Última revisión
datos
420 - Definición y regulación del derecho a la portabilidad de los datos en relación al tratamiento de datos personales
Relacionados:
Vademecum: datos
Fecha última revisión: 07/10/2024
El artículo 20 del RGPD establece el derecho a la portabilidad de los datos personales, mediante el cual el interesado puede recibir los datos que haya facilitado a un responsable del tratamiento y a transmitirlos a otro responsable sin ser obstaculizado por el anterior. Este derecho no se aplicará al tratamiento necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.
Derecho a la portabilidad de los datos del artículo 20 del RGPD
Artículo 20 del RGPD
«1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
b) el tratamiento se efectúe por medios automatizados.
2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros».
En suma, nos encontramos con un derecho del interesado a recibir los datos personales que haya facilitado a un responsable del tratamiento de los mismos y a transmitirlos a otro responsable del tratamiento sin que lo impida el anterior, en los siguientes casos:
- El tratamiento esté basado en el consentimiento en virtud del artículo 6.1.a) o 9.2.a) del RGPD o en un contrato con arreglo al artículo 6.1.b) del mismo texto legal.
- El tratamiento se efectúe por medios automatizados.
Si bien, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
No obstante, el derecho a la portabilidad de datos no se aplicará al tratamiento necesario para el:
- Cumplimiento de una misión realizada en interés público.
- Ejercicio de poderes públicos conferidos al responsable del tratamiento.
A TENER EN CUENTA. Es conveniente recordar, al respecto de la portabilidad de datos, el derecho de supresión del artículo 17 del RGPD.
También son varios los fundamentos del RGPD que se refieren a este derecho del interesado, entre ellos, podemos enumerar los siguientes:
a) El considerando 68 aclara que para fortalecer el control del interesado sobre sus propios datos personales cuando el tratamiento se realice «(...) por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato (...)».
Además, el derecho que nos ocupa no debe ejercerse o aplicarse:
- Cuando el tratamiento tiene una base jurídica distinta del consentimiento o el contrato.
- En contra de los responsables que traten datos personales en el ejercicio de sus funciones públicas.
- Cuando el tratamiento de datos sea imprescindible para la efectividad de una obligación legal del responsable del tratamiento de datos.
- Para el cumplimiento de una misión efectuada en interés público o en ejercicio de poderes públicos concedidos al responsable del tratamiento de datos.
No obstante, cuando un grupo de datos personales específico se refiera a varios interesados, el derecho a la portabilidad de los datos personales debe interpretarse:
«(...) sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato (...)».
b) El considerando 73 dispone que el derecho de la Unión Europea o de sus Estados miembros puede imponer restricciones a determinados principios y a los derechos de información, acceso, rectificación, o supresión de datos personales, al derecho de portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, y a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, para salvaguardar:
- La seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano.
- La prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública.
- Las violaciones de normas deontológicas en las profesiones reguladas, y su prevención.
- Otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro.
- La llevanza de registros públicos por razones de interés público general, el tratamiento ulterior de datos personales archivados para ofrecer información específica relacionada con el comportamiento político durante los regímenes de antiguos Estados totalitarios.
- La protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.
No obstante, las citadas limitaciones deben ser adecuadas a lo establecido en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.
c) El considerando 156 se ocupa del tratamiento de datos personales con fines de archivo en interés público, de investigación científica o histórica o estadísticos, así, el referido tratamiento «(...) debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Los Estados miembros deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos (...)».
CUESTIONES
1. ¿Qué información deberá facilitarse, cuando los datos personales se obtengan del interesado, para garantizar un tratamiento de datos leal y transparente?
Conforme al art. 13.2 del RGPD, el responsable del tratamiento suministrará al interesado, cuando obtenga los datos personales, información necesaria para garantizar un tratamiento conforme a los principios de lealtad y transparencia relativa al plazo durante el que se conservarán los datos, la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos o la existencia del derecho retirar el consentimiento, entre otros.
2. Cuando los datos personales no se hayan obtenido del interesado, ¿el responsable debe informarlo del derecho de portabilidad?
Sí, el responsable del tratamiento de datos facilitará al interesado la información para garantizar un tratamiento leal y transparente, como «la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos» (artículo 14.2.c del RGPD).
3. ¿El derecho a la portabilidad de los datos podrá afectar a los derechos y libertades de otros individuos?
El derecho del apartado primero del artículo 20 del RGPD no afectará negativamente a los derechos y libertades de otros (artículo 20.4 del RGPD).
Derecho a la portabilidad del artículo 17 de la LOPDGDD
«El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679».
