Portabilidad y oposición de datos: cómo aplicarlos en la empresa

·

Los ciudadanos europeos disponen de un catálogo de derechos frente al tratamiento de sus datos personales que va mucho más allá del clásico acceso o la rectificación. El derecho de portabilidad (art. 20 del Reglamento (UE) 2016/679) y el derecho de oposición (art. 21 del mismo Reglamento) son dos de los más relevantes y, al mismo tiempo, de los que más dudas generan en las empresas a la hora de gestionar las solicitudes. ¿Cuándo puede ejercerse la portabilidad? ¿Qué diferencia hay con el derecho de acceso? ¿En qué casos la oposición al marketing directo no admite denegación? Este artículo responde a esas preguntas con rigor normativo y ofrece una guía operativa para las organizaciones que deben atender este tipo de solicitudes.

El derecho de portabilidad de datos (art. 20 RGPD): qué es y cuándo aplica

El derecho de portabilidad de datos está regulado en el artículo 20 del Reglamento (UE) 2016/679 (RGPD). Permite al interesado recibir los datos personales que le incumban y que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, así como transmitirlos directamente a otro responsable del tratamiento cuando sea técnicamente posible.

Su finalidad es favorecer la movilidad de los datos y reducir la dependencia de los usuarios respecto a una plataforma o empresa concreta. Si un cliente quiere llevarse sus datos de un proveedor de servicios de salud digital a otro, o un usuario desea migrar su historial de transacciones de una aplicación financiera, el derecho de portabilidad de datos es el instrumento jurídico que lo hace posible.

Condiciones acumulativas que deben concurrir

El artículo 20.1 del RGPD establece que el derecho de portabilidad solo es ejercitable cuando se cumplen dos condiciones acumulativas:

  1. El tratamiento está basado en el consentimiento del interesado (art. 6.1.a o art. 9.2.a RGPD) o en la ejecución de un contrato en el que el interesado es parte (art. 6.1.b RGPD).
  2. El tratamiento se efectúa por medios automatizados.

Si el tratamiento se basa en una obligación legal, en el ejercicio de poderes públicos o en el interés legítimo del responsable, el derecho de portabilidad no puede ejercerse. Tampoco aplica cuando el tratamiento se realiza de forma puramente manual o sobre registros en papel.

Esto significa que la portabilidad es especialmente relevante para: plataformas de servicios en línea que tienen al usuario como cliente contractual, aplicaciones de salud, bienestar o deporte que tratan datos con consentimiento, y servicios financieros o de telecomunicaciones digitales.

¿Qué datos cubre la portabilidad?

El derecho de portabilidad de datos solo cubre los datos que el propio interesado ha facilitado al responsable. Esto abarca los datos proporcionados activamente (nombre, dirección de correo, historial de compras, preferencias declaradas) y los datos generados por la actividad del interesado en el servicio (historial de navegación, registros de ubicación, transacciones). No cubre los datos inferidos o derivados que el responsable haya generado internamente a partir del tratamiento: puntuaciones de riesgo, perfiles de segmentación, análisis predictivos o cualquier elaboración intelectual propia del responsable.

Portabilidad frente a derecho de acceso: diferencias clave

Una confusión habitual entre las empresas es asimilar la portabilidad al derecho de acceso del artículo 15 del RGPD. Son derechos distintos con finalidades diferentes. Conocer bien esta distinción es indispensable para dar la respuesta correcta a cada solicitud.

Característica Derecho de acceso (art. 15 RGPD) Derecho de portabilidad (art. 20 RGPD)
Finalidad Conocer qué datos se tratan y cómo Obtener los datos en formato reutilizable y transferirlos
Base de tratamiento necesaria Cualquier base legal del art. 6 RGPD Solo consentimiento (art. 6.1.a) o contrato (art. 6.1.b)
Formato de respuesta Copia legible; admite también formato papel Formato estructurado, de uso común y lectura mecánica (CSV, JSON, XML…)
Transmisión directa a otro responsable No prevista Sí: puede solicitarse la transmisión directa cuando sea técnicamente posible
Datos cubiertos Todos los datos personales del interesado en poder del responsable Solo los datos facilitados por el interesado (no los inferidos)
Tratamiento automatizado No requerido Sí, condición obligatoria

Desde el punto de vista operativo, cuando una empresa recibe una solicitud que el interesado denomina «portabilidad», debe verificar antes de responder si la base jurídica del tratamiento es el consentimiento o el contrato. Si no lo es, debe comunicárselo al interesado e informarle de que puede ejercer el derecho de acceso en su lugar, siempre que este sea procedente.

