Uno de los derechos que existen en el ámbito de la protección de datos es el derecho de acceso. Si bien el RGPD lo define muy bien, a veces surgen dudas sobre hasta dónde llega exactamente. Por ejemplo: ¿podría un cliente saber qué decimos sobre él en nuestros correos u otras comunicaciones de trabajo?
Cada vez es más frecuente -más aún desde el boom del teletrabajo- que usemos nuevas tecnologías en nuestras profesiones, incluso para comunicarnos con nuestros compañeros. Y muchas veces le restamos importancia, pues confiamos en que estamos en un entorno seguro y privado.
Pero, ¿y si nuestros clientes pudieran tener acceso a esas comunicaciones? Precisamente sobre esto se pronunció el Tribunal Federal de Justicia de Alemania, en una de sus resoluciones. En este post, analizamos la misma y te damos algunas recomendaciones para evitar riesgos.
El derecho de acceso: artículo 15, RGPD.
Como te contábamos, uno de los derechos (arts. 15 a 21) que reconoce el RGPD es el derecho de acceso. Sobre él, nos dice que es aquel que permite a una persona:
“obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen […]
Y, además, específica qué es lo que tenemos derecho a saber (o acceder):
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales […]
d) de ser posible, el plazo previsto de conservación de los datos personales […]
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles […].
Además, el RGPD también reconoce el derecho a saber si tus datos son objeto de alguna transferencia internacional de datos y bajo qué garantías. E incluso a obtener una copia de la información personal que tenga relación contigo.
Ampliación del derecho de acceso del interesado
Como ya te adelantábamos, en julio de 2021, el Tribunal Federal de Justicia de Alemania emitió una resolución muy importante en este sentido. ¿Por qué? Porque su decisión podría entenderse como una ampliación del derecho de acceso, de forma que abarcaría mucho más que lo que hasta ahora ha venido entendiéndose.
Primero, lo primero: los hechos que dieron lugar a la sentencia
Una persona demandó a su compañía aseguradora, solicitándole información sobre todos los datos personales suyos que tuviera. Aunque inicialmente se desestimó la demanda, dado que la compañía ya le había proporcionado información, el Tribunal Federal acabó dándole la razón al demandado, entendiendo que la compañía no había respondido adecuadamente a la solicitud
Los argumentos del Tribunal en su sentencia
El Tribunal considera que el derecho de acceso debe ser entendido en un sentido amplio y que no solo incluiría la información expresamente regulada en el RGPD. Así, abarcaría también información que conste en notas internas o tomadas a raíz de conversaciones telefónicas mantenidas con una persona.
Así mismo, el Tribunal entiende que el interesado tiene derecho a -valga la redundancia- ejercitar este derecho repetidamente, incluso aunque ya tuviera conocimiento de previa información o correspondencia.
¿Qué implica esta decisión?
Aunque se trate de una decisión emitida en Alemania, y pese a que la AEPD aún no ha publicado ninguna en este sentido, lo cierto es que debe ser muy tenida en cuenta. Uno de los objetivos del RGPD, como ya te contamos en este post, es precisamente el de unificar el marco normativo y la toma de decisiones en materia de protección de datos. En otras palabras: cuando las barbas de tu vecino veas pelar, pon las tuyas a remojar.
Por ello, es necesario estar atentos a las decisiones que se dictan en otros Estados, porque probablemente anticipan lo que nuestras propias autoridades (la AEPD) acabarán decidiendo también.
¿Qué deberías tener en cuenta en tu empresa o trabajo?
Una decisión de este tipo, aplicada en el día a día de una empresa o profesional, podría implicar que, si una persona ejercita este derecho, podría llegar a acceder a toda la información que tengamos disponible sobre él: post-it, notas, correo electrónico y otras comunicaciones como aplicaciones de chat, siempre dentro de lo que es el ámbito de trabajo.
¿Lo mejor que podemos hacer? Ser respetuosos, profesionales y cuidadosos con la información personal que manejemos, en cualquier entorno. Es fácil que, especialmente si tenemos confianza con nuestros compañeros, se den situaciones en las que tendemos a relajarnos o adoptar un tono más informal, -todos lo hacemos- pero no debemos olvidarnos de que los datos que intercambiemos no solo son material de trabajo, sino lo que hagamos con ellos puede afectar a la persona que hay detrás.
Directrices del Comité Europeo de Protección de Datos
Además de todo lo que ya te hemos contado, el Comité Europeo de Protección de Datos también cuenta con unas directrices y pautas relativas al derecho de acceso. Aunque aún no está vigente el texto definitivo, hay puntos a destacar:
• El derecho de acceso es clave para proporcionar a la persona información suficiente, transparente y de fácil acceso sobre sus datos.
• Si bien facilita el ejercicio de los otros derechos de protección de datos, no es condición previa para poder ejercitarlos.
• Ante una solicitud de este tipo, es fundamental valorar: quién la hace, si va referida a datos personales, y si abarca todos o solo parte de los datos del interesado.
• Hay que garantizar que el acceso a los datos se hace de manera concisa, transparente e inteligible.
• Ningún derecho es absoluto, siempre hay limitaciones y restricciones. Tampoco puede servir para afectar a los derechos y libertades de otros.
• Por último, también recoge la posibilidad de que los responsables de tratamiento puedan rechazar o cobrar una tarifa razonable por solicitudes que consideren manifiestamente infundadas o excesivas. Eso sí, sin menoscabar los derechos gratuitos de los interesados.
Y, como somos buenos, cerramos con unos consejitos extra:
Si alguien ejercita sus derechos de protección de datos ante ti, es clave:
- Proporcionar una respuesta. Incluso aunque se deniegue el derecho, o no se reconozca ampliamente, sí o sí hay que responder.
- Responder en plazo. Un mes, desde que se ejercitó el derecho.
- No solo responder, sino hacerlo adecuadamente. Es decir, de forma íntegra, fundamentada y bien justificada
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!