El derecho de portabilidad de datos te permite descargar toda la información que una plataforma tiene sobre ti y trasladarla a otro servicio, en un formato que puedas reutilizar. Lo recoge el artículo 20 del RGPD desde 2018, y casi nadie lo usa. La portabilidad de datos no es lo mismo que pedir que te borren: aquí pides una copia útil, estructurada y legible por máquina, para llevártela donde quieras. Piensa en Google Takeout como el ejemplo más conocido de exportar datos de una plataforma, pero el derecho aplica a tu banco, tu operadora, Spotify, Instagram o la app de delivery de turno. En MataSpam llevamos años viendo cómo las empresas hacen difícil algo que la ley te garantiza. Vamos a explicarte cómo ejercer la portabilidad RGPD sin pelearte con un formulario diseñado para que abandones.
Qué es exactamente el derecho de portabilidad
Es el derecho a recibir tus datos personales en un formato estructurado, de uso común y lectura mecánica. Traducido: JSON, CSV, XML. Nada de un PDF escaneado torcido.
Lo regula el artículo 20 del Reglamento General de Protección de Datos (UE) 2016/679, complementado en España por la LOPDGDD (Ley Orgánica 3/2018). La Agencia Española de Protección de Datos (AEPD) es quien vela por que se cumpla.
No cubre todo. Solo aplica a los datos que tú aportaste y que se tratan de forma automatizada, basándose en tu consentimiento o en un contrato. Tus publicaciones, tu historial de escuchas, tus contactos: dentro. Los perfiles que la empresa infiere sobre ti con sus algoritmos: zona gris, normalmente fuera.
Portabilidad frente a acceso. El derecho de acceso (artículo 15) te da información sobre qué tratan y por qué. La portabilidad te da el archivo descargable para mudarte. Son hermanos, pero distintos.
| Característica | Derecho de acceso | Derecho de portabilidad |
|---|---|---|
| Base legal | Art. 15 RGPD | Art. 20 RGPD |
| Formato | Libre (puede ser un informe) | Estructurado y legible por máquina |
| Finalidad | Saber qué tienen | Llevártelo a otro servicio |
| Datos inferidos | Incluidos | Normalmente excluidos |
Cómo descargar tus datos en las plataformas más usadas
La mayoría de servicios grandes ya tienen una herramienta de autoservicio. No esperan que escribas una carta formal; te dejan un botón. Te dejamos las rutas reales.
- Google Takeout (takeout.google.com): seleccionas Gmail, Fotos, Drive, Maps, YouTube… y eliges formato y destino. Puede tardar de minutos a días según el volumen.
- Meta (Facebook e Instagram): dentro de "Configuración > Tu actividad > Descargar tu información". Permite elegir entre HTML (para leerlo) o JSON (para exportar datos de la plataforma a otro sitio).
- Spotify: en la web de privacidad de la cuenta. Tarda hasta 30 días para el paquete extendido.
- X (Twitter): "Configuración > Descarga un archivo de tus datos".
- Tu banco y tu operadora: aquí casi nunca hay botón. Toca solicitarlo por escrito al delegado de protección de datos.
Cuando no exista herramienta automática, redacta una solicitud al Delegado de Protección de Datos (DPO). La empresa tiene un mes para responder, ampliable a tres si la petición es compleja, y debe ser gratuita. Si te piden dinero por una primera solicitud, están incumpliendo.
Antes de pulsar nada, conviene saber cómo verificar si un enlace es seguro, porque las falsas páginas de "descarga tus datos" son un clásico del phishing dirigido.
Los datos que descargas también son un riesgo
Un archivo con todo tu historial es oro para un atacante. Si lo descargas en un ordenador compartido o lo subes a una nube mal configurada, acabas de crear tu propia filtración.
Tres reglas básicas con tu paquete de portabilidad de datos:
- Descárgalo en tu equipo, no en uno público. Y bórralo de la carpeta de descargas cuando termines.
- Cífralo si lo guardas. Un volcado de tu vida digital merece protección. Tienes guía para cifrar archivos y carpetas en Windows, Mac y Linux.
- Comprueba si ya estás expuesto. Pasa tu correo por Have I Been Pwned antes de mover nada, para saber si tus credenciales ya circulan.
Y ojo con el correo. Las plataformas avisan por email cuando tu descarga está lista, y los estafadores lo saben. Un mensaje "Tu exportación de Google ya está disponible, haz clic aquí" es el cebo perfecto. Aprende a detectar las señales en la URL que delatan una web de phishing antes de fiarte de ningún botón verde.
Si te preocupa que tu volcado pueda terminar en sitios turbios, también puedes monitorizar si tus datos aparecen en la dark web de forma periódica.
Qué hacer cuando la empresa se hace la sueca
Ocurre. Pides tus datos y te ignoran, te marean o te mandan un PDF inservible que no cumple el requisito de "legible por máquina".
Tu ruta de reclamación:
- Insiste por escrito y guarda copia de todo (fechas, capturas, números de incidencia). La carga de la prueba juega a tu favor.
- Reclama ante la AEPD en sede.aepd.gob.es. Es gratuito y puedes hacerlo online con certificado digital o Cl@ve.
- Las sanciones existen y muerden. El RGPD contempla multas de hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. La AEPD es de las autoridades más activas de la UE imponiendo sanciones.
No necesitas abogado para la primera reclamación. El procedimiento está pensado para que cualquier ciudadano pueda iniciarlo.
Por qué la portabilidad importa más de lo que parece
El objetivo del legislador europeo no era solo darte un archivo. Era romper el vendor lock-in: esa trampa de quedarte atado a un servicio porque cambiarte significaría perder años de historial.
Con la portabilidad RGPD puedes saltar de un proveedor de email a otro, de una red social a una alternativa, o de una app de fitness a la competencia, sin empezar de cero. Es competencia de mercado convertida en derecho fundamental.
Si gestionas un proyecto propio y quieres que tus usuarios puedan entrar y salir con sus datos sin fricción, ese diseño se piensa desde el principio. Equipos como los de inteligencia artificial para empresas o de desarrollo de páginas web integran la exportación de datos como una función más, no como un parche legal de última hora.
Preguntas frecuentes
¿Es gratis ejercer el derecho de portabilidad de datos?
Sí. La primera solicitud es gratuita por ley. La empresa solo puede cobrar una tasa razonable si las peticiones son manifiestamente infundadas o repetitivas, y debe justificarlo.
¿Cuánto tarda una empresa en darme mis datos?
El plazo máximo es un mes desde la solicitud, ampliable a tres meses en casos complejos avisándote del retraso. Herramientas como Google Takeout suelen tardar de minutos a un par de días según el volumen.
¿Qué pasa si me deniegan la descarga de mis datos?
Puedes reclamar gratis ante la Agencia Española de Protección de Datos en su sede electrónica. Guarda todas las comunicaciones como prueba antes de presentar la reclamación.
¿La portabilidad incluye los datos que la empresa deduce sobre mí?
No necesariamente. El derecho cubre los datos que tú aportaste y los generados por tu uso del servicio. Los perfiles inferidos por algoritmos suelen quedar fuera del artículo 20, aunque sí puedes pedirlos por el derecho de acceso.
¿Google Takeout cumple con el RGPD?
Sí, es una de las implementaciones más completas del derecho de portabilidad. Te entrega los datos en formatos estándar como JSON y permite seleccionar qué servicios exportar.
El siguiente paso
Entra ahora mismo en takeout.google.com, selecciona solo tu Gmail y pide la exportación en formato MBOX. En diez minutos tendrás una prueba real de cuántos datos guarda sobre ti la plataforma que usas a diario, y sabrás exactamente cómo ejercer este derecho en cualquier otro servicio. ¿Quieres más control sobre tu rastro digital? Echa un vistazo al resto de guías de privacidad del blog de MataSpam.
