Definición y regulación d...personales
Ver Indice
»

Última revisión
24/09/2024

datos

340 - Definición y regulación del derecho de acceso en el tratamiento de datos personales

Tiempo de lectura: 15 min

Tiempo de lectura: 15 min

Relacionados:

Vademecum: datos

Fecha última revisión: 24/09/2024

Resumen:

El Reglamento General de Protección de Datos (RGPD) reconoce el derecho de acceso a los interesados respecto a sus datos personales. El afectado tendrá derecho a recibir información acerca del tratamiento de sus datos personales, así como los destinatarios, el plazo de conservación, la existencia de decisiones automatizadas, entre otros. Igualmente, el responsable emitirá una copia de los datos personales objetos de tratamiento.


Derecho de acceso del interesado en el RGPD

Artículo 15 del RGPD

«1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros».

Así, el interesado tiene derecho a obtener del responsable del tratamiento la confirmación de si se están tratando sus datos personales y, en su caso, tendrá derecho de acceso a los mismos y a la siguiente información:

  • Fines del tratamiento.
  • Categorías de datos personales.
  • Destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales.
  • Si es posible, el plazo de conservación de los datos personales o, en su caso, los criterios para determinarlo.
  • Derecho a solicitar del responsable la rectificación, supresión o limitación del tratamiento de datos personales.
  • Derecho a presentar una reclamación ante la autoridad de control.
  • Información disponible del origen de los datos, cuando no se hayan obtenido del interesado.
  • Existencia de decisiones automatizadas, incluida la elaboración de perfiles.

CUESTIÓN

¿El responsable del tratamiento de los datos personales está obligado a facilitar al interesado la identidad de los destinatarios a los que haya facilitado o le vayan a ser facilitados esos datos?

Sí, con relación a la interpretación del art. 15 del RGPD, se ha pronunciado el TJUE en la sentencia, asunto C-154/21, de 12 de enero de 2023, ECLI:EU:C:2023:3, en la que declara:

«El artículo 15, apartado 1, letra c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

el derecho de acceso del interesado a los datos personales que le conciernen, establecido en dicha disposición, implica, cuando esos datos hayan sido o vayan a ser comunicados a destinatarios, la obligación del responsable del tratamiento de facilitar a ese interesado la identidad de esos destinatarios, a menos que no sea posible identificarlos o que dicho responsable del tratamiento demuestre que las solicitudes de acceso del interesado son manifiestamente infundadas o excesivas en el sentido del artículo 12, apartado 5, del Reglamento 2016/679, en cuyo caso este podrá indicar al interesado únicamente las categorías de destinatarios de que se trate».

Ahora bien, si se transfieren los datos a un tercer país o a una organización internacional, el afectado tendrá derecho a ser informado de las garantías relativas a la transferencia.

Igualmente, el responsable del tratamiento entregará al interesado una copia de los datos personales objeto del tratamiento. No obstante, el derecho a obtener una copia de los datos no influirá negativamente en los derechos y libertades de otros.

A TENER EN CUENTA. El Tribunal de Justicia de la Unión Europea en su sentencia, asunto C-579/21, de 22 de junio, ECLI:EU:C:2023:501, ha interpretado el artículo 15 del RGPD en el sentido de que la información relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento. En cambio, el RGPD no consagra ese derecho en lo que respecta a la información relativa a la identidad de los empleados que llevaron a cabo esas operaciones de conformidad con las instrucciones del responsable del tratamiento, a menos que esa información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados. El TJUE señala que cuando exista conflicto entre el ejercicio del derecho de acceso que garantice la eficacia de los derechos reconocidos por el RGPD al interesado y los derechos o libertades de otros, debe hacerse una ponderación entre los derechos y libertades en cuestión. Optando, cuando sea posible, por modalidades que no vulneren esos derechos o esas libertades.

A mayor abundamiento, son numerosos los considerandos, del texto legal que nos ocupa, que se refieren al derecho de acceso del interesado, a título ilustrativo podemos destacar:

a) Considerando 59 del RGPD:

«Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas».

b) Considerando 63 del RGPD:

«Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas (...)».

c) Considerando 64 del RGPD:

«El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea. El responsable no debe conservar datos personales con el único propósito de poder responder a posibles solicitudes».

Si bien, es de importancia destacar que el Tribunal Constitucional, en su sentencia n.º 292/2000, de 30 de noviembre, ECLI:ES:TC:2000:292, entiende en relación con el habeas data que:

«(...) La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada "libertad informática" es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (...)».

En la misma línea, la sentencia del Tribunal Constitucional n.º 11/1998, de 13 de enero, ECLI:ES:TC:1998:11:

«(...) La garantía de la intimidad, latu sensu, adopta hoy un entendimiento positivo que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informática es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (fundamento jurídico 7.º)».

A efectos meramente aclaratorios, la Agencia Española de Protección de Datos (AEPD) especifica que el derecho de acceso es:

«El derecho de acceso es tu derecho a dirigirte al responsable del tratamiento para conocer si está tratando o no tus datos de carácter personal y, en el caso de que se esté realizando dicho tratamiento, obtener la siguiente información:

• Una copia de tus datos personales que son objeto del tratamiento.

• Los fines del tratamiento.

• Las categorías de datos personales que se traten.

• Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, los destinatarios en países terceros u organizaciones internacionales.

• El plazo previsto de conservación de los datos personales, o si no es posible, los criterios utilizados para determinar este plazo.

• La existencia del derecho del interesado a solicitar al responsable: la rectificación o supresión de sus datos personales, la limitación del tratamiento de sus datos. personales u oponerse a ese tratamiento.

• El derecho a presentar una reclamación ante una Autoridad de Control.

• Cuando los datos personales no se hayan obtenido directamente de ti, cualquier información disponible sobre su origen.

• La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y al menos en tales casos, información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de ese tratamiento para el interesado.

• Cuando se transfieran datos personales a un tercer país o a una organización internacional, tienes derecho a ser informado de las garantías adecuadas en las que se realizan las transferencias».

CUESTIONES

1. ¿Qué preceptos del RGPD se refieren al derecho de acceso?

Se refieren al derecho de acceso a los datos, entre otros, los siguientes artículos del RGPD:

    • Información que deberá facilitarse cuando los datos personales se obtengan del interesado (artículo 13.2.b del RGPD).
    • Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (artículo 14.2.c del RGPD).
    • Seguridad del tratamiento (artículo 32 del RGPD).
    • Tratamiento y acceso del público a documentos oficiales (artículo 86 del RGPD).

2. ¿Se pueden imponer restricciones al derecho de acceso a los datos personales?

En virtud del considerando 73 del RGPD, el derecho de la Unión Europea o de los Estados miembros puede imponer restricciones a «(...) determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública o de violaciones de normas deontológicas en las profesiones reguladas, y su prevención, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, la llevanza de registros públicos por razones de interés público general, el tratamiento ulterior de datos personales archivados para ofrecer información específica relacionada con el comportamiento político durante los regímenes de antiguos Estados totalitarios, o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios. Dichas restricciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales».

Derecho de acceso del afectado en la LOPDGDD

Artículo 13 de la LOPDGDD

«1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679.

Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.

2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.

No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.

3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.

4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas».

A estos efectos, la LOPDGDD se remite a la regulación del derecho de acceso del interesado establecido en el artículo 15 del RGPD.

CUESTIÓN

¿Qué preceptos de la LOPDGDD se refieren al derecho de acceso del interesado?

Se refieren al derecho de acceso del afectado, entre otros, los que siguen:

A TENER EN CUENTA. En relación con los usos de la historia clínica, el apartado tercero del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, dispone que:

«3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos».