Innovación Legal
15 noviembre 2012
El derecho de la portabilidad de los datos personales
La reforma del marco Europeo de la protección de los datos de carácter personal tiene su origen formal en la comunicación de la Comisión Europea COM(2012) 9 ”La protección de la privacidad en un mundo interconectado. Un marco europeo de protección de datos para el siglo XXI”, que propone para ese nuevo marco jurídico dos iniciativas legislativas: un reglamento general de protección de datos y una directiva relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos.
Uno de los principales motivos a que alude la Comisión Europea, para proponer la reforma del marco jurídico de la protección de datos en la Unión Europea, está relacionado con la vigente Directiva, aprobada hace 17 años, que en opinión de la Comisión no aporta la eficacia necesaria para preservar el derecho a la protección de datos personales en el “nuevo y complejo entorno digital actual”.
Un entorno digital en el aparecen nuevos retos para el derecho fundamental a la protección de los datos de carácter personal, y en el que los ciudadanos deben seguir teniendo la posibilidad de ejercer un control efectivo sobre su información personal; es en este contexto en el que la propuesta de «reglamento general de protección de datos» incorpora como novedad el derecho del interesado a la portabilidad de sus datos de carácter personal.
El artículo 18 de la mencionada propuesta de reglamento regula el derecho a la portabilidad de los datos; tal y como se describe en la exposición de motivos de la propuesta de reglamento, el derecho a la portabilidad atribuye 2 facultades a las personas interesadas:
– Obtener una copia de sus datos personales en un formato electrónico estructurado y de uso habitual
– Transferir sus datos, y otras informaciones que haya facilitado, de un sistema de tratamiento electrónico a otro
El titular del derecho a la portabilidad de los datos personales es la persona interesada, es decir, aquella persona física a la cual se refieren los datos personales sobre los cuales se pretenda ejercer el derecho a la portabilidad.
El responsable del tratamiento es quien debe dar respuesta al ejercicio del derecho a la portabilidad, para lo que deberá establecer los procedimientos adecuados y mecanismos que faciliten ese ejercicio a los interesados; se establece con carácter general que cuando los datos personales sean sometidos a tratamientos automatizados, el responsable del tratamiento también deberá proporcionar los medios necesarios para que las solicitudes de ejercicio de derechos se hagan electrónicamente. El responsable del tratamiento dispone de 1 mes para hacer efectiva la entrega de los datos o la disponibilidad de su transmisión.
La propuesta de reglamento mantiene el criterio general de gratuidad para el ejercicio de los derechos relacionados con la protección de datos de carácter personal, incluyendo el derecho a la portabilidad de los datos; tan solo en los casos en que se produzcan solicitudes claramente excesivas, especialmente en cuanto a su reiteración, el responsable del tratamiento podrá aplicar una tasa por facilitar la información, ahora bien, la carga de demostrar el carácter «manifiestamente excesivo» de la solicitud deberá asumirla, en todo caso, el responsable del tratamiento.
Como decía el derecho a la portabilidad de los datos se concreta en 2 facultades: por un lado la posibilidad de obtener, «en un formato electrónico estructurado y comúnmente utilizado», una copia de los datos que están siendo objeto de tratamiento, formato que debe permitir que puedan seguir siendo utilizados por la persona interesada (se entiende que en otro sistema o aplicación informática).
Y por otro lado también podrá optar por transmitir esos datos a otro sistema (a otro proveedor o prestador de servicios), siempre que los datos sobre los que se pretenda llevar a cabo la trasmisión estén sometidos a tratamiento automatizado, para lo que también se prevé que estos sean transmitidos en un «formato electrónico comúnmente utilizado», todo ello sin que el responsable del tratamiento ponga trabas, impedimentos o dificultades para la retirada de esos datos.
En el primero de los casos (obtener una copia de los datos) el único requisito para el ejercicio del derecho de la portabilidad es que el responsable del tratamiento trate los datos automatizadamente en un «formato estructurado y comúnmente utilizado».
En el segundo caso, el de solicitar la trasmisión de los datos a otro responsable de tratamiento, deben concurrir los siguientes requisitos:
– Que los datos sean tratados de manera automatizada por el responsable del tratamiento
– Que los datos hayan sido facilitados por la persona interesada
– Que el tratamiento esté basado en el consentimiento o en un contrato
Por último, en el apartado de sanciones administrativas, el artículo 79.5 prevé que la autoridad de control competente pueda imponer una multa de hasta 500.000 euros o, en el caso de empresas, de hasta el 1% de su volumen de negocios anual a nivel mundial, a todo aquel que, ya sea de forma deliberada o por negligencia: «no facilite una copia de los datos personales en formato electrónico u obstaculice la transmisión de los datos personales por parte del interesado a otro sistema de tratamiento automatizado en violación del artículo 18».
En una primera aproximación la idea de un derecho a la portabilidad de los datos, en su doble versión de copia o transmisión, se intuye como una mejora cuantitativa y cualitativa al conjunto de facultades vinculadas a la autodeterminación informativa, tal y como las concretó la Sentencia 292/2000, de 30 de noviembre de 2000 del Tribunal Constitucional, para la que «el contenido del derecho fundamental a la protección de datos consiste en un poder de disposición y de control sobre los datos personales», atribuyendo «a su titular un haz de facultades consistente en diversos poderes jurídicos cuyo ejercicio impone a terceros deberes jurídicos», en referencia a los derechos de acceso, rectificación, cancelación y oposición, a los que se añadirían ahora el de portabilidad, y el derecho al olvido.
