Trasladar los datos personales de una empresa a otra, un nuevo derecho del ciudadano que emana del RGPD

En el escenario de la XXI Jornada Internacional de Seguridad de la Información organizada en Madrid por la Asociación Española para el Fomento de la Seguridad de la Información-ISMS Forum Spain, se presentó la Guía sobre el Derecho a la Portabilidad, una herramienta necesaria para que las empresas puedan trasvasar en el mes que dicta la ley esos datos personales a otra entidad.

En el artículo 20 del Reglamento General de Protección de Datos (RGPD) se recoge la existencia de un nuevo derecho, que se une a los derechos ARCO, y más concretamente, que complementa al antiguo derecho de acceso a los datos personales.

Es el derecho a la portabilidad.

Hasta ahora, los ciudadanos tenían derecho a acceder a sus datos personales.

Ahora con la portabilidad, a este acceso y reutilización de sus datos se une la posibilidad de poder transmitirlos a otra entidad, empresa, organización, proveedor de servicio, directamente desde otra entidad, siempre que técnicamente sea posible.

El derecho a la portabilidad podrá solicitarse en los siguientes casos: el tratamiento de los datos se haga de forma automatizada, esté basado en el consentimiento o en un contrato y cuando el usuario lo solicite sobre los datos que él proporciona, incluidos los datos derivados de su propia actividad.

En este debate que sirvió para la presentación de dicha guía participaron Patricia Muleiro, delegado de Protección de Datos (dPO) de la Clínica Universidad de Navarra; Fátima Cereijo, responsable del Control del Fraude y Privacidad de Abanca, Teresa Miquel, dPO de Suez.

También Susana Rey, dPO del Grupo Euskaltel, expertas que explicaron cómo surgió esta herramienta aún pendiente de validación por la propia Agencia Española de Protección de Datos.

De izquierda a derecha, Carlos A. Saiz, Vicepresidente, ISMS Forum Spain; Director, Data Privacy Institute; Attorney, Partner and Head of Governnance, Risk & Compliance practice, Ecix Group; Fátima Cereijo, Control de Fraude y Privacidad, Abanca; Susana Rey, DPO, Grupo Euskaltel; y Patricia Muleiro, DPO, Clínica Universidad de Navarra.

Carlos Sáiz, vicepresidente de ISMS Fórum, aclaraba a Confilegal que “lo que hemos intentando es generar una guía que contenga buenas prácticas, para que las empresas y dPO tengan algunas prácticas para poder dar respuesta a este nuevo derecho que emana del RGPD”.

A priori, parece uno de los más complejos de gestionar.

La estructura de la guía se ha segmentando en diferentes sectores, “no es una guía general, sino que da pauta en base a sectores de actividad».

«Así se habla de su aplicación al sector salud; al ámbito de las telecomunicaciones, banca, utilities, sectores que manejan muchos datos personales de terceros”, indica este experto.

En la elaboración de la guía han colaborado dPOS que conocen bien su sector de actividad por su experiencia en determinados sectores.

En la guía se analiza cuestiones como el contenido, plazo, limitaciones “para dar contestación en cada sector a cada uno de estos puntos comunes, pero en cada sector la solución es diversa».

«En el caso de utilities, una empresa de agua tiene mucha información de nosotros, pero es diferente a como la trata un hospital, donde hay pruebas de imagen o historiales clínicos que tienen una regulación especial”.

Y es que en este tipo de situaciones el papel del dPO es clave. “Debe generar cultura de privacidad de forma interna, pero también cuando exista un problema de este tipo debe saber cómo gestionarlo».

«De esa forma puede tener claro si su organización está cumpliendo con lo que se espera de ella en materia de privacidad y gestión de datos personales. Una avalancha de quejas o reclamaciones subrayan que hay algo que cambiar”, indica.

Telecomunicaciones y portabilidad

Respecto a la aplicación práctica de distintos sectores, Susana Rey, dPO de Euskaltel, señalaba  a Confilegal que “cuando desde ISMS Forum nos lanzamos a realizar esta guía fue pensando en proporcionar a las empresas una Guía validada por la Agencia que no se quedase simplemente en la teoría jurídica de este derecho, sino que mostrase la aplicación práctica en diferentes sectores, con ejemplos claros y reales”.

En su opinión “la guía WP242 del antiguo Grupo de Trabajo del artículo 29 es muy completa, y nos ha servido de base para realizar esta, pero se queda en un plano muy teórico, con pocos ejemplos prácticos”. A su juicio dicha guía implicaba conocimientos elevados de protección de datos que las pymes no tienen.

“Pensando sobre todo en estas empresas, desde ISMS Fórum hemos diseñado unas fichas con cada uno de los aspectos a tener en cuenta en ese análisis, y se incluyen ejemplos prácticos del mismo para diferentes sectores”, indicaba a este periodista.

