Novedades sobre el derecho de acceso a los datos personales

2023-05-30T13:39:00
Unión Europea
Una sentencia del TJUE y la actualización de las Directrices del CEPD abordan el alcance del derecho de acceso a los datos personales en el RGPD
Novedades sobre el derecho de acceso a los datos personales
30 de mayo de 2023

En esta entrada nos referimos a dos desarrollos de interés en la determinación del alcance del derecho de acceso que el Reglamento General de Protección de Datos reconoce a los interesados. Se trata, por una parte, de la sentencia del TJUE en el caso C-487/21 (Österreichische Datenschutzbehörde) y, por otra parte, de la actualización de las directrices sobre el derecho de acceso elaboradas por el Comité Europeo de Protección de Datos.

Sentencia del TJUE en el caso Österreichische Datenschutzbehörde

La sentencia del caso C-487/21 (Österreichische Datenschutzbehörde), dictada el pasado 4 de mayo de 2023 por el Tribunal de Justicia de la Unión Europea (TJUE), aporta luz respecto al alcance del derecho de los interesados de acceder a sus datos personales, establecido en el artículo 15 del Reglamento General de Protección de Datos (“RGPD”).

En este caso se discute si la obligación conceder acceso se cumple cuando el responsable del tratamiento transmite los datos personales en forma de cuadro sintético, o si el ejercicio de este derecho también debe implicar la recepción de extractos de documentos, o incluso de documentos enteros, así como de extractos de bases de datos, en los que se reproducen los datos del interesado.

La reclamada es una agencia de asesoramiento comercial que facilita, a solicitud de sus clientes, información sobre la solvencia de terceros. Tras la desestimación de su reclamación, el afectado recurrió ante el Tribunal Federal de lo Contencioso-Administrativo de Austria, que planteó unas cuestiones prejudiciales ante el TJUE.

El TJUE ha respondido, por una parte, que el interesado tiene el derecho a obtener una reproducción auténtica e inteligible de todos sus datos personales, entendidos en un sentido amplio, que sean objeto de operaciones y que deben calificarse de tratamiento por parte del responsable de ese tratamiento. Esta interpretación incluye obtener copia de extractos de documentos, llegando a ser posible el acceso a documentos enteros o extractos de bases de datos.

Por otro lado, el TJUE se pronuncia acerca del posible conflicto entre el derecho de acceso pleno y completo a los datos personales, y los derechos o libertades de terceros. El Tribunal insiste que, en estos supuestos, se deberá efectuar una ponderación entre los derechos y libertades en cuestión. Concluye que los responsables del tratamiento deben optar por modalidades de comunicación que, en la medida de lo posible, no vulneren estos derechos de terceros.

Actualización de las Directrices del CEPD sobre el derecho de acceso

El Comité Europeo de Protección de Datos (CEPD) ha publicado una actualización de sus Directrices 01/2022, sobre el ejercicio del derecho de acceso de los interesados. Las cuestiones más relevantes de la versión inicial de estas Directrices ya fueron abordadas en una entrada previa en nuestro blog, a la que se puede acceder aquí.

El CEPD ha llevado a cabo importantes modificaciones respecto a la primera versión de las Directrices, que se deberán tener en cuenta cuando se gestionen las solicitudes de derechos de acceso de interesados.

En primer lugar, se ha de señalar el cambio realizado en el apartado 3.2 de las Directrices, que pasa a incluir el concepto de “autenticación” y lo vincula con el principio de minimización del artículo 5.1.c) del RGPD. Indica ahora el CEPD que, en las situaciones donde los interesados ya estén autenticados, los responsables del tratamiento no deberían tener que solicitarles información adicional para identificarlos y dar trámite al derecho de acceso que estos tengan intención de ejercitar, salvo que existan motivos para verificar esta identidad. Por ejemplo, cuando la solicitud de ejercicio del derecho de acceso se haga a través de la cuenta de un usuario registrado en una página web o aplicación, salvo que existan motivos para dudar de la identidad de dicho usuario, no deberían tener que solicitarse datos adicionales -como el DNI- para tramitar dicha solicitud.

Por otro lado, las Directrices también ponen mayor énfasis en el formato electrónico en el que debe entregarse la información. De acuerdo con la nueva versión del documento, el formato que debe considerarse de uso común dependerá del contexto. Así, los responsables del tratamiento deberán evaluar si existen formatos específicos de uso generalizado en su ámbito de actuación. Asimismo, cuando no existan tales formatos de uso generalizado, los formatos abiertos establecidos en una norma internacional, como las Normas ISO, deben considerarse formatos electrónicos adecuados. Por ejemplo, determinados programas pueden utilizarse para que el formato sea más accesible para los interesados que ejerciten su derecho de acceso. Sin embargo, estos interesados no deberán estar obligados, ni mucho menos, a adquirir el software para acceder a la información.

Ramon Baradat, con la colaboración de Nour Yazbeck.

30 de mayo de 2023