guiasjuridicas.es - Documento
El documento tardará unos segundos en cargarse. Espere, por favor.
Derecho de acceso (Protección de Datos)

Derecho de acceso (Protección de Datos)

En virtud del derecho de acceso, el interesado tiene derecho, por una parte, a acceder a los datos personales relativos al mismo que trata el responsable del tratamiento y, por otra parte, a determinada información sobre cómo se tratan sus datos personales. Al igual que los demás derechos en protección de datos, se trata de un derecho sujeto a limitaciones o restricciones.

Protección de datos

¿Qué es el derecho de acceso a los datos personales?

El derecho de acceso es, junto al derecho de rectificación, uno de los derechos mencionados expresamente en el apartado 2 del artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, cuando indica que toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación. Esto significa que el derecho de acceso es esencial. Y lo es porque el interesado, la persona física cuyos datos personales sean objeto de tratamiento, debe poder saber si una organización, sea pública o privada, trata sus datos personales como responsable del tratamiento para poder controlar que se tratan de manera adecuada en virtud de la normativa aplicable y, en su caso, poder ejercer también otros derechos en protección de datos.

Es un derecho independiente, lo que significa que no es requisito para el ejercicio de otros derechos en protección de datos personales.

En relación con este derecho, el Considerando 63 del Reglamento (UE) 2016/679, de 27 de abril de 2016 (en adelante, RGPD) indica que los interesados deben tener derecho a acceder a los datos personales que le conciernan, es decir, los datos personales referidos o relativos a los interesados, con la finalidad de poder conocer y verificar la licitud del tratamiento. El derecho de acceso se recoge también en el artículo 13 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).

Se trata de un derecho muy amplio, ya que como indica el Considerando del RGPD mencionado, incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicada. Al respecto, debe recordarse que los conceptos de datos personales y de tratamiento son muy amplios, de manera que, salvo excepciones o restricciones, cabrá el acceso a todos los datos que, sobre el interesado, trate el responsable del tratamiento.

En definitiva, el derecho de acceso permite al interesado saber si alguien trata sus datos personales, para qué fines y cómo los trata, de manera que, en su caso, podría ejercer además otros derechos en materia de protección de datos personales al saber que el responsable los trata. No obstante, es, como los demás, un derecho independiente de manera que no es ni requisito previo ni necesario ejercerlo junto con otros derechos.

¿A qué información se refiere el derecho de acceso?

El derecho de acceso se concreta en que el interesado deba tener derecho, por una parte, a saber si el responsable de tratamiento trata sus datos personales y, por otra parte, como explica Considerando 63 del RGPD, a conocer y a que se le comuniquen, en particular, los fines para los que se tratan los datos personales, su plazo de tratamiento, sus destinatarios, la lógica implícita en todo tratamiento automático de datos personales y, por lo menos cuando se base en la elaboración de perfiles, las consecuencias de dicho tratamiento.

En este sentido, el apartado 1 del artículo 15 del RGPD, relativo al derecho de acceso, prevé que el interesado tiene derecho a obtener del responsable del tratamiento, en primer lugar, confirmación de si se están tratando o no datos personales que le conciernen, y, en segundo lugar, cuando sí se tratan los datos personales, información relativa a:

  • a) Los fines del tratamiento;
  • b) Las categorías de datos personales de que se trate;
  • c) Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
  • d) De ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
  • e) La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
  • f) El derecho a presentar una reclamación ante una autoridad de protección de datos;
  • g) Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
  • h) La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4 del RGPD, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Además, cuando los datos personales se transfieran a un tercer país u organización internacional, el interesado tiene también derecho a ser informado sobre cuáles son las garantías adecuadas que aplica el responsable del tratamiento para llevarla a cabo.

La información sobre la transferencia internacional de datos está prevista también entre los requisitos de información que tendrá que proporcionar el responsable del tratamiento tanto cuando obtiene los datos personales del interesado (artículo 13 del RGPD) como si no se han obtenido del interesado (artículo 14 del RGPD).

¿Cómo se lleva a cabo el acceso?

El acceso a los datos personales dependerá de las circunstancias del caso concreto. Este puede llevarse a cabo a través de diferentes medios, si bien el RGPD se refiere específicamente al uso de medios electrónicos, debiendo adoptar el responsable medidas para que sea un acceso seguro de manera que, entre otros, se eviten riesgos de acceso no autorizado por terceros, y a que se trata de proporcionar al interesado una copia de sus datos personales. Al respecto, el artículo 13 de la LOPDGDD indica que el responsable del tratamiento está obligado a informar al interesado sobre los medios disponibles, que deberán ser fácilmente accesibles para este, sin que pueda denegarse el ejercicio del derecho por el solo hecho de que el interesado opte por otro medio.

Como indica la LOPDGDD, la solicitud de acceso podrá realizarse por el propio interesado o a través de un representante legal o voluntario y, en el caso de menores de catorce años, podrá ejercerse por quienes tengan su patria potestad. En respuesta a la solicitud de acceso a los datos personales, el responsable del tratamiento tiene que proporcionar una copia de los datos personales objeto del tratamiento (el apartado 3 del artículo 15 del RGPD). Y añade una previsión relevante, que es la relativa a que, si el interesado presenta la solicitud por medios electrónicos, y salvo que solicitase que sus datos personales le fueran facilitados por otro medio distinto, el responsable del tratamiento le facilitará la información en un formato electrónico de uso común. Es necesario tener en consideración que no se trata en este caso de la portabilidad de los datos personales, sino de que el interesado pueda tener acceso a sus datos personales.

