Derecho a la portabilidad de los datos en la LO 3/2018 (LOPDGDD) y en el Reglamento General de Protección de Datos (RGPD)

TIEMPO DE LECTURA:

  • Estado: Redacción actual VIGENTE
  • Orden: Administrativo
  • Fecha última revisión: 20/07/2021

El artículo 20 del RGPD reconoce un nuevo derecho a los interesados, denominado como «derecho a la portabilidad de los datos». A su vez, la LOPDGDD establece, en su art. 17, que el mismo se ejercerá de acuerdo con lo establecido en el reglamento.

Regulación del derecho a la portabilidad de datosDerecho a la portabilidad de los datos del artículo 20 del RGPD

Artículo 20 del RGPD

«1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:

a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y

b) el tratamiento se efectúe por medios automatizados.

2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros».

En suma, nos encontramos con un derecho del interesado a recibir los datos personales que haya facilitado a un responsable del tratamiento de los mismos y a transmitirlos a otro responsable del tratamiento sin que lo impida el anterior, en los siguientes casos:

  • El tratamiento esté basado en el consentimiento en virtud del artículo 6.1.a) o 9.2.a) del RGPD o en un contrato con arreglo al artículo 6.1.b) del mismo texto legal.
  • El tratamiento se efectúe por medios automatizados.

Si bien, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

No obstante, el derecho a la portabilidad de datos no se aplicará al tratamiento necesario para el:

  • Cumplimiento de una misión realizada en interés público.
  • Ejercicio de poderes públicos conferidos al responsable del tratamiento.

A TENER EN CUENTA. Es conveniente recordar, al respecto de la portabilidad de datos, el derecho de supresión del artículo 17 del RGPD.

También son varios los fundamentos del RGPD que se refieren a este derecho del interesado, entre ellos, podemos enumerar los siguientes:

a) El considerando 68 aclara que para fortalecer el control del interesado sobre sus propios datos personales cuando el tratamiento se realice «(...) por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos. Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato. No debe aplicarse cuando el tratamiento tiene una base jurídica distinta del consentimiento o el contrato».

Además, el derecho que nos ocupa no debe ejercerse o aplicarse:

- En contra de los responsables que traten datos personales en el ejercicio de sus funciones públicas.

- Cuando el tratamiento de datos sea imprescindible para la efectividad de una obligación legal del responsable del tratamiento de datos.

- Para el cumplimiento de una misión efectuada en interés público o en ejercicio de poderes públicos concedidos al responsable del tratamiento de datos.

No obstante, cuando un grupo de datos personales específico se refiera a varios interesados, el derecho a la portabilidad de los datos personales debe interpretarse:

«(...) sin menoscabo de los derechos y libertades de otros interesados de conformidad con el presente Reglamento. Por otra parte, ese derecho no debe menoscabar el derecho del interesado a obtener la supresión de los datos personales y las limitaciones de ese derecho recogidas en el presente Reglamento, y en particular no debe implicar la supresión de los datos personales concernientes al interesado que este haya facilitado para la ejecución de un contrato, en la medida y durante el tiempo en que los datos personales sean necesarios para la ejecución de dicho contrato».

b) El considerando 73 dispone que el derecho de la Unión Europea o de sus Estados miembros puede imponer limitaciones, necesarias y proporcionadas, a algunos principios y a los derechos de información, acceso, rectificación, o supresión de datos personales, al derecho de portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, y a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, para salvar:

- La seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano.

- La prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública.

- Las violaciones de normas deontológicas en las profesiones reguladas, y su prevención.

- Otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro.

- La llevanza de registros públicos por razones de interés público general, el tratamiento ulterior de datos personales archivados para ofrecer información específica relacionada con el comportamiento político durante los regímenes de antiguos Estados totalitarios.

- La protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios.

No obstante, las citadas limitaciones deben ser adecuadas a lo establecido en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales.

c) El Considerando 156 se ocupa del tratamiento de datos personales con fines de archivo en interés público, de investigación científica o histórica o estadísticos, así, el referido tratamiento «(...) debe estar supeditado a unas garantías adecuadas para los derechos y libertades del interesado de conformidad con el presente Reglamento. Esas garantías deben asegurar que se aplican medidas técnicas y organizativas para que se observe, en particular, el principio de minimización de los datos. El tratamiento ulterior de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos ha de efectuarse cuando el responsable del tratamiento haya evaluado la viabilidad de cumplir esos fines mediante un tratamiento de datos que no permita identificar a los interesados, o que ya no lo permita, siempre que existan las garantías adecuadas (como, por ejemplo, la seudonimización de datos). Los Estados miembros deben establecer garantías adecuadas para el tratamiento de datos personales con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos».

