El Grupo de Autoridades europeas de protección de datos, conocido como Grupo de Trabajo del Artículo 29, ha aprobado y publicado recientemente varias directrices relativas a varios aspectos del nuevo Reglamento General de Protección de Datos. Entre ellas se encuentra la relativa al Derecho a la Portabilidad de Datos de la que nos ocupamos en este artículo.
El artículo 20 del nuevo Reglamento Europeo de Protección de Datos introduce el concepto del derecho a la portabilidad de datos, que está estrechamente relacionado con el derecho de acceso. Este derecho a la portabilidad de datos personales permite a los individuos que han cedido sus datos a un responsable del tratamiento (empresa, organización) recibir estos mismos datos en un formato estructurado y que sea legible por parte de una máquina de modo que pueda transmitirlos fácilmente a otra empresa u organización.
En concreto el artículo 20 del Reglamento General de Protección de Datos define el derecho a la portabilidad así:
«El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.»
En otras palabras, el derecho a la portabilidad permite a los individuos solicitar a una empresa sus datos personales en un formato digital estandarizado y facilita en gran medida la transmisión de esos datos a otras empresas.
Al permitir la transmisión de datos personales de un responsable de tratamiento a otro, el derecho a la portabilidad de datos personales facilitará el flujo de datos personales y hará, por ejemplo, que sea mucho más sencillo cambiar de proveedores para el consumidor.
El objetivo de este nuevo derecho es dar más poder al consumidor haciéndole más fácil el cambio de proveedor y ampliando así su poder de elección en el mercado.
Un dato fundamental respecto al derecho a la portabilidad de datos personales es que no está limitado tan solo a los datos que el propio sujeto proporciona directamente sino que se extiende a los datos generados por la actividad. La directriz del Grupo de Trabajo del Artículo 29 cita tres ejemplos de este tipo de datos: la actividad de búsqueda de un usuario en un motor de búsqueda, datos de tráfico y datos de localización geográfica.
Otro aspecto a destacar es el requerimiento de que el formato en el que se entregan estos datos esté estructurado y respete un formato predefinido. Un problema actual del derecho al acceso es que el individuo está a expensas de que el formato elegido por el responsable de tratamiento precise de un software especial para su consulta o que su formato fuese complejo y/o carente de estructura. Este ya no podrá ser el caso a partir de la entrada en vigor del RGPD. Esto facilitará que los datos se puedan transmitir, copiar y procesar fácilmente de un sistema informático a otro.
El formato estipula que en primer lugar los datos deben ser ofrecidos para su descarga pero que también se debe dar la posibilidad al sujeto de que transmitan los datos directamente de un responsable de tratamiento a otro.
A este respecto la directriz propone la creación por parte de los responsables de tratamiento de una API (Application Programming Interface) que permita el acceso de datos entre distintos programas informáticos. Una API es una interfaz de programa que permite la comunicación entre éste y otros programas informáticos. Por ejemplo, si un operador de telefonía tiene un software de gestión de llamadas propio, otro operador no podrá acceder a esos datos salvo que también disponga de ese programa. La API proporciona una vía de acceso de un programa a otro mediante una serie de procedimientos informáticos.
Enlaces relacionados:
Guidelines on the right to data portability
http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_en_40852.pdf
Preguntas frecuentes sobre el derecho a la portabilidad de datos
http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_annex_en_40854.pdf
