El Reglamento General de Protección de Datos (RGPD) ha venido cargado de novedades. Una de ellas es el derecho de portabilidad (artículo 20 RGPD). Este derecho —que ha querido ser visto como una suerte de “derecho de acceso avanzado”— ha planteado (y lo sigue haciendo) numerosos debates en cuanto al alcance y forma de aplicación práctica. Las Directrices sobre el derecho a la portabilidad de datos (WP 242) adoptadas en su momento por el extinto Grupo de Trabajo sobre Protección de Datos del Artículo 29 y “bendecidas” en su primera sesión por el nuevo Comité Europeo de Protección de Datos (las Directrices), lejos de aclarar, actuaron como “combustible” para este encendido debate. Siendo ello así, no es de extrañar que el derecho de portabilidad haya sido uno de los elementos que muchas compañías han dejado para las últimas etapas de sus procesos de adaptación al RGPD. La falta de claridad sobre este derecho, unido a las inversiones (p. ej. nuevas herramientas, etc.) que pueden ser necesarias para llevarlo a la práctica, no aconsejaban otra cosa.
En nuestro país, el sector asegurador siempre ha sido punta de lanza en la elaboración e impulso de disposiciones (guías, códigos, informes sobre normas, convenios, etc.) que adaptasen la normativa general de protección de datos a las peculiaridades de una industria compleja y trufada de tratamientos de datos personales, algunos de ellos, de categorías especiales de datos, como los de salud. Ello no era esperable que cambiase tras la entrada en aplicación del RGPD. Todo lo contrario, si algo podría vaticinarse era que se intensificase. Por ese motivo, a nadie extrañó que desde UNESPA se promoviese la elaboración de una Guía para el tratamiento de los datos personales por las entidades aseguradoras (la Guía) que fue oficialmente presentada el pasado 20 de diciembre de 2018, contando con la presencia de la Ilma. Sra. Mar España, Directora de la Agencia Española de Protección de Datos.
Y, precisamente, uno de los extremos en los que abunda la Guía —dedicando uno de sus tres apartados— es en el derecho de portabilidad. Y ello lo hace, ya no solo explicando o interpretando este derecho, sino estableciendo un auténtico —y pionero— “Protocolo de Portabilidad” para el sector (el Protocolo) que lleva a la práctica la petición del Considerando 68 del RGPD que dice así “[d]ebe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos“. Veamos cuáles son los elementos más destacables de este Protocolo:
- Fija un ámbito de aplicación concreto. Rige únicamente entre entidades aseguradoras, es decir, establece reglas aplicables al ejercicio del derecho de portabilidad por un interesado (como después veremos, tomador del seguro) que desee “portar” sus datos personales desde una aseguradora a otra.
- Establece un alcance material del derecho de portabilidad estricto, pegado al tenor del artículo 20.1 del RGPD y a las Directrices del Comité Europeo de Protección de Datos, y del que se excluye expresamente los siguientes datos:
- Datos no facilitados por el interesado: Ej. obtenidos por la entidad de terceros;
- Datos inferidos o deducidos por la entidad: Ej. datos derivados de la selección y tarificación de riesgos o la información sobre siniestros;
- Datos obtenidos en el cumplimiento de obligaciones legales o para satisfacer intereses legítimos: en realidad, cualquier dato cuyo tratamiento no esté amparado en el consentimiento o en la ejecución contractual, que es el alcance del derecho de portabilidad bajo el artículo 20 del RGPD;
- Datos sometidos a tratamientos no automatizados: de nuevo, fuera del alcance del derecho ex. artículo 20 RGPD;
- Datos de terceras personas que el interesado pudiera haber proporcionado al responsable: recordemos que el derecho a la portabilidad se refiere a los datos sobre el interesado, únicamente;
- Datos eliminados o bloqueados: interesa especialmente la referencia a “datos bloqueados”. Al ser este bloqueo una peculiaridad de la norma española (no recogido en el RGPD), se planteaban dudas acerca de si esos datos bloqueados “existían o no” a efectos del derecho a la portabilidad (y también del derecho de acceso). La Guía aclara que “no existen”;
- Datos que no sean pertinentes o adecuados con arreglo a la finalidad del nuevo tratamiento: adopta aquí la Guía una perspectiva interesante respecto del derecho a la portabilidad. Se sitúa en el lado de la entidad aseguradora que recibe los datos portados y aclara que tal entidad no está obligada a recibir datos que no precise para la finalidad para la que serán tratados ni tampoco datos cuya veracidad no haya contrastado. De hecho, se permite que la entidad receptora solicite documentación que acredite la veracidad de dicha información. Creemos que esta aclaración es oportuna y necesaria. Al ser configurado como un derecho, el foco de atención de la portabilidad se centra en la obligación de entregar datos a quien los solicita y suele olvidarse que, a resultas de la portabilidad, otra entidad recibirá unos datos portados lo que automáticamente le genera obligaciones, costes y responsabilidades que deben ser moduladas.
- Aclara que el derecho de portabilidad lo tiene únicamente el tomador del seguro y solo respecto de sus propios datos. Otras personas que puedan tener intereses en el seguro, no quedan cubiertas por el derecho a la portabilidad. Por otro lado, datos de terceros que hayan sido proporcionados en el ámbito del seguro (Ej. seguros colectivos) no serán proporcionados al tomador que ejercite el derecho de portabilidad.
- Se encomienda a la “entidad tecnológica del sector asegurador” TIREA (www.tirea.es) la configuración de las especificaciones técnicas del estándar que se deberá aplicar para la transmisión electrónica de los datos objeto de portabilidad. Ese estándar será preferiblemente XML. El consenso de las entidades aseguradoras acerca del formato electrónico de portabilidad, es ciertamente el elemento clave para que el Protocolo tenga virtualidad práctica.
- Prevé que las entidades aseguradoras deberán proporcionar a los tomadores de seguros información acerca de la posibilidad de acceder los datos portados mediante un formato estandarizado arriba indicado, todo ello sin perjuicio del derecho que también tiene de solicitar la portabilidad de otros datos adicionales que no estén en tal formato.
- Finalmente, se establece que cada una de las entidades aseguradoras deban designar a una persona —que, de forma natural, imaginamos que será el Delegado de Protección de Datos— a quien se le encomendará la gestión del Protocolo por parte de la entidad aseguradora.
El Protocolo todavía debe ser desarrollado especialmente en el estándar técnico de portabilidad que, como decimos, es clave en su éxito práctico. Sin embargo, la iniciativa de la industria aseguradora no puede más que ser aplaudida. Supone un paso relevante en “el aterrizaje” de un derecho tan nuevo y oscuro como el de portabilidad de datos.