El derecho a la portabilidad de los datos, es una de las novedades del tan comentado Reglamento General de Protección de Datos (Reglamento UE 2016/679).
Según el artículo 20 del Reglamento General de Protección de datos, consiste en el derecho del interesado a “recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que lo impida el responsable al que se los hubiera facilitado cuando:
a) El tratamiento esté basado en el consentimiento o en un contrato.
b) El tratamiento se efectúe por medios automatizados.
¿Qué datos debe facilitar el responsable?Los que conciernan al interesado y que éste hubiera proporcionado al responsable, sin que puedan afectar negativamente a los derechos y libertades de terceros. Es decir, cualquier dato que el interesado facilitó directamente a la compañía como aquellos datos que se hayan podido generar en el transcurso del servicio.
Ejemplos:
El derecho a la portabilidad no podrá ejercerse siempre. Para poder ejercerlo el tratamiento de datos deberá cumplir los siguientes requisitos:
Con carácter general, nos estamos refiriendo a datos que se encuentran almacenados en una o varias bases de datos. Por ello bastará con el desarrollo de cualquier mecanismo capaz de transmitir los datos de la base de datos a otro responsable, o la extracción de una parte de los mismos.
En cuanto a los formatos, en la redacción del Reglamento no se especifica qué formatos deben usarse. El Grupo de Trabajo del artículo 29, por su parte, asevera en su guía sobre el derecho de portabilidad de los datos que lo que se persigue es la interoperabilidad de los sistemas, no su compatibilidad. De esta forma, los formatos que se utilicen deberán permitir que otro tercero reutilice estos datos.
Por ello, el Grupo de Trabajo del artículo 29, recomienda en su guía que esto podría conseguirse utilizando tecnologías estándar, tales como XML, JSON, CSV ampliamente usadas y conocidas, asegurándose de incluir metadatos relevantes, con el mayor nivel de detalle posible.
¿Cómo los transmitimos de responsable a responsable?Aunque en principio no lo parezca, esto puede tener muchos riesgos ya que, por un lado el responsable que transmite los datos deberá velar por la seguridad de estos en el transcurso de la transmisión y por otra parte el responsable que recibe los datos deberá comprobar que son los adecuados y pertinentes y limitados para la finalidad por la que son tratados. Es posible que el nuevo responsable no necesite algunos datos de los que le son transmitidos por el anterior responsable, y por tanto no cumpliría con el principio de minimización de los datos.
Como conclusión podemos decir que:
Nuestro departamento de Derecho Digital, en su servicio de adaptación al nuevo Reglamento General de Protección de Datos, implantamos procedimientos personalizados para el ejercicio de estos nuevos derechos, de forma que la compañía tenga claro todos los extremos para dar efectividad a estos derechos disminuyendo los riesgos de estas operaciones.
Eduardo Martínez, Victor Méndez