¿Has implantado en tu compañía procedimientos para el ejercicio del derecho a la portabilidad de los datos?

Según el artículo 20 del Reglamento General de Protección de datos, consiste en el derecho del interesado a “recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable sin que lo impida el responsable al que se los hubiera facilitado cuando:

a) El tratamiento esté basado en el consentimiento o en un contrato.

b) El tratamiento se efectúe por medios automatizados.

Los que conciernan al interesado y que éste hubiera proporcionado al responsable, sin que puedan afectar negativamente a los derechos y libertades de terceros. Es decir, cualquier dato que el interesado facilitó directamente a la compañía como aquellos datos que se hayan podido generar en el transcurso del servicio.

Ejemplos:

• Si un interesado decide cambiarse de compañía telefónica, ésta podría ofrecer al interesado la descarga de su información personal. Sin embargo, resultaría discutible que pudiera facilitar el historial de llamadas, donde figuran datos de terceros, a la nueva compañía telefónica.
• Si un interesado hace uso de una aplicación que, en base a la información recogida a través de los perfiles en redes sociales de éste, la compañía podría ofrecer al interesado la descarga de un archivo con su información personal, así como de los datos generados por el uso de la aplicación, por ejemplo, los datos de geolocalización. Sin embargo, no estaría obligada a facilitar las conclusiones del análisis de dicha información personal.

El derecho a la portabilidad no podrá ejercerse siempre. Para poder ejercerlo el tratamiento de datos deberá cumplir los siguientes requisitos:

1. Que esté basado en el consentimiento de un interesado o en la ejecución de un contrato. Quedan excluidos, por tanto, los datos relativos a tratamientos basados en cualquier otra base legitimadora del artículo 6 del Reglamento, como el interés legítimo del responsable.
2. Que el tratamiento se efectúe por medios automatizados. Sin papel.
3. Para que un responsable pueda facilitar los datos a otro responsable debe ser “técnicamente posible”.

Con carácter general, nos estamos refiriendo a datos que se encuentran almacenados en una o varias bases de datos. Por ello bastará con el desarrollo de cualquier mecanismo capaz de transmitir los datos de la base de datos a otro responsable, o la extracción de una parte de los mismos.

En cuanto a los formatos, en la redacción del Reglamento no se especifica qué formatos deben usarse. El Grupo de Trabajo del artículo 29, por su parte, asevera en su guía sobre el derecho de portabilidad de los datos que lo que se persigue es la interoperabilidad de los sistemas, no su compatibilidad. De esta forma, los formatos que se utilicen deberán permitir que otro tercero reutilice estos datos.

Por ello, el Grupo de Trabajo del artículo 29, recomienda en su guía que esto podría conseguirse utilizando tecnologías estándar, tales como XML, JSON, CSV ampliamente usadas y conocidas, asegurándose de incluir metadatos relevantes, con el mayor nivel de detalle posible.

Aunque en principio no lo parezca, esto puede tener muchos riesgos ya que, por un lado el responsable que transmite los datos deberá velar por la seguridad de estos en el transcurso de la transmisión y por otra parte el responsable que recibe los datos deberá comprobar que son los adecuados y pertinentes y limitados para la finalidad por la que son tratados. Es posible que el nuevo responsable no necesite algunos datos de los que le son transmitidos por el anterior responsable, y por tanto no cumpliría con el principio de minimización de los datos.

Como conclusión podemos decir que:

• Será necesario contar con herramientas que ayuden a localizar todos los datos de un interesado, así como discriminar qué datos se lo podrán proporcionar y qué datos no.
• Realizar una pequeña evaluación de impacto de posibles datos de terceros que puedan verse afectados.
• Se deberá contar con un formato a través del cual proporcionar estos datos al interesado.
• Es necesario contar con procedimientos y recursos seguros para transmitir los datos a otro responsable del tratamiento.

Nuestro departamento de Derecho Digital, en su servicio de adaptación al nuevo Reglamento General de Protección de Datos, implantamos procedimientos personalizados para el ejercicio de estos nuevos derechos, de forma que la compañía tenga claro todos los extremos para dar efectividad a estos derechos disminuyendo los riesgos de estas operaciones.

Eduardo Martínez, Victor Méndez