La Portabilidad en el nuevo Reglamento de Protección de Datos Personales

Captura de pantalla 2016-05-26 a las 9.05.55

Días atrás entró en vigor el nuevo Reglamento Europeo de Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, por el que se deroga la Directiva 95/46/UE (Reglamento General de Protección de Datos) el cual será de aplicación a partir del 25 de mayo de 2018.

Sin dudas, uno de los puntos más trascendentales de la nueva norma es la obligación inserta en su Artículo 20, el Derecho a la Portabilidad de los Datos, dado que su aplicación de seguro traerá no sólo una necesaria normalización de las estructuras de datos a utilizar por quienes sean Responsables y Encargados del tratamiento, sino que también abrirá un nuevo capítulo referido a la seguridad (y responsabilidad) sobre esos datos al momento de ser transmitidos de un Responsable a otro.

Previo a analizar el tema, no resulta ocioso mencionar que en sus definiciones el nuevo reglamento mantiene el concepto de “Dato Personal” de la Directiva derogada, con algunas diferencias mínimas en su redacción, a saber:

«datos personales»: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona

En lo que respecta a la Portabilidad, desde el considerando 68 del nuevo reglamento se menciona que: “Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos”, en este punto debemos resaltar que la característica de interoperabilidad de los sistemas se traduce en la capacidad de éstos de intercambiar información y utilizarla sin más, es decir, sin que sea necesario ningún proceso de adecuación, el término en general alude tanto al formato de extracción de datos como a las interfaces de los sistemas, por lo que no sería extraño pensar que en estos dos años de adecuación se establezcan (ya sea desde la industria misma o desde los organismos de estandarización) estándares de  estructuras de datos así como de comunicación de éstos, sobre todo teniendo en cuenta lo establecido en los nuevos artículos 25 y 42, es decir, considerar la seguridad de los datos desde el diseño y las posibilidades de certificación de los estándares.

Ahora bien, el Artículo 20 de la norma ha dejado sujeta la interoperabilidad a las posibilidades técnicas de los responsables del tratamiento: “el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible” tal vez comprendiendo que en la actualidad existe un espectro muy variado de empresas Responsables con diferentes capacidades económicas, pero dejando abierta la posibilidad de que un interesado pueda reclamar la interoperabilidad de los sistemas de dos responsables, justamente, basado en su capacidad técnica. Esta circunstancia cobrará real importancia cuando se intente transmitir datos personales de un responsable nacional a otro extranjero, en tanto que si resulta necesario que el interesado participe como intermediario de la transferencia, podría comprometerse la seguridad e integridad de sus datos, en algún punto irónico pero real, en tanto sería el punto más débil de la cadena.

En este punto es dable mencionar que resulta al menos extraño que no se haya incluido en lo referido al rol del Encargado del Tratamiento algún apartado dedicado a la portabilidad, si bien debe seguir las instrucciones del Responsable y de seguro la portabilidad será incluida en todo contrato de tratamiento de datos (con más detalle que en la actualidad)  y/o códigos de autorregulación, no hubiese resultado sobreabundante reforzar el concepto incluyendo, al menos, una mención específica para los casos en los que el Responsable decide cambiar de Encargado, dado que la securitización de toda la cadena de valor también hace a la protección de los datos personales de los interesados.

Sobre el Derecho a la portabilidad de los datos en si mismo, el referido artículo reza: “El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado” Más allá de la obligación que pesa sobre los Responsables de no impedir la portación de los datos, el punto clave para la eficiencia en el ejercicio del Derecho será el comprender cuál es un formato de uso común y lectura mecánica, debido a la variedad de la información de que se trata. No obstante lo anterior, entiendo que en la actualidad los ficheros de datos estructurados en formatos comunes, como por ejemplo .CSV, .XML o .TXT no contienen mayores dificultades para su conversión, un condicionante podría ser que cada Responsable utilice su propia nomenclatura por lo que, de no normalizarse al menos en un código de autorregulación, la carga automática de datos podría verse afectada pero no su portabilidad.

Luego limita el derecho a aquellas situaciones en las que el interesado haya dado su consentimiento o se hayan obtenido los datos en el marco de un contrato, dejando fuera aquellos datos obtenidos por imperativo legal, en cumplimiento de un interés público, etc.

Algunas consideraciones sobre Portabilidad

El concepto de Portabilidad normalmente utilizado en la telefonía móvil (llamada numérica), se traduce en la capacidad de un usuario del servicio de trasladar su número de teléfono de una compañía a otra, pero no es tan simple como parece en tanto que, a nivel técnico, con cada portación se disparan procesos complejos en las redes, toda vez que los números siempre son conservados por cada operador donante (en tanto asignados por bloques) para luego ser enrutados a la red receptora. Lo interesante de analizar en lo que podría resultar útil para la portabilidad de datos, es que en la mayoría de los sistemas de portabilidad numérica, durante todo el proceso tanto en la portabilidad como a posteriori cuando el usuario ya utiliza el servicio de su nuevo prestador, interviene una Base de Datos Centralizada que por lo general está a cargo de un Administrador diferente de los operadores (Clearing House) este Administrador, además de gestionar la base de datos, es quien tiene la responsabilidad de verificar si se cumplen las condiciones legales para la portación por lo que, en casos de traslados frecuentes de datos personales, especialmente de categorías especiales, podría establecerse un Administrador de Datos con el fin de no sólo velar por el cumplimiento normativo y de seguridad, sino que también podría erigirse como árbitro eficaz a la hora de deslindar responsabilidades por cualquier conflicto que surja entre Responsables o al menos ser una fuente de prueba imparcial para determinar la culpabilidad de uno u otro.

Conclusiones personales

Sin dudas la interoperabilidad de los sistemas y la portabilidad de los datos son dos de los puntos más innovadores del nuevo reglamento, de los cuales aún no puede medirse cual será su impacto en la actividad, pero si pueden preverse algunas posibles circunstancias.

Será un punto importante a tener en cuenta en los futuros contratos de tratamiento de datos y/o en los códigos de autorregulación que se dicten.

La posible certificación de estándares de interoperabilidad y portabilidad en el marco europeo podría ser un elemento diferenciador de los encargados de tratamiento intercomunitarios, que les otorgue mayor competitividad frente a otros prestadores, especialmente si se trata de servicios en nube.

Finalmente, los Responsables del Tratamiento de seguro se interesarán más por  la anonimización eficaz de los datos, con el objetivo de minimizar la información susceptible de ser portada.

Acceso al Nuevo Reglamento: http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/es/pdf