guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Derecho a la portabilidad de datos

Derecho a la portabilidad de datos

Protección de datos

¿Qué es el derecho a la portabilidad de los datos?

El derecho a la portabilidad de los datos es el derecho del interesado, la persona física cuyos datos personales son objeto de tratamiento, a recibir del responsable del tratamiento o a que se transmitan a otro responsable del tratamiento los datos personales que haya proporcionado al responsable con su consentimiento o en el cumplimiento de un contrato y se traten de manera automatizada.

Con este derecho, el Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) trató de dar más control a la persona física cuyos datos personales son objeto de tratamiento al mismo tiempo que se quiso fomentar la competencia entre empresas en el Mercado Único Digital, ya que la portabilidad permite al interesado poder transferir o reutilizar sus datos personales con otras empresas, por ejemplo, redes sociales, plataformas digitales, etc.

En definitiva, el derecho a la portabilidad, permite al interesado obtener del responsable del tratamiento una parte de sus datos personales y reutilizarlos. Al respecto, el Grupo de Trabajo del Artículo 29, actualmente CEPD, Comité Europeo de Protección de Datos, publicó unas Directrices sobre el derecho a la portabilidad de los datos, WP 242 rev.01, revisadas y adoptadas el 5 de abril de 2017, en las que se mencionaba que este derecho ofrece a los interesados una forma sencilla de gestionar y reutilizar por sí mismos sus datos personales.

¿A qué datos personales aplica el derecho a la portabilidad?

El interesado podrá solicitar el derecho a la portabilidad respecto de sus datos personales, los que se refieren al mismo o le incumben, cuando el tratamiento esté basado en su consentimiento, incluyendo su consentimiento explícito para el tratamiento de categorías especiales de datos, o para el cumplimiento de un contrato.

Además, es necesario que el tratamiento de los datos personales se efectúe por medios automatizados.

Se aplica a los datos personales que incumben al interesado, es decir, que ha proporcionado de manera activa, ya sea, por ejemplo, cumplimentando un formulario o haciendo uso del servicio proporcionado por el responsable del tratamiento.

Esto significa que este derecho no será aplicable a los datos personales que el responsable del tratamiento haya inferido o deducido del interesado. Un ejemplo al respecto, puede ser el caso en el que una persona física pide un crédito a un banco en línea (online), en cuyo caso podrá portar los datos personales que haya proporcionado, pero no las predicciones que haya hecho el banco a la hora de conceder o no el crédito.

¿Qué implica la portabilidad de los datos personales?

La portabilidad de los datos de los datos personales implica que el interesado tiene derecho a reutilizarlos, por sí mismo o cuando otro responsable del tratamiento, al que se portan, los trata.

Lo que no implica o supone el ejercicio del derecho a la portabilidad es que el responsable del tratamiento tenga que borrarlos o suprimirlos. Al respecto, el Considerando 68 del RGPD es claro al explicar que el derecho a la portabilidad no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato.

Es decir, son derechos independientes, como ocurre también en relación con el resto de derechos en materia de protección de datos.

Cuando los datos personales son portados, ya sea que el interesado los descargue o reciba o que se transmitan directamente a otro responsable del tratamiento, el responsable del tratamiento que atiende a la solicitud del ejercicio del derecho no es responsable por el tratamiento que pudieran hacer, respectivamente, el interesado o el nuevo responsable del tratamiento.

Y si quien los trata es un nuevo responsable del tratamiento, el receptor, este tendrá la obligación de cumplir con la normativa aplicable en materia de protección de datos personales, de manera que tendrá que aplicar las medidas necesarias para garantizar un tratamiento lícito y leal de los datos personales.

¿Cómo se portan los datos personales?

Cuando el interesado ejerce su derecho a la portabilidad, en los términos ya expuestos, puede solicitar recibir los datos personales en un formato estructurado, de uso común y lectura mecánica o a que se transmitan a otro responsable del tratamiento.

No obstante, en este último caso, cuando lo que se solicita es la transmisión a otro responsable del tratamiento, es necesario que la transmisión de responsable a responsable sea técnicamente posible y, en cualquier caso, sin que el responsable del tratamiento pueda imponer impedimentos de cualquier naturaleza, tales como cualquier obstáculo legal, técnico o financiero impuesto por el responsable del tratamiento con el fin de evitar o ralentizar el acceso, la transmisión o la reutilización de los datos por parte del interesado o de cualquier otro responsable del tratamiento (GT29, WP 242 rev.01).

De no ser técnicamente posible la portabilidad de los datos personales por transmisión directa entre responsables del tratamiento, el responsable del tratamiento que tendría que proceder a la portabilidad, explicará dicha circunstancia al interesado y se considerará que tiene un efecto similar a la negativa a dar curso a la solicitud de ejercicio del derecho.

