Volver

¿El derecho de acceso faculta para conocer la identidad concreta de todos los destinatarios de los datos personales?

Publicaciones
16-jun-22

El Reglamento General de Protección de Datos (en adelante, RGPD) incluye un catálogo de derechos de protección de datos que, en principio, pueden parecer derechos de contenido sencillo. Pero, como ocurre en todas las regulaciones y, sobre todo, en las regulaciones de materias que no se encuadran dentro de lo que podemos llamar derecho tradicional (como el derecho de protección de datos), esto no resulta ser así, y la interpretación de las disposiciones se convierte en una herramienta fundamental para su correcta aplicación.

Esto es lo que ha ocurrido recientemente con uno de estos derechos de protección de datos: el derecho de acceso.

En líneas generales, el derecho de acceso, regulado en el artículo 15 del RGPD, es el que permite a los interesados solicitar del responsable del tratamiento información sobre si este está llevando a cabo un tratamiento de sus datos personales o no y, en el caso afirmativo, el derecho a conocer determinados aspectos relacionados con el mismo

El caso que se analiza en este artículo versa sobre uno de estos aspectos que incluye dicho derecho: el derecho del interesado solicitante de conocer a qué terceros el responsable del tratamiento está comunicando sus datos personales (artículo 15.1.c) RGPD).

La problemática surge a partir de la redacción del propio artículo 15.1.c), que establece que, entre otros aspectos, el ejercitante del derecho de acceso tendrá derecho a conocer “los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales”. Y es que el tenor literal de este artículo no permite establecer cuándo se debe informar de las “categorías de destinatarios” y cuándo se debe informar de la concreta identidad de los destinatarios, pues ambos términos son utilizados de forma equivalente entre sí.

En este contexto, el Tribunal Supremo de lo Civil y Penal de Austria planteó una cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea (TJUE), en la que formulaba la siguiente pregunta:

“¿Debe interpretarse el artículo 15, apartado 1, letra c), del RGPD en el sentido de que, en el caso de comunicaciones previstas respecto a las que aún no se hayan determinado los destinatarios concretos, el derecho de acceso se limita a la información sobre las categorías de destinatarios, mientras que, en el caso de que los datos ya hayan sido comunicados, el derecho de acceso debe extenderse necesariamente también a la información sobre los destinatarios de esas comunicaciones?”

Como puede observarse, el órgano judicial austriaco diferencia dos situaciones:

  1. Cuando se trata de comunicaciones ya efectuadas.
  2. Cuando se trata de comunicaciones futuras y los destinatarios de las mismas aún no han sido determinados.

Cuando se trata de comunicaciones ya efectuadas

Los órganos jurisdiccionales de primera instancia y de apelación austriacos consideraron que la decisión sobre si la respuesta a un derecho de acceso especifica o no la identidad concreta de los destinatarios de los datos corresponde al responsable del tratamiento, y no al interesado solicitante de la información.

Así, en un principio, se consideró aceptable que se informara de estos destinatarios mediante referencias genéricas como “clientes profesionales” que, en el caso concreto, comprendía empresas que podían ir desde proveedores de actividad publicitaria de venta a distancia o tradicional, como empresas del sector de las TIC, editoriales de guías telefónicas, o incluso organizaciones benéficas y partidos políticos.

Ante esta consideración, el Abogado General del TJUE en este caso (C-154/21), Giovanni Pitruzzella, empieza a dar su punto de vista haciendo referencia a las líneas básicas que toda actividad interpretativa debe seguir y, en este sentido, habla de la necesidad de que toda disposición del Derecho de la Unión tenga en cuenta no solo su tenor literal, “sino también el contexto en el que se inscribe y los objetivos perseguidos por la norma de la que forma parte”, para garantizar su eficacia. En el caso concreto del derecho de acceso, no solo hay que examinar el cuerpo total del RGPD y su espíritu, sino también el hecho de que el mencionado derecho sea una materialización del derecho de toda persona a acceder a los datos que le conciernan (artículo 8.2 Carta de los Derechos Fundamentales de la Unión Europea).

Volviendo en concreto a la interpretación el artículo 15.1.c) RGPD, el Abogado General entiende, al contrario que los órganos nacionales de primera instancia, que la decisión del alcance de la información corresponde al interesado y no al responsable del tratamiento. En otras palabras, no puede decidir el responsable del tratamiento no informar sobre la identidad concreta de los destinatarios cuando es solicitado por el interesado.

A esta conclusión llega a partir del análisis del contexto y, sobre todo, de la finalidad, objetivos y estructura general del RGPD, empezando por el contenido del considerando 63 del mismo texto que establece expresamente que “los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento”.

Expresamente de este precepto se extrae que uno de los objetivos del ejercicio de acceso previsto en el artículo 15 debe ser el hecho de tener la posibilidad de verificar la licitud del tratamiento por parte del responsable, incluyendo la posibilidad de verificar que los datos se hayan comunicado a los “destinatarios autorizados, en aplicación de la normativa.

Por este motivo Pitruzzella entiende que la limitación del derecho de acceso al conocimiento únicamente de las categorías de destinatarios imposibilitaría esta posibilidad de verificación de la licitud de las comunicaciones de los datos ya efectuadas.

Finalmente, otro motivo que reafirma su posición lo encuentra Pitruzzella en el artículo 19 RGPD que impone a los responsables del tratamiento la obligación de comunicar a los destinatarios de datos personales del ejercicio de derechos de rectificación, supresión o limitación sobre los datos personales a los que hayan accedido por cuenta del primero. El objetivo de esta obligación es eximir a los interesados de que tengan que ser ellos los que ejerciten los derechos ante cada actor que haya podido acceder a sus datos personales, lo cual constituiría una práctica casi imposible de llevar a cabo y, en todo caso, desproporcionada desde el punto de vista de los interesados. 

Sin embargo, una vez el responsable del tratamiento haya comunicado a los terceros el ejercicio de los derechos, el interesado debe tener la posibilidad de verificar que esto se ha llevado a cabo, ante cualquier tercero que en su momento hubiera tenido acceso a sus datos. Para ello, es necesario que el interesado pueda conocer la identidad concreta de los destinatarios.

Cuando se trata de comunicaciones todavía no efectuadas y los destinatarios aún no han sido determinados

En este caso, el Abogado General del TJUE es claro y evita, a diferencia del caso anterior, extenderse en sus explicaciones.

Tras el análisis anterior del que concluye la obligación de informar de la identidad concreta de los destinatarios que ya han recibido los datos, Pitruzzella establece dos excepciones:

  1. Cuando la solicitud del interesado opere contra los principios de equidad y proporcionalidad, es decir, cuando calificarse como “manifiestamente infundada o excesiva”, basándose, entre otras, en la sentencia de 16 de julio de 2020, Facebook Ireland y Schrems (C-311/18, EU:C:2020:559), apartado 172, en la que se establece que el derecho del artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea no es absoluto, sino que debe considerarse (y modularse) en función de las circunstancias sociales.
  2. Cuando sea materialmente imposible informar de la identidad de los destinatarios de los datos. Y, a continuación, pone el ejemplo en el caso de que las comunicaciones todavía no se hayan efectuado y los destinatarios “aún no hayan sido efectivamente identificados”. En este caso, valdría con informar únicamente sobre las categorías de posibles destinatarios de los datos.

Conclusión

Del análisis de la sentencia, se puede llegar a las siguientes conclusiones:

  • En el caso de que un interesado ejercite el derecho de acceso, el responsable del tratamiento deberá darle la posibilidad de conocer la identidad concreta de los destinatarios de los datos (siempre que ya se hayan producido las correspondientes comunicaciones).
  • En el caso de que un interesado solicite expresamente conocer esta identidad concreta, habiéndose producido las comunicaciones, el responsable del tratamiento no podrá negarse a proporcionar la información, salvo que se trate de una solicitud infundada o excesiva, atendiendo a las circunstancias del caso.
  • En el caso de que se pretenda comunicar los datos, pero todavía no se haya hecho efectivo, únicamente el interesado tendrá derecho a saber, de forma general, a qué tipo de destinatarios se quiere comunicar los datos.

Sara Hervías Costa, Privacy Counsel, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
18-04-24
Generative AI Copyright Disclosure Act: nueva propuesta normativa sobre IA y propiedad intelectual en EE. UU.
This is some text inside of a div block.
Leer más
18-04-24
La OTAN elige al Instituto Nacional de Ciberseguridad de España para formar startups de ciberseguridad
This is some text inside of a div block.
Leer más
18-04-24
Demanda contra Shein por presuntas infracciones de copyright, data scraping y uso infractor de inteligencia artificial
This is some text inside of a div block.
Leer más