EU│Directrices del Comité Europeo de Protección de Datos sobre el ejercicio del derecho de acceso

2022-03-01T08:09:00
España Otros países

El EDPB publica una primera versión de las directrices sobre los derechos de los interesados. 

EU│Directrices del Comité Europeo de Protección de Datos sobre el ejercicio del derecho de acceso
1 de marzo de 2022

El European Data Protection Board (EDPB) ha presentado una guía relativa a la aplicación del artículo 15 del Reglamento General de Protección de Datos (RGPD), que regula el derecho de acceso por parte de los interesados. El contenido de la citada guía no es definitivo (ya que se abre ahora un período de consulta que finaliza el 11 de marzo). A continuación, destacamos las cuestiones más relevantes y novedosas que introduce la guía:

  • El EDPB recalca a lo largo de la guía que el ejercicio del derecho de acceso significa el acceso a los datos personales en sí mismos y no el acceso a una mera descripción general de los datos personales objeto de tratamiento ni una referencia a las categorías de datos personales objeto de tratamiento por parte del responsable.
  • En cuanto al apartado 3 del artículo 15 RGPD, en el que se establece que el responsable del tratamiento facilitará una copia de los datos personales objeto del tratamiento, el EDPB puntualiza que no debe ser entendido como un derecho adicional del interesado, sino como una modalidad de proporcionar acceso a sus datos personales. Por tanto, si el acceso a los datos en el sentido del artículo 15(1) se hiciera facilitando una copia de éstos, se entenderá ya cumplida la obligación regulada en el artículo 15(3) del RGPD. Asimismo, indica que el EDPB que la primera copia debe facilitarse siempre de forma gratuita, aun cuando suponga un coste elevado para el responsable. 
  • El EDPB aclara que la información que deberá facilitarse al interesado debe incluir información actual o datos personales que se tienen sobre el mismo y, por ende, incluye información sobre datos personales que pudieran ser inexactos o sobre el tratamiento de datos que no es (o que ya no es) legal. Asimismo, puntualiza el EDPB que, en el caso de que se regulen plazos de conservación inferiores al plazo impuesto por el RGPD para dar contestación a un derecho de acceso, el tiempo para responder a la solicitud debe adaptarse al período de retención apropiado con el fin de evitar la imposibilidad permanente de proporcionar acceso a los datos objeto de tratamiento en el momento de realizar la solicitud.
  • En el caso de que el derecho de acceso sea ejercitado a través de una dirección de email o de correo postal incorrecta, que no haya sido directamente facilitada por el responsable a tal efecto, o a través de un canal de comunicación que claramente no esté destinado a recibir solicitudes relativas al ejercicio de acceso, el responsable no está obligado a llevar a cabo ningún tipo de acción. Sin embargo, el EDPB incluye en la guía una serie de escenarios, a modo de ejemplo, para indicar que, en algunas situaciones en las que el responsable del tratamiento sí deberá dar tramitación al ejercicio del derecho de acceso (por ejemplo, cuando el derecho sea ejercitado a través del correo electrónico del empleado encargado de la gestión de este derecho, aunque dicho correo no se haya publicado). En este punto, el EDPB sugiere el establecimiento de mecanismos que mejoren las comunicaciones internas entre empleados, a los efectos de gestionar internamente la correcta tramitación de este tipo de derechos.
  • Se indica la necesidad de llevar a cabo una evaluación de proporcionalidad en el caso de que el responsable del tratamiento considere que necesita información adicional a los efectos de verificar la identidad del sujeto que está ejerciendo el derecho de acceso.
  • La guía incluye un apartado en el que se ofrecen una serie de recomendaciones en cuanto a cómo se puede facilitar el acceso a los datos personales objeto de tratamiento por el responsable, siempre poniendo de relieve que se deberán implementar medidas técnicas y organizativas apropiadas y adecuadas a la forma en que se facilite el acceso a los datos personales del interesado. En este sentido, el EDPB sugiere que la implantación de “self-service tools” también podría resultar apropiada, ya que podrían facilitar el manejo eficiente de este tipo de solicitudes por parte del responsable.
  • El EDPB sugiere que el responsable del tratamiento podrá seguir un sistema de información “por capas” en el caso, por ejemplo, de que el interesado deba acceder a un alto volumen de información (datos personales) y, al mismo tiempo, cumplir con lo dispuesto en el artículo 12 del RGPD, en el que se indica que cualquier comunicación con arreglo (entre otros) al artículo 15 deberá realizarse de forma concisa, transparente e inteligible.
  • Por último, en cuanto al plazo para responder a la solicitud, que el art. 12.3 RGPD fija en un mes, ampliable a dos meses adicionales en atención a la complejidad y al número de solicitudes, la guía proporciona una serie de criterios para determinar cuándo el ejercicio de un derecho de acceso podría considerarse una solicitud compleja a estos efectos.

Como indicábamos al inicio, tras la publicación de esta guía se abre un período de consulta pública hasta el próximo 11 de marzo. Estaremos atentos a las modificaciones que, tras la finalización de dicho período, pudieran incluirse en la guía.

1 de marzo de 2022