Que la portabilidad sea técnicamente posible implica también que los sistemas de los responsables del tratamiento, el que procede a portar los datos y el que los recibe, sean interoperables, lo que no significa que tengan que ser compatibles. Al respecto, el GT29 ha indicado que el derecho del interesado a transmitir o recibir datos personales que lo conciernan no debe obligar al responsable a adoptar o mantener sistemas de tratamiento que sean técnicamente compatibles.

Y, en cualquier caso, como ha indicado el GT29, la portabilidad de los datos personales tiene que producirse de manera segura. Es decir, hay que garantizar que los datos personales se entregan de forma segura a la persona adecuada.

¿Cuáles son los límites al derecho a la portabilidad?

Hay varios casos en los que, por diversas razones, no se será posible ejercer el derecho a la portabilidad de los datos personales.

Si atendemos a los datos personales mismos, cuando los datos personales, siempre que se cumplan los requisitos aplicables en cuanto a la base de legitimación del tratamiento y de que dicho tratamiento sea automatizado, no hayan sido proporcionados por el interesado, es decir, han sido inferidos o deducidos por el responsable del tratamiento, a dichos datos no aplicará el derecho a la portabilidad.

Tampoco cabrá el derecho a oposición cuando los datos personales se refieran a terceros, es decir, a otras personas físicas. Y el ejercicio de este derecho no podrá afectar negativamente a los derechos y libertades de otros.

Como ya se ha indicado, cuando la condición que legitima el tratamiento de los datos personales del interesado no sea el consentimiento o el cumplimiento de un contrato, no será posible ejercer el derecho a la portabilidad de los datos personales. En particular, el apartado 3 del artículo 20 del RGPD indica que este derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

Y cabría considerar también que, una vez suprimidos o anonimizados los datos personales, tampoco será posible ejercer el derecho de portabilidad, lo que además supondrá que deje de ser aplicable la normativa sobre protección de datos personales.

¿Cuáles son los requisitos generales del procedimiento a aplicar?

La gestión de la solicitud del ejercicio del derecho a la portabilidad implica que el responsable del tratamiento tenga que considerar las cuestiones que se indican a continuación.

La solicitud de portabilidad podrá presentarse por el propio interesado o a través de un representante legal o voluntario y, en el caso de menores de catorce años, podrá ejercerse por quienes tengan su patria potestad. En cuanto a la identificación de la persona física que solicita el ejercicio del derecho correspondiente, si bien el responsable del tratamiento no está obligado a obtener o tratar información adicional para identificar al interesado (artículo 11.1 del RGPD), el interesado podrá facilitar información adicional que permita su identificación (art. 11.2 del RGPD), sin que el responsable se pueda negar a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no puede identificar al interesado.

El ejercicio de los derechos de los interesados es gratuito, salvo que las solicitudes del interesado sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, teniendo que demostrar el responsable del tratamiento estos extremos. Y en estos casos el responsable del tratamiento podrá aplicar un canon razonable en virtud de los costes administrativos soportados o bien negarse a dar curso a la solicitud.

El responsable del tratamiento tiene obligación de dar respuesta a toda solicitud sobre el ejercicio de derechos en el plazo máximo de un mes desde su recepción, salvo que, dada la complejidad o el número de solicitudes, no pueda atenderse, en cuyo caso se podrá prorrogar hasta dos meses. En dicho caso, el responsable, en el plazo de un mes desde que reciba la solicitud, y sin dilación indebida, tendrá que informar al interesado de dicha circunstancia e indicar las razones de la dilación. Y corresponde al responsable del tratamiento probar que ha cumplido con la respuesta a la solicitud del interesado.

Si no se da curso a la solicitud del interesado, el responsable tendrá que informar sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales (artículo 12.4 del RGPD).

Las comunicaciones con el interesado sobre las solicitudes de ejercicio de derechos tienen que hacerse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño (artículo 12.1 del RGPD). Y si la solicitud se presenta por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo (artículo 12.3 del RGPD).

¿Cuál sería la sanción aplicable si no se atiende al derecho de portabilidad?

Incumplir con el derecho de portabilidad de los datos podría suponer la comisión de una infracción (art. 83.5.b del RGPD) que podría ser sancionada, cuando se trate de empresas, con multa administrativa de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Sin perjuicio de lo anterior, es necesario recordar que las autoridades de protección de datos tienen también poderes correctivos que, en relación con los derechos, como el de portabilidad, implican que puedan ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado (artículo 58.2.c del RGPD).

En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Recuerde que…

  • El derecho a la portabilidad consiste en que el interesado puede solicitar al responsable del tratamiento obtener sus datos personales para guardarlos o reutilizarlos.
  • Es necesario que se cumplan los requisitos aplicables a los datos personales a los que se refiere, a su tratamiento y a la posibilidad de que puedan transmitirse directamente entre dos responsables.
  • El incumplimiento por el responsable del tratamiento en relación con el derecho a la portabilidad puede conllevar la imposición de una multa administrativa.
Subir