Saltar al contenido

Derecho a la portabilidad de los datos

Portabilidad de datos en el RGPD

Este nuevo derecho introducido por el Reglamento General de Protección de Datos (RGPD) se añade a los ya más que conocidos derechos ARCO y en su primera parte, es bastante similar al derecho de acceso. Se recoge en el artículo 20 del RGPD y permitirá a los interesados recibir sus datos personales, y a que sean transmitidos a otro responsable, cuando sea técnicamente posible. Hablamos aquí de datos tratados mediante medios automatizados.

Únicamente podrán ser portados aquellos que hubieran sido facilitados por el interesado, lo que excluye en principio los generados por el propio responsable. Solo serán portados cuando el tratamiento esté basado en el consentimiento del interesado, en el marco de un contrato o cuando se realice por medios automatizados.

Bajo mi punto de vista, en el futuro nos veremos frente a la problemática de valorar exactamente cuáles serán los datos que estarán sujetos o no a este derecho de portabilidad. ¿Actividad doméstica, actividad bancaria, y los compartidos en redes sociales? ¿O los proporcionados de manera pasiva al navegar por un sitio web? ¿Y si hay datos de terceros en los portados, como se asegura su derecho?

No será aplicable la portabilidad de los datos cuando el tratamiento sea necesario para el cumplimiento de “una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.

El responsable deberá informar a los interesados sobre este derecho y tendrá un plazo de un mes para contestar a las reclamaciones de los interesados, prorrogáble a dos meses (artículo 12 RGPD). Cuando sean varios los responsables o encargados de tratamiento que participen en el tratamiento de los datos, deberá quedar claro cuál de ellos será el responsable de responder a las reclamaciones de portabilidad de los datos.

En la práctica se plantearan problemas a la vez que oportunidades, tanto para los interesados como para los responsables de los datos. Para los interesados, este derecho a la portabilidad de los datos aportará transparencia y control sobre sus datos, pudiendo cambiar por ejemplo de prestador de servicios de manera eficaz. Para las organizaciones, dará confianza a sus clientes, y puede verse como un factor de desarrollo del mercado y libre circulación de datos. Por otro lado, supondrá para ellas un coste extra tanto en el procedimiento de respuesta como en el de extracción y transferencia de los datos en sí.

El formato en el que se realice la portabilidad de los datos será uno de los grandes problemas a afrontar por todos aquellos que traten datos de manera automatizada, y por lo tanto les pueda ser exigible este derecho. Será conveniente poder llegar a la máxima estandarización en los formatos de la información. Se pueden favorecer formatos libres, fácilmente accesibles y comprensibles. Esto será indispensable para asegurar la interoperabilidad, que desde un punto de vista etimológico, hace referencia a “trabajar juntos” y técnicamente, supone la capacidad de comunicación e interpretación de datos entre dos plataformas electrónicas.

La lógica invita a pensar que este derecho a la portabilidad de los datos se realizará entre entidades pertenecientes a los mismos sectores de actividad. Así podríamos encontrarnos con estándares sectoriales de transferencia de datos, puesto que es de suponer que tratarán los mismos tipos de datos y con las mismas finalidades. Por ejemplo entre prestadores de servicios online (hosting, CRM,…), aseguradoras, servicios de salud, etc.

Hay que asegurar que la transferencia de los datos se realice de forma que la información quede totalmente protegida en sus tres principales dimensiones, confidencialidad, integridad y disponibilidad, en atención al nivel de protección requerido por la información. La transmisión de los datos deberá cumplir los requisitos de seguridad recogidos en el RGPD, “medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”, especificando el cifrado por ejemplo. Medidas de seguridad que ya deberían cumplir previamente si estaban tratando datos de los interesados.

En cualquier caso, este derecho será precisado caso por caso a medida que vayan surgiendo dudas, a la vez que con informes de las diferentes autoridades de protección de datos, dando ejemplos de su utilización, lo que aportará seguridad jurídica a los organismos implicados y a los interesados.

Algunos consejos que los responsables deberían ya tener en cuenta son:

  • Incorporar en sus procedimientos de respuesta a ejercicios ARCO el derecho a la portabilidad.
  • Estandarizar el proceso de transferencia interoperable de los datos hacia otros responsables. Asegurando que únicamente se transferirán los datos del interesado y respetando los derechos de terceros.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s