GDPR: atención al derecho de portabilidad de los datos

Una de las interesantes novedades que introduce el Reglamento Europeo de Protección de Datos (GDPR en sus siglas en inglés) es el derecho a la portabilidad de los datos. ¿Hasta dónde puede revolucionar esto el mercado? Aunque no es exactamente lo mismo en la forma, sí en el fondo, la iniciativa británica midata puede aportar alguna luz.

Con la aplicación del Reglamento Europeo de Protección de Datos (GDPR en sus siglas en inglés) han cambiado muchas cosas. Desde la obligación de notificar las brechas de seguridad al regulador en las siguientes 72 horas de detección de las mismas, pasando por la implantación de multas mucho más elevadas que las actuales en España, la introducción de la figura del Delegado de Protección de Datos (DPO), la necesidad de recabar el consentimiento como declaración o clara acción afirmativa y verificable de los usuarios y la obligación de realizar ejercicios de Privacy Impact Assessments (PIAs) en actividades consideradas de alto riesgo, entre otros. Se trata de una normativa muy amplia y precisa, que exige importantes cambios y, sobre todo, es un punto de partida para un nuevo enfoque corporativo con el ánimo de preservar y fortalecer la confianza de los clientes.

Privacidad datos GDPR

Una de las novedades quizá menos comentada, pero sin duda interesante, es el derecho de los interesados (clientes, empleados, accionistas, etc.) a solicitar la portabilidad de sus datos (artículo 20). Sí. Aunque la analogía no sea cien por ciento exacta, de la misma forma que ahora uno se lleva su número de móvil cuando cambia de operador, también podrá llevarse sus datos. Y eso en cualquier tipo de servicio o empresa, sea o no del mismo sector, siempre que concurran determinados requisitos.

El reglamento viene a extender este derecho de portabilidad de los datos a todos los servicios digitales, lo que tiene todo su sentido en esta era de la economía del dato. “El propósito de este nuevo derecho es empoderar a los sujetos de los datos y otorgarles un mayor control sobre sus propios datos personales en la medida en que facilita su derecho a mover, copiar o transmitir datos personales de un entorno IT a otro, ya sea el suyo propio, a un sistema de confianza de un tercero o al de otra compañía”, dice el Grupo de Autoridades Europeas de Protección de Datos (un órgano consultivo independiente de la UE para esta materia conocido como el Grupo de Trabajo del Artículo 29 o GT29) en los dos documentos que ha elaborado, Directrices y Preguntas más frecuentes sobre el derecho a la portabilidad de datos, ante las dudas surgidas al respecto.

El propósito es empoderar a los sujetos de los datos y otorgarles un mayor control sobre sus propios datos personales

La pregunta clave es ¿qué datos puedo llevarme? En principio, todos los que uno ha originado. No solo los datos personales básicos que haya aportado, sino también los datos generados por su actividad con la compañía, datos cuya recopilación hubiese autorizado previamente mediante su consentimiento o en virtud de una relación contractual. No se incluyen en esta portabilidad los datos resultantes de la aplicación sobre ellos de técnicas propias de la organización, como por ejemplo cuando ésta utiliza diferentes fuentes.

portabilidad datos personales

Siguiendo el ejemplo de las telecomunicaciones, la operadora tiene datos de nuestras llamadas, usos que hacemos del móvil, lo que gastamos al mes, el consumo de datos habitual y muchas cosas más. Más ejemplos: información sobre nuestros gastos bancarios; el consumo de energía; nuestra cesta de la compra; nuestra lista de reproducción musical; nuestros historial médico; nuestros contactos en cuentas de correo electrónico… Se trata de datos que generamos en nuestra relación o actividad con las compañías y que podría ser susceptibles de traslado a otra empresa. En realidad, ya tenemos acceso a mucha de esta información. Uno puede bajarse y guardar sin problemas sus contactos de móvil, acceder a las llamadas, ver y guardar en excel sus movimientos en la cuenta bancaria… Otra cosa, que es precisamente la novedad, es la posibilidad de solicitar a la entidad que tiene la información, que la transmita a otra organización. Ello sin implicar necesariamente la supresión de los datos personales conservados en la entidad transmisora.

Se pueden portar los datos personales y los generados en nuestra relación y actividad con la compañía cumpliendo ciertos requisitos y premisas

El reglamento establece algunas premisas a la hora de ejercer esa portabilidad de los datos: que su tratamiento se efectúe por medios automatizados, se base en el consentimiento o en contrato y así lo solicite el titular y, por supuesto, que no afecte a derechos y libertades de otras personas. Y también algunas obligaciones para las organizaciones: los datos deben entregarse en un formato estructurado, de uso común y lectura mecánica. Dicho de otra manera, nada de pdfs o imágenes que no se pueden tratar, sino que deben ser formatos fácilmente manejables como csv o Excel. Y todo eso, en un plazo concreto: un mes, prorrogable por otros dos meses en caso necesario. Como regla general es gratuito para el interesado.

Lógicamente, para que este proceso de portabilidad puede llevarse a cabo lo primero que debe existir es una homogenización de los estándares utilizados por las organizaciones en sus datos. “Una práctica recomendable es que los responsables del tratamiento comiencen a desarrollar los medios que contribuyan a responder a las solicitudes de portabilidad de datos, como herramientas de descarga o Interfaces de Programación de Aplicaciones (APIs)”, aconseja el GT29. (1)

Eso implica complejidades tecnológicas, jurídicas y operativas. “Por lo que estamos viendo, tanto el alcance de los datos objeto de la portabilidad como los medios y canales a utilizar están siendo trabajados por las compañías en foros sectoriales, con la intención de proponer a la Agencia Española de Protección de Datos (AEPD) un enfoque conjunto por sector. Recordemos, además, que el interesado puede solicitar la portabilidad de los datos a una tercera empresa o hacia él mismo”, explica Javier Aznar, experto en Ciberseguridad de KPMG en España.

“En el sector bancario, la AEPD emitió en 2017 un informe a instancias de la Asociación Española de Banca en el que, entre otras cuestiones, la agencia reconoce que este derecho únicamente podría ser ejercitado por el titular del producto o servicio contratado que, en definitiva, ha autorizado el tratamiento, pero no por terceros relacionados con dicho servicio, tales como los sujetos autorizados en dichos productos. También contiene criterios para determinar la antigüedad de los datos que deben transmitirse. Para los productos de activo, el derecho abarcaría la información generada durante el desarrollo del contrato, por ejemplo, el historial de pago de los plazos de un crédito hipotecario o al consumo. Para los productos de pasivo, la AEPD reconoce que existe una práctica comúnmente aceptada por el sector consistente en permitir a los interesados acceder a datos con una antigüedad en torno a los dos años anteriores al momento en que se solicita la información, a través de los servicios de banca electrónica. Por tanto ése sería el plazo de antigüedad de los datos que han de transmitirse”, explica Ana López Carrascal, directora en Derecho de Protección de Datos en KPMG Abogados.

proteccion datos gdpr

Lo interesante de esta portabilidad de los datos es la puerta que abre y la práctica que puede llegar a impulsar al facilitar la transmisión de información personal entre compañías que pueden ser competidoras o de otro sector. Pensemos por ejemplo en un ciudadano que pide a su app habitual de healthfit la portabilidad de los datos recopilados sobre su salud y ejercicios físicos para, con ellos, transferirlos a una aseguradora para que fije el precio de su seguro de salud con información más precisa y detallada. Lo mismo podría hacerse con los hábitos de conducción del automóvil o de navegación por Internet.

Salvadas las distancias y con las dudas técnicas y legales que quedan por esclarecer, la portabilidad de datos podría promover la competencia como hizo la portabilidad en otros sectores. “Además de proporcionar capacitación a los consumidores al evitar la “retención”, se espera que el derecho a la portabilidad de los datos promueva oportunidades para la innovación y el intercambio de datos entre responsables del tratamiento de forma segura, bajo el control del interesado”, explica el documento guía del GT29, que inmediatamente a continuación cita tres ejemplos concretos de innovación experimental en ese sentido: MesInfos (Francia); Mydata (Finlandia) y midata (Reino Unido). (2)

Veamos este último, probablemente el más interesante. Midata es una iniciativa lanzada en 2011 e impulsada por el Gobierno británico, que alentó al sector privado para trabajar conjuntamente en el desarrollo de formatos y estándares interoperativos. La iniciativa inicialmente se centró en dos sectores: banca y energía (3). Midata permite a los clientes acceder, obtener y portar sus datos personales sobre sus transacciones y consumo; les ayuda a entender mejor sus hábitos de consumo y gasto e intentar conseguir mejores precios en relación con sus productos o servicios. Se espera de esta iniciativa impulse la innovación y la competitividad entre las compañías de estos dos sectores –se empezó con banca y ahora se suma energía–, alentando el crecimiento económico a la par que se proporcionan mejores productos y servicios para los consumidores. Un ejemplo: con midata, un cliente puede solicitar sus datos de consumo energético a su compañía eléctrica y utilizarlos para, a través de un comparador de servicios, hacer una comparativa con lo que serían sus tarifas con otras eléctricas e identificar quién le podría ofrecer mejores precios.

Con midata, un cliente puede solicitar sus datos de consumo a su compañía eléctrica o a un banco y utilizarlos para comparar precios que le ofrecerían otras firmas

Aunque midata fue lanzada a nivel experimental cinco años antes de que entrara en efecto el reglamento GDPR, la iniciativa británica “es un ejemplo de los beneficios que la portabilidad de los datos puede traer consigo y de cómo el gobierno y el sector privado pueden trabajar conjuntamente para impulsar estos beneficios”, explica Claire Basnett, consultora de Data Privacy de KPMG en Reino Unido. Y aunque, lógicamente, midata y el reglamento GDPR no son lo mismo, “hay muchos aspectos en los que existe una significativa coincidencia, aunque también notables diferencias: GDPR no es algo de adhesión voluntaria, sino de obligado cumplimiento; tiene un alcance mucho mayor porque se aplica a cualquier organización de cualquier sector o área que trate datos de quienes estén en la Unión Europea; y su propósito es la protección de los datos personales y los derechos de los sujetos y no impulsar la competitividad y el crecimiento económico del mercado”, subraya Basnett.

No es fácil hacer pronósticos sobre cómo acabará evolucionando este derecho a la portabilidad de los datos. Hay opiniones en un sentido y en otro. Incluso midata, que se adelantó en el tiempo teniendo en mente el concepto de portabilidad de datos luego recogido en el reglamento europeo y que igual debe hacer ahora algún ajuste, no ha tenido la explosiva acogida que se esperaba entre el público debido, probablemente, al temor a riesgos de seguridad.

Además, todavía hay dudas en torno al derecho de portabilidad que deben ser clarificadas por parte de los reguladores europeos y nacionales. “Es habitual que nuestros clientes duden sobre qué datos transmitir, en qué formato y cómo salvaguardar su responsabilidad. La transmisión de información a otra organización es un tratamiento que debe contar con las garantías jurídicas y técnicas apropiadas para evitar que cualquier acceso no autorizado, uso indebido o pérdida genere responsabilidad al transmitente”, subraya López Carrascal.

Pero, tenga o no un desarrollo lento o profundo, las organizaciones deben prepararse para este nuevo derecho de unos ciudadanos cada vez más conscientes del valor de sus datos, porque acabarán ejerciéndolo. Y si, salvadas las distancias, la portabilidad de los datos sigue el mismo camino que en su día revolucionó la portabilidad del número en telefonía (3), será un proceso lento que acabará calando. Y más si ésa es, como hemos visto, la voluntad de los reguladores europeos.

 

(1) Sumario Ejecutivo. Párrafo cuarto.

(2) Página 5. Nota 7 del documento con las directrices sobre el derecho a la portabilidad de datos elaborado por el Grupo de Trabajo del Artículo 29 (GT29).

(3) Información sobre midata que figura en la web de una de las entidades financieras adheridas al sistema.

(4) Aunque no es comparable al derecho de potabilidad de datos, la portabilidad de número telefónico está siendo muy solicitada. Según datos de la CNMC, en enero de este año 912.000 clientes cambiaron de operador telefónico acogiéndose al derecho a la portabilidad de número. Fue un récord histórico.