340 - Definición y regulación del derecho de acceso en el tratamiento de datos personales

El derecho de acceso a los datos personales, regulado en el artículo 15 del RGPD, garantiza que el interesado pueda acceder a la información en torno al tratamiento de sus datos personales, esto es, conocer los fines del tratamiento, las categorías de datos, los destinatarios de los datos, el plazo de conservación de los datos, los derechos que asisten al interesado (derechos ARSO) así como la posibilidad de presentar una reclamación a la autoridad de control. 

Derecho de acceso del interesado en el RGPD

Artículo 15 del RGPD

«1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros».

Así, el interesado tiene derecho de obtener del responsable del tratamiento la confirmación de si se están tratando sus datos personales y, en su caso, tendrá derecho de acceso a los mismos y a la siguiente información:

• Fines del tratamiento.
• Categorías de datos personales.
• Destinatarios o categorías de destinatarios.
• Si es posible, el plazo de conservación de los datos personales o, en su caso, los criterios para determinarlo.
• Derecho a solicitar del responsable la rectificación, supresión o limitación del tratamiento de datos personales.
• Derecho a presentar una reclamación ante la autoridad de control.
• Información disponible del origen de los datos, cuando no se hayan obtenido del interesado.
• Existencia de decisiones automatizadas, incluida la elaboración de perfiles.

CUESTIÓN

¿El responsable del tratamiento de los datos personales está obligado a facilitar al interesado la identidad de los destinatarios a los que haya facilitado o le vayan a ser facilitados esos datos?

Sí, con relación a la interpretación del art. 15 del RGPD, se ha pronunciado el TJUE en la sentencia, asunto C-154/21, de 12 de enero de 2023, ECLI:EU:C:2023:3, en la que declara:

«El artículo 15, apartado 1, letra c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

el derecho de acceso del interesado a los datos personales que le conciernen, establecido en dicha disposición, implica, cuando esos datos hayan sido o vayan a ser comunicados a destinatarios, la obligación del responsable del tratamiento de facilitar a ese interesado la identidad de esos destinatarios, a menos que no sea posible identificarlos o que dicho responsable del tratamiento demuestre que las solicitudes de acceso del interesado son manifiestamente infundadas o excesivas en el sentido del artículo 12, apartado 5, del Reglamento 2016/679, en cuyo caso este podrá indicar al interesado únicamente las categorías de destinatarios de que se trate».

Ahora bien, si se transfieren los datos a un tercer país o a una organización internacional, el afectado tendrá derecho a ser informado de las garantías relativas a la transferencia.

Igualmente, el responsable del tratamiento entregará al interesado una copia de los datos personales objeto del tratamiento. No obstante, el derecho a obtener una copia de los datos no influirá negativamente en los derechos y libertades de otros.

A TENER EN CUENTA. El Tribunal de Justicia de la Unión Europea en su sentencia n.º C-579/21, de 22 de junio, ECLI:EU:C:2023:501, ha interpretado el artículo 15 del RGPD en el sentido de que «la información relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento. En cambio, el RGPD no consagra ese derecho en lo que respecta a la información relativa a la identidad de los empleados que llevaron a cabo esas operaciones de conformidad con las instrucciones del responsable del tratamiento, a menos que esa información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados». El TJUE señala que cuando exista conflicto entre el ejercicio del derecho de acceso que garantice la eficacia de los derechos reconocidos por el RGPD al interesado y los derechos o libertades de otros, debe hacerse una ponderación entre los derechos y libertades en cuestión. Optando, cuando sea posible, por modalidades que no vulneren esos derechos o esas libertades.

A mayor abundamiento, son numerosos los considerandos, del texto legal que nos ocupa, que se refieren al derecho de acceso del interesado, a título ilustrativo podemos destacar:

a) Considerando 59 del RGPD:

«Deben arbitrarse fórmulas para facilitar al interesado el ejercicio de sus derechos en virtud del presente Reglamento, incluidos los mecanismos para solicitar y, en su caso, obtener de forma gratuita, en particular, el acceso a los datos personales y su rectificación o supresión, así como el ejercicio del derecho de oposición. El responsable del tratamiento también debe proporcionar medios para que las solicitudes se presenten por medios electrónicos, en particular cuando los datos personales se tratan por medios electrónicos. El responsable del tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas».

b) Considerando 63 del RGPD:

«Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento. Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas».

c) Considerando 64 del RGPD:

«El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso, en particular en el contexto de los servicios en línea y los identificadores en línea. El responsable no debe conservar datos personales con el único propósito de poder responder a posibles solicitudes».

Si bien, es de importancia destacar que el Tribunal Constitucional, en su sentencia n.º 292/2000, de 30 de noviembre, ECLI:ES:TC:2000:292, entiende en relación con el habeas data que:

«La garantía de la vida privada de la persona y de su reputación poseen hoy una dimensión positiva que excede el ámbito propio del derecho fundamental a la intimidad (art. 18.1 CE), y que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada "libertad informática" es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención».

En la misma línea, la sentencia del Tribunal Constitucional n.º 11/1998, de 13 de enero, ECLI:ES:TC:1998:11:

«La garantía de la intimidad, latu sensu, adopta hoy un entendimiento positivo que se traduce en un derecho de control sobre los datos relativos a la propia persona. La llamada libertad informática es así derecho a controlar el uso de los mismos datos insertos en un programa informático (habeas data) y comprende, entre otros aspectos, la oposición del ciudadano a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención (fundamento jurídico 7.º)».

