derecho a la portabilidad de los datos personales

Permite a un usuario recibir los datos personales que ha proporcionado a un responsable del tratamiento en un formato estructurado y transmitirlos a otro responsable.

La importancia de este derecho radica en el empoderamiento del usuario y su capacidad para migrar fácilmente sus datos entre diferentes servicios, fomentando así la competencia en el mercado digital. Al permitir que los usuarios cambien de proveedor de servicios sin perder su información, se incentiva a las empresas a ofrecer mejores productos y condiciones.

Los objetivos principales del derecho a la portabilidad son:

• Empoderamiento del usuario: Permite al individuo tomar decisiones informadas sobre cómo y dónde se utilizan sus datos.
• Interoperabilidad: Promueve la compatibilidad entre diferentes plataformas y servicios, facilitando la transferencia de datos.
• Innovación: Al reducir las barreras de entrada para nuevos competidores, se impulsa la creación de servicios más innovadores y adaptados a las necesidades del usuario.

En resumen, el derecho a la portabilidad de los datos personales es un pilar fundamental para garantizar la autonomía del usuario y promover un ecosistema digital más justo y competitivo.

## Introducción al Derecho a la Portabilidad de los Datos Personales

El derecho a la portabilidad de los datos personales, reconocido en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), confiere a los usuarios el control sobre su información. En esencia, este derecho permite a un interesado recibir los datos personales que le incumben y que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable.

La importancia de este derecho radica en el empoderamiento del usuario y su capacidad para migrar fácilmente sus datos entre diferentes servicios, fomentando así la competencia en el mercado digital. Al permitir que los usuarios cambien de proveedor de servicios sin perder su información, se incentiva a las empresas a ofrecer mejores productos y condiciones.

Los objetivos principales del derecho a la portabilidad son:

• Empoderamiento del usuario: Permite al individuo tomar decisiones informadas sobre cómo y dónde se utilizan sus datos.
• Interoperabilidad: Promueve la compatibilidad entre diferentes plataformas y servicios, facilitando la transferencia de datos.
• Innovación: Al reducir las barreras de entrada para nuevos competidores, se impulsa la creación de servicios más innovadores y adaptados a las necesidades del usuario.

En resumen, el derecho a la portabilidad de los datos personales es un pilar fundamental para garantizar la autonomía del usuario y promover un ecosistema digital más justo y competitivo.

## Fundamento Legal: RGPD y LOPDGDD

El derecho a la portabilidad de datos, consagrado en el Artículo 20 del Reglamento General de Protección de Datos (RGPD), se transpone a la legislación española a través de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Si bien ambas normativas persiguen el mismo objetivo, existen sutiles diferencias que merecen análisis. El RGPD establece el marco general, mientras que la LOPDGDD introduce especificaciones adaptadas al contexto español.

La portabilidad, regulada en el Capítulo III del RGPD (Derechos del Interesado) y artículos 12-18 de la LOPDGDD, permite al interesado recibir los datos personales que le incumben y que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable. Es crucial destacar que la portabilidad solo aplica cuando el tratamiento se basa en el consentimiento (Artículo 6.1.a RGPD) o en la ejecución de un contrato (Artículo 6.1.b RGPD) y se efectúa por medios automatizados.

Bases legales que permiten el procesamiento de datos sujetos a portabilidad:

• Consentimiento explícito: El interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos (Artículo 6.1.a RGPD).
• Ejecución de un contrato: El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales (Artículo 6.1.b RGPD).

### Condiciones para el Ejercicio del Derecho a la Portabilidad

Para que un interesado pueda ejercer válidamente su derecho a la portabilidad, según lo estipulado en el Artículo 20 del Reglamento General de Protección de Datos (RGPD), deben cumplirse ciertas condiciones fundamentales. En primer lugar, el tratamiento de los datos personales debe basarse en una de las siguientes bases legitimadoras: el consentimiento explícito del interesado (Art. 6.1.a RGPD) o la necesidad para la ejecución de un contrato en el que el interesado es parte (Art. 6.1.b RGPD). En segundo lugar, el tratamiento debe llevarse a cabo por medios automatizados.