CUESTIONES

1. ¿Qué información deberá facilitarse cuando los datos personales se obtengan del interesado?

A mayores de la información contenida en el apartado primero del artículo 13 del RGPD, el responsable del tratamiento suministrará al interesado, cuando obtenga los datos personales,  la información necesaria para garantizar un tratamiento conforme a los principios de lealtad y transparencia, como «la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos» (artículo 13.2.b del RGPD).

2. ¿Qué información deberá facilitarse cuando los datos personales no se hayan obtenido del interesado?

Además de la información estipulada en el apartado primero del artículo 14 del RGPD, el responsable del tratamiento de datos facilitará al interesado la información para garantizar un tratamiento leal y transparente, como «la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos»  (artículo 14.2.c del RGPD).

3. ¿El derecho a la portabilidad de los datos podrá afectar a los derechos y libertades de otros individuos?

El derecho del apartado primero del artículo 20 del RGPD no afectará negativamente a los derechos y libertades de otros (artículo 20.4 del RGPD).

Derecho a la portabilidad del artículo 17 de la LOPDGDD

Artículo 17 del RGPD de la LOPDGDD

«El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del Reglamento (UE) 2016/679».

Como se puede ver la LOPDGDD nos remite a lo dispuesto en el RGPD, aspectos que hemos desarrollado en el punto anterior.

Si bien, en el título X de la LOPDGDD, que trata de la garantía de los derechos digitales, se encuentra el derecho de portabilidad en servicios de redes sociales y servicios equivalentes (artículo 95 de la LOPDGDD), que reza de la siguiente manera:

«Los usuarios de servicios de redes sociales y servicios de la sociedad de la información equivalentes tendrán derecho a recibir y transmitir los contenidos que hubieran facilitado a los prestadores de dichos servicios, así como a que los prestadores los transmitan directamente a otro prestador designado por el usuario, siempre que sea técnicamente posible.

Los prestadores podrán conservar, sin difundirla a través de Internet, copia de los contenidos cuando dicha conservación sea necesaria para el cumplimiento de una obligación legal».

A mayor abundamiento, el grupo de trabajo de protección de datos del artículo 29 elabora unas Directrices sobre el derecho a la portabilidad de los datos, en las que analiza los principales elementos del derecho a la portabilidad de los datos, estos son:

a. Derecho a recibir los datos personales:

«(...) la portabilidad de los datos es el derecho a recibir datos personales que ha procesado un responsable del tratamiento y a almacenarlos para un uso personal posterior en un dispositivo privado, sin transmitirlos a otro responsable del tratamiento. En este sentido, la portabilidad de los datos complementa el derecho de acceso. Un aspecto específico de la portabilidad de los datos reside en el hecho de que ofrece a los interesados una forma sencilla de gestionar y reutilizar por sí mismos sus datos personales. Tales datos deben presentarse "en un formato estructurado, de uso común y legible por máquina"».

b. Transmitir a otro responsable del tratamiento:

«(...) este elemento de la portabilidad de los datos proporciona a los interesados la posibilidad no solo de obtener y reutilizar, sino también transmitir los datos que han facilitado a otro proveedor de servicios. Este derecho facilita la posibilidad de que los interesados trasladen, copien o transmitan los datos personales con facilidad. Además de hacer posible el empoderamiento de los consumidores evitando la retención de datos, se espera que el derecho a la portabilidad de los datos promueva oportunidades de innovar y compartir datos personales entre responsables del tratamiento de forma segura, bajo el control del interesado. Este derecho tiene por objetivo fomentar la innovación en los usos de los datos y promover nuevos modelos de negocio vinculados a un mayor intercambio de datos bajo el control del interesado. La portabilidad de los datos puede promover el intercambio compartido de datos personales entre organizaciones, lo que enriquece así los servicios y las experiencias de los clientes. La portabilidad de los datos puede facilitar la transmisión y reutilización de los datos personales por intermediación de los usuarios entre los servicios independientes en los que estén interesados».

c. Medios automatizados:

«Desde el punto de vista técnico, los responsables del tratamiento deben ofrecer diferentes opciones de puesta en práctica del derecho a la portabilidad de los datos. Por ejemplo, deben ofrecer al interesado la opción de descarga directa y al mismo tiempo permitir que los interesados transmitan directamente los datos a otro responsable del tratamiento, lo que podría efectuarse poniendo a disposición una API. Los interesados puede que opten por un almacén de datos personales o un tercero de confianza para guardar y almacenar sus datos personales y concedan permiso a responsables del tratamiento para acceder a sus datos personales y procesarlos según se requiera, de modo que los datos se puedan transferir fácilmente de un responsable del tratamiento a otro».

