Logo Carey

Blog de Tecnología y Privacidad

¿En qué consiste el nuevo derecho de portabilidad de los datos personales?

El Proyecto de reforma a la ley de protección de datos chilena incorpora un nuevo derecho para los titulares de datos personales llamado derecho a la portabilidad, que hasta hoy es desconocido en nuestra legislación. En este artículo analizamos en qué consiste, cómo ha sido entendido en otras legislaciones y cuál es la relevancia práctica de este nuevo derecho.

El texto propuesto por el Proyecto es el siguiente:

Artículo 9º.- Derecho a la portabilidad de los datos personales. El titular de datos tiene derecho a solicitar y recibir del responsable, una copia de los datos personales que le conciernen de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas y, a comunicarlos o transferirlos a otro responsable de datos, cuando concurran las siguientes circunstancias o requisitos:

  • El titular haya entregado sus datos personales directamente al responsable. No procede el ejercicio de este derecho respecto de la información inferida, derivada, creada, generada u obtenida a partir del análisis o tratamientos realizados por el responsable.
  • Se trate de un volumen relevante de datos y sean tratados en forma automatizada, y
  • Exista consentimiento del titular para el tratamiento o se requiera para la ejecución o cumplimiento de un contrato.

El responsable debe utilizar los medios más expeditos, menos onerosos y sin poner trabas u obstáculos para el ejercicio de este derecho.

El responsable también debe comunicar al titular de manera clara y precisa las medidas necesarias para recuperar sus datos personales y especificar las características técnicas para llevar a cabo estas operaciones”.

A nivel internacional, este derecho fue consagrado por primera vez en el artículo 20° del Reglamento General de Protección de Datos de la Unión Europea (el “RGPD”), con el propósito de “reforzar aún más el control” de los titulares sobre sus datos (considerando 68 del RGPD).

Pero, ¿cómo se relaciona el derecho de portabilidad con un mayor grado de control sobre los datos? ¿acaso no otorgan suficiente control ya los tradicionales derechos de acceso, rectificación, cancelación y oposición (derechos “ARCO” para la doctrina)? El legislador europeo y con posterioridad el nuestro, parecieran pronunciarse por la negativa.

En la actualidad, los ciudadanos utilizamos múltiples servicios en Internet, que exigen hacer tratamiento de datos personales: servicios de correo electrónico, de almacenamiento en la nube y redes sociales, por dar algunos ejemplos. Con el uso a través de los años, vamos acumulando enormes volúmenes de datos personales en cada uno de esos servicios: nuestra correspondencia personal, nuestra interacción con otras personas, fotografías, videos y otros recuerdos, documentos importantes, etc.

Llega un punto entonces, en que los tradicionales derechos ARCO sencillamente no son suficientes para dar al individuo un efectivo control sobre sus datos en Internet, porque el costo de ejercer esos derechos se vuelve altísimo: pedirle al responsable de una red social o un servicio de correo electrónico que cese el tratamiento de mis datos personales equivale a perder todos mis documentos, recuerdos o correspondencia. Así las cosas, por mucho que la ley garantice un derecho a solicitar el cese del tratamiento, en los hechos, el titular está “cautivo” de un responsable por una situación fáctica: la existencia de su información personal depende de ese responsable, y pedirle que deje de tratarla equivale a perderla.

Considerando esa realidad, se puede comprender la gran trascendencia que tiene el derecho a la portabilidad, sobre todo en esta época en que buena parte de nuestra vida personal transcurre en Internet y en medios digitales. En definitiva, este derecho no busca otra cosa que resguardar la independencia de los titulares en el manejo de sus datos personales.

Los autores Paul De Hert, Vagelis Papakonstantinou, Gianclaudio Malgieri, Laurent Beslay e Ignacio Sánchez han planteado que el derecho a la portabilidad se puede concebir bajo una perspectiva restrictiva y una amplia. Bajo la perspectiva restrictiva, la portabilidad consistiría en que el titular pueda obtener del responsable una copia de sus datos personales, para así no depender de él y poder exigirle tranquilamente que cese el tratamiento y elimine sus datos.

Una perspectiva más amplia –que es la que los autores prefieren– concibe a la portabilidad como un derecho a obtener los datos en un formato interoperable, para que el titular pueda reutilizarlos fácilmente por sí mismo o en los servicios de otros responsables. Bajo esta segunda perspectiva, además, la portabilidad se concibe como un derecho independiente del derecho de cancelación: el titular puede pedir copia de sus datos en todo momento, sin que eso implique que el responsable deba cesar el tratamiento, pues lo que busca resguardar esta concepción de la portabilidad es que el titular sea libre para probar distintos servicios alternativos, cuantas veces quiera, antes de tomar la decisión de exigirle al responsable la cancelación de sus datos.

La portabilidad en su sentido “amplio”, entonces, no sólo cumpliría una función protectora con respecto al titular, sino que además cumpliría una función social: dificultar la emergencia de monopolios digitales y fomentar la libre competencia en materia tecnológica; y desconcentrar las riquezas generadas por el análisis de macrodatos o Big Data, permitiendo que nuevos emprendimientos puedan beneficiarse del tratamiento ya realizado por un responsable anterior. En definitiva, la portabilidad en su sentido amplio buscaría que los servicios digitales giren en torno al usuario, y no al revés. Como dicen los autores: que el usuario sea el centro de la interoperabilidad entre servicios.

Los autores observan que en el artículo 18° de la propuesta inicial del RGPD, la Comisión Europea intentó abrazar la perspectiva “amplia” de la portabilidad, pues puso énfasis en que los datos fuesen entregados en un formato que le permita al titular seguir utilizándolos, quedando facultada la Comisión para establecer las especificaciones técnicas que aquél formato debía cumplir. Sin embargo, los autores señalan que tal perspectiva fue atenuada en el texto definitivo del RGPD que aprobó el Parlamento Europeo, pues la exigencia de interoperabilidad fue reemplazada por el requisito, más modesto, de que el formato sea de “lectura mecánica”. Ahora bien, la noción de interoperabilidad no desapareció del todo, pues el considerando 68 del RGPD la recogió como un ideal al que se debe aspirar: “Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos”.

En cualquiera de sus dos concepciones, el derecho a la portabilidad busca que los titulares puedan acceder de forma más o menos sencilla a su información personal, y así no perderla al ejercer el derecho de cancelación.

COMENTARIOS Y CRÍTICAS AL TEXTO PROPUESTO EN EL PROYECTO

En primer lugar, podemos destacar y valorar que nuestro legislador haya querido incorporar a nuestro ordenamiento el derecho de portabilidad, que como ya hemos explicado, es relevante para una sociedad que se apoya cada vez más en servicios y plataformas en Internet, que tratan grandes volúmenes de datos.

Nuestro legislador, además, adoptó un enfoque más cercano a la perspectiva “amplia” del derecho de portabilidad, al mantener de alguna forma el ideal de interoperabilidad pretendido inicialmente por la Comisión Europea: el artículo 9° del Proyecto exige que el formato sea “genérico” y que “permita ser operado por distintos sistemas”.

Sin embargo, en nuestra opinión, la redacción propuesta en el Proyecto tiene algunos aspectos que podrían ser mejorados:

  1. Características de la copia de los datos: La expresión “formato genérico” es imprecisa desde un punto de vista técnico.
    De acuerdo al Proyecto, el responsable debe entregar la copia de los datos “de manera estructurada, en un formato genérico y de uso común, que permita ser operado por distintos sistemas”.

    La expresión formato genérico es imprecisa, pues en el medio informático no existe como concepto unívoco. Según el diccionario de la Real Academia Española (“RAE”), lo “genérico” es aquello “común a varias especies”, acepción que resulta difícil de aplicar a un formato de archivo digital.

    Quizás nuestro legislador busca aludir a un formato que sea común a todos los programas computacionales de una misma especie, pero tales formatos no existen: por mucho esfuerzo que realicen los diversos desarrolladores de programas de una misma especie para estandarizar sus formatos, siempre será posible que un tercero desarrolle su propio formato, que escapa del esfuerzo de estandarización. Así ha ocurrido en numerosas ocasiones.

