Nuevo derecho a la portabilidad de datos ¿Está tu empresa preparada?

Tenemos hasta el 28 de mayo de 2018 para implementar soluciones que permitan informar y atender a solicitudes de los usuarios a la portabilidad de sus datos. ¿Estamos preparados? ¿Sabemos en qué consiste?.

El artículo 20 del Reglamento Europeo de Protección de Datos regula un nuevo derecho de los usuarios: el derecho a la portabilidad de sus datos.

Servicios Hiberus LegalTech & CyberSec ¿En qué consiste?

El derecho a la portabilidad permite a los usuarios interesados recibir los datos personales que han proporcionado a tu empresa como responsable del tratamiento, y obliga a entregárselos en un formato estructurado (que permita su copia, traslado y transmisión con facilidad), de uso común y legible por máquina; para que los usuarios puedan gestionarlos, reutilizarlos e incluso transmitirlos a otro responsable del tratamiento sin impedimentos.

Derecho a la portabilidad datos personales

 

Ataques ciberseguridad Hiberus CyberSec¿Cuándo nos lo pueden solicitar?

Los usuarios nos pueden solicitar el derecho a la portabilidad siempre que las operaciones de tratamiento automatizado de datos personales que realizamos procedan de su consentimiento previo o de un contrato del que el usuario interesado sea parte.

Recomendaciones ciberseguridad empresas¿Sobre qué tipo de datos personales puede solicitarse el derecho a la portabilidad?

Los usuarios podrán solicitar su derecho a la portabilidad de aquellos datos personales que:

1.- Hayan sido proporcionados por el interesado de forma activa y consciente (por ejemplo, todos los datos requeridos para el registro de usuarios en cualquier cuenta, o para el envío de un formulario online, los pseudónimos si  el responsable conserva el dato correlativo a un identificador del usuario).

2.- Se generan y se recaban a partir de las actividades de los usuarios en virtud del uso de un dispositivo o servicio (por ejemplo, datos generados por sus compras, historial de búsquedas, datos de tráfico, datos de ubicación, datos en bruto generados por un smartwatch a través de una app de control de actividad física y estado de salud).

¿En qué formato debemos entregarlos?

La norma exige la entrega al usuario en un formato estructurado, de uso común y legible por máquina que permita su reutilización e interoperabilidad. Si se ofrecen opciones al usuario respecto del formato en el que se le hace entrega de sus datos, es preciso explicar qué supone cada opción.

Junto con los datos, deben proporcionarse tantos metadatos como sea posible y con el mejor nivel posible de granularidad que preserve el significado exacto de la información intercambiada y permita, a su vez la interoperabilidad o reutilización de los datos.

¿Qué datos quedan excluidos del derecho a la portabilidad?

Quedan excluidos del derecho a la portabilidad los datos anónimos o no concernientes al interesado, así como los deducidos o inferidos por el responsable sobre la base de datos proporcionados por el interesado (datos de categorización, de personalización o de creación de perfiles).

Así también, la portabilidad de los datos no se exige (aunque se recomienda), cuando el tratamiento de los datos es necesario para llevar a cabo una tarea de interés público o en el ejercicio de la autoridad pública conferida al responsable del tratamiento o cuando un responsable del tratamiento esté ejerciendo sus funciones públicas o cumpliendo con una obligación legal.

Hiberus LegalTech & CyberSec¿En qué plazo debemos dar respuesta a la solicitud de portabilidad?

La normativa indica que se debe responder “sin dilación indebida” y, en cualquier caso, en el plazo máximo de un mes desde la recepción de la solicitud o de 3 meses en casos complejos en los que se informe al interesado las razones de la complejidad y el retraso.

Hiberus LegalTech & CyberSec¿Se puede cobrar por dar respuesta a la solicitud de portabilidad de datos?

No se puede cobrar por dar respuesta a la solicitud de portabilidad salvo que se demuestre que se trata de solicitudes manifiestamente infundadas o excesivas por repetidas. Tampoco pueden repercutirse a los usuarios los costes globales de implementación del sistema que permita la solicitud y respuesta ante el ejercicio del derecho de portabilidad, ni puede utilizarse como argumento para justificar una negativa a responder a las solicitudes de portabilidad.

Hiberus LegalTech & CyberSec¿Cómo ofrecemos el derecho a la portabilidad para cumplir el RGPD?

Información: Los responsables del tratamiento de datos deben informar siempre en sus políticas de privacidad y, en todo caso, antes del cierre de cualquier cuenta y ante el ejercicio del derecho de oposición, de la disponibilidad del nuevo derecho a la portabilidad de forma clara y exhaustiva, explicando los distintos tipos de datos que un interesado puede recibir cuando ejerce el derecho de acceso frente a cuando ejerce el derecho a la portabilidad.

De hecho, es un derecho exigible respecto de los datos que tratamos y conservamos. Es decir, si informamos y puede acreditarse que no conservamos datos personales, sobre éstos no tendremos obligación de ofrecer portabilidad.

