EL RGPD regula en el Capítulo III los derechos del interesado en materia de protección de datos los cuales quedan descritos en los art. 15 a 20 y en los considerandos 58 a 71. Como veremos más adelante, el RGPD introduce nuevos derechos a los ya existentes en nuestra normativa de protección de datos (los comúnmente denominados derechos ARCO por el acrónimo de Acceso, Rectificación, Cancelación y Oposición) como son el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento.
El derecho a la portabilidad viene regulado en los art. 20 y considerando 68 del RGPD.
Artículo 20: Derecho a la portabilidad de los datos
- El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
- el tratamiento esté basado en el consentimiento con arreglo al artículo 6 (Licitud del tratamiento), apartado 1, letra a), o el artículo 9 (Tratamiento de categorías especiales de datos personales), apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
- el tratamiento se efectúe por medios automatizados.
- Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
- El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17 (Derecho al olvido). Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
- El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
Se establece como un derecho del interesado a recibir todos aquellos datos personales que le incumban y que haya facilitado a un responsable, siempre y cuando el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato y el mismo se efectúe por medios automatizados.
Como excepción se establece aquellos supuestos en los que el tratamiento se funde en el cumplimiento de una misión de interés público o inherente al ejercicio del poder público.
Se establece que los interesados deben de recibir los datos en un formato estructurado de uso común y de lectura mecánica e interoperable o, siempre que la tecnología lo permita, el interesado tendrá el derecho a que los datos personales se transmitan directamente de un responsable de tratamiento a otro.
El derecho a la portabilidad ha suscitado muchas cuestiones respecto qué datos deben ser facilitados al interesado o en su caso el responsable. Se establecen tres categorías de datos, los facilitados por el usuario, los originados por el responsable en el tratamiento de datos e incluso los inferidos por éste último. Para aclararnos dichas dudas y analizar en profundidad el derecho a la portabilidad y el tipo de datos deben de ser facilitados por el responsable al interesado, el Grupo de Trabajo 29 ha publicado una guía denominada:
“Sobre el derecho a la portabilidad de los datos, el 13 de diciembre de 2016, 16/EN/242”
En esta guía de interpretación se abordan las siguientes cuestiones:
Recomendamos su lectura para una correcta interpretación del derecho a la portabilidad, no obstante y en relación con la principal pregunta que se hacen los responsables respecto del alcance de la portabilidad, el GT 29 ha manifestado en dicha guía que los datos que cubre el derecho a la portabilidad son fundamentalmente los datos proporcionados de forma activa y consciente por el interesado, y aquellos datos que son proporcionados también por el interesado en virtud del uso del servicio o el dispositivo. En este último caso la guía del GT29 destaca como ejemplos de datos originados por el servicio, el historial de búsqueda, los datos de tráfico y los datos de ubicación. Podemos concluir por tanto que los datos inferidos o deducidos del interesado y por tanto creados por el responsable sobre la base de los datos proporcionados por éste último, no estarían incluidos en el derechos a la portabilidad.
En lo relativo al alcance del derecho de portabilidad, el artículo 20 RGPD indica que solo se aplica al tratamiento basado en el consentimiento del interesado o ejecución de un contrato. ¿Excluye su aplicación, entonces, ante otros tratamientos como el necesario para cumplir una misión de interés público?
Efectivamente el derecho a la portabilidad se dará siempre y cuando el tratamiento esté basado en el consentimiento o sea necesario para la ejecución de un contrato, por tanto, quedarían exceptuados cuando sea necesario para cumplir una obligación legal aplicable al responsable o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
Una de las cuestiones que más incertidumbre pueden desprender es la extensión de este derecho. En este sentido, ¿qué datos debe el responsable facilitar a los interesados? ¿Solo aquellos que el interesado haya facilitado o todos los que se hayan podido generar durante el tiempo que la empresa los ha tratado?
Efectivamente, es una de las cuestiones más controvertidas en relación al derecho de portabilidad. En principio, el derecho está pensado para que sea posible cambiar de proveedor de servicios y continuar con el servicio de una forma relativamente sencilla, pero con nuevo proveedor. Por tanto, sería más razonable preguntarse qué datos personales va a necesitar el nuevo proveedor. En definitiva, la portabilidad debe aplicarse sobre aquellos datos básicos para que el otro operador o empresa que presta servicios similares pueda empezar a trabajar sin necesidad de que tengas que rellenar otra vez todos los formularios que son necesarios para poder comenzar la relación jurídica. De este modo, facilitar absolutamente todos los datos puede suponer una extralimitación de lo que debería ser el derecho a la portabilidad, no obstante el GT29 ha establecido en su guía sobre el derecho de portabilidad que deberán ser facilitados los datos facilitados por el interesado y los obtenidos del mismo en la prestación del servicio, podemos por tanto encontrarnos en según qué servicios o casos con una cantidad masiva de datos del interesado que deberán ser facilitadas al mismo o a su nuevo proveedor. Desde mi punto de vista esto puede originar muchos problemas no sólo económicos por la dedicación de tiempo y personal para realizar la portabilidad, si no también de falta de información al usuario que autorice extracción masiva de sus datos por nuevos proveedores excediéndose dicha entrega de los datos que realmente quiere el interesado ceder al nuevo proveedor para la prestación del servicio.