d. Responsables del tratamiento de datos:

«Los responsables del tratamiento que responden a solicitudes de portabilidad, en las condiciones expuestas por el artículo 20, no son responsables del tratamiento gestionado por el interesado o por cualquier otra empresa que recibe datos personales. La portabilidad de los datos no impone al responsable del tratamiento la obligación de retener los datos personales por más tiempo del necesario o más allá de un periodo de retención especificado. Y lo que es importante: no existe el requisito adicional de comenzar la retención de tales datos simplemente para dar respuesta a una posible solicitud de portabilidad de datos. Al mismo tiempo, un responsable del tratamiento receptor es responsable de garantizar que los datos proporcionados que se pueden portar sean pertinentes y no excesivos en relación con el nuevo tratamiento de datos».

e. Otros derechos de los interesados:

«Cuando una persona ejerce su derecho a la portabilidad de los datos (u otro derecho contenido en la NGPD) lo hace sin perjuicio de cualquier otro derecho. Un interesado puede seguir usando y beneficiándose del servicio del responsable del tratamiento incluso después de una operación de portabilidad de datos. Asimismo, si el interesado quiere ejercer su derecho a borrarse, el responsable del tratamiento no puede usar la portabilidad de los datos como excusa para dilatar o rechazar tal borrado. La portabilidad de los datos no conlleva automáticamente el borrado de los datos de los sistemas del responsable del tratamiento ni afecta al periodo de retención original aplicable a los datos que se han transmitido, de acuerdo con el derecho a la portabilidad de los datos. El interesado puede ejercer sus derechos en tanto el responsable del tratamiento siga procesando los datos».

Para concluir, como ejemplo paradigmático del derecho a la portabilidad de datos personales podemos destacar, entre otros, el supuesto de la sentencia del Tribunal Supremo n.º 391/2018, de 12 de marzo, ECLI:ES:TS:2018:778, en el que una mercantil interpone recurso de casación contra sentencia de 8 de junio de 2015, dictada por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional contra resoluciones de la Comisión del Mercado de las Telecomunicaciones, por las que se deniega la solicitud de ampliación del plazo de 24 horas de que disponen los operadores de telecomunicaciones para instaurar la portabilidad en el ámbito telefónico.

 

 

 

 

 

 

No hay versiones para este comentario

Responsable del tratamiento
Portabilidad de datos personales
Datos personales
Interés publico
Poderes públicos
Transferencia de datos personales
Tratamiento de datos personales
Amenazas
Derecho al olvido
Ejecución de las sanciones
Elaboración de perfiles
Anonimización de datos
Derechos humanos
Protección de datos
Proveedores
Obligación de retener
Documentos relacionados
Ver más documentos relacionados
  • Derecho a la supresión de los datos y derecho al olvido en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    El artículo 17 del RGPD regula el derecho a la supresión de los datos personales (anteriormente denominado derecho de cancelación) y el conocido como «derecho al olvido». Además en la nueva LOPDGDD se reconoce en el artículo 15 entre otras men...

  • Derecho de acceso en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    El RGPD, en su artículo 15, contempla la regulación del denominado «derecho de acceso del interesado» y a su vez la nueva LO 3/2018, de 5 de diciembre (LOPD-GDD) lo regula en su artículo 13 recogiendo gran parte de lo estipulado en el consideran...

  • Derecho de transparencia e información en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 20/07/2021

    Los derechos a la transparencia e información del interesado se encuentran regulados en los artículos 12, 13 y 14 del RGPD, así como en el artículo 11 de la LOPDGDD.Deber de información y transparencia en los derechos del interesadoTransparencia...

  • Principio de compatibilidad en la LOPDGDD y en el RGPD

    Orden: Administrativo Fecha última revisión: 01/06/2021

    El apartado cuarto del artículo 6 del RGPD dispone «el tratamiento para otro fin distinto de aquel para el que se recogieron los datos personales».   Compatibilidad del tratamiento de datos con el fin de la recogida inicialArtículo 5.1.b del R...

  • Sistema de proactividad en materia de protección de datos en el cumplimiento normativo del RGPD y de la LOPDGDD

    Orden: Administrativo Fecha última revisión: 31/05/2021

    La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del RGP...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros y cursos relacionados