El CEPD ha publicado unas directrices sobre el derecho de acceso en el contexto del RGPD.
El derecho de acceso se orienta a proporcionar a los sujetos información suficiente, transparente y fácil de localizar sobre el tratamiento de datos personales. Se pretende que estas condiciones faciliten el ejercicio de los derechos de supresión y rectificación, aunque no es necesario ejercerlos de manera conjunta. El derecho de acceso se recoge tanto en el Artículo 15 del RGPD como en la Carta de Derechos Fundamentales de la UE. Bajo el RGPD, el derecho de acceso se compone de tres elementos: confirmación de si se están tratando datos personales, acceso a los datos y acceso a información relativa al tratamiento. En esencia, se garantiza la habilidad del interesado para cuestionar, acceder y verificar los datos personales tratados por el responsable. El CEPD ha publicado unas directrices oficiales sobre el derecho de acceso.
El derecho de acceso incluye el derecho a obtener confirmación de si se están tratando datos personales, acceso a los datos y a información relativa al tratamiento.
El derecho de acceso sólo puede ejercerse en relación a datos personales que caigan bajo el ámbito de aplicación material y territorial del RGPD. En consecuencia, una parte esencial de la evaluación que ha de ser llevada a cabo por el responsable se basa en la diferenciación entre datos personales y otros datos, para identificar así el alcance de la solicitud. El RGPD define datos personales como “toda información sobre una persona física identificada o identificable”. El TJUE ha establecido que el derecho de acceso incluye los datos personales contenidos en actas, como “nombre, fecha de Nacimiento, nacionalidad, género, etnia, religión e idioma del solicitante” “y, cuando sea de aplicación, los datos en el análisis legal contenidos en la minuta”. El derecho de acceso puede ejercerse únicamente por el interesado (salvo en casos concretos en lo que también podrá hacerlo una persona autorizada u apoderado). También es importante tener en cuenta que en algunas ocasiones los datos personales pueden incluir información de otros sujetos, por eso se debe destacar que el derecho de acceso no implica que el responsable pueda compartir dichos datos automáticamente”. El responsable deberá garantizar cumplimiento con el Artículo 15 (4) del RGPD que establece que “El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros”.
Las solicitudes del derecho de acceso deben tramitarse en el plazo establecido, pero puede extenderse dos meses más si es necesario en función de la complejidad y el número de solicitudes.
Conforme al artículo 12 del RGPD, el responsable del tratamiento deberá facilitar al interesado información relativa a sus actuaciones sobre la base de una solicitud de derechos sin dilación indebida y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Este plazo podrá prorrogarse dos meses más como máximo en función del número de solicitudes y la complejidad de las mismas. Sin embargo, en caso de que el período inicial de un mes necesite ser extendido, el interesado deberá ser informado de dicha prórroga y los motivos de la misma en un mes tras la recepción de la solicitud. Cabe destacar que el CEPD enfatiza la necesidad de dar curso a las solicitudes de acceso sin dilación indebida, lo que implica que la información deberá proporcionarse tan pronto como sea posible. Este límite de tiempo comienza en el momento en que el responsable recibe la solicitud del derecho de acceso. Sin embargo, este plazo podrá suspenderse si el responsable precisa confirmar la identidad de la persona que ejerce el derecho, en cuyo caso el plazo comenzaría cuando el responsable haya recibido la información correspondiente siempre y cuando haya sido requerida sin dilación indebida.
El CEPD ha señalado cómo debe proporcionarse el acceso a los datos según la cantidad de los mismos y la complejidad del tratamiento.
Conforme al CEPD, salvo indicación en contrario, debería considerarse que las solicitudes se refieren a todos los datos relativos al interesado. Cuando se traten grandes cantidades de datos, el responsable podrá pedir al interesado que especifique los datos que solicita. En el resto de situaciones el responsable tendrá que identificar y localizar los datos en todos sus sistemas conforme a un criterio de búsqueda basado en la estructura de almacenamiento de la información. Por ejemplo, el responsable deberá buscar la información utilizando el nombre o el número identificativo del interesado. La comunicación relacionada con el tratamiento habrá de proporcionarse de forma concise, inteligible, transparente y fácilmente accesible, empleando un lenguaje claro y sencillo. Estos datos, especialmente si se incluyen datos en bruto o sin procesar, tendrán que ser explicados de forma que tenga sentido para el interesado. En líneas generales, se indica que se usará un formato permanente, como texto escrito, y podrá ser enviado por email. Cuando haya grandes cantidades de datos, el CEPD sugiere tomar un enfoque por capas que permita presentar la información de manera que facilite su comprensión por parte del interesado. En este caso todas las capas deberán entregarse a la vez si así lo solicita el interesado.
En sus directrices oficiales sobre el derecho de acceso, el CEPD ofrece múltiples escenarios con ejemplos y explica cómo deberá actuarse en cada caso, con el objetivo de ayudar a los responsables a entender su papel y sus responsabilidades en la tramitación de las solicitudes de acceso. Para más información, incluidos gráficos visuales que muestran cuándo y cómo deben cursarse los derechos de acceso, se pueden consultar las directrices.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.