Por ejemplo, un usuario de una red social que ha dado su consentimiento para que sus datos sean procesados con fines publicitarios puede solicitar la portabilidad de esos datos a otra plataforma similar. De igual manera, un cliente de un servicio de *streaming* puede solicitar la portabilidad de su historial de visualización a un proveedor competidor. Sin embargo, el derecho a la portabilidad no aplicaría si el tratamiento de datos se basa en el cumplimiento de una obligación legal (Art. 6.1.c RGPD) o si el tratamiento no se realiza por medios automatizados, como en el caso de historiales médicos archivados en papel.

Es importante diferenciar el derecho de acceso del derecho a la portabilidad. Mientras que el derecho de acceso (Art. 15 RGPD) permite al interesado conocer qué datos se están tratando y cómo, el derecho a la portabilidad permite obtener esos datos en un formato estructurado, de uso común y lectura mecánica para transmitirlos a otro responsable del tratamiento, facilitando el cambio de proveedor de servicios.

## Datos Sujetos a Portabilidad: ¿Qué Datos Pueden Ser Transferidos?

El derecho a la portabilidad, contemplado en el Artículo 20 del Reglamento General de Protección de Datos (RGPD), no abarca la totalidad de los datos personales que un responsable del tratamiento pueda poseer sobre un interesado. Se limita específicamente a dos categorías principales:

• Datos facilitados por el interesado: Son aquellos datos que el individuo ha suministrado activamente al responsable, como por ejemplo, información de registro, datos de contacto, preferencias expresas, e incluso contenidos subidos a una plataforma (fotos, videos, comentarios).
• Datos derivados de la actividad del interesado: Se refieren a los datos de uso generados a partir de la interacción del interesado con un servicio o dispositivo. Ejemplos de esto son el historial de navegación, los datos de ubicación, o el registro de transacciones.

Es crucial destacar que el derecho a la portabilidad no se extiende a los datos inferidos o derivados, es decir, aquellos datos que el responsable del tratamiento crea o elabora a partir de los datos facilitados o derivados. Esto excluye análisis, perfiles, evaluaciones o predicciones realizadas por el responsable basándose en la información del interesado.

La anonimización, al convertir los datos en información no identificable, excluye la aplicación del RGPD y, por ende, del derecho a la portabilidad. La seudonimización, por otro lado, no elimina la identificación y, por lo tanto, los datos seudonimizados sí pueden ser objeto de portabilidad, siempre y cuando cumplan con los criterios de datos facilitados y derivados.

## ¿Cómo Ejercer el Derecho a la Portabilidad? Pasos y Procedimientos

El derecho a la portabilidad, amparado por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), permite al interesado recibir los datos personales que haya facilitado a un responsable del tratamiento y transmitirlos a otro.

Pasos para ejercer el derecho:

• Presentación de la Solicitud: El interesado debe presentar una solicitud por escrito al responsable del tratamiento. Es recomendable hacerlo por un medio que permita acreditar su recepción (p. ej., correo electrónico certificado).
• Información Necesaria: La solicitud debe identificar claramente al interesado (nombre, apellidos, datos de contacto) y especificar los datos cuya portabilidad se solicita. Aunque no es obligatorio, puede ser útil indicar al responsable a quién se desea transmitir los datos.
• Plazos de Respuesta: El responsable del tratamiento dispone de un mes para responder a la solicitud. Este plazo puede prorrogarse dos meses más, informando al interesado de las razones de la demora dentro del primer mes (Artículo 12.3 RGPD).
• Formato de los Datos: Los datos deben entregarse en un formato estructurado, de uso común y lectura mecánica (p. ej., CSV, JSON). Esto facilita su transferencia a otro responsable.

Consecuencias del Incumplimiento: El incumplimiento por parte del responsable del tratamiento puede acarrear sanciones por parte de la Agencia Española de Protección de Datos (AEPD), además de la posibilidad de ejercer acciones legales por daños y perjuicios (Artículos 83 y 84 RGPD).

## Obligaciones del Responsable del Tratamiento

Al recibir una solicitud de portabilidad de datos, el responsable del tratamiento está sujeto a una serie de obligaciones cruciales para garantizar el ejercicio efectivo de este derecho fundamental reconocido en el Reglamento General de Protección de Datos (RGPD).

• Verificación de la Identidad: Es imperativo que el responsable del tratamiento verifique la identidad del solicitante para evitar accesos no autorizados y garantizar que la transferencia de datos se realiza al titular legítimo. Los Artículos 12 y 13 RGPD regulan la transparencia de la información y la comunicación, incluyendo la necesidad de verificar la identidad.
• Proporcionar los Datos en Formato Adecuado: Como se ha indicado previamente, los datos deben proporcionarse en un formato estructurado, de uso común y lectura mecánica (como CSV o JSON) para facilitar su interoperabilidad y posterior transferencia a otro responsable.
• Garantizar la Seguridad de la Transferencia: El responsable debe implementar medidas técnicas y organizativas apropiadas para garantizar la seguridad de la transferencia de datos y protegerlos contra accesos no autorizados, pérdidas o alteraciones (Artículo 32 RGPD). Esto incluye el uso de canales seguros de comunicación y el cifrado de los datos si es necesario.
• No Interrumpir el Servicio: La portabilidad de los datos no debe interrumpir el servicio prestado al interesado. El responsable debe facilitar la transferencia de datos sin causar interrupciones innecesarias ni degradar la calidad del servicio.
• Responsabilidad en Caso de Fallos Técnicos: El responsable del tratamiento es responsable de garantizar el correcto funcionamiento de los sistemas que permiten la portabilidad de los datos. En caso de fallos técnicos que impidan o dificulten la transferencia, el responsable deberá tomar medidas inmediatas para solucionar el problema y facilitar la portabilidad en la mayor brevedad posible.

## Marco Regulatorio Local: España y Otros Países de Habla Hispana

El derecho a la portabilidad, consagrado en el Reglamento General de Protección de Datos (RGPD) en su artículo 20, se implementa de manera dispar en los países de habla hispana. En España, la Agencia Española de Protección de Datos (AEPD) ha emitido guías y dictámenes (ej. la "Guía para la aplicación del Reglamento General de Protección de Datos") que clarifican la interpretación y aplicación de este derecho, especialmente en contextos como la portabilidad de datos entre operadores de telecomunicaciones o proveedores de servicios en la nube.

En otros países, como México (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) y Argentina (Ley 25.326 de Protección de Datos Personales), si bien existen leyes de protección de datos, la regulación específica sobre la portabilidad es menos detallada y, por lo tanto, la aplicación práctica se basa más en la interpretación del RGPD y las directrices europeas. La jurisprudencia y las resoluciones de las autoridades de control locales (INAI en México, AAIP en Argentina) van delineando el alcance de este derecho.

Es crucial considerar la aplicación extraterritorial del RGPD. Empresas que operan en estos países de habla hispana y que ofrecen bienes o servicios a ciudadanos de la UE, o que monitorizan su comportamiento, están sujetas al RGPD, lo que implica la obligatoriedad de facilitar el derecho a la portabilidad a esos usuarios. El incumplimiento puede acarrear sanciones significativas, independientemente de la ubicación física de la empresa.

## Limitaciones y Excepciones al Derecho a la Portabilidad

Si bien el derecho a la portabilidad es un pilar fundamental del RGPD, no es absoluto y está sujeto a ciertas limitaciones. Entender estas excepciones es crucial para un cumplimiento efectivo de la normativa.

El derecho a la portabilidad puede ser limitado cuando su ejercicio afecte negativamente a los derechos y libertades de terceros. Por ejemplo, si la portabilidad de datos implica la divulgación de información confidencial de otro individuo, la solicitud podría ser denegada para proteger la privacidad ajena. Este principio está implícito en el Artículo 20 del RGPD que versa sobre la portabilidad y el principio de minimización de datos.

Otra limitación surge cuando los datos no han sido proporcionados directamente por el interesado. El RGPD, en su Artículo 20, específicamente hace referencia a los datos "que haya facilitado". Datos inferidos o recopilados de fuentes externas podrían no ser elegibles para la portabilidad.

Asimismo, el derecho a la portabilidad solo se aplica si el tratamiento de datos se basa en el consentimiento del interesado o en la ejecución de un contrato (Art. 6(1)(a) y (b) RGPD). Si el tratamiento se basa en otras bases legales, como el interés legítimo del controlador o el cumplimiento de una obligación legal, el derecho a la portabilidad no es aplicable.

Finalmente, la protección de secretos comerciales es una consideración importante. Si la portabilidad de ciertos datos implicara la divulgación de información confidencial que comprometa la ventaja competitiva del controlador, podría estar justificada su limitación, siempre y cuando se respeten los principios generales del RGPD y se informe al interesado de la denegación y sus motivos.

## Mini Caso Práctico / Perspectiva Profesional

Consideremos a Ana, una usuaria activa de "RedSocialA" que decide migrar a "RedSocialB". Ana ejerce su derecho a la portabilidad, solicitando a RedSocialA una copia de sus datos: publicaciones, contactos e historial de mensajes. RedSocialA debe responder en un plazo de un mes, proporcionando los datos en un formato estructurado y de uso común (Art. 20 RGPD).

Desafíos Legales y Técnicos: RedSocialA debe verificar la identidad de Ana y asegurarse de que la portabilidad no infringe los derechos de terceros (ej., datos de otros usuarios en los mensajes). Técnicamente, RedSocialA debe transformar datos en un formato compatible con RedSocialB, lo que puede requerir desarrollo y pruebas adicionales.

Consejos Prácticos: Las empresas deben implementar un proceso claro para la gestión de solicitudes de portabilidad. Esto incluye una herramienta que automatice la recopilación y formateo de datos. La política de privacidad debe informar de manera concisa sobre el derecho a la portabilidad, como por ejemplo:

"Derecho a la Portabilidad: Puede solicitar una copia de sus datos en un formato estructurado y de uso común para transferirlos a otro servicio, siempre que el tratamiento se base en su consentimiento o en un contrato y se realice por medios automatizados. Para ejercer este derecho, contacte con [email protected]".

La correcta implementación del derecho a la portabilidad no solo cumple con el RGPD sino que también fomenta la confianza del usuario.

## Perspectivas Futuras 2026-2030

El derecho a la portabilidad, consolidado por el RGPD, enfrenta una nueva era influenciada por la inteligencia artificial (IA) y la tecnología blockchain. Prevemos que la IA transformará la manera en que las organizaciones gestionan y transfieren datos, planteando desafíos en cuanto a la identificación y portabilidad de información generada por algoritmos. Blockchain, por su parte, podría facilitar la portabilidad segura y descentralizada de datos, aunque su implementación masiva requerirá superar obstáculos técnicos y regulatorios.

Anticipamos modificaciones legislativas para fortalecer el derecho a la portabilidad, posiblemente inspiradas en el Reglamento de Datos (Data Act) de la Unión Europea, que busca fomentar el acceso y control sobre los datos generados por dispositivos conectados. La interoperabilidad y la estandarización de formatos de datos (como JSON y XML) serán cruciales para la eficacia del derecho a la portabilidad, evitando la creación de "jardines vallados" de datos.

La Agencia Española de Protección de Datos (AEPD) y el Comité Europeo de Protección de Datos jugarán un papel fundamental en la interpretación y aplicación de la ley, emitiendo directrices y resolviendo controversias. Es probable que veamos un aumento en el número de reclamaciones relacionadas con la portabilidad de datos, especialmente en sectores como la banca y la sanidad, donde la información es particularmente sensible. La claridad y accesibilidad de las políticas de privacidad, especificando cómo se puede ejercer este derecho, serán más importantes que nunca.