Una de las novedades más llamativas o, por lo menos, una de las más relevantes del nuevo Reglamento Europeo de Protección de Datos (aplicable de forma directa para toda la Unión Europea a partir del 25 de mayo de 2018) es el llamado derecho a la portabilidad de los datos.
¿En que consiste el derecho a la portabilidad de los datos?
El derecho a la portabilidad de los datos consiste en reconocer a cualquier ciudadano europeo el derecho (y, a partir del 25 de mayo de 2018, así podrá ejercerlo) a que cualquier empresa que trate sus datos personales de forma automatizada (informáticamente hablando) se los entregue o los transmita a cualquier otra empresa (por él designada) en un formato organizado, legible y mecanizado.
En definitiva, se trata del derecho a que los datos personales de un ciudadano europeo, recogidos en archivos automatizados, puedan serle entregados a él o traspasados, si así éste lo solicita, a otra empresa de forma fácil y ágil y directa entre las dos empresas.
Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato.
Desde mi punto de vista, el derecho a la portabilidad de los datos no es otro que el hasta ahora llamado derecho de acceso a los datos personales reconocido por nuestra legislación vigente, pero más regulado y con algunos cambios importantes, como:
- Poder solicitar el traspaso de nuestros datos directamente de un responsable a otro (en definitiva, de una empresa a otra).
- Establecerse expresamente que los datos deberán entregarse a su titular o a la empresa que éste haya designado en un formato legible, mecanizado y organizado.
¿Dónde se regula el derecho a la portabilidad de los datos?
Como indicaba al inicio de este post, el derecho a la portabilidad de los datos, se trata de «un nuevo derecho», por así decirlo, reconocido en el nuevo Reglamento Europeo de Protección de Datos, concretamente, en el artículo 20 que establece:
1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
b) el tratamiento se efectúe por medios automatizados.
2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
¿Las empresas deben informar a los ciudadanos sobre la posibilidad de ejercer el derecho a la portabilidad de sus datos personales?
La respuesta es sí. Las empresas cuando recaben el consentimiento para el tratamiento de los datos personales, deberán informar al interesado de la posibilidad de ejercer, junto con otros derechos, el derecho a la portabilidad de sus datos personales.
Así se recoge en el artículo 13 «Información que deberá facilitarse cuando los datos personales se obtengan del interesado» apartado 2 b) y en el artículo 14 «Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado» apartado 2 c):
La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
El problema que me parece encontrar en esta regulación es que, salvo error u omisión por mi parte, el precitado Reglamento no establece el plazo de tiempo que tienen los responsables de los ficheros (las empresas) para dar respuesta al derecho a la portabilidad de los datos ejercido por los ciudadanos, es decir, no se establece el plazo que tienen las empresas para entregar al titular de los datos o a la empresa designada por éste, el archivo con los datos personales recogidos y tratados.
Entiendo que esto será regulado por nuestra autoridad de control, la Agencia Española de Protección de Datos, a través de normativa que supongo que en su día se aprobará para completar el Reglamento en este y otros aspectos que no quedan del todo cerrados.