Todos, como titulares de nuestros datos de carácter personal gozamos de determinados derechos que nos otorga la normativa en materia de protección de datos personales, esto es, el Reglamento Europeo de Protección de Datos (RGPD), y la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y garantía de los Derechos Digitales. Hasta la llegada del RGPD teníamos claros los célebres y por todos conocidos derechos ARCO (acceso, rectificación, cancelación y oposición), sus implicaciones y alcance en la práctica, cómo ejercitarlos y en qué sentido dar respuesta a los interesados. De hecho, lo más probable es que también como ciudadanos, en alguna ocasión, hayamos solicitado a algún responsable del tratamiento (como por ejemplo alguna compañía telefónica, empresas que nos envían publicidad entre otras muchas), que “dejase de utilizar y borrase todos nuestros datos”, amenazando incluso con interponer una denuncia ante la AEPD en caso de no atender a tal solicitud.
No obstante, desde la llegada del nuevo marco normativo europeo en esta materia, nos encontramos con nuevos derechos, que, aunque el RGPD explica y regula en sus artículos 15 a 23, como bien hemos analizado en este Blog (ver aquí, aquí, aquí, o aquí), todavía generan ciertas dudas, principalmente en lo que respecta a la interpretación de la norma y su aplicación práctica.
Entre los nuevos derechos introducidos por el RGPD se encuentran la limitación, oposición a no ser objeto de decisiones individuales automatizadas, incluida la elaboración de perfiles, y la portabilidad.
Precisamente hemos podido comprobar a nivel práctico cómo se materializa uno de estos derechos, ya que hace unas semanas, la AEPD emitía una resolución acerca del derecho a la portabilidad, que ella misma considera como un precedente que amplía el derecho de portabilidad.
¿Sobre qué versa esta resolución exactamente?
Todo se inició con la presentación por parte de la reclamante, de un ejercicio del derecho de portabilidad de los datos, ante la conocida compañía Telefónica de España, S.A.U. (en adelante Telefónica). Ante tal solicitud, Telefónica proporcionó a la reclamante los datos que esta había facilitado de “forma activa” a la compañía: Nombre y apellidos, DNI, teléfono, dirección, correo electrónico y datos bancarios.
Sin embargo, de la revisión de la política de privacidad de la página web de Telefónica, la reclamante tuvo constancia de que se trataban e incluían otras categorías de datos personales que, en la respuesta a su ejercicio de derecho de portabilidad, no se incorporaban:
- Datos de Productos o Servicios Movistar.
- Datos de consumos en Movistar+.
- Datos de tráfico.
- Datos de visitas web.
- Datos de localización.
Así, tras no haber considerado satisfecha su solicitud al no recibir la totalidad de la información personal que Telefónica almacena, la reclamante interpone ante la AEPD una reclamación.
En primera instancia, la AEPD no admite a trámite la reclamación mencionada, sino que es ante el recurso potestativo de reposición que la reclamante interpone, cuando la AEPD emite la resolución R/00552/2019, objeto de análisis en este artículo.
¿En qué sentido resuelve la AEPD?
En los Fundamentos de Derecho de esta resolución, la AEPD se centra en el análisis e interpretación de lo establecido en el RGPD en lo que respecta al término “datos personales que le incumban, que hayan facilitado a un responsable del tratamiento” (artículo 20.1), o “datos personales que le conciernen y que los interesados hubieran facilitado” (considerando 68).
La AEPD parte de la premisa básica de que el derecho de portabilidad faculta al interesado a recibir los datos que le incumban, que haya facilitado a un responsable del tratamiento.
No obstante, es de igual importancia destacar que no son objeto de portabilidad aquellos datos que puedan ser considerados “inferidos o derivados”, entendidos como aquellos que resultan de la aplicación a la información generada en el desarrollo del servicio de conocimientos o técnicas propias del responsable. Es decir, procedentes de la aplicación sobre los datos relacionados con el producto o servicio de técnicas que forman parte del know how del responsable.
Para determinar en el caso concreto si los datos facilitados por Telefónica son o no suficientes para considerar satisfecho el derecho de portabilidad ejercitado, la AEPD se ampara y fundamenta en las Directrices adoptadas por el antiguo Grupo de Trabajo del Artículo 29 (GT29, actual Comité Europeo de Protección de Datos), acerca del derecho a la portabilidad.
A este respecto, el concepto de datos facilitados por el afectado debe ser interpretado en sentido amplio, pudiendo considerar facilitados no solo los datos efectivamente suministrados por el interesado, sino también aquellos que resultasen del propio uso o desarrollo del servicio contratado.
¿Cómo de amplio debe entenderse ese término?
El GT29 realiza en las Directrices mencionadas, un análisis del derecho a la portabilidad que debemos considerar a todas luces completo, ya que desgrana y aclara el sentido en el que debe interpretarse la redacción del RGPD acerca de este derecho. Sin perjuicio de ello, es de nuestro interés centrarnos en este caso en el examen interpretativo de los términos datos personales que incumban al interesado y de los datos facilitados por el interesado:
Datos personales que incumban al interesado.
- Queda excluido cualquier dato que sea anónimo, pero sí se incluyen datos seudónimos que estén claramente vinculados con el interesado.
- Asimismo, recomienda el GT29 no hacer una interpretación excesivamente restrictiva, llegando a entender, por ejemplo, los registros telefónicos, de mensajería interpersonal o de transmisión de voz por internet como datos (registros en este caso), que incumben al interesado.
Datos facilitados por el interesado.
En contra de lo que a priori podamos pensar, los datos facilitados por el interesado van más allá de un nombre y dirección, edad, número de cuenta, o número de DNI, sino que pueden ser datos que proceden también de la observación de nuestras actividades. Es por ello, que deben incluirse aquellos datos personales que se observan a partir de las actividades de los usuarios, tales como datos en bruto procesados por un contador inteligente u otros tipos de objetos conectados, registros de actividad, historial de uso de sitios web o actividades de búsqueda.
De esta forma se pueden catalogar los datos facilitados por el interesado del siguiente modo:
– Datos facilitados de forma activa y consciente por el interesado.
– Datos observados facilitados por el interesado en virtud del uso del servicio o dispositivo (historial de búsqueda, los datos de tráfico o los datos de ubicación de una persona).
Sin embargo, en ningún caso se consideran cubiertos por el derecho de la portabilidad los datos inferidos y deducidos, que se crean por el responsable del tratamiento sobre la base de los datos facilitados por el interesado. Por ejemplo, el resultado de una evaluación de la salud de un usuario.
Atendiendo a todo lo anterior, nos preguntamos ¿cuáles son los datos que a juicio de la AEPD debe facilitar Telefónica en este caso?
Datos que sí ampara el derecho a la portabilidad.
- Datos que procedan de la observación de las actividades de Telefónica, tales como los datos de consumo.
- Datos de tráfico y localización conforme al artículo 48 de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, por ser necesarios a efectos de la facturación y los pagos de las interconexiones, para la devolución del cargo efectuado por el operador, para el pago de la factura o para que el operador pueda exigir su pago.
- Datos de tráfico que se utilicen con consentimiento del interesado con fines comerciales o para la prestación de servicios de valor añadido.
- Datos de localización distintos de los datos de tráfico que no se hayan hecho anónimos por la entidad y se utilicen con el consentimiento del interesado para la prestación de servicios de valor añadido.
Datos no reconocidos dentro del derecho a la portabilidad
- Datos de tráfico conservados por las operadoras a los efectos previstos en la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicos y a las redes públicas de comunicaciones. Entiende la AEPD que existe una obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o redes públicas de comunicación, pero esta conservación se realiza únicamente con fines de detección, investigación y enjuiciamiento de delitos graves, pudiendo tener acceso a los datos conservados exclusivamente los agentes facultados.
- Datos referidos a las visitas web.
Concluye así la AEPD, estimando el recurso de reposición e instando a Telefónica a remitir a la reclamante la información correspondiente con el derecho de portabilidad ejercitado, o en su caso, indique de forma motivada las causas por las que considera no procede atender a tal petición.
Nos encontramos en consecuencia ante la primera resolución que versa sobre el derecho de portabilidad, que nos orienta un poco a la hora de determinar qué se puede llegar a entender por parte de la AEPD como datos facilitados por el interesado o datos que le conciernen, tendiendo claro que la interpretación de estos términos se realizará en todo caso de un modo extensivo.
