O inciso V do art. 18 da LGPD assegura a portabilidade dos dados pessoais a outro fornecedor de serviço ou produto, mediante requisição expressa do titular, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial. É possível, ainda, a portabilidade dos dados pessoais sensíveis relativos à saúde, mediante o requerimento do titular (art. 11, § 4º, I, da LGPD).
No Direito Comparado, o GDPR da União Europeia assegura a portabilidade dos dados pessoais (art. 20), que está inclusive no dever de informações a ser prestadas pelo responsável pelo tratamento aos titulares (art. 13.2.b). Da mesma forma, a Lei da Privacidade do Consumidor da Califórnia (California Consumer Privacy Act) garante em sua Seção 3 o direito do consumidor de acesso aos seus dados pessoais e de recebimento dos dados armazenados em meio eletrônico em um formato portável e, na medida do tecnicamente viável, utilizável para transmissão a outras entidades sem impedimentos.
Em primeiro lugar, a portabilidade exprime a qualidade de um bem (material ou imaterial, físico ou digital) ou serviço de ser utilizado em dispositivos, meios, sistemas e redes diferentes. Portar significa levar consigo, carregar algo.
A portabilidade dos dados pessoais é o direito do titular de transferir os seus dados de um controlador para outro.
O interesse do titular para a portabilidade é variável (como o encerramento do contrato com o controlador e uma nova contratação com outro prestador de serviços), mas não há nenhum condicionamento legal prévio ao exercício desse direito (apenas o respeito a eventuais segredos comerciais e industriais) ou à apresentação de justificativa pelo titular dos dados pessoais, que deverá observar a regulamentação da LGPD.
O direito à portabilidade protege o titular dos dados pessoais contra o lock-in (ou vendor lock-in), consistente no bloqueio do controlador, que impediria o aproveitamento dos dados tratados por ele pelo próprio titular, em um negócio jurídico realizado com outro controlador. Há, desse modo, a substituição do bloqueio (vendor lock-in) pelo direito de escolha do controlador pelo titular (vendor choice), por meio da portabilidade dos dados pessoais.
Como todos os demais direitos listados no art. 18 da LGPD, a portabilidade tem entre os seus fundamentos a autodeterminação informativa, que confere ao titular a autonomia e o controle sobre os seus próprios dados pessoais, o que compreende a interrupção do tratamento por um agente e o aproveitamento desses dados para iniciar ou continuar o tratamento por outro controlador (ou por um operador em nome deste).
Em resumo, o titular tem o direito de levar (portar) os seus dados pessoais para onde quiser, quando quiser e quantas vezes quiser.
O art. 18, V, da LGPD é uma norma de eficácia limitada, porque a sua aplicabilidade é mediata e indireta, razão pela qual só produzirá seus efeitos quando for regulamentada pela ANPD (que deverá definir, entre outros assuntos, inclusive a realização da portabilidade gratuita ou a existência de custos para a troca). Desse modo, o direito à portabilidade dos dados pessoais no Brasil só poderá ser efetivamente exercido quando for disciplinado por ato da Autoridade Nacional de Proteção de Dados. Enquanto não existir essa norma, o direito pode ser exercido se houver regulamentação específica, ou de acordo com as regras contratuais ou com política interna do controlador e a possibilidade de sua efetivação.
Sobre o assunto, o art. 40 da LGPD também atribui outro encargo à ANPD, de expedir atos regulamentadores sobre os padrões de interoperabilidade para a realização de portabilidade, do livre acesso aos dados e de segurança, entre outros aspectos.
Por exemplo, desde 2009 é assegurada no Brasil a portabilidade numérica do telefone, fixo ou celular (pela Resolução nº 460/2007 da ANATEL). Por isso, qualquer pessoa no país pode manter o seu número de telefone se realizar a troca da operadora. Trata-se de um dado pessoal (que, no caso do telefone celular, o número pode ser usado inclusive para a identificação da chave PIX para transferências bancárias) que pode ser portado por seu titular para qualquer prestadora de serviços de telefonia.
Ainda, o Banco Central do Brasil regulamenta as portabilidades de cadastro, de crédito e de salário dos titulares entre as instituições financeiras. A portabilidade de cadastro (também denominada genericamente de portabilidade bancária) assegura ao consumidor dos serviços bancários a transferência de todos os seus dados cadastrais de uma instituição financeira para outra (Resolução nº 3.401/2006 do BACEN). Já portabilidade de crédito autoriza o consumidor a transferir as dívidas contraídas em uma instituição financeira para outra, sem o pagamento de tributos e com a possibilidade de negociar cláusulas e condições melhores de pagamento (ou um melhor pacote de relacionamento bancário, entre outras razões para a alteração); nessa hipótese, a instituição para a qual o crédito for transferido efetua a quitação da dívida na origem, o que autoriza a portabilidade (Resolução nº 3.401/2006 e Circular nº 3.336/2006, ambas do BACEN). Por sua vez, a portabilidade de salário permite que o empregado receba o seu salário na conta e na instituição financeira de sua preferência, ainda que o empregador efetue o pagamento em outra instituição, por meio de transferência automática e gratuita da conta de origem para a conta de destino (Resolução nº 3.402/2006, alterada pela Resolução nº 4.639/2018, ambas do BACEN).
Mais recentemente, na regulamentação da chave PIX (novo sistema de pagamento instantâneo) o Banco Central do Brasil igualmente assegura ao titular a portabilidade de seus dados pessoais utilizados na identificação de cada chave, ou seja, é possível transferir uma ou mais chaves de uma instituição financeira para outra (para ouvir um episódio de podcast sobre esse assunto, clique aqui).
Em outro exemplo, os aplicativos de músicas, rádios e podcasts já possuem em suas políticas de privacidade regras sobre a portabilidade de dados pessoais dos titulares, o que compreende as músicas favoritas, playlists, entre outros. Assim, ao trocar de aplicativo, o consumidor pode portar todos os seus dados e suas preferências, sem a necessidade de redefini-los no novo controlador.
Além disso, ainda que não queira migrar de um para o outro, mas apenas concentrar em uma aplicação os seus dados pessoais dispersos em diversos aplicativos de músicas e podcasts, já existem meios disponíveis para esse fim. Um desses programas, o SongShift, informou no dia 10 de outubro de 2020 que, a partir de sua versão 5.1.2, os dados portados pelo titular do Spotify para o SongShift não poderiam mais ser transferidos para outros aplicativos de música (ou seja, concorrentes do Spotify).
Essa notícia foi alterada no dia 21/10/2020, quando o SongShift informou que, a partir de sua versão 5.1.3, os dados portados pelo titular do Spotify para o SongShift poderão ser transferidos para outros aplicativos de música, desde que a playlist tenha sido criada pelo próprio titular ou seja uma playlist colaborativa seguida por ele (para ler a publicação original e sua alteração, clique aqui).
O caso demonstra a importância da proteção legislativa dos dados pessoais e das atividades de tratamento, o que leva à preocupação dos agentes de tratamento no respeito aos direitos e na busca de soluções para a sua efetivação e para evitar obstáculos indevidos ao seu exercício.