El servicio de gestión de derechos de los interesados de Summum Consultoría incluye el diseño de los procedimientos internos para identificar la base jurídica aplicable a cada categoría de tratamiento y emitir respuestas correctas, completas y documentadas dentro del plazo legal.

El derecho de oposición (art. 21 RGPD): fundamento y modalidades

El derecho de oposición permite al interesado oponerse, en cualquier momento, al tratamiento de sus datos personales. Está regulado en el artículo 21 del RGPD y tiene dos modalidades con regímenes jurídicos sustancialmente diferentes.

Oposición al tratamiento basado en interés legítimo o ejercicio de poderes públicos

Cuando el tratamiento se basa en el artículo 6.1.e del RGPD (misión de interés público o ejercicio de poderes públicos) o en el artículo 6.1.f (interés legítimo del responsable), el interesado puede oponerse al tratamiento por motivos relacionados con su situación particular. Una vez recibida la solicitud, el responsable debe dejar de tratar los datos, salvo que acredite motivos legítimos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o que el tratamiento sea necesario para la formulación, el ejercicio o la defensa de reclamaciones.

En la práctica, este supuesto es el más complejo, porque exige al responsable realizar un juicio de ponderación concreto para cada solicitud: no cabe denegar la oposición de forma genérica ni aplicar plantillas estándar sin analizar las circunstancias particulares alegadas por el interesado.

Oposición al marketing directo: régimen absoluto

El artículo 21.2 y 21.3 del RGPD establece un régimen específico y mucho más protector para el marketing directo. Cuando el tratamiento tiene como finalidad el marketing directo —incluida la elaboración de perfiles en la medida en que esté relacionada con ese marketing—, el interesado tiene derecho a oponerse en cualquier momento al tratamiento de sus datos personales. En este caso, el responsable debe cesar el tratamiento de forma inmediata, sin posibilidad de denegación y sin que el interesado necesite motivar su solicitud.

Esto es especialmente relevante para empresas que envían comunicaciones comerciales por correo electrónico, SMS, notificaciones push o cualquier otro canal. Si el destinatario se opone, el cese debe ser completo para esa finalidad: no basta con desuscribirle de un tipo de comunicación si se siguen enviando otras de índole comercial.

El artículo 21.4 del RGPD obliga además a informar al interesado explícitamente de este derecho de oposición al marketing directo, a más tardar en el momento de la primera comunicación con él, y de forma claramente visible y separada de cualquier otra información.

Procedimiento operativo en la empresa: guía paso a paso

Gestionar correctamente las solicitudes de portabilidad y oposición requiere un procedimiento documentado y aplicado de forma homogénea por todo el personal que pueda recibirlas. A continuación se describe un flujo recomendado aplicable a organizaciones de cualquier tamaño y sector.

Paso 1: canal de recepción y acuse de recibo

La organización debe disponer de un canal claro y accesible para recibir solicitudes de ejercicio de derechos: formulario web específico, dirección de correo electrónico dedicada o ventanilla presencial. Debe emitirse un acuse de recibo al interesado en el que conste la fecha de recepción, ya que el plazo de respuesta —un mes desde esa fecha, según el artículo 12.3 del RGPD— empieza a contar desde ese momento. El plazo puede prorrogarse dos meses adicionales cuando la solicitud sea compleja, pero la prórroga debe comunicarse al interesado dentro del primer mes.

Paso 2: verificación de la identidad del solicitante

Antes de facilitar ningún dato ni adoptar ninguna medida, el responsable debe verificar la identidad del solicitante. El artículo 12.6 del RGPD permite solicitar información adicional cuando existan dudas razonables sobre la identidad. Esta verificación debe ser proporcional al riesgo: no cabe exigir documentación exhaustiva para solicitudes de bajo riesgo, pero sí es legítimo pedirla cuando los datos afectados son sensibles o el volumen elevado.

Paso 3: análisis y calificación de la solicitud

Para las solicitudes de portabilidad: verificar que el tratamiento afectado se basa en consentimiento o contrato y que se realiza por medios automatizados. Identificar los datos facilitados por el interesado que son susceptibles de portabilidad, distinguiéndolos de los datos inferidos que quedan excluidos del alcance del derecho.

Para las solicitudes de oposición: determinar si la finalidad afectada es el marketing directo —en cuyo caso la oposición es absoluta e inmediata— o si se trata de otra finalidad basada en interés legítimo o interés público, que requiere la ponderación descrita en el artículo 21.1 del RGPD. Si el interesado alega una situación particular, el responsable debe valorarla individualmente y documentar el razonamiento.

Paso 4: respuesta y ejecución de la medida

En portabilidad: proporcionar los datos en formato estructurado de uso común y lectura mecánica (CSV, JSON, XML u otro formato abierto e interoperable), o transmitirlos directamente al nuevo responsable si el interesado así lo solicita y es técnicamente posible. No es válido entregar los datos en un formato propietario que solo puede procesar el software de la propia empresa.

