Nuevo Derechos del Reglamento General de Protección de Datos: Derecho de portabilidad de datos
Dentro del catálogo de nuevos derechos introducidos por el Reglamento General de Protección de Datos (RGPD), se incluye el denominado derecho a la portabilidad de los datos personales, que podrá ejercer el interesado o titular de la información.
Este derecho, que será plenamente efectivo y aplicable a partir del 25 de mayo de 2018, ha sido objeto no sólo del propio RGPD, sino también del Grupo de Trabajo del Artículo 29 (GT29), que ha emitido una serie de Directrices sobre el mismo, cuya última revisión data del 5 de abril de 2017.
El derecho a la portabilidad de los datos personales, se configura como una manifestación privilegiada del derecho de acceso, ya recogido en los tradicionales Derechos ARCO (acceso, rectificación, cancelación y oposición), que complementa al citado derecho. Tal y como señala la AEPD (Agencia Española de Protección de Datos), este derecho “permite a las personas obtener los datos que han proporcionado a una entidad/empresa/organización (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica”.
¿En que consiste este nuevo derecho?
El derecho, se configura a través de una doble vertiente, ya que, de una parte, el interesado podrá obtener, descargar, o recibir sus datos personales, y de otro lado, podrá transmitirlos de una entidad a otra, sin necesidad de intermediarios ni de que le sean entregados a él mismo. En definitiva, el titular de los datos personales podrá transmitirlos directamente de un responsable del tratamiento a otro.
Señala el GT29, en sus Directrices sobre el derecho a la portabilidad, que “la portabilidad de los datos no conlleva su supresión automática de los sistemas del responsable del tratamiento, ni afecta al periodo de retención original aplicable a los datos que se han transmitido”. Asimismo, hace hincapié en que no obsta al ejercicio de otros derechos por parte del interesado (ya que son independientes y compatibles entre sí), de tal forma que, por ejemplo, si el interesado ejercita su derecho de supresión, el responsable del tratamiento no podrá basarse en la portabilidad de los datos impedir u obstaculizar dicha supresión solicitada por el titular de los datos.
Supuesto de aplicación del Derecho de portabilidad de datos personales
En cuanto a los supuestos en los que resultaría aplicable el ejercicio del derecho a la portabilidad de los datos personales, cabe señalar el cumplimiento de los siguientes requisitos o circunstancias:
- Las operaciones de tratamiento deben basarse en un contrato o en el consentimiento del interesado. El tratamiento debe efectuarse por medios automatizados.
- Los datos personales objeto del derecho, deben ser del interesado y no de un tercero. De igual modo, el ejercicio del derecho a la portabilidad, no debe poner en riesgo los derechos y libertades de terceros.
- El interesado debe haber facilitado sus propios datos personales al responsable del tratamiento (y no por parte de un tercero). Entenderemos como “datos facilitados por el interesado”, tanto los proporcionados de forma activa y consciente, como aquéllos facilitados por el titular a consecuencia del uso de un dispositivo o servicio. Sin embargo, no se incluirían en esta categoría los datos inferidos o deducidos por el propio responsable del tratamiento.
Por último, en cuanto al período de tiempo razonable en el que se ha de responder o atender una solicitud de ejercicio de esta clase de derechos, en principio el RGPD ha fijado el plazo de un mes (ampliable a dos meses en caso de solicitudes especialmente complejas), si bien el GT29 ha destacado que se recomienda en todo caso, definir un plazo que resulte razonable y que esté adaptado al contexto.