Una resolución reciente del Tribunal Regional de Colonia analiza si los interesados tienen derecho a recibir también los emails y notas personales como parte del derecho de acceso.
“Solicito acceso a todos los datos personales que tengas sobre mí”. ¿Qué hacer si como responsables de tratamiento nos llega un requerimiento de este tipo? Conforme al RGPD, los interesados tienen derecho a recibir:
- confirmación de que se están tratando sus datos personales;
- una copia de sus datos personales; y
- otra información complementaria, que en general corresponderá con lo recogido en la política de privacidad.
Ahora bien, ¿qué significa “datos personales” a estos efectos? Si bien el concepto es claro para algunas categorías de datos como aquellos de contacto, para algunas otras puede resultar confuso, principalmente cuando alcanza información que puede afectar a otras personas.
EL RGPD sostiene que “este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos”. Existe sin embargo cierto debate sobre qué datos se puede considerar que afectan a los derechos y libertades de terceros. En este sentido se ha pronunciado el Tribunal Regional de Colonia, que defiende que el derecho de acceso no incluye toda la información derivada de procesos internos, como las notas sobre los sujetos. Además, mantiene que el interesado tampoco tiene derecho a recibir toda la correspondencia y emails que ya obren en su posesión. Las evaluaciones de rendimiento y los análisis no tendrán que ser de igual modo incluidos en la contestación al derecho. Conforme a esta conclusión, el responsable de tratamiento no estaría obligado a enviar al sujeto datos como clasificaciones, índices, comentarios y notas privadas.
En nuestra opinion la resolución del Tribunal Regional de Colonia asienta un criterio acertado que resuelve de manera adecuada el ejercicio del derecho de acceso a la vez que protege los intereses del responsable. Sin embargo, aunque esta decisión es plenamente aplicable en el territorio de la autoridad de control que la ha dictado, no lo es de manera general para otros países que estén sujetos al cumplimiento del RGPD, con lo que aún está por ver si esta norma se convertirá o no en un estándar.