En la actualidad, el derecho de acceso se encuentra regulado en el Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”) bajo el artículo 15. Este artículo reconoce el “derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales”.
El derecho de acceso permite al interesado conocer los datos personales que le conciernen y si están o no siendo objeto de tratamiento por el responsable del tratamiento[1]. En caso de que lo estén, la norma reconoce al interesado el derecho a obtener una copia de los datos personales objeto de tratamiento y a conocer determinada información sobre el tratamiento de esos datos. En caso contrario, debe informarse al interesado de que sus datos no están siendo tratados.
Como se desprende de lo anterior, el derecho de acceso tiene una especial transcendencia para el interesado ya que le permite conocer la información necesaria para comprobar si sus datos personales están siendo tratados lícitamente.
En particular, el artículo 15 del RGPD delimita el alcance del derecho de acceso a conocer los datos concretos objeto de tratamiento, así como la siguiente información relativa al tratamiento: (i) los fines del tratamiento; (ii) las categorías de datos personales; (iii) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales; (iv) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo; (v) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento; (vi) el derecho a presentar una reclamación ante una autoridad de control; (vii) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen; y (viii) la lógica implícita en todo tratamiento automatizado de datos personales, incluida la elaboración de perfiles en los términos del artículo 22 del RGPD[2].
El derecho de acceso ha sido objeto de diversos pronunciamientos y resoluciones, entre otros, de diversas autoridades de control de protección de datos, del Comité Europeo de Protección de Datos (en adelante, “CEPD”) y del Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”). Sin ánimo de ofrecer un análisis exhaustivo de las distintas resoluciones, directrices y guías que han sido publicadas por las anteriores autoridades, el presente artículo se centra en analizar las recientes sentencias del TJUE.
A lo largo de este año 2023, el TJUE ha emitido tres destacables pronunciamientos que vienen a precisar el alcance del derecho de acceso reconocido en el artículo 15 del RGPD.
La primera sentencia ha declarado que el interesado tiene derecho a obtener del responsable del tratamiento información sobre los destinatarios concretos a los que hayan sido o vayan a ser comunicados sus datos personales, salvo que pueda acreditar que ello, de acuerdo con el principio de proporcionalidad, resulta excesivo o abusivo, o le resulte imposible poder identificarlos (sentencia del TJUE de fecha 12 de enero de 2023 asunto C-154/21).
Por tanto, de conformidad con esta primera sentencia se ha de tener en cuenta que, con el ejercicio del derecho de acceso, el interesado puede solicitar conocer los destinatarios en concreto a los que hayan sido o vayan a ser comunicados sus datos personales. En caso de no proporcionar tal información, podría incumplirse la obligación de atender correctamente dicho derecho, salvo que se acredite que resulta excesivo o abusivo proporcionar la citada información, o se demuestre que no se ha podido identificar a los destinatarios en concreto.
En la segunda sentencia el tribunal ha declarado que el término «copia» mencionado en el artículo 15 del RGPD, no se refiere a un documento como tal, sino a los datos personales contenidos en el soporte que sea del caso, debiendo ser completo en el sentido de que la copia contenga todos los datos personales objeto de tratamiento.
Otro aspecto relevante de esta sentencia es que el derecho a obtener una copia puede afectar negativamente a los derechos y libertades de terceros. En este supuesto, tal y como ha resaltado el TJUE, el derecho a la protección de datos personales no es un derecho absoluto, y puede ser limitado tras realizar una ponderación de los derechos fundamentales en conflicto. No obstante, siempre que sea posible debe optarse por modalidades de comunicación que no vulneren los derechos o libertades de terceros y que tenga como resultado la negativa a prestar toda la información al interesado (sentencia del TJUE de 4 de mayo de 2023 asunto C‑487/21).
En definitiva, el interesado tiene derecho a obtener una reproducción de extractos de documentos, o incluso de documentos enteros, así como de extractos de bases de datos que contengan sus datos personales, salvo que dicha modalidad de comunicación pueda afectar negativamente a los derechos de terceros.
La última de las sentencias ha aclarado que, en operaciones de consulta, el interesado tiene derecho a conocer la fecha y los fines de la consulta de sus datos personales. Además, en el supuesto concreto planteado, la consulta de datos personales se produjo por los empleados de la entidad responsable del tratamiento. A este respecto, el tribunal ha aclarado que, quienes realizaron la consulta no pueden considerarse destinatarios de los datos personales, ya que los empleados del responsable del tratamiento actúan bajo la autoridad y siguiendo las instrucciones de éste. Ahora bien, si para permitir al interesado ejercer efectivamente su derecho de acceso resulta necesario dar a conocer la identidad de estos consultantes, debe proporcionarse tal información al interesado (sentencia del TJUE de fecha de 22 de junio de 2023 asunto C‑579/21).
A la vista de lo anterior, se ha de tener en cuenta que, el derecho de acceso permite al interesado conocer la fecha y fines de la consulta de sus datos personales, además de la identidad de los consultantes. Como aspecto relevante, se ha de resaltar que, el interesado tiene derecho incluso a conocer la identidad de los consultantes a pesar de que, en rigor, no puedan considerarse destinatarios de los datos personales.
En definitiva, con el fin de garantizar la transparencia y licitud en el tratamiento de los datos personales, y en consonancia con el propósito del RGPD, el TJUE ha atribuido un alcance muy amplio al derecho de acceso. No obstante, el responsable del tratamiento debe valorar de acuerdo con las circunstancias de cada caso concreto su alcance y garantizar su ejercicio efectivo por el interesado, sin afectar negativamente a los derechos de terceros.
Bajo nuestro punto de vista, lo relevante de estas sentencias es que el TJUE reconoce al interesado el derecho a obtener copia de extractos de documentos, documentos completos o incluso bases de datos que contengan sus datos personales, así como conocer la identidad de los destinatarios de los datos personales, salvo que afecte negativamente a los derechos de terceros. Además, se ha de destacar que existe la posibilidad de conocer la identidad en concreto de quienes acceden a los datos personales incluso sin tener la consideración de destinatarios de los datos conforme al RGPD, si ello es indispensable para permitir al interesado ejercer efectivamente su derecho de acceso.
[1] El concepto de responsable del tratamiento se define en el artículo 4.7 del RGPD como “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros”.
[2] El artículo 22 del RGPD establece que “todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación