¿En qué consiste el nuevo derecho de portabilidad de los datos personales?

El Proyecto de reforma a la ley de protección de datos chilena incorpora un nuevo derecho para los titulares de datos personales llamado derecho a la portabilidad, que hasta hoy es desconocido en nuestra legislación. En este artículo analizamos en qué consiste, cómo ha sido entendido en otras legislaciones y cuál es la relevancia práctica de este nuevo derecho.

 

El texto propuesto por el Proyecto es el siguiente:

 

Artículo 9º.- Derecho a la portabilidad de los datos personales. El titular de datos tiene derecho a solicitar y recibir del responsable, una copia de los datos personales que le conciernen de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas y, a comunicarlos o transferirlos a otro responsable de datos, cuando concurran las siguientes circunstancias o requisitos:

 

  • El titular haya entregado sus datos personales directamente al responsable. No procede el ejercicio de este derecho respecto de la información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamientos realizados por el responsable.
  • Se trate de un volumen relevante de datos y sean tratados en forma automatizada, y
  • Exista consentimiento del titular para el tratamiento o se requiera para la ejecución o cumplimiento de un contrato.

El responsable debe utilizar los medios más expeditos, menos onerosos y sin poner trabas u obstáculos para el ejercicio de este derecho.

 

El responsable también debe comunicar al titular de manera clara y precisa las medidas necesarias para recuperar sus datos personales y especificar las características técnicas para llevar a cabo estas operaciones”.

 

A nivel internacional, este derecho fue consagrado por primera vez en el artículo 20° del Reglamento General de Protección de Datos de la Unión Europea (el “RGPD”), con el propósito de “reforzar aún más el control” de los titulares sobre sus datos (considerando 68 del RGPD).

 

Pero, ¿cómo se relaciona el derecho de portabilidad con un mayor grado de control sobre los datos? ¿acaso no otorgan suficiente control ya los tradicionales derechos de acceso, rectificación, cancelación y oposición (derechos “ARCO” para la doctrina)? El legislador europeo y con posterioridad el nuestro, parecieran pronunciarse por la negativa.

 

En la actualidad, los ciudadanos utilizamos múltiples servicios en Internet, que exigen hacer tratamiento de datos personales: servicios de correo electrónico, de almacenamiento en la nube y redes sociales, por dar algunos ejemplos. Con el uso a través de los años, vamos acumulando enormes volúmenes de datos personales en cada uno de esos servicios: nuestra correspondencia personal, nuestra interacción con otras personas, fotografías, videos y otros recuerdos, documentos importantes, etc.

 

Llega un punto entonces, en que los tradicionales derechos ARCO sencillamente no son suficientes para dar al individuo un efectivo control sobre sus datos en Internet, porque el costo de ejercer esos derechos se vuelve altísimo: pedirle al responsable de una red social o un servicio de correo electrónico que cese el tratamiento de mis datos personales equivale a perder todos mis documentos, recuerdos o correspondencia. Así las cosas, por mucho que la ley garantice un derecho a solicitar el cese del tratamiento, en los hechos, el titular está “cautivo” de un responsable por una situación fáctica: la existencia de su información personal depende de ese responsable, y pedirle que deje de tratarla equivale a perderla.

 

Considerando esa realidad, se puede comprender la gran trascendencia que tiene el derecho a la portabilidad, sobre todo en esta época en que buena parte de nuestra vida personal transcurre en Internet y en medios digitales. En definitiva, este derecho no busca otra cosa que resguardar la independencia de los titulares en el manejo de sus datos personales.

 

Los autores Paul De Hert, Vagelis Papakonstantinou, Gianclaudio Malgieri, Laurent Beslay e Ignacio Sánchez han planteado que el derecho a la portabilidad se puede concebir bajo una perspectiva restrictiva y una amplia. Bajo la perspectiva restrictiva, la portabilidad consistiría en que el titular pueda obtener del responsable una copia de sus datos personales, para así no depender de él y poder exigirle tranquilamente que cese el tratamiento y elimine sus datos.

