¿Cómo se ejerce el derech... sociales?
Ver Indice
»

Última revisión
07/10/2024

datos

1440 - ¿Cómo se ejerce el derecho a la portabilidad de datos en las redes sociales?

Tiempo de lectura: 12 min

Tiempo de lectura: 12 min

Relacionados:

Vademecum: datos

Fecha última revisión: 07/10/2024

Resumen:

En cuanto al derecho a la portabilidad de datos, el art. 20 del RGPD dispone una serie de condiciones para que el interesado tenga derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

Por otra parte, la LOPDGDD también regula el derecho a la portabilidad de datos, en concreto su art. 17 dispone que dicho derecho se ejercerá de acuerdo al art. 20 del RGPD.


Derecho a la portabilidad de los datos en el RGPD

Artículo 20 del RGPD

«1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y

b) el tratamiento se efectúe por medios automatizados.

2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros».

En suma, nos encontramos con un derecho del interesado a recibir los datos personales que haya facilitado a un responsable del tratamiento de los mismos, y a transmitirlos a otro responsable del tratamiento sin que lo impida el anterior, en los siguientes casos:

  • El tratamiento esté basado en el consentimiento en virtud del artículo 6.1.a) o 9.2.a) del RGPD, o en un contrato con arreglo al artículo 6.1.b) del mismo texto legal.
  • El tratamiento se efectúe por medios automatizados.

Si bien, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

No obstante, el derecho a la portabilidad de datos no se aplicará al tratamiento necesario para el:

  • Cumplimiento de una misión realizada en interés público.
  • Ejercicio de poderes públicos conferidos al responsable del tratamiento.

A TENER EN CUENTA. El ejercicio de este derecho se entenderá sin perjuicio del derecho de supresión del artículo 17 del RGPD.

También son varios los fundamentos del RGPD que se refieren a este derecho del interesado, entre ellos, podemos enumerar los siguientes:

a) El considerando 68 aclara que para fortalecer el control del interesado sobre sus propios datos personales cuando el tratamiento se realice:

«(...) por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato. No debe aplicarse cuando el tratamiento tiene una base jurídica distinta del consentimiento o el contrato (...)».

Además, el derecho que nos ocupa no debe ejercerse o aplicarse:

- En contra de los responsables que traten datos personales en el ejercicio de sus funciones públicas.

- Cuando el tratamiento de datos sea imprescindible para la efectividad de una obligación legal del responsable del tratamiento de datos.

- Para el cumplimiento de una misión efectuada en interés público o en ejercicio de poderes públicos concedidos al responsable del tratamiento de datos.

No obstante, cuando un grupo de datos personales específico se refiera a varios interesados, el derecho a la portabilidad de los datos personales debe interpretarse:

«(...) sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato (...)».

b) El considerando 73 dispone que el derecho de la Unión Europea o de sus Estados miembros puede imponer limitaciones, necesarias y proporcionadas, a algunos principios y a los derechos de información, acceso, rectificación, o supresión de datos personales, al derecho de portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, y a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, para salvar:

- La seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano.

- La prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública.

- Las violaciones de normas deontológicas en las profesiones reguladas, y su prevención.

- Otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro.

- La llevanza de registros públicos por razones de interés público general, el tratamiento ulterior de datos personales archivados para ofrecer información específica relacionada con el comportamiento político durante los regímenes de antiguos Estados totalitarios.

- La protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.

No obstante, las citadas limitaciones deben ser adecuadas a lo establecido en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

c) El considerando 156 se ocupa del tratamiento de datos personales con fines de archivo en interés público, de investigación científica o histórica o estadísticos, así, el referido tratamiento:

«(...) debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Los Estados miembros deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Debe autorizarse que los Estados miembros establezcan, bajo condiciones específicas y a reserva de garantías adecuadas para los interesados, especificaciones y excepciones con respecto a los requisitos de información y los derechos de rectificación, de supresión, al olvido, de limitación del tratamiento, a la portabilidad de los datos y de oposición, cuando se traten datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos (...)».

CUESTIONES

1. ¿Qué información deberá facilitarse cuando los datos personales se obtengan del interesado?

A mayores de la información contenida en el apartado primero del artículo 13 del RGPD, el responsable del tratamiento suministrará al interesado, cuando obtenga los datos personales, la información necesaria para garantizar un tratamiento conforme a los principios de lealtad y transparencia, como (artículo 13.2.b del RGPD):

«b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos».

2. ¿Qué información deberá facilitarse cuando los datos personales no se hayan obtenido del interesado?

Además de la información estipulada en el apartado primero del artículo 14 del RGPD, el responsable del tratamiento de datos facilitará al interesado la información para garantizar un tratamiento leal y transparente, como (artículo 14.2.c del RGPD):

«c) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos».

3. ¿El derecho a la portabilidad de los datos podrá afectar a los derechos y libertades de otros individuos?

