Skip to content

BLOG

Novedades, ideas y reflexiones varias.

El sueño de la portabilidad

Aunque tendemos a menospreciar cualquier iniciativa estadounidense en el ámbito de la protección de datos personales, el derecho a la portabilidad, firmemente asentado por orden y gracia del artículo 20 GDPR/RGPD, tiene su origen en la normativa federal HIPAA (Health Insurance Portability & Accountability Act),en vigor desde 1996 y facilitando el mismo plazo inicial de treinta días para la obtención o remisión a terceros de una copia del historial médico del individuo.

La portabilidad es componente estrella del elenco de “superpoderes” otorgados al ciudadano en el nuevo marco legal. Además de no erigirse sobre precedente alguno en la Directiva precedente (como sí ocurre con la mayor parte de dichos “superpoderes”), evoca inmensas posibilidades en la arena mercantil.

Pocas fórmulas se presentan al fin y al cabo más eficientes para corregir de un plumazo la ventaja competitiva de quienes llevan años amasando valiosa información sobre clientes actuales y potenciales. O para combinar fuentes de datos nunca antes imaginadas bajo un único techo.

Su aprovechamiento práctico se aleja aún, sin embargo, de la promesa. Ni el individuo apreciará aún demasiado espacio para el ejercicio de este derecho (comenzando porque solo estará disponible en casos en que el tratamiento haya tenido como base legal el consentimiento o una relación contractual), ni la empresa que se postule como potencial beneficiaria/destinataria encontrará fórmulas sencillas para imponer ejecución expedita al responsable de origen.

Y esto es así porque, a pesar de su envoltorio, la ley ha dejado suficientes resquicios abiertos a este último como para blindar su ventaja competitiva:

  • Si bien se exige la entrega de los datos en “formato estructurado, de uso común y lectura mecánica”, no existe imperativo alguno con respecto a compatibilidad de esquemas o taxonomías. Más concretamente, el considerando 68 del GDPR/RGPD deja claro que interoperabilidad no implica compatibilidad.
  • Aunque se exige un mes para el cumplimiento, la puerta queda suficientemente abierta a la excepción de presentarse situaciones de inusual complejidad, estirando los plazos a tres largos meses (habiendo mediado aclaración previa al usuario), o incluso permitiéndose un cobro por el servicio en un contexto de peticiones excesivas o “repetitivas” (algo igualmente contemplado en HIPAA, al otro lado del charco).

Es cierto que existen diversas iniciativas para armonizar los datos asociados a personas físicas (como el Data Transfer Project), y que desde el lado de los asistentes personales hemos trabajado duro para garantizar la existencia de taxonomías compartidas, pero no estamos aún en situación de sustentar modelos de negocio completos sobre esta garantía.

Share on twitter
Share on facebook
Share on linkedin