El Derecho a la Portabilidad no está limitado a los datos comunicados de manera directa por su titular

El Derecho a la Portabilidad no está limitado a los datos comunicados de manera directa por su titular

El Grupo de Trabajo del Artículo 29 ha aprobado en su última reunión varias directrices que hacen referencia al derecho a la portabilidad de datos, los delegados de protección de datos  y los criterios de identificación de la ‘autoridad líder’

El Derecho a la Portabilidad de los Datos incluye tanto aquellos proporcionados de manera consciente y activa por su titular, como los datos personales generados por su propia actividad. Por tanto, este derecho no queda limitado a la información personal comunicada de manera directa.

Así lo establece la nueva directriz europea aprobada en la última reunión del Grupo de Trabajo del Artículo 29 (GT 29), un organismo consultivo que reúne, entre otras instituciones, a las autoridades de Protección de Datos de todos los estados de la Unión Europea. En dicho encuentro también se estableció como una buena práctica que los responsables del tratamiento de datos comiencen a desarrollar los medios técnicos necesarios para atender las solicitudes de portabilidad de datos, a través de las necesarias herramientas de descarga y las interfaces de usuario (API) apropiadas.

El Derecho a la Portabilidad viene recogido en el artículo 20 del Reglamento General de Protección de Datos (RGPD) del siguiente modo: “el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado”. Según esta redacción, los ciudadanos tendremos el derecho a que nuestros datos se transmitan de manera directa de responsable a responsable cuando exista la posibilidad, lo que conlleva a una practicidad de enormes características.

Y es que, el propósito  de este derecho es favorecer el libre flujo de datos personales en la UE y fomentar la competencia, facilitar el cambio entre diferentes proveedores de servicios, y por ello, favorecer el desarrollo de nuevos servicios en el contexto de la estrategia del mercado único digital.

Desafíos que plantea la Portabilidad de los Datos

Sin  embargo no todo son ventajas, ya que la transmisión de datos personales también puede plantear ciertos problemas de seguridad tales como garantizar la entrega de los mismos de  forma segura a la persona adecuada o como  asegurar su almacenamiento en los sistemas determinados.

Dado que la portabilidad de los datos tiene por objeto extraer datos personales del sistema de información del responsable del tratamiento de datos, la transmisión puede convertirse en una posible fuente de riesgo en relación con dichos datos. El propio responsable es el encargado de  tomar las medidas de seguridad necesarias para garantizar que los datos personales se transmitan de forma segura al destino correcto, incluyendo la protección contra el procesamiento no autorizado o ilícito y contra la pérdida, destrucción o daño accidental. Tales medidas de seguridad no deben ser de naturaleza obstructiva y no deben impedir que los usuarios ejerzan sus derechos.

Por otro lado, al recuperar sus datos personales de un servicio en línea, siempre existe el riesgo de que los usuarios puedan almacenarlos en un sistema menos seguro que el proporcionado por el servicio. El interesado debe ser informado de ello con el fin de tomar medidas para proteger la información que ha recibido. El responsable del tratamiento también podría recomendar, como práctica recomendada, formatos adecuados y medidas de cifrado para ayudar al sujeto de los datos a alcanzar este objetivo.

Otros acuerdos logrados en la reunión del GT-29

Además de la directriz relacionada con la portabilidad de los datos, el GT 29 también aprobó en su última reunión otras que hacen referencia a los Delegados de Protección de Datos (DPO, por sus siglas en inglés) y los criterios de identificación de la ‘autoridad líder’. Asimismo, debatió varios aspectos en relación a la aplicación del Reglamento General de Protección de Datos (RGPD).