El TJUE reinterpreta el derecho de acceso a los datos personales: También tenemos derecho a conocer la fecha y las razones por las que se han consultado nuestros datos personales
- El TJUE reinterpreta el derecho de acceso a los datos personales: También tenemos derecho a conocer la fecha y las razones por las que se han consultado nuestros datos personales - 20 julio, 2023
- La responsabilidad de los prestadores de servicios de pago en los casos de phishing - 21 diciembre, 2022
Pues sí, el Tribunal de Justicia de la Unión Europea (TJUE) lo ha vuelto a hacer y ha arrojado más luz al contenido del derecho de acceso a los datos personales recogido en el artículo 15 del Reglamento (UE) 2016/679 General de Protección de Datos (o más conocido como RGPD) con su reciente sentencia dictada el pasado 22 de junio[1].
Los hechos que llevaron al Tribunal Luxemburgo pronunciarse se desencadenaron cuando un individuo, quien a la vez era cliente y empleado de un banco llamado Pankki S, descubrió que sus datos personales habían sido consultados en repetidas ocasiones por empleados de dicho banco. Ante la sospecha de que estas consultas pudieran ser ilegítimas, y tras ser despedido de la entidad, el individuo solicitó que se le revelara la identidad de las personas que accedieron a sus datos, las fechas exactas de dichos accesos y los propósitos para los cuales se trataban dichos datos.
El responsable del tratamiento (el banco) se negó a revelar la identidad de los trabajadores que realizaron las consultas, argumentando que esa información constituía (a su vez) datos personales de dichos trabajadores.
Como resultado, el interesado acudió a la autoridad de protección de datos en Finlandia para que ordenara al responsable que le trasmitiera la información solicitada. Ante la negativa de la autoridad, el interesado interpuso un recurso ante el Tribunal Contencioso-Administrativo de Finlandia, el cual solicitó al TJUE mediante cuestión prejudicial que interpretase el art 15 del RGPD.
¿Cuál fue la respuesta del TJUE? Su sentencia se puede dividir en tres respuestas en bloque:
- Primero sostuvo que el RGPD debe interpretarse en el sentido de que la información sobre operaciones de consulta de datos personales, relativas a las fechas y a los fines de dichas operaciones, es información a la que el interesado tiene derecho a acceder, teniendo el responsable del tratamiento que facilitársela.
- Segundo, en relación con el acceso a las identidades de los empleados, ha establecido que en este caso no se consagraría el derecho de acceso, no pudiendo conocer este interesado dichos datos personales salvo que la información sea indispensable para permitir al interesado ejercer los derechos y libertades del RGPD y siempre y cuando se tenga en cuenta los derechos y libertades de los empleados. Es decir, ante un conflicto entre el ejercicio de los derechos del interesado y los derechos de terceros, debe hacerse una ponderación entre tales derechos y libertades.
- Y tercero, añadió que el hecho de que el responsable del tratamiento desarrolle una actividad bancaria en el marco de una actividad regulada, y que los datos personales hayan sido tratados en calidad de cliente y empleado simultáneamente, no debería influir, en principio, en el alcance del derecho de acceso del interesado.
Pues bien, este pronunciamiento supone que todas las personas tienen derecho a conocer la fecha y las razones por las que el responsable del tratamiento ha consultado sus datos. Además, deja la puerta abierta a que, en función del caso y la ponderación de derechos y libertades, también puedan conocer la identidad de aquellas personas que realizaron las consultas. En definitiva, se ha ampliado el derecho de acceso recogido en el artículo 15 del RGPD.
Este nuevo escenario que abre el TJUE para el derecho de acceso puede aplicarse en beneficio de los interesados en diversos contextos. Un ejemplo se puede dar en el ámbito de los consumidores y usuarios clientes de entidades financieras.
Así es muy común que, en estos tiempos de constantes subidas de tipos, entre en discusión por la entidad financiera y sus clientes el tiempo invertido por dichas entidades en el estudio de las operaciones de solvencia. Pues si éste se dilata considerablemente, es muy probable que el tipo inicial ofertado se aumente bajo la justificación de no ser dicha oferta vinculante y en atención a las “nuevas” circunstancias de mercado, con el consiguiente perjuicio para los clientes.
En este tipo de contextos, seguro que le resulta de gran utilidad a los clientes (y también a sus entidades financieras) conocer, previo ejercicio del derecho de acceso, detalles como la fecha y los fines de la consulta de sus datos, para enlazar así dicha información con el porqué de cada paso de estudio de la operación y su demora.
En conclusión, el TJUE ha abierto la veda a un derecho de acceso a los datos personales más amplio, dándole a los interesados la posibilidad de conocer información como las fechas de cuando se realizó el tratamiento, los fines del mismo, e incluso la identidad de quienes trataron los datos previa ponderación de derechos y libertades. Nuevo escenario que puede ser de ayuda en múltiples casos.
[1] Sentencia del Tribunal de Justicia del a Unión Europea (Sala Primera) de 22 de junio de 2023 asunto C-579/21 (Pankki S). Disponible en: