El derecho de portabilidad es uno de los que el RGPD reconoce a los ciudadanos en la protección de sus datos personales. ¿En qué consiste este derecho? ¿Cuándo se puede ejercer? ¿Qué sanciones se pueden aplicar a los responsables del tratamiento si lo incumplen?
En este artículo hablamos de:
¿Qué es el derecho de portabilidad?
El derecho a la portabilidad de datos se refiere a la potestad del individuo para recibir los datos personales que haya facilitado a un responsable del tratamiento y transmitirlos a otros responsables sin que el anterior lo pueda impedir. Los datos le han de ser facilitados al individuo en un formato estructurado, de uso común y lectura mecánica.
Es decir, el individuo tiene derecho a decidir quién es el responsable del tratamiento de sus datos personales, y a cambiar de responsable si así lo desea.
¿Cómo se regula el derecho a la portabilidad de datos en el RGPD?
El derecho de portabilidad de datos está regulado en el artículo 20 del RGPD (Reglamento General de Protección de Datos), sin perjuicio de lo que se establezca en la normativa propia de cada Estado miembro de la Unión Europea, en el caso de España la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).
¿Cuándo puede ejercerse este derecho?
El derecho a la portabilidad se puede ejercer siempre y cuando:
- El interesado haya prestado su consentimiento para el tratamiento de datos con uno o varios fines.
- El tratamiento de datos sea necesario para la ejecución de un contrato.
- El responsable haya realizado un tratamiento automatizado de datos.
¿Qué datos son considerados personales por este derecho?
Se consideran datos personales todos aquellos que permitan la identificación de una persona. El RGPD define a una persona física identificable como aquella persona cuya identidad pueda determinarse, de forma directa o indirecta, en base a un identificador, que puede ser un nombre, número de identificación, datos de localización o datos relativos a su identidad físicas, fisiológica, genética, política, cultural o social.
Sin embargo, hay algunos casos en los que el tratamiento está sometido a limitaciones, como en el caso de datos personales especialmente protegidos que revelen el origen étnico o racial de la persona, sus creencias religiosas, datos biométricos, datos relativos a la salud, o a la vida sexual u orientación sexual de la persona.
Los datos señalados en el párrafo anterior solo podrán ser objetos de tratamiento si:
- El interesado dio consentimiento explícito para el tratamiento de datos, salvo en los casos que el Derecho de la Unión o de los Estados miembros lo impida.
- El tratamiento de esos datos es necesario para que el responsable pueda cumplir con sus derechos y obligaciones en el ámbito de la seguridad, derecho laboral y protección social.
- El tratamiento es fundamental para proteger derechos vitales del interesado, si este se encuentra incapacitado física o jurídicamente.
- Se ejecuta dentro de las actividades legítimas de una fundación, asociación u otro organismo sin ánimo de lucro con fines políticos, sindicales o religiosos.
- Se trate de datos que el interesado haya hecho públicos voluntariamente.
- El tratamiento es necesario para el ejercicio de reclamaciones o defensa en tribunales.
- El tratamiento es necesario por razones de interés público esencial.
Excepciones
El derecho de portabilidad del RGPD no podría ejercerse en los siguientes casos:
- Si los datos personales no han sido proporcionados por el interesado y hayan sido recabados o deducidos por el responsable del tratamiento.
- Cuando los datos no se refieren a la propia persona, sino a terceros, ya que el derecho de portabilidad de una persona no puede afectar a los derechos y libertades de terceros.
- En los casos en los que el tratamiento no tenga su base legitimadora en el consentimiento de interesado o en la ejecución de un contrato.
- En caso de que los datos sean necesarios para el ejercicio de un interés legítimo por parte de los poderes públicos.
- Cuando los datos personales hayan sido sometidos a un proceso de anonimización o ya hayan sido suprimidos.
Sanciones por incumplimiento
En primer lugar, las autoridades de protección de datos, en el caso de España la Agencia Española de Protección de Datos (AEPD), tienen poderes correctivos. Es decir, pueden solicitar al responsable o encargado de tratamiento que cumpla con el derecho de portabilidad del interesado.
En caso de que la empresa no cumpla con lo dispuesto sobre el derecho a la portabilidad de datos en el RGPD, se pueden aplicar diversas sanciones en función de la gravedad del incumplimiento. En el caso de las empresas, las sanciones más graves podrían conllevar multas de hasta 20 millones de euros o el 4% de la facturación del último ejercicio.