¿Cuáles son los requisitos generales del procedimiento a aplicar?

La gestión de la solicitud del ejercicio del derecho de acceso implica que el responsable del tratamiento tenga que considerar las cuestiones que se indican a continuación.

En cuanto a la identificación de la persona física que solicita el ejercicio del derecho correspondiente, si bien el responsable del tratamiento no está obligado a obtener o tratar información adicional para identificar al interesado (artículo 11.1 del RGPD), el interesado podrá facilitar información adicional que permita su identificación (art. 11.2 del RGPD), sin que el responsable se pueda negar a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no puede identificar al interesado.

El Considerando 63 explica que si el derecho de acceso tiene por objeto una gran cantidad de información, en este caso el responsable del tratamiento debe estar facultado para solicitar que, antes de facilitarse la información, el interesado especifique la información o actividades de tratamiento a que se refiere la solicitud. Se trata de una cuestión de proporcionalidad, y sobre esta, la LOPDGDD indica que si el interesado no especifica si su solicitud no se refiere a todos o a una parte de los datos, el responsable podrá solicitarle que especifique los datos o actividades a los que se refiere.

Si bien en el RGPD se prevé que el ejercicio de los derechos es gratuito para el interesado, el artículo 15 RGPD especifica que el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Se trata de que en aquellos casos en los que acceso pueda ocasionar un coste al responsable del tratamiento, al que habría que atender caso por caso, como por ejemplo cuando se trata de un gran volumen de datos personales o de solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, como se indica en el apartado 5 del artículo 12 del RGPD, se pueda cobrar un canon razonable en virtud de los costes administrativos soportados o bien negarse a dar curso a la solicitud, debiendo tener en consideración lo ya indicado al respecto.

En concreto, el artículo 13 de la LOPDGDD indica que se podrá considerar repetitivo cuando se ejerza este derecho en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello. Y también se considerará como excesiva la solicitud cuando el interesado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, de manera que el interesado tendrá que pagar el exceso de coste, sin perjuicio de que el acceso tenga que atenderse sin dilaciones indebidas.

El responsable del tratamiento tiene obligación de dar respuesta a toda solicitud sobre el ejercicio de derechos en el plazo máximo de un mes desde su recepción, salvo que, dada la complejidad o el número de solicitudes, no pueda atenderse, en cuyo caso se podrá prorrogar hasta dos meses. En dicho caso, el responsable, en el plazo de un mes desde que reciba la solicitud, y sin dilación indebida, tendrá que informar al interesado de dicha circunstancia e indicar las razones de la dilación.

Si no se da curso a la solicitud del interesado, el responsable tendrá que informar sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales (artículo 12.4 del RGPD).

Las comunicaciones con el interesado sobre las solicitudes de ejercicio de derechos tienen que hacerse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño (artículo 12.1 del RGPD). Y si la solicitud se presenta por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo (artículo 12.3 del RGPD).

¿Cuáles son los límites o restricciones al acceso?

El derecho de acceso está sujeto a limitaciones o restricciones.

En primer lugar, como explica el Considerando 63 e indica el artículo 15 del RGPD, el derecho de acceso del interesado no afectará negativamente a los derechos y libertades de otros. Y al respecto, debe entenderse tanto los derechos y libertades de otras personas, por ejemplo si el acceso implicase que se accediera también a datos personales de otras personas, como que, según explica el Considerando 63 del RGPD, se trate de los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos. Y concreta el Considerando que proteger los derechos y libertades de otros no deben tener como resultado la negativa a prestar toda la información al interesado.

Y, en segundo lugar, se deben tener también en consideración los límites o restricciones previstos, en el artículo 23 RGPD, para los derechos en virtud del Derecho de la Unión Europea o nacional siempre que tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar bienes jurídicos tales como la seguridad pública o la prevención, la investigación, la detección y el enjuiciamiento de infracciones de normas deontológicas en las profesiones regulada.

¿Cuál sería la sanción aplicable si no se atiende al derecho de acceso?

Incumplir con el derecho de acceso de los datos podría suponer la comisión de una infracción (art. 83.5.b del RGPD) que podría ser sancionada, cuando se trate de empresas, con multa administrativa de veinte millones de euros (20.000.000 €) o una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. En concreto, el artículo 72.1.j) de la LOPDGDD prevé como infracción muy grave la exigencia del pago de un canon para facilitar la información sobre el tratamiento de sus datos personales, de manera que sería sancionable, como mínimo, con trescientos mil euros (300.000 €), prescribiendo la infracción a los tres años

Sin perjuicio de lo anterior, es necesario recordar que las autoridades de protección de datos tienen también poderes correctivos que, en relación con los derechos, como el de acceso, implican que puedan ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado (artículo 58.2.c del RGPD).

En el caso de las Administraciones Públicas, en España, este incumplimiento podría dar lugar a una resolución de la autoridad de protección de datos que declare la infracción, salvo por lo que se refiere a los tribunales en el ejercicio de su función judicial.

Recuerde que…

  • En virtud del derecho de acceso, el interesado podrá obtener del responsable confirmación de si tratan o no sus datos personales.
  • Además, si se tratan datos personales, podrá obtener la información relativa al tratamiento de los mismos.
  • Podrá acceder a los datos personales que son tratados por el responsable del tratamiento.
  • El responsable del tratamiento tendrá que proporcionarle una copia de los datos en un formato electrónico de uso común.
  • El incumplimiento por el responsable del tratamiento puede conllevar la imposición de una multa administrativa.
Subir