Lo cierto es que el derecho a la portabilidad de los datos se puede entender como una especie de versión “premium” del derecho de acceso, este último supone el deber jurídico del responsable del tratamiento de que, a petición de la persona interesada, deba confirmar si trata o no datos personales del solicitante, y en caso afirmativo deba informar de la finalidad del tratamiento y origen de los datos, o si en su caso, ha realizado comunicaciones de los datos a terceros, o tiene previsto hacerlo.
Recientemente, concretamente los días 9 y 10 de octubre de 2012, se celeberó una reunión interparlamentaria de comisiones en el Parlamento Europeo, preparada conjuntamente por la Comisión del Parlamento Europeo de Libertades Civiles, Justicia y Asuntos de Interior (LIBE) y la Unidad de Diálogo Legislativo (UDL), con el fin de debatir sobre algunos temas concretos que suscita la reforma y para involucrar a los diputados del Parlamento Europeo y de los Parlamentos nacionales en un intercambio de puntos de vista, de esa manerala Comisión LIBEpudiera tener en cuenta las inquietudes de los parlamentarios nacionales en el marco del procedimiento legislativo del nuevo reglamento.
Una de las cuestiones que se dirigió previamente a los Parlamentos nacionales, y cuyas respuestas debían servir de base para los debates de la reunión, tenía que ver con el derecho a la portabilidad, concretamente sobre su aplicabilidad práctica.
Y es que a nadie se le escapan las dificultades de orden práctico que puede conllevar el ejercicio de ese derecho; su necesidad no debería ser objeto de discusión, dado el actual contexto digital, en el que ingente cantidad de información personal textual y multimedia se mueve por las diferentes redes sociales, o por los servicios de “cloud computing”, donde a unos y otros se les confía el almacenamiento y procesamiento masivo de información personal, lo que obliga a prever mecanismos que eviten, aduciendo cuestiones tecnológicas, el “secuestro” de la información o el acabar como “cautivos digitales” de por vida de un proveedor concreto.
Intuitivamente el derecho a la portabilidad de los datos parece aportar mecanismos efectivos de protección frente al desarrollo de servicios y modelos de negocio que se han generado entorno a la red, respecto de los cuales la regulación actual no ofrece una respuesta satisfactoria, de aquí propuestas como la del derecho al olvido, o el derecho a la portabilidad de los datos.
Efectivamente los riesgos de que toda nuestra información quede «secuestrada», o resulte complicada su «liberación», en los servicios de una determinada red social, o que no podamos recuperar los documentos que hemos colocado en un proveedor de servicios de aplicaciones basados en la nube, son reales.
Pero hay que superar la visión casuística y focalizada en situaciones concretas, a la que se quiere dar respuesta directa, para analizar el impacto global que puede llegar a tener la implantación de esos mecanismos, basados y vinculados a un derecho fundamental.
Lo cierto es que la puesta en práctica de tal derecho no estará exenta de complejidades, y resulta difícil imaginar hasta que punto el cliente de un servicio de banca en línea podrá ejercer su derecho a transmitir su información a otra entidad financiera, o por ejemplo, lo interesante que sería que un vendedor de productos en línea pudiera transferir la información de su perfil de ventas (en definitiva su prestigio digital como vendedor) a otra plataforma de subastas, y no tener que empezar desde cero a generar confianza en los compradores de la nueva plataforma a la que se ha trasladado.
No pretendía ser exhaustivo en el análisis de la regulación del derecho a la portabilidad que recoge la propuesta de reglamento general de protección de datos, de manera que sin duda he planteado muchas más dudas que soluciones, en todo caso para finalizar tan solo concretar algunas conclusiones:
– La aplicación práctica del derecho a la portabilidad viene acompañada de complejidades, tecnológicas, jurídicas y operativas
– Debería valorarse si el derecho a la portabilidad realmente debe ser una facultad vinculada a un derecho fundamental o nos encontramos ante un instrumento más vinculado al derecho de los consumidores o al derecho mercantil
– Se añaden nuevas amenazas a la seguridad de los datos, que deberán ser tratadas como riesgos y mitigadas en lo posible, especialmente por lo que respecta a los mecanismos de identificación y autenticación de los usuarios
– La Comisión tiene un extenso trabajo por delante para la definición de los formatos electrónicos que han de permitir el ejercicio material del derecho a la portabilidad de los datos
– Los responsables de los tratamientos, de manera directa o indirecta, deberán implantar los mecanismos necesarios para facilitar el ejercicio material del derecho a la portabilidad de los datos, con lo que pueda significar de inversiones en el desarrollo de esas funcionalidades, y siempre teniendo en cuenta que la industria deberá ajustarse a unos formatos que especificará la Comisión
– Y por último la Comisión debería analizar con más detalle el impacto que puede tener el derecho a la portabilidad sobre el mercado y la competitividad de los servicios electrónicos
Autor: Ramón Miralles, Miembro de las juntas directivas de ENATIC, CSA-ES e ISACA Barcelona