El Reglamento Europeo de Protección de Datos paso a paso III: Derecho a la limitación del tratamiento y derecho a la portabilidad de los datos.

por Jorge Campanillas Ciaurriz

publicado el 19 mayo 2016

Categorías: Abogados / Abogados LOPD / Derechos Fundamentales / LOPD / Normativa / Privacidad / Protección de Datos

Seguimos con la serie de entradas para analizar el Reglamento Europeo de Protección de Datos, en las anteriores entradas hablamos sobre los principios de consentimiento e información y de los derechos de acceso y supresión o derecho al olvido. Hoy continuamos con los derechos recogidos en el reglamento y que constituyen cierta novedad de lo que es la regulación actual en protección de datos: el reglamento incluye los derechos de limitación del tratamiento, derecho a la portabilidad de los datos, para terminar con derechos más conocidos pero que se puntulizan más en su impacto como son el derecho de oposición y derecho a no ser objeto de decisiones individualizadas automatizadas.

Comenzando con las novedades, el Reglamento incluye una especia de derecho de oposición  junto con aspectos de la cancelación que se ha denominado derecho a limitación del tratamiento. Este derecho permite a los interesados solicitar al responsable del tratamiento que limite dichos tratamientos cuando se cumplan algunas de las causas recogidas en el reglamento, esto es: se impugne la exactitud de los datos personales, durante un plazo que permita al responsable verificar la exactitud de los mismos; el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso; el responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones o el interesado se haya opuesto al tratamiento mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado. Es decir es una especie de congelación de los datos mientras se comprueban ciertas circunstancias de los mismos y no pudiéndo el responsable cancelar o tratar dichos datos.

Junto con la limitación una de las grandes novedades del Reglamento (aunque quizá un pelín desvirtuado) es el derecho a la portabilidad de los datos. Una gran posibilidad (y puede que un dolor de cabeza para algunos responsables de tratamiento) para que no tengamos que ir rellenando en cada momento un nuevo formulario sino que podamos ir trasladando nuestros datos de forma sencilla y automatizada. El reglamento establece que el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado. Reitero el tema comentado en el post anterior sobre el tema de los estándares, y resulta muy interesante esa posibilidad que tendremos de poder «descargar toda nuestra información» y llevarla a otra plataforma para poder continuar con nuestra vida digital o incluso, la propia obligación al responsable para que no sólo se de la posibilidad de descarga sino directamente se transmitan entre plataformas sin que el responsable de la plataforma se pueda negar a ello. Lamentablemente a este último aspecto se ha puesto la coletilla: cuando sea técnicamente posible, que, espero equivocarme, puede hacer que esta posibilidad se quede en muchos casos en nada, la excusa de muchas plataformas será que no es posible y que en todo caso se dará la posibilidad de descarga. Asimismo, el reglaento establece que esta portabilidad sólo tendrá lugar en los casos que el tratamiento se realice con el consentimiento de los interesados y el tratamiento se efectúe por medios automatizados.

Otra oportunidad perdida es que el derecho de portabilidad tampoco se aplicará «en el ejercicio de los poderes públicos» y nos quedaremos como estábamos cuando tratamos con la Administración (por favor aporte otra vez las fotocopias de su dni, etc., con lo fácil es que pudiéramos asimismo trasladar nuestra información de forma digital de una Administración a otra, porque aquella de la ventanilla única, interoperabilidad, …)

Para finalizar la parte de los derechos, el reglamento regula el derecho de oposición, que tras la inclusión de la limitación de los datos, parece directamente establecido para la oposición cuando no se han recabado los datos con su consentimiento (pueda existir un interés legítimo o públicos) o el tratamiento de datos se realice con fines publicitarios: Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.

En cuanto a las decisiones individuales automatizadas (ese art. 13 de la LOPD…) el legislador europeo sigue empeñado en que los ciudadanos no seamos valorados únicamente por máquinas,  y que tengamos derecho a no ser objeto de una decisión tomadas por ellas, incluída la elaboración de perfiles (veremos que piensa facebook de ésto), pero, también es cierto que el reglamento permite estas decisiones tomadas por máquinas siempre y cuando el interesado haya dado su consentimiento explícito (el santo sanctorum del consentimiento) y permitiendo al interesado impugnar esas valoraciones. Esta limitación a los responsables tiene hoy en día más calado del que podamos pensar y veremos en breve cómo se van aplicando y que se incluye en esos consentimientos explícitos que tendrá que aceptar el interesado/a.

Mucho trabajo por delante para explotar todas las posibilidades de los derechos por parte de los interesados y conocer sus implicaciones a los responsables del tratamiento.

Terminamos con la parte de los derechos y continuaremos en siguientes posts con el Reglamento. Espero os esté resultando interesante