Derecho a la portabilidad de los datos

El RGPD otorga a las personas afectadas por el tratamiento de datos personales algunos derechos de los interesados en el artículo 13 y siguientes del RGPD. Sirven para proteger los datos personales.

Uno de estos derechos de los interesados es el derecho a la portabilidad de los datos, de conformidad con el artículo 20 del RGPD. Pero, ¿qué significa realmente la portabilidad de datos?

Sentido y propósito

En el RGPD, el derecho a la portabilidad de los datos es de nueva creación en comparación con sus predecesores legales. Su objetivo es dar a los interesados un mayor control sobre sus datos personales (considerando 68 del RGPD). Debería ser mucho más fácil cambiar el controlador.

Esto no sólo promueve sistemas más favorables a la protección de datos desde el punto de vista de la política de competencia, a los que los interesados desean cambiar, sino que también evita vinculaciones de los interesados que son relevantes en virtud de la legislación antimonopolio. El legislador tenía en mente sobre todo la vinculación de los proveedores de servicios de Internet. Sin embargo, el artículo 20 del RGPD es igualmente aplicable a las redes sociales, los servicios de streaming de música, las aplicaciones de correo web, los bancos, las compañías de seguros y todos los demás responsables del tratamiento de datos.

Requisitos

Las condiciones para ejercer el derecho a la transferencia de datos se establecen en el artículo 20 del RGPD:

• El interesado debe presentar una solicitud al responsable del tratamiento.
• Debe hacerla valer precisamente el interesado, es decir, los datos en cuestión deben referirse a esa persona.
• Los datos deben haber sido facilitados al responsable del tratamiento por el interesado. No se incluyen los datos facilitados por terceros. Tampoco se incluyen los datos obtenidos a partir de los datos facilitados (por ejemplo, mediante la elaboración de perfiles). En cambio, los datos meramente vinculados a datos de terceros se incluyen siempre que no se vean afectados los derechos y libertades de otras personas (art. 20 IV del RGPD), lo que debe evaluarse caso por caso.
• El tratamiento por parte del responsable del tratamiento se basa en el consentimiento efectivo o en un contrato.
• Los datos se procesan automáticamente.

¿Qué puede exigir el interesado?

El derecho a la portabilidad de los datos no sólo otorga al interesado el derecho a solicitar que se le transfieran los datos personales facilitados al responsable del tratamiento, sino también el derecho a que el responsable original transfiera los datos directamente a un nuevo responsable del tratamiento.

El controlador original está entonces obligado a transmitir los datos en un formato interoperable, es decir, estructurado, común y legible por máquina. Sin embargo, no está obligado a mantener o adoptar sistemas de tratamiento de datos técnicamente compatibles.

Aplicación práctica

El alcance del derecho a la portabilidad de los datos demuestra que se trata de un tema que los responsables de la protección de datos deben abordar en una fase temprana. Debe consultarse detalladamente al responsable de protección de datos correspondiente.

En primer lugar, hay que aclarar en qué medida la propia empresa podría verse afectada por las solicitudes de transferencia de datos y qué cantidad de recursos serían necesarios para ello. También debe considerarse a qué datos de la empresa podría afectar específicamente el derecho a la transferencia de datos y dónde se almacenan exactamente estos datos.

Cuando se trata de una solicitud de transferencia de datos, lo primero que hay que hacer siempre es aclarar cuidadosamente la identidad de la persona que hace la solicitud. Este proceso también debe documentarse para poder demostrarlo posteriormente.

También hay que tener en cuenta la aplicación práctica de la transmisión. Los puntos importantes aquí son los posibles formatos que cumplan los requisitos legales y el cifrado (debe prestarse especial atención a los datos personales de una categoría especial).

Si un interesado se limita a presentar una solicitud de transferencia de datos, ésta no incluye automáticamente una solicitud de supresión de los datos del responsable del tratamiento original, lo que en realidad es contrario al principio de economía de datos. La solicitud de supresión de los datos debe ser mencionada explícitamente por el interesado.

Por tanto, en casos individuales, lo mejor es ponerse en contacto con el responsable de protección de datos de su país.