En concreto se trata de un caso en el que el interesado, como parte de su solicitud, requería ser informado sobre las medidas de seguridad aplicadas a la información por parte de la empresa reclamada, así como sobre si en los últimos tiempos había tenido lugar alguna brecha de seguridad afectando a datos personales.
Ante esta solicitud, el responsable del tratamiento se negó a informar al solicitante sobre estos dos extremos, confirmando la autoridad de protección de datos belga que actuó de forma correcta, ya que el derecho de acceso regulado en los artículos 13 y 15 del RGPD no incluyen esta información.
Cabe tener en cuenta que, a pesar de la necesidad de que se cumpla la normativa y se garantice la efectiva aplicación de los derechos de protección de datos, se trata de facultades que deben encontrar límites coherentes. En otras palabras, no se trata de derechos ilimitados sino que, en determinadas ocasiones, no es posible su atención pues el perjuicio que se causa con ello es superior al beneficio obtenido.
¿Es una buena idea informar a cualquiera que lo solicite sobre las medidas de seguridad aplicadas en una empresa? ¿Puede ser esto un riesgo para potenciales atacantes, ya que estaría dando pistas sobre cómo burlar esa seguridad precisamente? En esta línea se ha pronunciado la autoridad belga, criterio a tener en cuenta por parte de los responsables del tratamiento que reciben estas solicitudes.