    Considerando lo anterior, creemos que la expresión “formato estándar” describe con más precisión técnica aquello a lo que pareciera estar apuntado el legislador al decir “formato genérico”. Sin embargo, no siempre existen formatos estándares para las múltiples especies de programas, y a veces incluso ha ocurrido que, por su uso masivo, un formato privativo y desarrollado por un solo actor termina imponiéndose como estándar “de facto”, aun cuando en paralelo exista un formato abierto y desarrollado por una multiplicad de actores agrupados en un consorcio de estandarización.

  2. La referencia a “interoperabilidad” debería ser más directa.
    En estrecha relación con lo anterior, creemos que la expresión “interoperable” es más precisa y atiende mejor al propósito del derecho de portabilidad que la forma propuesta por nuestro legislador: “que permita ser operado por distintos sistemas”.

    Aunque ambas expresiones son muy similares, no son sinónimas, pues es perfectamente posible –y de hecho ocurre– que un formato que sí puede ser operado por distintos programas no tenga un buen nivel de interoperabilidad. Esta situación suele darse, por ejemplo, con los formatos privativos o semi-abiertos desarrollados por uno o pocos actores que se han impuesto como estándares de facto: aunque los demás programas computacionales de la misma especie puedan operarlos, difícilmente podrán hacerlo con el grado de perfección con que lo hace el programa de quien desarrolló ese formato, y es posible que las modificaciones que un programa introduzca a un archivo en ese formato no sean correctamente leídas por el otro programa y viceversa, viéndose comprometida significativamente su interoperabilidad.

    Si la intención del legislador es acercarse a una perspectiva más amplia de la portabilidad, para evitar futuras controversias interpretativas, creemos que sería conveniente modificar la redacción empleada en el artículo 9° del Proyecto, y en su lugar exigir que los datos se entreguen “de manera estructurada, en un formato estándar, de preferencia abierto, que sea interoperable entre distintos sistemas, y de uso común”.

  3. Utilidad real del derecho a comunicar y transferir los datos a otro responsable
    Según el texto propuesto por el legislador, la segunda faceta del derecho a la portabilidad consiste en que el titular, tras obtener la copia de sus datos, pueda “comunicarlos o transferirlos a otro responsable de datos”.

    Sin embargo, cuesta comprender qué sería lo novedoso de esta parte del derecho a la portabilidad, pues por regla general el titular siempre podrá comunicar y transferir sus datos a quien quiera, salvo que se hubiera obligado expresamente a no hacerlo. ¿Acaso la norma nos quiere decir que el derecho a comunicar los datos primará sobre una obligación de “no comunicar” que el titular hubiera asumido voluntariamente con el responsable? Es una posible interpretación, pero en tal caso sería recomendable incorporar alguna redacción que clarificara ese propósito de una forma más expresa, para evitar futuras dificultades interpretativas.

    Sin perjuicio de lo anterior, si el propósito del legislador fuera consagrar una especie de “irrenunciablidad” del derecho del titular a comunicar libremente sus datos personales, ¿por qué dar lugar a esa irrenunciabilidad sólo cuando se cumplan las condiciones para la portabilidad enumeradas en el artículo 9°? ¿Qué justificaría, por ejemplo, que este derecho irrenunciable a “a comunicar” prime sólo cuando el responsable haga un tratamiento automatizado, pero no cuando lo haga en forma manual (requisito establecido en la letra b del artículo 9°)?

    La redacción empleada por el RGPD despierta estas mismas interrogantes, aunque contiene una breve frase que no aparece en la propuesta de nuestro legislador, y que arroja algunas luces para interpretar el propósito de la norma. El RGPD dice: “y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado” (la versión en inglés dice “without hindrance from the controller”, que se podría traducir como “sin que lo obstaculice o dificulte el responsable”).

    Considerando lo anterior, se podría sostener que esta segunda faceta del derecho a la portabilidad está más bien enfocada a combatir las trabas de orden fáctico que el responsable pudiera poner para que los datos no sean comunicados a otro responsable, antes que desconocer la validez de las obligaciones de “no comunicar” que pudiera asumir el titular. Aun así, no es evidente que este sea el sentido de la norma, y tampoco se puede descartar que su propósito sea también combatir las obligaciones de “no comunicar” que los responsables pudieran imponer a los titulares a través de contratos de adhesión; hipótesis perfectamente viable y que se enmarca completamente en el espíritu general de esta legislación.

