En una frase. El derecho a la portabilidad de datos del art. 20 RGPD permite al interesado recibir los datos que ha facilitado en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable —o exigir la transmisión directa cuando sea técnicamente posible—, pero solo cuando el tratamiento se basa en el consentimiento o en un contrato y se realiza por medios automatizados.
Puntos clave
- La portabilidad solo aplica si concurren dos condiciones simultáneas: base jurídica de consentimiento o contrato, y tratamiento automatizado.
- El interesado tiene derecho a recibir sus datos en formato estructurado, de uso común y lectura mecánica (por ejemplo, CSV, JSON, XML).
- Cubre únicamente los datos facilitados por el propio interesado, incluidos los observados; no los datos inferidos o derivados por el responsable.
- Cuando sea técnicamente posible, el interesado puede pedir la transmisión directa de un responsable a otro (art. 20.2).
- Se diferencia del derecho de acceso: el acceso da una copia legible; la portabilidad, un fichero reutilizable e interoperable.
Qué es el derecho a la portabilidad de datos
El derecho a la portabilidad de datos, regulado en el art. 20 RGPD, persigue un objetivo concreto: reforzar el control del interesado sobre sus datos y facilitar el cambio de proveedor sin perder su información. Da dos facultades. Primera, recibir los datos personales que ha facilitado a un responsable en un formato estructurado, de uso común y de lectura mecánica. Segunda, transmitirlos a otro responsable sin que el primero lo impida.
No es un derecho universal. Solo aplica cuando el tratamiento cumple dos requisitos a la vez: se basa en el consentimiento (art. 6.1.a o 9.2.a) o en la ejecución de un contrato (art. 6.1.b), y se efectúa por medios automatizados. Quedan fuera los tratamientos basados en obligación legal, interés público o interés legítimo. Por eso, elegir bien la base de legitimación determina también qué derechos podrá ejercer el interesado.
Qué datos entran y cuáles no
El ámbito material es más estrecho de lo que suele pensarse. Según las Directrices sobre portabilidad del extinto Grupo del Artículo 29 (asumidas por el CEPD), la portabilidad cubre:
- Datos facilitados activamente por el interesado: los que rellena en formularios, su nombre, correo, dirección.
- Datos observados derivados de su actividad: historial de compras, registros de uso, datos de geolocalización de un dispositivo.
Y no cubre los datos inferidos o derivados que crea el responsable: un scoring crediticio, una categorización de perfil, una puntuación de riesgo. Esa frontera es la que más discusiones genera en la práctica.
| Tipo de dato | ¿Portable? |
|---|---|
| Datos facilitados en un formulario | Sí |
| Historial de transacciones u uso | Sí (datos observados) |
| Perfil o scoring calculado por la empresa | No (dato inferido) |
| Datos de terceros incluidos en el fichero | No, salvo salvaguarda de sus derechos |
Portabilidad frente a derecho de acceso
Confundir portabilidad y acceso es un error común. El acceso (art. 15) entrega una copia comprensible de los datos para que la persona sepa qué se trata; puede ser un PDF o un listado. La portabilidad (art. 20) entrega un fichero reutilizable e interoperable para que la persona lo lleve a otro proveedor. Su lógica no es informativa, sino de mercado: evitar el efecto de cautividad. Un mismo dato puede solicitarse por ambas vías, pero el formato y la finalidad difieren.
Casos españoles: banca y telecomunicaciones
En España, la portabilidad tiene traducción sectorial. En telecomunicaciones, la portabilidad del número entre operadoras es un derecho consolidado, y la portabilidad de datos del art. 20 RGPD refuerza el traslado de la información asociada al cliente; la AEPD sanciona con frecuencia a operadoras por fallos en la gestión de datos de clientes, como recoge el seguimiento de sanciones a telecomunicaciones. En banca, la portabilidad se entrelaza con el open banking de la PSD2: el cliente puede autorizar que sus datos financieros circulen entre entidades. En ambos casos, el responsable debe poder localizar y exportar los datos —algo imposible sin un registro de actividades de tratamiento bien mantenido.
Límites técnicos y de seguridad
El art. 20 introduce una cautela importante: la transmisión directa entre responsables solo procede cuando sea técnicamente posible. El RGPD no obliga a los responsables a adoptar sistemas compatibles entre sí, pero sí a no bloquear artificialmente la portabilidad. La frontera entre “no es técnicamente posible” y “no me interesa facilitarlo” es la que examina la AEPD cuando recibe una reclamación.
La seguridad de la transmisión es responsabilidad del emisor: enviar un fichero con datos personales por un canal inseguro convierte el cumplimiento de un derecho en una posible brecha. Conviene autenticar bien al destinatario, cifrar el envío y dejar traza de la operación. Además, el art. 20.4 recuerda que la portabilidad no debe afectar negativamente a los derechos de terceros cuyos datos figuren en el fichero: un historial de mensajería, por ejemplo, contiene datos de otras personas que no pueden entregarse sin más. Equilibrar la interoperabilidad con la protección de esos terceros es el reto práctico de cada solicitud, y conviene resolverlo caso por caso en lugar de negar la portabilidad en bloque o entregar sin filtrar datos que no corresponden al solicitante.
Cómo responder a una solicitud de portabilidad
El procedimiento comparte estructura con el resto de derechos ARCO+:
- Registrar la solicitud; plazo de un mes, prorrogable dos meses (art. 12.3 RGPD).
- Verificar la base jurídica: ¿consentimiento o contrato? ¿tratamiento automatizado? Si no, la portabilidad no procede y debe denegarse de forma motivada.
- Delimitar los datos portables (facilitados y observados, no inferidos).
- Exportar en formato estructurado, de uso común y lectura mecánica (CSV, JSON, XML).
- Si se pide transmisión directa a otro responsable, valorarla cuando sea técnicamente posible (art. 20.2).
La transmisión no debe menoscabar los datos de terceros ni las transferencias internacionales si el destino está fuera de la UE. Cuando el volumen de solicitudes crece, automatizar la localización y exportación de datos con una plataforma como Legiscope evita convertir cada solicitud en un proyecto manual.
FAQ
¿Cuándo aplica el derecho a la portabilidad de datos?
Solo cuando concurren dos condiciones a la vez: el tratamiento se basa en el consentimiento o en un contrato, y se realiza por medios automatizados. Si la base es la obligación legal, el interés público o el interés legítimo, la portabilidad no aplica.
¿En qué formato debo entregar los datos?
En un formato estructurado, de uso común y de lectura mecánica —por ejemplo CSV, JSON o XML— que permita al interesado reutilizarlos y transmitirlos a otro responsable. No basta un PDF cerrado si el objetivo es la interoperabilidad.
¿Debo entregar también los perfiles o el scoring que he calculado?
No. La portabilidad cubre los datos facilitados por el interesado y los observados de su actividad, pero no los datos inferidos o derivados que crea el responsable, como un scoring o una categorización de perfil.
¿Qué diferencia hay entre acceso y portabilidad?
El acceso (art. 15) entrega una copia comprensible de los datos con fines informativos. La portabilidad (art. 20) entrega un fichero reutilizable e interoperable para trasladarlo a otro proveedor. Difieren en formato, finalidad y en las bases jurídicas que las habilitan.
Fuentes oficiales: AEPD, Reglamento (UE) 2016/679 (RGPD) y Comité Europeo de Protección de Datos (CEPD).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial