El derecho a la portabilidad (art. 20 RGPD) es un derecho “nuevo”(aunque a pocos meses del segundo aniversario del RGPD cada vez se haga más difícil decirlo) que, en sus comienzos, generó bastante incertidumbre en cuanto a su alcance y contenido, los cuales han sido analizados en muchas ocasiones por las distintas autoridades de la UE y, en concreto, por la propia AEPD (en su página web, en sus FAQs –en las preguntas 7.9 y 7.10–, blog, etc.) y el CEPD (en las “bendecidas” Directrices sobre el derecho a la portabilidad de los datos). También nosotros tuvimos la oportunidad de analizar este derecho en el marco del sector asegurador en este Blog.

En este punto, la AEPD ha creado un nuevo precedente en la evolución de este derecho a través de la resolución R/00552/2019 (la “Resolución”) como anunciaba en su nota de prensa.

El derecho a la portabilidad incluye los datos facilitados por el afectado y que le incumban, siempre con el límite de que no afecten negativamente a los derechos y libertades de otros (art. 20.4 RGPD). De esta forma y en términos generales, se excluyen:

  • Datos anonimizados (de verdad*).
  • Datos que el sujeto haya facilitado sobre terceras personas.
  • “Datos creados por el responsable del tratamiento (utilizando los datos observados o facilitados directamente como información), tales como un perfil de usuario creado por el análisis de datos en bruto recogidos por un sistema de medición inteligente” (Directrices sobre el derecho a la portabilidad de los datos).
  • Datos inferidos y deducidos por el responsable sobre la base de los datos facilitados por el afectado. Esto es, aquellos “que resulten de la aplicación a la información generada en el desarrollo del servicio de conocimientos o técnicas propias del responsable; es decir, procedentes de la aplicación sobre los datos relacionados con el producto o servicio de técnicas que forman parte del know how del responsable (como pueden ser, entre otros, técnicas matemáticas o resultantes de la aplicación de algoritmos)” (véase la propia Resolución).
  • Datos que incumban al interesado pero que hayan sido proporcionados al responsable a través de terceros.

En la Resolución, la AEPD recuerda la importancia de interpretar los “datos facilitados por el afectado” en un sentido amplio conforme a las Directrices mencionadas y considera como facilitados:

  • Datos efectivamente suministrados por el interesado.
  • Datos que resultasen del propio “uso” o “desarrollo” del servicio contratado.
  • Datos que proceden de la observación de sus actividades tales como los datos de consumo.
  • Datos de tráfico. A este respecto, se debe tener en cuenta que el reclamado en la Resolución es un operador de telecomunicaciones. Esto es importante porque, en relación con el artículo 48 de la Ley General de Telecomunicaciones, entiende la AEPD que el derecho a la portabilidad alcanza:
    • Aquellos datos de tráfico y localización distintos de los datos de tráfico que conserve la entidad por ser necesarios a efectos de la facturación y los pagos de las interconexiones hasta que sean cancelados por haber expirado el plazo para la impugnación de la factura del servicio, para la devolución del cargo efectuado por el operador, para el pago de la factura o para que el operador pueda exigir su pago. El reclamante sí tiene derecho a la portabilidad a este respecto.
    • Aquellos que se utilicen con el consentimiento con fines comerciales o para la prestación de servicios de valor añadido y, respecto de los datos de localización distintos de los datos de tráfico, que no se hayan hecho anónimos por la entidad y se utilicen con consentimiento del interesado para la prestación de servicios de valor añadido. El reclamante sí tiene derecho a la portabilidad a este respecto.

La AEPD excluye del alcance de este derecho los datos de tráfico conservados por las operadoras a los efectos previstos en la Ley 25/2007, así como los datos de “visitas web”.

De esta forma, la AEPD interpreta el derecho a la portabilidad y qué se entiende por datos resultantes del uso de un servicio, incluyendo en el marco de dicho derecho los datos de consumo, tráfico y localización (excluyendo aquellos relativos a visitas a páginas web).

*Véanse las orientaciones y garantías en los procedimientos de anonimización de datos personales.