El derecho del apartado primero del artículo 20 del RGPD no afectará negativamente a los derechos y libertades de otros (artículo 20.4 del RGPD).

Derecho a la portabilidad en la LOPDGDD

Artículo 17 de la LOPDGDD

«El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679».

Como se puede ver, la LOPDGDD nos remite a lo dispuesto en el RGPD sobre aspectos que hemos desarrollado en el punto anterior.

Si bien, en el título X de la LOPDGDD, que trata de la garantía de los derechos digitales, se encuentra el artículo 95 que regula el derecho de portabilidad en servicios de redes sociales y servicios equivalentes y que reza de la siguiente manera:

«Los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible.

Los prestadores podrán conservar, sin difundirla a través de Internet, copia de los contenidos cuando dicha conservación sea necesaria para el cumplimiento de una obligación legal».

A mayor abundamiento, la AEPD, en concreto, el grupo de trabajo de protección de datos del artículo 29 elabora unas Directrices sobre el derecho a la portabilidad de los datos, en las que analiza los principales elementos del derecho a la portabilidad de los datos, estos son:

a. Derecho a recibir los datos personales:

«(...) la portabilidad de los datos es el derecho del interesado a recibir un subconjunto de datos personales que le conciernan, procesados por un responsable del tratamiento, y a almacenar dichos datos para un uso personal posterior. Dicho almacenamiento podrá realizarse en un dispositivo privado o en una nube privada, sin tener que transmitir necesariamente los datos a otro responsable del tratamiento.

En este sentido, la portabilidad de los datos complementa el derecho de acceso. Un aspecto especifico de la portabilidad de los datos reside en el hecho de que ofrece a los interesados una forma sencilla de gestionar y reutilizar por sí mismos sus datos personales. Dichos datos deberán recibirse "en un formato estructurado, de uso común y lectura mecánica" (...)».

b. Transmitir a otro responsable del tratamiento:

«(...) este elemento de la portabilidad de los datos proporciona a los interesados la posibilidad, no solo de obtener y reutilizar, sino también de transmitir a otro proveedor de servicios (ya sea en el mismo sector empresarial o en otro) los datos que han facilitado. Además de proporcionar capacitación a los consumidores al evitar la «retención», se espera que el derecho a la portabilidad de los datos promueva oportunidades para la innovación y el intercambio de datos entre responsables del tratamiento de forma segura, bajo el control del interesado. La portabilidad de los datos puede promover que los usuarios intercambien, de un modo controlado y limitado, datos personales entre organizaciones y, de ese modo, enriquecer los servicios y experiencias de los consumidores. Puede facilitar la transmisión y reutilización de los datos personales de los usuarios entre los distintos servicios en los que están interesados».

c. Responsabilidad. Los responsables del tratamiento que responden a solicitudes de portabilidad, en las condiciones expuestas por el artículo 20, no son responsables del tratamiento gestionado por el interesado o por cualquier otra empresa que recibe datos personales. La portabilidad de los datos no impone al responsable del tratamiento la obligación de retener los datos personales por más tiempo del necesario o más allá de un periodo de retención especificado. Y lo que es importante: no existe el requisito adicional de comenzar la retención de tales datos simplemente para dar respuesta a una posible solicitud de portabilidad de datos. Al mismo tiempo, un responsable del tratamiento receptor es responsable de garantizar que los datos proporcionados que se pueden portar sean pertinentes y no excesivos en relación con el nuevo tratamiento de datos.

d. Otros derechos de los interesados. Cuando una persona ejerce su derecho a la portabilidad de los datos (u otro derecho contenido en la RGPD) lo hace sin perjuicio de cualquier otro derecho. Un interesado puede seguir usando y beneficiándose del servicio del responsable del tratamiento incluso después de una operación de portabilidad de datos. Asimismo, si el interesado quiere ejercer su derecho de supresión, el responsable del tratamiento no puede usar la portabilidad de los datos como excusa para dilatar o rechazar tal borrado. La portabilidad de los datos no conlleva automáticamente el borrado de los datos de los sistemas del responsable del tratamiento ni afecta al periodo de retención original aplicable a los datos que se han transmitido, de acuerdo con el derecho a la portabilidad de los datos. El interesado puede ejercer sus derechos en tanto el responsable del tratamiento siga procesando los datos.

Como ejemplo paradigmático del derecho a la portabilidad de datos personales podemos destacar, entre otros, el supuesto de la sentencia del Tribunal Supremo n.º 391/2018, de 12 de marzo, ECLI:ES:TS:2018:778, en el que una mercantil interpone recurso de casación contra sentencia de 8 de junio de 2015, dictada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional contra resoluciones de la Comisión del Mercado de las Telecomunicaciones, por las que se deniega la solicitud de ampliación del plazo de 24 horas de que disponen los operadores de telecomunicaciones para instaurar la portabilidad en el ámbito telefónico.