    Como fuere, sería conveniente que nuestro legislador resolviera estas interrogantes a través de una regulación más clara y específica sobre la materia.

  4. ¿Cuándo existe un “volumen relevante” para ejercer el derecho a la portabilidad?
    Llama la atención que nuestro legislador estableciera más limitaciones que el RGPD para la procedencia del derecho a la portabilidad, requiriendo para ello que los datos solicitados constituyan un “volumen relevante”. Probablemente habrá dificultades para determinar qué se considera volumen relevante de datos, evaluación que hará la autoridad, y que previsiblemente vaya cambiando con el tiempo, según los usos reales y las tecnologías de almacenamiento.
  5. ¿A qué se refiere el último inciso con “recuperar” los datos?
    El inciso final establece que el responsable debe comunicar al titular de manera clara y precisa las medidas necesarias para “recuperar” sus datos personales. La elección de esta palabra puede resultar problemática al momento de interpretar el alcance del derecho de portabilidad, pues ella evoca la idea de retomar la posesión sobre algo que antes tenía otro, quitándoselo. El diccionario de la RAE, por ejemplo, la define como “Volver a tomar o adquirir lo que antes se tenía”.

    Creemos que la elección de aquella palabra podría sustentar –eventualmente– la teoría de que el legislador chileno concibe al derecho de portabilidad en su forma “restrictiva”, pues su ejercicio implicaría necesariamente la cancelación posterior de los datos “recuperados”.

    Si la intención de nuestro legislador es consagrar el derecho a la portabilidad en su sentido “amplio”, estimamos que sería conveniente reemplazar el término “recuperar” por “obtener la copia de sus datos”, o sencillamente “ejercer este derecho”, para así evitar futuras dificultades interpretativas y discusiones doctrinarias.

CONCLUSIONES

La incorporación del derecho de portabilidad es una innovación normativa importante y un avance en la protección de los derechos de los ciudadanos, pues constituye un medio efectivo para aumentar el control que éstos tienen sobre sus datos personales.

Por lo que observamos, pareciera que nuestro legislador ha optado por acercarse más a la perspectiva amplia de este derecho, al mantener la exigencia de “interoperabilidad” que originalmente había propuesto la Comisión Europea en su proyecto de RGPD.

Sin embargo, creemos que existen algunos aspectos de la redacción propuesta por nuestro legislador que pueden y deberían ser mejorados, para anticiparse a las dificultades de interpretación y aplicación que han sido explicadas en este artículo.

Paulina Silva

Paulina Silva

Directora del grupo de propiedad intelectual y Tecnologías de la Información de Carey. Sus áreas de práctica están enfocadas en la contratación de tecnologías, negociación y asesoría en procesos de licenciamiento, implementación y mantenimiento de software, contratos de desarrollo de software y páginas web, comercio electrónico, políticas de datos personales, contratos de distribución y en general asesorías relacionadas con derechos de propiedad intelectual y nuevas tecnologías.
Paulina Silva
Elías Mohor

Elías Mohor

Miembro del Grupo de Propiedad Intelectual y Tecnologías de la Información de Carey. Su práctica se centra en la contratación de tecnologías, negociación y asesorías en procesos de licenciamiento, implementación y mantenimiento de software, contratos de desarrollo de software y páginas web, comercio electrónico, políticas de datos personales, contratos de distribución y en general asesorías relacionadas con derechos de propiedad intelectual y nuevas tecnologías e infracciones a la propiedad intelectual e industrial.
Elías Mohor

Author: Paulina Silva

Directora del grupo de propiedad intelectual y Tecnologías de la Información de Carey. Sus áreas de práctica están enfocadas en la contratación de tecnologías, negociación y asesoría en procesos de licenciamiento, implementación y mantenimiento de software, contratos de desarrollo de software y páginas web, comercio electrónico, políticas de datos personales, contratos de distribución y en general asesorías relacionadas con derechos de propiedad intelectual y nuevas tecnologías.

Share This Post On