 

Una perspectiva más amplia –que es la que los autores prefieren– concibe a la portabilidad como un derecho a obtener los datos en un formato interoperable, para que el titular pueda reutilizarlos fácilmente por sí mismo o en los servicios de otros responsables. Bajo esta segunda perspectiva, además, la portabilidad se concibe como un derecho independiente del derecho de cancelación: el titular puede pedir copia de sus datos en todo momento, sin que eso implique que el responsable deba cesar el tratamiento, pues lo que busca resguardar esta concepción de la portabilidad es que el titular sea libre para probar distintos servicios alternativos, cuantas veces quiera, antes de tomar la decisión de exigirle al responsable la cancelación de sus datos.

 

La portabilidad en su sentido “amplio”, entonces, no sólo cumpliría una función protectora con respecto al titular, sino que además cumpliría una función social: dificultar la emergencia de monopolios digitales y fomentar la libre competencia en materia tecnológica; y desconcentrar las riquezas generadas por el análisis de macrodatos o Big Data, permitiendo que nuevos emprendimientos puedan beneficiarse del tratamiento ya realizado por un responsable anterior. En definitiva, la portabilidad en su sentido amplio buscaría que los servicios digitales giren en torno al usuario, y no al revés. Como dicen los autores: que el usuario sea el centro de la interoperabilidad entre servicios.

 

Los autores observan que en el artículo 18° de la propuesta inicial del RGPD, la Comisión Europea intentó abrazar la perspectiva “amplia” de la portabilidad, pues puso énfasis en que los datos fuesen entregados en un formato que le permita al titular seguir utilizándolos, quedando facultada la Comisión para establecer las especificaciones técnicas que aquél formato debía cumplir. Sin embargo, los autores señalan que tal perspectiva fue atenuada en el texto definitivo del RGPD que aprobó el Parlamento Europeo, pues la exigencia de interoperabilidad fue reemplazada por el requisito, más modesto, de que el formato sea de “lectura mecánica”. Ahora bien, la noción de interoperabilidad no desapareció del todo, pues el considerando 68 del RGPD la recogió como un ideal al que se debe aspirar: “Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos”.

 

En cualquiera de sus dos concepciones, el derecho a la portabilidad busca que los titulares puedan acceder de forma más o menos sencilla a su información personal, y así no perderla al ejercer el derecho de cancelación.

 

Comentarios y críticas al texto propuestas en el proyecto

 

En primer lugar, podemos destacar y valorar que nuestro legislador haya querido incorporar a nuestro ordenamiento el derecho de portabilidad, que como ya hemos explicado, es relevante para una sociedad que se apoya cada vez más en servicios y plataformas en Internet, que tratan grandes volúmenes de datos.

 

Nuestro legislador, además, adoptó un enfoque más cercano a la perspectiva “amplia” del derecho de portabilidad, al mantener de alguna forma el ideal de interoperabilidad pretendido inicialmente por la Comisión Europea: el artículo 9° del Proyecto exige que el formato sea “genérico” y que “permita ser operado por distintos sistemas”.

 

Sin embargo, en nuestra opinión, la redacción propuesta en el Proyecto tiene algunos aspectos que podrían ser mejorados:

 

  • Características de la copia de los datos: La expresión “formato genérico” es imprecisa desde un punto de vista técnico.

De acuerdo al Proyecto, el responsable debe entregar la copia de los datos “de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas”.

 

La expresión formato genérico es imprecisa, pues en el medio informático no existe como concepto unívoco. Según el diccionario de la Real Academia Española (“RAE”), lo “genérico” es aquello “común a varias especies”, acepción que resulta difícil de aplicar a un formato de archivo digital.

 

Quizás nuestro legislador busca aludir a un formato que sea común a todos los programas computacionales de una misma especie, pero tales formatos no existen: por mucho esfuerzo que realicen los diversos desarrolladores de programas de una misma especie para estandarizar sus formatos, siempre será posible que un tercero desarrolle su propio formato, que escapa del esfuerzo de estandarización. Así ha ocurrido en numerosas ocasiones.

 

Considerando lo anterior, creemos que la expresión “formato estándar” describe con más precisión técnica aquello a lo que pareciera estar apuntado el legislador al decir “formato genérico”. Sin embargo, no siempre existen formatos estándares para las múltiples especies de programas, y a veces incluso ha ocurrido que, por su uso masivo, un formato privativo y desarrollado por un solo actor termina imponiéndose como estándar “de facto”, aun cuando en paralelo exista un formato abierto y desarrollado por una multiplicad de actores agrupados en un consorcio de estandarización.

 

  • La referencia a “interoperabilidad” debería ser más directa.

En estrecha relación con lo anterior, creemos que la expresión “interoperable” es más precisa y atiende mejor al propósito del derecho de portabilidad que la forma propuesta por nuestro legislador: “que permita ser operado por distintos sistemas”.

 

Aunque ambas expresiones son muy similares, no son sinónimas, pues es perfectamente posible –y de hecho ocurre– que un formato que sí puede ser operado por distintos programas no tenga un buen nivel de interoperabilidad. Esta situación suele darse, por ejemplo, con los formatos privativos o semi-abiertos desarrollados por uno o pocos actores que se han impuesto como estándares de facto: aunque los demás programas computacionales de la misma especie puedan operarlos, difícilmente podrán hacerlo con el grado de perfección con que lo hace el programa de quien desarrolló ese formato, y es posible que las modificaciones que un programa introduzca a un archivo en ese formato no sean correctamente leídas por el otro programa y viceversa, viéndose comprometida significativamente su interoperabilidad.

 

Si la intención del legislador es acercarse a una perspectiva más amplia de la portabilidad, para evitar futuras controversias interpretativas, creemos que sería conveniente modificar la redacción empleada en el artículo 9° del Proyecto, y en su lugar exigir que los datos se entreguen “de manera estructurada, en un formato estándar, de preferencia abierto, que sea interoperable entre distintos sistemas, y de uso común”.

 

  • Utilidad real del derecho a comunicar y transferir los datos a otro responsable

Según el texto propuesto por el legislador, la segunda faceta del derecho a la portabilidad consiste en que el titular, tras obtener la copia de sus datos, pueda “comunicarlos o transferirlos a otro responsable de datos”.

 

Sin embargo, cuesta comprender qué sería lo novedoso de esta parte del derecho a la portabilidad, pues por regla general el titular siempre podrá comunicar y transferir sus datos a quien quiera, salvo que se hubiera obligado expresamente a no hacerlo. ¿Acaso la norma nos quiere decir que el derecho a comunicar los datos primará sobre una obligación de “no comunicar” que el titular hubiera asumido voluntariamente con el responsable? Es una posible interpretación, pero en tal caso sería recomendable incorporar alguna redacción que clarificara ese propósito de una forma más expresa, para evitar futuras dificultades interpretativas.

 

Sin perjuicio de lo anterior, si el propósito del legislador fuera consagrar una especie de “irrenunciablidad” del derecho del titular a comunicar libremente sus datos personales, ¿por qué dar lugar a esa irrenunciabilidad sólo cuando se cumplan las condiciones para la portabilidad enumeradas en el artículo 9°? ¿Qué justificaría, por ejemplo, que este derecho irrenunciable a “a comunicar” prime sólo cuando el responsable haga un tratamiento automatizado, pero no cuando lo haga en forma manual (requisito establecido en la letra b del artículo 9°)?

 

La redacción empleada por el RGPD despierta estas mismas interrogantes, aunque contiene una breve frase que no aparece en la propuesta de nuestro legislador, y que arroja algunas luces para interpretar el propósito de la norma. El RGPD dice: “y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado” (la versión en inglés dice “without hindrance from the controller”, que se podría traducir como “sin que lo obstaculice o dificulte el responsable”).

 

Considerando lo anterior, se podría sostener que esta segunda faceta del derecho a la portabilidad está más bien enfocada a combatir las trabas de orden fáctico que el responsable pudiera poner para que los datos no sean comunicados a otro responsable, antes que desconocer la validez de las obligaciones de “no comunicar” que pudiera asumir el titular. Aun así, no es evidente que este sea el sentido de la norma, y tampoco se puede descartar que su propósito sea también combatir las obligaciones de “no comunicar” que los responsables pudieran imponer a los titulares a través de contratos de adhesión; hipótesis perfectamente viable y que se enmarca completamente en el espíritu general de esta legislación.

 

Como fuere, sería conveniente que nuestro legislador resolviera estas interrogantes a través de una regulación más clara y específica sobre la materia.

 

  • ¿Cuándo existe un “volumen relevante” para ejercer el derecho a la portabilidad?

Llama la atención que nuestro legislador estableciera más limitaciones que el RGPD para la procedencia del derecho a la portabilidad, requiriendo para ello que los datos solicitados constituyan un “volumen relevante”. Probablemente habrá dificultades para determinar qué se considera volumen relevante de datos, evaluación que hará la autoridad, y que previsiblemente vaya cambiando con el tiempo, según los usos reales y las tecnologías de almacenamiento.

 

  • ¿A qué se refiere el último inciso con “recuperar” los datos?

El inciso final establece que el responsable debe comunicar al titular de manera clara y precisa las medidas necesarias para “recuperar” sus datos personales. La elección de esta palabra puede resultar problemática al momento de interpretar el alcance del derecho de portabilidad, pues ella evoca la idea de retomar la posesión sobre algo que antes tenía otro, quitándoselo. El diccionario de la RAE, por ejemplo, la define como “Volver a tomar o adquirir lo que antes se tenía”.

 

Creemos que la elección de aquella palabra podría sustentar –eventualmente– la teoría de que el legislador chileno concibe al derecho de portabilidad en su forma “restrictiva”, pues su ejercicio implicaría necesariamente la cancelación posterior de los datos “recuperados”.

 

Si la intención de nuestro legislador es consagrar el derecho a la portabilidad en su sentido “amplio”, estimamos que sería conveniente reemplazar el término “recuperar” por “obtener la copia de sus datos”, o sencillamente “ejercer este derecho”, para así evitar futuras dificultades interpretativas y discusiones doctrinarias.

 

Conclusiones

 

La incorporación del derecho de portabilidad es una innovación normativa importante y un avance en la protección de los derechos de los ciudadanos, pues constituye un medio efectivo para aumentar el control que éstos tienen sobre sus datos personales.

 

Por lo que observamos, pareciera que nuestro legislador ha optado por acercarse más a la perspectiva amplia de este derecho, al mantener la exigencia de “interoperabilidad” que originalmente había propuesto la Comisión Europea en su proyecto de RGPD.

 

Sin embargo, creemos que existen algunos aspectos de la redacción propuesta por nuestro legislador que pueden y deberían ser mejorados, para anticiparse a las dificultades de interpretación y aplicación que han sido explicadas en este artículo.

 

 

Artículos

Nueva normativa sobre lavado de activos - Creación del Registro de Proveedores de Servicios de Activos Virtuales
TCA Tanoira Cassagne
empleos
opinión
ver todos
Cambiar cambios que cambien … así las cosas …. no cambian
Por Santiago A. Gonzalez
Gonzalez & Schindler

El impago de la provisión de fondos del arbitraje: tres salidas del impasse
Por Esther Romay Jove (*)
Dunning Rievman & Macdonald LLP

Un nuevo pronunciamiento de la Corte Suprema de Justicia de la Nación sobre discriminación
Por Lucas J. Battiston
PASBBA Abogados

Responsabilidad de socios y administradores por créditos laborales – Alternativa disponible al abuso de jurisdicción
Por Juan Martin Crespo
Brons & Salas

detrás del traje
Gustavo Ariel Atta
De AVOA ABOGADOS
Nos apoyan
.
Bruchou & Funes de Rioja junto con TCA Tanoira Cassagne asesoran en la emisión de Obligaciones Negociables Clase XIV y XV de YPF Energía Eléctrica S.A.
.
Marval O’ Farrell Mairal y TCA Tanoira Cassagne asesoraron en la emisión de obligaciones negociables de Edenor por un monto de US$ 100.000.000
.
TCA asesoró en la compra de Evolución SGR
Paraguay
FERRERE asesora a familia Arréllaga en la formalización de su protocolo familiar
El despido directo en los términos del art. 247 LCT
La competencia de los juzgados contenciosos administrativos federales y los criterios material y normativo
La unificación de la responsabilidad contractual y extracontractual y la prescripción
La CNAT aplicó la jurisprudencia de la CSJN que limitó la forma de calcular los intereses en indemnizaciones laborales
Nueva normativa sobre lavado de activos - Creación del Registro de Proveedores de Servicios de Activos Virtuales
Teletrabajo en Zonas Francas: se flexibilizan condiciones para su implementación
Multas y daños punitivos: ¿qué pasó a un año de la modificación a la Ley de Defensa del Consumidor?
Reputación empresarial en peligro ante casos de violencia laboral. Cómo prevenirlo. Necesaria interacción entre las áreas de Compliance y recursos humanos