En un sector como en telecomunicaciones, esta experta cree que de cara a garantizar el derecho a la portabilidad al usuario “no debería haber impedimentos».

«Quizás dificultades, pero el Reglamento establece esta obligación para el proveedor donante y todos debemos estar en condiciones de ejecutar este derecho”.

Rey recuerda que “en este sector hace muchos años que existe el derecho a la portabilidad del servicio, que no hay que olvidar que incluye ya la portabilidad de ciertos datos personales, y entre operadoras están muy trabajado temas muy importantes como la identificación del solicitante como titular de los datos, formatos seguros de intercambio de los datos, plazos, etc.”.

Para la dPO de Euskatel es posible que este nuevo derecho que nace del RGPD “sea uno de los mas exigentes para ciertos sectores. Y me refiero a los servicios de la sociedad de la información, como redes sociales, o en el sector financiero, seguros y de salud; y quizás algún otro que ahora mismo se me olvida”.

En su opinión “en estos sectores existen datos que resulta imprescindible que se transfieran para que el titular tenga derecho real al cambio de proveedor».

«Ejemplo, no cambiarás de red social si no puedes llevarte las fotos que ya habías publicado, o tus comentarios importantes; no cambiarás de médico sin las pruebas ya realizadas; o de empresa de telecomunicaciones si pierdes tu numeración telefónica”.

Portabilidad y sector salud

Por su parte, Patricia Muleiro, dPO y directora de la Unidad de Seguridad y Protección de Datos de la Clínica Universidad de Navarra, comentaba sobre la utilidad de esta guía que «una vez sea revisada y publicada por la Agencia Española de Protección de Datos, tendrá una finalidad básicamente orientativa, en relación a cómo abordar el nuevo Derecho a la Portabilidad desde ámbitos tan distintos como pueden ser el de telecomunicaciones, servicios financieros, servicios públicos, y salud”.

En este sector salud esta experta vislumbra algunos impedimentos sobre la portabilidad “en primer lugar, yo señalaría la complejidad a la hora de determinar qué datos estarán incluidos dentro del derecho de Portabilidad, y cuales deben excluirse”.

A su juicio “deberían entenderse incluidos los datos facilitados directamente por el paciente o recabados por el centro, los cuales básicamente tendrán un carácter identificativo (nombre y apellidos, DNI, número de cuenta bancaria…), y en ocasiones datos de salud contenidos en informes médicos o pruebas que el paciente puede aportar durante la asistencia sanitaria, o al solicitar una segunda opinión”.

Para Muleiro “el resto de los datos de salud, generados mayoritariamente durante la asistencia sanitaria, deberán ser considerados datos inferidos, excluidos por tanto del derecho de portabilidad».

«También se excluirían los datos facilitados por terceros o los necesarios para el ejercicio de una misión realizada en interés público”.

Otra dificultad que señala es “la complejidad en la extracción de los datos de salud de un paciente de su historia clínica en formato electrónico”.

Pone como ejemplo, la complejidad que supone extraer de informe médico la “Anamnesis” o antecedentes médicos facilitados por el paciente, excluyendo el resto del contenido que tendría la consideración de datos de salud generados durante la asistencia y objeto de interpretación por el facultativo.

Por último, destacaba una dificultad de carácter tecnológico “al no existir actualmente protocolos de envío de datos de salud entre los centros sanitarios, y ante la necesidad de implantar medidas de seguridad de nivel alto al tratarse datos de categoría especial, cobrando gran importancia la verificación de la identidad del solicitante, bien mediante documentos oficiales acreditativos, bien mediante el uso de usuario y contraseña”.

Al igual que otros expertos consultados por Confilegal, Patricia Muleiro está de acuerdo en que estamos ante uno de los nuevos derechos que nacen del RGPD, más exigentes para las empresas.

A su juicio “no es muy frecuente en este sector el ejercicio del Derecho de Portabilidad, y en el caso de que este se produzca, mayoritariamente será reconducido al ejercicio de un derecho de Acceso a la Historia Clínica, o se facilitara el acceso del paciente a sus datos, tanto identificativos como de salud, a través de portales que reúnan todas las necesarias medidas de seguridad”.

Noticias Relacionadas:

«Es de chiste»: la rampa del local de Pablo Iglesias, la Taberna Garibaldi, vulnera por completo la normativa

Un restaurante, multado con 10.000 euros por difundir imágenes del torso semidesnudo de un cliente

El cartel de «solo en efectivo»: cada vez más frecuente y legal

La AEPD multa con 200.000 euros al Burgos CF por irregularidades al pedir la huella dactilar a sus socios

El Supremo anula parte del Real Decreto que limita la publicidad de las apuestas online

La AEPD castiga con 5.000 euros a un ciudadano por publicar en YouTube una grabación de un juicio