Además, se deberá informar en la política de privacidad el plazo de respuesta al derecho a la portabilidad que regirá en nuestro caso (siempre dentro de los límites establecidos por la norma), así como de los motivos que pueden dar lugar a la respuesta negativa por nuestra parte, en cuyo caso debe siempre recordarse al usuario la posibilidad de presentar una queja ante la autoridad supervisora e incluso la reparación judicial en el plazo de un mes desde la solicitud.

Por último, es preciso informar a los usuarios que reciben sus datos que es de su responsabilidad desde entonces almacenarlos de forma segura para proteger su información recomendando el formato o formatos apropiados así como el mantenimiento del cifrado.

Herramientas de respuesta ante la solicitud: Los responsables del tratamiento de datos deben implementar herramientas que garanticen la respuesta a las solicitudes de portabilidad de datos.

Estas herramientas pueden ser mediante descarga directa o interfaces de programación de aplicación (API) que permitan el acceso de datos entre distintos programas informáticos así como la transmisión directa por el usuario de sus datos a otro responsable del tratamiento.

Verificación de legitimación o autenticación: El responsable del tratamiento deberá implementar herramientas de autenticación que determinen con certeza la identidad del usuario interesado que solicita sus datos o ejerce sus derechos de protección de datos (pedir nombre de usuario y contraseña para pedir la portabilidad).

Medidas de seguridad:

La transmisión del soporte de datos puede suponer un riesgo de violación de los datos personales. El responsable del tratamiento tendrá que aplicar a la portabilidad de los datos las medidas de seguridad adecuadas que protejan los datos contra tratamientos no autorizados o ilícitos y contra su pérdida accidental, destrucción o daños, utilizando medios técnicos y organizativos apropiados que garanticen la integridad y confidencialidad.

El responsable del tratamiento es responsable de tomar todas las medidas de seguridad apropiadas para garantizar que los datos personales se transmitan de forma segura (p.ej. mediante el uso de cifrado) al destinatario correcto (p. ej. mediante el uso de autentificación adicional).

Hiberus LegalTech & CyberSecEntregados los datos al usuario, ¿No podemos conservarlos ni tratarlos?

La portabilidad de los datos no conlleva el borrado de los datos de los sistemas del responsable del tratamiento ni afecta al periodo de retención o conservación informado como aplicable a los datos que el usuario ha proporcionado.

Hiberus LegalTech & CyberSecSi un usuario nos transmite sus datos portados ¿Qué obligaciones tenemos como receptores de datos portados?

El responsable del tratamiento receptor de los datos tras el ejercicio de un derecho de portabilidad es responsable de garantizar que los datos proporcionados sean pertinentes y no excesivos en relación con el tratamiento de esos datos y la finalidad del mismo conforme a su registro y evaluación de tratamiento de datos personales. De hecho, procesar metadatos adicionales basándonos en el supuesto de que pudieran necesitarse o requerirse para responder a una solicitud de portabilidad de datos no supone una justificación legítima de tratamiento.

Además, si los datos portados contienen datos de terceros que no han dado su consentimiento al responsable (por ejemplo, un registro listado de llamadas con identificación de titulares de números terceros) el nuevo responsable del tratamiento no debe procesar los datos para ningún fin que pueda afectar negativamente a los derechos y libertades de los terceros.

Es por ello, que la recomendación es que tanto los responsables remitentes de datos como los receptores, dispongan de herramientas que permitan a los usuarios seleccionar y excluir sus datos de los de terceros, e incluso disponer de herramientas de autorización de terceros para la transmisión de dichos datos en el caso de que lo deseen (por ejemplo, para las recomendaciones de seguimiento en redes sociales basadas en listas de contactos de dispositivos móviles).

Todavía estamos a tiempo de revisar la política de privacidad de tu web y los procedimientos del sistema de protección de datos de tu empresa para llegar a tiempo al 28 de mayo sin sobresaltos.

La adaptación al Reglamento Europeo de Protección de datos viene acompañada de un sinfín de complejidades técnicas, jurídicas y operativas cuyo análisis e implementación de soluciones llevan un tiempo.

Podemos ayudarte, no lo dejes para última hora ni te fíes de creer que tal como tienes las cosas no incurres en riesgos. Las sanciones económicas previstas son cuantiosas pudiendo llegar al 4% del volumen anual global.

By | 2017-06-06T15:32:52+00:00 Junio 6th, 2017|Blog, Protección de Datos|0 Comments

About the Author:

Directora hiberus LegalTech - Derecho Digital - Management - Compliance Officer – Marketing Digital - Comunicación Corporativa - Privacidad y Protección de Datos - Seguridad de la información en la empresa - Propiedad Intelectual - Comercio electrónico - Pasarelas de pago

Leave A Comment

cuatro × 2 =