De acuerdo con el artículo 15 del RGPD y de conformidad con el artículo 8.2 de la Carta de los Derechos Fundamentales de la Unión Europea, todo interesado tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, el acceso a los datos personales y a la siguiente información:
- La finalidad del tratamiento;
- Las categorías de datos personales en cuestión;
- Los destinatarios o categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales;
- El periodo de conservación de los datos. Si no es posible establecer dicho período, deben establecerse los criterios utilizados para determinarlo;
- Todos los derechos del interesado, incluido el derecho a presentar una reclamación ante una autoridad de control;
- El origen de los datos personales, si no se recogen directamente del interesado;
- La existencia de una toma de decisiones automatizada, es decir, las decisiones tomadas con datos personales tratados únicamente por medios automáticos sin intervención humana.
- La existencia de todas las salvaguardias adoptadas para la eventual transferencia de datos personales fuera de la UE.
A petición de los interesados, el responsable del tratamiento debe proporcionarles una copia de los datos personales tratados, sin coste alguno. Para las copias adicionales solicitadas por los interesados, el artículo 15.3 del RGPD permite al responsable del tratamiento cobrar una tasa razonable basada en los costes administrativos. En este caso, el responsable del tratamiento debe ponerse en contacto con los interesados sin demora para informarles del coste.
Los interesados sólo tienen derecho a sus datos personales, a menos que esta última información esté entrelazada con la de otras personas. Si los datos personales incluyen información sobre otras personas, la siguiente divulgación dependerá del equilibrio entre el derecho de acceso de los interesados y los derechos fundamentales de los terceros, de conformidad con el artículo 15.4 del RGPD. Por ejemplo, a la hora de llevar a cabo la investigación se debe tener en cuenta el deber de secreto profesional, la naturaleza de los datos personales, etc. En este caso, el responsable del tratamiento podría ocultar datos que pudieran afectar negativamente a otros, como, por ejemplo, ennegrecer la información[1] seleccionada.
El RGPD no impide que una persona actúe potencialmente en nombre de los interesados, aunque lo demuestre, por ejemplo, mediante un poder[2]. En caso de duda, el responsable del tratamiento puede pedir a los interesados que se identifiquen. Sin embargo, como ya se ha dicho, este proceso debe ser proporcionado. Además, el responsable del tratamiento puede pedir a los interesados que especifiquen su solicitud, ofreciendo más detalles que contribuyan a identificar la información solicitada. No obstante, la petición del responsable del tratamiento de nuevas aclaraciones no afecta al plazo de un mes.
El RGPD no establece un procedimiento para ejercer el derecho de acceso. En consecuencia, el responsable del tratamiento podría proporcionar un formulario específico que los interesados pudieran rellenar y presentar fácilmente. Sin embargo, el establecimiento de cualquier procedimiento no permite al responsable del tratamiento abstenerse de aceptar las solicitudes que se hayan presentado por otros medios.
Asimismo, el RGPD no dice nada sobre cómo debe el responsable del tratamiento proporcionar la información a los interesados. Por lo general, el suministro de cualquier información debe hacerse en un formato electrónico de uso común (por ejemplo, un correo electrónico en el que se adjunte un archivo PDF), si la solicitud se hizo por vía electrónica y los interesados no pidieron otra cosa. Sin embargo, el considerando 63 del RGPD sugiere que el responsable del tratamiento proporcione a los interesados un acceso remoto a un sistema autoseguro, de modo que puedan acceder a sus datos personales directamente; por ejemplo, accediendo a la base de datos del responsable del tratamiento a través de una VPN.
Lista de comprobación para cumplir con una solicitud de acceso: ¿El ejercicio del derecho de acceso es conforme al RGPD? ☐ ¿Ha recibido una solicitud de acceso de una persona jurídica? En caso afirmativo, indique que la solicitud no fue presentada por una persona física y deniegue la solicitud; ☐ ¿Se ha identificado correctamente el interesado? Si no es así, pida más información para confirmar la identidad; ☐ ¿Puede atenderse la solicitud en el plazo de un mes? Si no es así, informe por qué y cuánto tiempo tardará en tramitarse la solicitud (sin superar los plazos previstos en el RGPD, véase la sección 6); ☐ Hay que cumplir la petición. Cómo seguir cumpliendo con todas las obligaciones del RGPD: ☐ Proporcionar toda la información enumerada en el artículo 15.1-2 del RGPD; ☐ Si la información se entrelaza con la de otros individuos, realice una prueba de equilibrio para ver si la divulgación al individuo que ha presentado la solicitud no afecta a los datos personales del otro individuo; ☐ Proporcionar al interesado una copia de los datos personales que se están tratando. El responsable del tratamiento puede cobrar una tarifa razonable por las copias adicionales que solicite el interesado. Las mejores prácticas: ☐ Proporcionar un formulario específico que el interesado pueda rellenar y enviar fácilmente; ☐ Proporcionar toda la información en un formato electrónico de uso común, a menos que el interesado solicite lo contrario. |
- P. Voigt y A. von dem Bussche, The EU General Data Protection Regulation (GDPR). Una guía práctica, Cham: Springer, 2017, p. 153 ↑
- Oficina del Comisario de Información, Guide to the General Data Protection Regulation (GDPR), 2019, p. 108, disponible en: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/ [último acceso: 30.10.2020] ↑