Como se subraya en las Directrices sobre el derecho a la portabilidad de los datos elaboradas por el Grupo de Trabajo de Protección de Datos del Artículo 29 (2017), el derecho a la portabilidad de los datos no se limita a la posibilidad de transmitir los datos personales del interesado de un responsable del tratamiento a otro, sino que también abarca elderecho del interesado a recibir un subconjunto de los datos personales tratados y a almacenarlos para su uso personal. Dicho de otro modo, la transmisión de datos a otro responsable del tratamiento no es un elemento constitutivo obligatorio del derecho a la portabilidad de los datos, dado que una de sus especificidades reside en el hecho de que ofrece una forma fácil de que el propio^[1] interesado gestione y reutilice los datos personales. En definitiva, la portabilidad de los datos se refiere a los datos personales que conciernen al único interesado, ya sea que los haya proporcionado activamente o que lo haya hecho en virtud del uso del servicio del dispositivo. En este último caso, el Grupo de Trabajo de Protección de Datos del artículo 29 destaca que el responsable del tratamiento no debe hacer una interpretación demasiado restrictiva de lo que se considera “datos personales relativos al interesado”^[2].

El derecho a la portabilidad se satisface en la medida en que los responsables del tratamiento transmitan directamente la información solicitada a los interesados o les faciliten el acceso a una herramienta automatizada que les permita extraer por sí mismos la información solicitada. Este último método no implica que los responsables del tratamiento deban proporcionar un acceso más general y rutinario a su propio sistema, sino que debe limitarse a la extracción de la información tras la solicitud de portabilidad^[3].

La transferencia de los datos personales de un responsable del tratamiento a otro depende de su viabilidad jurídica, técnica y financiera. Entre los posibles obstáculos, el Grupo de Trabajo sobre Protección de Datos del artículo 29 señala: las tasas solicitadas para la entrega de datos, la falta de interoperabilidad o de acceso a un formato de datos o a una API o al formato proporcionado, el retraso o la complejidad excesivos para recuperar el conjunto de datos completo, la ofuscación deliberada del conjunto de datos, o la exigencia^[4] específica e indebida o excesiva de normalización o acreditación sectorial. En este sentido, el considerando 68 del RGPD establece que el responsable del tratamiento debe desarrollar formatos interoperables, es decir, la capacidad del sistema de información para intercambiar datos y permitir el intercambio de información. Sin embargo, el responsable del tratamiento no tiene la obligación de apoyar estos formatos, por lo que la transmisión directa puede producirse, siempre que la comunicación entre los dos sistemas sea posible y segura. Ejemplos de formatos interoperables son: un servidor SFTP, una WebAPI segura o un WebPortal.

Además, los datos deben estar en un formato estructurado, de uso común y legible por máquina. Para entender esta característica, el Manual de Datos Abiertos publicado por Open Knowledge International puede ser una fuente^[5] útil. En concreto, los datos estructurados pueden definirse como datos en los que la relación estructural entre los elementos es explícita en la forma en que se almacenan los datos en un disco informático. Esto significa que el software puede extraer elementos específicos de los datos. Un ejemplo de formato estructurado es un archivo de hoja de cálculo, donde los datos se organizan en filas y columnas. En cambio, los datos legibles por máquina son aquellos que pueden ser leídos y procesados automáticamente por un ordenador. Los datos legibles por máquina pueden ponerse directamente a disposición de las aplicaciones que los solicitan a través de la web^[6]. Esto se lleva a cabo mediante una interfaz de programación de aplicaciones (“API”). Por último, es importante subrayar que, aunque el requisito de “uso común” podría satisfacerse mediante el uso de aplicaciones informáticas comunes, dichas aplicaciones también deben cumplir las normas estructuradas y legibles por máquina para cumplir con el derecho a la portabilidad. En cualquier caso, los formatos abiertos como CSV, XML, JSON y RDF son una buena ilustración de las formas de responder a una solicitud de portabilidad.

Teniendo en cuenta que la portabilidad de los datos implica la transferencia de datos personales, dicho acto podría convertirse en una fuente potencial de riesgo para los datos personales como tales. En consecuencia, el responsable del tratamiento debe adoptar todas las medidas necesarias para garantizar una transferencia segura al destinatario correcto. Este objetivo podría alcanzarse mediante el cifrado de los datos, las contraseñas de un solo uso, etc.

También hay que tener en cuenta que cuando un responsable del tratamiento responde a una solicitud de portabilidad de datos, actúa siguiendo las instrucciones del interesado y, en consecuencia, no es responsable del cumplimiento del marco de protección de datos por parte del destinatario. Además, el responsable del tratamiento que transfiere los datos no está obligado a comprobar la exactitud de los datos personales^[7]; no obstante, la portabilidad de los datos no implica automáticamente la supresión de los datos personales del sistema, ni afecta al periodo^[8] de conservación original.

Si la solicitud del interesado se refiere a información sobre otras personas, el responsable del tratamiento debe considerar si habrá un efecto adverso sobre sus derechos y libertades. Por el contrario, si la solicitud de portabilidad la realizan varios interesados, el responsable del tratamiento debe asegurarse de que todos ellos están de acuerdo con la solicitud^[9].

Por último, cabe destacar que no existe un derecho de acceso a los datos inferidos, ya que éstos NO son facilitados por los interesados. No obstante, los interesados pueden hacer uso de su “derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, el acceso a los datos personales”, así como información sobre “la existencia de la toma de decisiones automatizada, incluida la elaboración de perfiles, a que se refieren los apartados 1 y 4 del artículo 22 y, al menos en esos casos, información significativa sobre la lógica implicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado”, según el artículo 15 del RGPD (que se refiere al derecho de acceso)^[10].

Pasando al ámbito de la investigación, la portabilidad de datos podría permitir el desarrollo de “plataformas cada vez más centradas en el usuario para la gestión de datos personales”^[11], al tiempo que proporcionaría a los interesados un control efectivo sobre su información personal. En particular, la portabilidad de datos podría ser útil para el establecimiento de una amplia red de investigación, la facilitación del uso secundario y el cumplimiento de la ciencia ciudadana (es decir, que los individuos puedan transferir sus datos desde diversos recursos a las instituciones de investigación)^[12].

1. Grupo de Trabajo de Protección de Datos del Artículo 29 (ed.), “Directrices sobre el derecho a la portabilidad de datos”, 2017, WP 242 rev.01, pp. 4-5. En: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611233 ↑
2. Para más ejemplos, véase: ibid., p. 9 ↑
3. Oficina del Comisario de Información (ed.), op. cit. , p. 140 ↑
4. Grupo de Trabajo de Protección de Datos del Artículo 29 (ed.), “Directrices sobre el derecho a la portabilidad de datos”, op. cit., p. 15 ↑
5. El manual está disponible en: https://opendatahandbook.org/ [último acceso: 30.10.2020]. ↑
6. El término se define en el considerando 21 de la Directiva 2013/37/UE17 como (…) un formato de archivo estructurado de manera que las aplicaciones informáticas puedan identificar, reconocer y extraer fácilmente datos específicos, incluidas las declaraciones individuales de hechos, y su estructura interna. Los datos codificados en archivos que están estructurados en un formato legible por máquina son datos legibles por máquina. Los formatos legibles por máquina pueden ser abiertos o propietarios; pueden ser normas formales o no. Los documentos codificados en un formato de archivo que limita el procesamiento automático, porque los datos no pueden extraerse de ellos, o no pueden extraerse fácilmente, no deben considerarse en un formato legible por máquina. Los Estados miembros deben fomentar, cuando proceda, el uso de formatos abiertos y legibles por máquina. ↑
7. Grupo de Trabajo de Protección de Datos del Artículo 29, “Directrices sobre el derecho a la portabilidad de datos”, op. cit. , p. 6 ↑
8. Ibid. , p. 7 ↑
9. Oficina del Comisario de Información (ed.), op. cit., p. 139 ↑
10. Grupo de Trabajo de Protección de Datos del Artículo 29 (ed.), “Directrices sobre el derecho a la portabilidad de datos”, op. cit., p. 15. ↑
11. P. De Hert, V. Papakonstantinou, G. Malgieri, L. Beslay, I. Sánchez, “The Right to Data Portability in the GDPR: Towards User-Centric Interoperability of Digital Services”, Computer Law and Security Review, Vol. 34, nº 2, 2018, p. 203. ↑
12. P. Quinn P., “¿Es el RGPD y su derecho a la portabilidad de datos un importante facilitador de la ciencia ciudadana? “, Global Jurist, junio de 2018, pp. 8-9 ↑