En oposición al marketing directo: ejecutar la baja de forma inmediata en todos los canales afectados y registrar la fecha de la oposición. En oposición por interés legítimo: comunicar al interesado la decisión motivada —estimatoria o denegatoria— dentro del plazo legal, con información sobre su derecho a presentar reclamación ante la AEPD.

Paso 5: documentación interna del expediente

Registrar la solicitud recibida, la verificación de identidad realizada, el análisis jurídico efectuado, la decisión adoptada y la fecha en que se comunicó al interesado. Esta documentación es imprescindible para acreditar el cumplimiento ante la Agencia Española de Protección de Datos si el interesado presenta posteriormente una reclamación. La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) no modifica este régimen procedimental, pero su artículo 74 tipifica como infracción leve la no atención de las solicitudes de ejercicio de los derechos de los artículos 15 a 22 del RGPD, mientras que el impedimento, la obstaculización o la no atención reiterada de esos derechos constituyen infracción grave (art. 73 LOPDGDD).

Si tu organización necesita diseñar o revisar estos procedimientos, el equipo de Summum Consultoría puede acompañaros en la adecuación al RGPD en materia de derechos de los interesados, con protocolos adaptados al sector y al volumen de solicitudes habitual en organizaciones de Castilla y León y Canarias.

Régimen sancionador aplicable

El incumplimiento de las obligaciones relativas a los derechos de portabilidad y oposición puede ser sancionado en el marco del artículo 83 del Reglamento (UE) 2016/679. La vulneración de los derechos de los interesados regulados en los artículos 12 a 22 del RGPD queda dentro del apartado 83.5.b, que prevé multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial total del ejercicio financiero anterior, el importe que sea mayor.

La AEPD es la autoridad competente en España para supervisar el cumplimiento del RGPD y la LOPDGDD, y puede actuar de oficio, a instancia del interesado o por iniciativa propia tras detectar indicios de incumplimiento. La tramitación correcta de las solicitudes de ejercicio de derechos —con respuesta en plazo, documentación del expediente y ejecución efectiva de la medida— es uno de los factores que la AEPD valora al determinar la responsabilidad y la proporcionalidad de la sanción.

Preguntas frecuentes

¿Puede una empresa cobrar por atender una solicitud de portabilidad?

Con carácter general, no. El artículo 12.5 del RGPD establece que las solicitudes de ejercicio de derechos son gratuitas. Solo cuando las solicitudes sean manifiestamente infundadas o excesivas —especialmente por su carácter repetitivo— el responsable puede cobrar una tasa razonable basada en los costes administrativos o negarse a actuar. En ambos casos, debe acreditar el carácter manifiestamente infundado o excesivo de la solicitud; la carga de la prueba recae sobre el responsable, no sobre el interesado.

¿Qué formato debo usar para entregar los datos en una solicitud de portabilidad?

El RGPD no impone un formato concreto, pero exige que sea estructurado, de uso común y lectura mecánica. Los formatos más habituales son CSV, JSON y XML. La AEPD recomienda usar estándares abiertos e interoperables. No es válido entregar los datos en un formato propietario que solo puede leer el software de la propia empresa, porque eso vaciaría de contenido efectivo el derecho de portabilidad de datos: el interesado no podría reutilizarlos ni transmitirlos a un nuevo responsable.

¿La oposición al marketing directo incluye también la elaboración de perfiles?

Sí. El artículo 21.2 del RGPD es explícito: el derecho de oposición al marketing directo incluye también la elaboración de perfiles en la medida en que esté relacionada con el marketing directo. Por tanto, si una empresa elabora perfiles para segmentar campañas publicitarias y el interesado se opone, no puede mantener el perfil aunque deje de enviar comunicaciones: debe cesar tanto el envío como la elaboración del perfil con esa finalidad. Esta interpretación queda reforzada por las directrices del Comité Europeo de Protección de Datos.

¿Qué ocurre si el interesado se opone por interés legítimo y la empresa considera que sus motivos no prevalecen?

El responsable puede denegar la oposición si acredita motivos legítimos imperiosos que prevalezcan sobre los intereses del interesado, o si el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones (art. 21.1 RGPD). Debe comunicar al interesado la denegación motivada dentro del plazo legal. Si el interesado discrepa, puede presentar una reclamación ante la AEPD o ejercer acciones judiciales. La carga de la prueba sobre la prevalencia de los motivos recae en el responsable: no basta con invocar el interés legítimo de forma genérica; la ponderación debe ser concreta y documentada.