Como se puede ver, la LOPDGDD nos remite a lo dispuesto en el RGPD, aspectos que hemos desarrollado en el punto anterior.
Si bien, en el título X de la LOPDGDD, que trata de la garantía de los derechos digitales, se encuentra el derecho de portabilidad en servicios de redes sociales y servicios equivalentes (artículo 95 de la LOPDGDD), que reza de la siguiente manera:
«Los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible.
Los prestadores podrán conservar, sin difundirla a través de Internet, copia de los contenidos cuando dicha conservación sea necesaria para el cumplimiento de una obligación legal».
A mayor abundamiento, el grupo de trabajo de protección de datos del artículo 29 elabora unas Directrices sobre el derecho a la portabilidad de los datos, en las que analiza los principales elementos del derecho a la portabilidad de los datos, estos son:
a. Derecho a recibir los datos personales. La portabilidad de los datos es el derecho a recibir datos personales que ha procesado un responsable del tratamiento y a almacenarlos para un uso personal posterior en un dispositivo privado, sin transmitirlos a otro responsable del tratamiento. En este sentido, la portabilidad de los datos complementa el derecho de acceso. Un aspecto específico de la portabilidad de los datos reside en el hecho de que ofrece a los interesados una forma sencilla de gestionar y reutilizar por sí mismos sus datos personales. Tales datos deben recibirse en un formato estructurado, de uso común y legible mecánica.
b. Transmitir a otro responsable del tratamiento. Este elemento de la portabilidad de los datos proporciona a los interesados la posibilidad, no solo de obtener y reutilizar, sino también transmitir los datos que han facilitado a otro proveedor de servicios. Este derecho facilita la posibilidad de que los interesados trasladen, copien o transmitan los datos personales con facilidad. Además de hacer posible el empoderamiento de los consumidores evitando la retención de datos, se espera que el derecho a la portabilidad de los datos promueva oportunidades de innovar y compartir datos personales entre responsables del tratamiento de forma segura, bajo el control del interesado. Este derecho tiene por objetivo fomentar la innovación en los usos de los datos y promover nuevos modelos de negocio vinculados a un mayor intercambio de datos bajo el control del interesado. La portabilidad de los datos puede promover el intercambio compartido de datos personales entre organizaciones, lo que enriquece así los servicios y las experiencias de los clientes. La portabilidad de los datos puede facilitar la transmisión y reutilización de los datos personales por intermediación de los usuarios entre los servicios independientes en los que estén interesados.
c. Responsabilidad. Los responsables del tratamiento que responden a solicitudes de portabilidad no son responsables del tratamiento gestionado por el interesado o por cualquier otra empresa que recibe datos personales. La portabilidad de los datos no impone al responsable del tratamiento la obligación de retener los datos personales por más tiempo del necesario o más allá de un periodo de retención especificado. Y lo que es importante: no existe el requisito adicional de comenzar la retención de tales datos simplemente para dar respuesta a una posible solicitud de portabilidad de datos. Al mismo tiempo, un responsable del tratamiento receptor es responsable de garantizar que los datos proporcionados que se pueden portar sean pertinentes y no excesivos en relación con el nuevo tratamiento de datos.
d. La portabilidad frente a otros derechos de los interesados. Cuando una persona ejerce su derecho a la portabilidad de los datos (u otro derecho contenido en el RGPD) lo hace sin perjuicio de cualquier otro derecho. Un interesado puede seguir usando y beneficiándose del servicio del responsable del tratamiento incluso después de una operación de portabilidad de datos. Asimismo, si el interesado quiere ejercer su derecho al olvido, el responsable del tratamiento no puede usar la portabilidad de los datos como excusa para dilatar o rechazar tal borrado. La portabilidad de los datos no conlleva automáticamente el borrado de los datos de los sistemas del responsable del tratamiento ni afecta al periodo de retención original aplicable a los datos que se han transmitido, de acuerdo con el derecho a la portabilidad de los datos. El interesado puede ejercer sus derechos en tanto el responsable del tratamiento siga procesando los datos.
Para concluir, como ejemplo paradigmático del derecho a la portabilidad de datos personales podemos destacar, entre otros, el supuesto de la sentencia del Tribunal Supremo n.º 391/2018, de 12 de marzo, ECLI:ES:TS:2018:778, en el que una mercantil interpone recurso de casación contra sentencia de 8 de junio de 2015, dictada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional contra resoluciones de la Comisión del Mercado de las Telecomunicaciones, por las que se deniega la solicitud de ampliación del plazo de 24 horas de que disponen los operadores de telecomunicaciones para instaurar la portabilidad en el ámbito telefónico.