elaboración de perfiles:

“…elaboración de perfiles consistente en cualquier forma de tratamiento de los datos personales que evalúe aspectos personales relativos a una persona física, en particular para analizar o predecir aspectos relacionados con el rendimiento en el trabajo, la situación económica, la salud, las preferencias o intereses personales, la fiabilidad o el comportamiento, la situación o los movimientos del interesado, en la medida en que produzca efectos jurídicos en él o le afecte significativamente de modo similar.”

“….el responsable debe utilizar procedimientos matemáticos o estadísticos adecuados para la elaboración de perfiles, aplicar medidas técnicas y organizativas apropiadas para garantizar, en particular, que se corrigen los factores que introducen inexactitudes en los datos personales y se reduce al máximo el riesgo de error, asegurar los datos personales de forma que se tengan en cuenta los posibles riesgos para los intereses y derechos del interesado y se impidan, entre otras cosas, efectos discriminatorios en las personas físicas por motivos de raza u origen étnico, opiniones políticas, religión o creencias, afiliación sindical, condición genética o estado de salud u orientación sexual, o que den lugar a medidas que produzcan tal efecto. Las decisiones automatizadas y la elaboración de perfiles sobre la base de categorías particulares de datos personales únicamente deben permitirse en condiciones específicas.”

 Como excepciones se establecen las relaciones contractuales libremente aceptadas y el consentimiento o la previsión del Derecho Nacional o de la UE. Además, se establece que, en el caso de que se haya prestado el consentimiento o exista una relación contractual libremente aceptada, el tratamiento debe estar sujeto a las siguientes garantías adecuadas:

  • Incluir información específica al interesado.
  • Derecho a obtener intervención humana.
  • Derecho a expresar su punto de vista.
  • Derecho a recibir una explicación de la decisión tomada después de la evaluación.
  • Derecho a impugnar la decisión.

PREGUNTAS FRECUENTES:

Con este nuevo derecho, un interesado además de negarse a usar sus datos para elaborar perfiles ¿a qué otro tipo de cosas puede negarse? Si tengo en mis sistemas algún algoritmo que haga este tipo de tratamientos ¿debo informar a los interesados? ¿Cómo pueden ellos saber que los uso?

Realmente, esta consulta puede resolverse con un ejemplo práctico. Imaginemos que no se concede un crédito porque una decisión automatizada sin intervención humana. Que una máquina tome una decisión automatizada que produzca efectos jurídicos o afecte de modo similar sin el consentimiento del interesado no es posible, y aunque lo obtuviera, dicho interesado tiene derecho a incluir información específica al interesado, derecho a obtener intervención humana, derecho a expresar su punto de vista y derecho a recibir una explicación de la decisión tomada después de la evaluación.

Este derecho ¿se podría entender como el de Limitación de Tratamiento, pero siendo permanente y no temporal como el de limitación?

En principio es un derecho con autonomía propia que se da en las circunstancias que marca el art. 21.

CONSULTA: En relación con este derecho y el derecho de supresión, en este último caso ¿el ejercicio de la supresión supone que el interesado me deja tener sus datos en mis sistemas, con la circunstancia de que no puedo usarlos?

El derecho a la supresión no significa que los datos deban ser eliminados, sino que que debe dejarse de tratarlos, y podrían ser mantenidos conforme a los requisitos del artículo 17.3. Aunque se supriman los datos porque dejan de ser útiles para la finalidad en la que fueron recabados o porque ejerciten el derecho de supresión, es posible su conservación para defenderte frente a reclamaciones, ya que de lo contrario quedarías en indefensión frente por ejemplo una demanda del interesado que sabe que ejercitó el derecho de supresión.

Los supuestos del 17.3 serían:

  • El ejercicio de las libertades de expresión e información
  • El Cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros.
  • Tratamiento para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
  • Razones de interés público en el ámbito de la salud pública.
  • Fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el derecho pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento
  • Formulación, ejercicio o defensa de reclamaciones.

En conclusión, mientras que en la oposición estamos ante un tratamiento ilegítimo en apariencia o un tratamiento sobre el cual prevalecen los derechos del interesado, manifestando el mismo su disconformidad (su oposición a dicho tratamiento, valga la redundancia); el derecho de supresión supone dejar de utilizar una serie de datos personales sobre los cuales en su día hubo una base legal y justificada para su tratamiento.

CONCLUSIONES

  • Se permite con el consentimiento del interesado o en relaciones contractuales libremente aceptadas, siempre y cuando se garantice incluir información al respecto y se garantice el derecho del interesado a la intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión y a impugnar la misma.

 

Comments are closed.