RGPD: ¿porqué nos ofrece la portabilidad de datos?

Nuestros datos personales están ahora mejor protegidos que nunca gracias al nuevo
Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés). En el otro lado de la valla, para los que trabajan en entidades que tratan datos personales, aunque sólo sea ocasionalmente, el RGPD es un rompecabezas, difícil de entender y aplicar.

Expertos reunidos por el Grupo de investigación Conflict Management de ESADE Law School y ARAG, compañía aseguradora de Defensa Jurídica, trataron los diferentes aspectos que se que conciernen a la nueva RGPD durante un debate celebrado en ESADE. El secreto para comprender el Reglamento es que establece normas fundamentadas en unos principios. Estos principios se basan en nuestro derecho fundamental, como particulares, de controlar lo que se conoce y lo que se comunica sobre nosotros. Esto toca a la intimidad, pero va más allá y concierne también nuestra capacidad de decidir cómo otros aprovechan información sobre nosotros.

Los principios son:
1. Tratar los datos en una manera lícita, leal y transparente hacía el particular
2. Recogerlos con fines determinados, explícitos y legítimos
3. Limitarlos a lo necesario para los fines específicos
4. Asegurarse que sean exactos
5. Mantenerlos no más tiempo que el necesario
6. Guardarlos con seguridad

Las empresas y otros organismos deben tratar datos personales sólo con fines específicos, dirigidos hacia un objetivo o debido a una obligación. Podría ser enviar información sobre sus productos, establecer un contrato de servicios, cumplir con una obligación legal o investigar el uso de un espacio público. Con un objetivo claro, debe ser evidente cuales son los datos necesarios para lograr este fin – y cuales son los datos innecesarios que, por lo tanto, no serán tratados.

La recolección de datos puede resultar de la acción voluntaria de un particular, por ejemplo llenando un formulario para solicitar recibir boletines de una sociedad o solicitando un contrato de seguro. Legalmente se describen estos casos como “consentimiento” (un acuerdo sin intercambio de algo de valor) o “contrato” (un acuerdo formal, con obligaciones a las dos partes).

En otros casos, los particulares tienen que dar información por obligaciones legales o administrativas (en el caso de requerimientos de autoridades públicas). En ciertos casos, el organismo podría tener una buena razón para obtener y tratar datos personales sin pedir permiso antes (pero con la obligación de asegurar que este tratamiento no afecte negativamente al particular).

El RGPD establece estas razones como bases “lícitas” para tratar datos personales. Hay seis en total: a parte de estas mencionadas, hay el fundamento de “intereses vitales” de una persona – por ejemplo, en caso de urgencia médica.

El reglamento se funda sobre los derechos fundamentales de los particulares, pero establece derechos más específicos para asegurar el respeto de los fundamentales. Uno de los derechos específicos se refiere a la transparencia proactiva (recibir información del ente tratando los datos sin necesidad de solicitarla) y un segundo a la transparencia reactiva, o ‘acceso’ (solicitar información). Los otros (a partir del derecho a la portabilidad, que discuto más adelante) se refieren a la capacidad de rectificar, limitar, oponer y suprimir: en otras palabras, los derechos de la persona a cambiar el tratamiento.

Se pueden resumir los aspectos más importantes del RGPD en los principios, las bases lícitas y los derechos específicos. Las infracciones de estos elementos del Reglamento pueden suponer multas masivas a las entidades responsables. Aunque hay muchas previsiones en el RGPD sobre la seguridad de datos, para evitar fugas, las infracciones de estas reglas no se consideran tan graves.

Nos referimos a esta ley con el nombre “reglamento general de protección de datos”, pero esto es una abreviación de “reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales”. No se pretende la “protección de datos”, sino la “protección de personas”.

Aquellos que, trabajando en empresas u otros organismos, quieren resolver dudas sobre cómo hacer para cumplir con el RGPD, deben pensar primero cómo proteger los intereses de los individuos implicados – utilizando los principios citados por la ley.

La portabilidad de datos

La portabilidad de datos es un nuevo derecho para los particulares, que no existía antes del RGPD. No es un derecho como los otros, porque no es un derecho de “protección”, es más un derecho de “ampliación” de las oportunidades para que los particulares aprovechen sus datos personales.

Todos los otros derechos suponen que la parte proactiva es el “responsable del tratamiento” y los derechos sirven para asegurar al particular que el responsable no hace nada mal. En el caso de la portabilidad, será el particular el que es proactivo: decidiendo que quiere reutilizar sus datos para otro fin, incluso posiblemente utilizándolos con el competidor del primer “responsable”.

Cuando un particular pida la portabilidad de sus datos (o, sólo de una parte de sus datos), el organismo tratando los datos (el “responsable”) tendrá que proporcionarlos en un fichero en formato común que sea legible por otro ordenador – o sea, que se puedan utilizar en otro sistema sin demasiada dificultad. Los datos no incluirían información de ‘perfiles’, opiniones de terceros u otra información que no estaba en los datos suministrados por el particular, pero, según las autoridades reguladoras, deben incluir información ‘observada’ (como, por ejemplo, información de la ubicación del usuario o qué música ha escuchado).

Una limitación es que este derecho a la portabilidad sólo se aplica si los datos están siendo tratados como consecuencia de un ‘consentimiento’ del particular o debido a un contrato – o sea, la colección de datos resultó de una acción voluntaria por el particular. Todos los datos recogidos sin petición de permiso, o sin acuerdo, no figuran como sujetos a este derecho.

No hay formato específico, determinado por ley, del fichero de portabilidad, pero es muy probable que tablas con elementos separados por coma o ficheros de Excel serán muy utilizados. Los ‘metadatos’ deben incluirse, para indicar claramente la categoría de contenidos de cada campo de datos. Se espera que las empresas que suelen recibir muchos pedidos de portabilidad pondrán en operación interfaces para consultas automáticas (API).

Como ocurre en el ejercicio de cada uno de los derechos establecidos por la ley, el RGPD no permite a las empresas u otros organismos cobrar al particular para cubrir sus costes en responder a las demandas de portabilidad, salvo en casos de solicitudes manifiestamente infundadas o excesivas.

El derecho de la portabilidad de datos responde a lo indicado en la introducción al Reglamento (en Considerando 7): “Las personas físicas deben tener el control de sus propios datos personales.” La gente no debe ser relegada a un papel siempre pasivo, cuando se trate de sus datos personales. La portabilidad es un instrumento de liberación.

Para los “responsables del tratamiento”, la portabilidad implica un cambio de mentalidad. Los datos de los particulares no son ‘activos’ de la empresa, sino ‘pasivos’, deudas. Se tiene que tratarlos como propiedad de otra persona, con cuidado, para devolverlos a demanda.

En aspectos prácticos, no debería ser demasiado difícil responder a pedidos de portabilidad, si se guardan los datos bien organizados. Quizás implicará un cambio en la configuración de la base de datos (como pasará, también, para adaptarse al derecho de supresión), pero este trabajo puede ayudar en otras tareas necesarias, como la ‘limpieza’ de datos para borrar todo que no sea necesario. Sistemas automatizados, para responder a los particulares sin intervención manual, serían la mejor solución, pero en el caso de empresas que tratan pocos datos no hará falta.

La portabilidad es un concepto nuevo, a parte de casos más limitados, como la portabilidad entre compañías del número de teléfono o iniciativas especiales en unos sectores. Todos tendremos que aprender cómo se funciona mejor. Los particulares descubrirán las ventajas de manejar sus propios datos y utilizarlos cuando están pidiendo nuevos servicios o productos. Las empresas que ya guardan los datos de sus clientes desarrollarán sistemas y procedimientos para responder a demandas de portabilidad, y al tiempo buscarán maneras de hacer sus servicios tan atractivos que casi ningún cliente quiera pedir sus datos para transferirlos a un competidor. Nuevos operadores se incorporarán al mercado y ofrecerán servicios especializados basados en el uso de datos albergados antes por empresas más grandes.

Entre todo el ruido sobre los emails pidiendo consentimiento y las nuevas políticas de privacidad, el RGPD más silenciosamente abre nuevos horizontes.

Robert Madge, CEO de Xifrat Daten AG (Suiza), robert.madge@xifrat.com

Related posts:

Derecho y sociedad, Propiedad Intelectual, Regulatorio, Uncategorized | , , ,

Deja un comentario

El email no se publicará

*

*

*

You can use these tags and attributes HTMl: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*