A efectos meramente aclaratorios, la Agencia Española de Protección de Datos (AEPD) especifica que el derecho de acceso es:

«El derecho de acceso es tu derecho a dirigirte al responsable del tratamiento para conocer si está tratando o no tus datos de carácter personal y, en el caso de que se esté realizando dicho tratamiento, obtener la siguiente información:

• Una copia de tus datos personales que son objeto del tratamiento.

• Los fines del tratamiento.

• Las categorías de datos personales que se traten.

• Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular, los destinatarios en países terceros u organizaciones internacionales.

• El plazo previsto de conservación de los datos personales, o si no es posible, los criterios utilizados para determinar este plazo.

• La existencia del derecho del interesado a solicitar al responsable: la rectificación o supresión de sus datos personales, la limitación del tratamiento de sus datos. personales u oponerse a ese tratamiento.

• El derecho a presentar una reclamación ante una Autoridad de Control.

• Cuando los datos personales no se hayan obtenido directamente de ti, cualquier información disponible sobre su origen.

• La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y al menos en tales casos, información significativa sobre la lógica aplicada, la importancia y las consecuencias previstas de ese tratamiento para el interesado.

• Cuando se transfieran datos personales a un tercer país o a una organización internacional, tienes derecho a ser informado de las garantías adecuadas en las que se realizan las transferencias».

CUESTIONES

1. ¿Qué preceptos del RGPD se refieren al derecho de acceso?

Se refieren al derecho de acceso a los datos, entre otros, los siguientes artículos del RGPD:

- Información que deberá facilitarse cuando los datos personales se obtengan del interesado (artículo 13.2.b del RGPD).

- Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado (artículo 14.2.c del RGPD).

- Seguridad del tratamiento (artículo 32 del RGPD).

- Tratamiento y acceso del público a documentos oficiales (artículo 86 del RGPD).

2. ¿Se pueden imponer restricciones al derecho de acceso a los datos personales?

En virtud del considerando 73 del RGPD, el derecho de la Unión Europea o de los Estados miembros puede imponer restricciones a «(...) determinados principios y a los derechos de información, acceso, rectificación o supresión de datos personales, al derecho a la portabilidad de los datos, al derecho de oposición, a las decisiones basadas en la elaboración de perfiles, así como a la comunicación de una violación de la seguridad de los datos personales a un interesado y a determinadas obligaciones conexas de los responsables del tratamiento, en la medida en que sea necesario y proporcionado en una sociedad democrática para salvaguardar la seguridad pública, incluida la protección de la vida humana, especialmente en respuesta a catástrofes naturales o de origen humano, la prevención, investigación y el enjuiciamiento de infracciones penales o la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública o de violaciones de normas deontológicas en las profesiones reguladas, y su prevención, otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un importante interés económico o financiero de la Unión o de un Estado miembro, la llevanza de registros públicos por razones de interés público general, el tratamiento ulterior de datos personales archivados para ofrecer información específica relacionada con el comportamiento político durante los regímenes de antiguos Estados totalitarios, o la protección del interesado o de los derechos y libertades de otros, incluida la protección social, la salud pública y los fines humanitarios. Dichas restricciones deben ajustarse a lo dispuesto en la Carta y en el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales».

Derecho de acceso del afectado en la LOPDGDD

Artículo 13 de la LOPDGDD

A estos efectos, la LOPDGDD se remite a la regulación del derecho de acceso del interesado establecido en el artículo 15 del RGPD.

CUESTIÓN

¿Qué preceptos de la LOPDGDD se refieren al derecho de acceso del interesado?

Se refieren al derecho de acceso del afectado, entre otros, los que siguen:

- Datos de las personas fallecidas (artículo 3 de la LOPDGDD).

- Disposiciones generales sobre ejercicio de los derechos (artículo 12 de la LOPDGDD).

- Tratamientos de videovigilancia (artículo 22 de la LOPDGDD).

- Tratamiento de datos para la protección de las personas que informen sobre infracciones normativas (artículo 24 de la LOPDGDD).

- Tratamiento de datos con fines de archivo en interés público por parte de las Administraciones públicas (artículo 26 de la LOPDGDD).

- Encargado del tratamiento (artículo 33 de la LOPDGDD).

- Posición del delegado de protección de datos (artículo 36 de la LOPDGDD).

- Infracciones consideradas graves (artículo 73.c de la LOPDGDD).

- Infracciones consideradas leves (artículo 74.d de la LOPDGDD).

- Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral (artículo 87 de la LOPDGDD).

- Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral (artículo 90 de la LOPDGDD).

- Derecho al testamento digital (artículo 96 de la LOPDGDD).

- Tratamiento de datos de salud [D.A. 17.ª.2 ii) de la LOPDGDD].

- Acceso a los archivos públicos y eclesiásticos (D.A. 22.ª de la LOPDGDD).

A TENER EN CUENTA. En relación con los usos de la historia clínica, el apartado tercero del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, dispone que:

«3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la legislación vigente en materia de protección de datos personales, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínicoasistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación previstos en el apartado 2 de la Disposición adicional decimoséptima de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.

Asimismo se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, de 4 de octubre, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos».