Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Jurisprudencia del TJUE sobre el derecho de acceso

El Tribunal de Justicia de la Unión Europea (TJUE) se ha pronunciado en varias sentencias sobre el derecho de acceso a datos personales, regulado en el artículo 15 del RGPD. Estas decisiones buscan equilibrar los derechos de los interesados ​​con las obligaciones de los responsables del tratamiento, evitando abusos y garantizando la efectividad de los derechos.

A continuación, vamos a analizar el caso de la sentencia de 22 de junio de 2023, asunto C‑579/21, en la que se aclara que toda persona tiene derecho a conocer en qué fecha y con qué motivo se han consultado sus datos personales, si bien caben matices:

1. Derecho a conocer la fecha y el motivo de las consultas de datos personales

  • Información básica a comunicar: De acuerdo con el considerando 63 y el artículo 15.1 del RGPD, los interesados tienen derecho a que se le comuniquen, en particular, los fines para los que se tratan sus datos personales, sus destinatarios, el plazo de conservación y la lógica implícita en el tratamiento.
  • Copia de los datos personales: El artículo 15.3 del RGPD obliga al responsable del tratamiento a facilitar una copia de los datos personales objeto de tratamiento. El TJUE ha interpretado que el concepto de «copia» implica la reproducción o transcripción íntegra y auténtica de un original, obligando que «se entregue al interesado no solo una copia de esos datos, sino también una copia de los extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, dichos datos» (STJUE 4 de mayo de 2023, asunto C‑487/21). En definitiva, no basta con una descripción general o una remisión a las categorías de datos, la copia debe incluir todos los datos personales tratados y permitir al interesado ejercer efectivamente sus derechos.

2. Acceso a la identidad de los empleados que consultan los datos

Los archivos automatizados del responsable del tratamiento suelen registrar la identidad de las personas que realizan operaciones de consulta.

El artículo 15.1.c) del RGPD otorga al interesado el derecho a obtener información sobre los destinatarios o categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales. No obstante, los empleados del responsable del tratamiento no se consideran «destinatarios» en este contexto, al estar sujetos a un régimen de subordinación laboral. Por tanto, no existe una obligación general de revelar la identidad de los empleados que accedieron a los datos por orden del responsable.

Dicha información solo debe proporcionarse si es indispensable para que el interesado ejerza efectivamente sus derechos, y siempre que no se vulneren los derechos y libertades de los empleados involucrados.

3. El abuso de derecho en las solicitudes de acceso (asunto pendiente C-526/24, Brillen Rottler)

El TJUE ha sido llamado a pronunciarse sobre la posibilidad de denegar el derecho de acceso cuando se ejercita de mala fe.

En el asunto C‑526/24, Brillen Rottler se suscribió a la newsletter de una empresa, consintiendo el tratamiento de sus datos personales. Poco después, ejerció su derecho de acceso. Sospechando que la solicitud pretendía provocar una infracción para reclamar una indemnización, la empresa la denegó alegando abuso de derecho. Esta decisión se basó en noticias en línea que señalaban que el interesado realizaba esta práctica de forma sistemática y abusiva, con el único fin de obtener indemnizaciones por infracciones al RGPD que él mismo generaba deliberadamente.

A la espera de la sentencia del TJUE, el Abogado General argumenta en sus conclusiones que una primera solicitud de acceso, presentada conforme al artículo 15 del RGPD, puede calificarse de «excesiva» cuando se demuestre una intención abusiva por parte del interesado. Esta intención podría considerarse acreditada si el interesado consintió el tratamiento de sus datos personales únicamente para presentar dicha solicitud y reclamar después de una indemnización. Sin embargo, no basta para denegar la solicitud el mero hecho de inferir, a partir de información pública, que el interesado ha reclamado indemnizaciones en múltiples casos contra distintos responsables. El umbral probatorio del abuso debe ser alto para preservar el amplio ámbito del artículo 82 del RGPD sobre responsabilidad civil.

Esperemos que la resolución de este caso nos proporcione mayor claridad sobre el equilibrio entre derechos y abusos.

Conclusiones

Las sentencias del TJUE refuerzan la efectividad del derecho de acceso como herramienta fundamental para la protección de datos personales, pero también introducen límites para prevenir abusos.

Como responsables del tratamiento deben evaluar cada solicitud de forma individual, asegurando el cumplimiento del RGPD, mientras protegen sus intereses legítimos.

Más información

Derecho de acceso

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es