Carpeta de justicia

LawAndTrends



Miguel Recio

El Tribunal de Justicia de la Unión Europea (“TJUE”), en su sentencia de 22 de junio de 2023, responde a una cuestión prejudicial planteada por el Tribunal de lo Contencioso-Administrativo de Finlandia Oriental e interpreta el artículo 15 del Reglamento General de Protección de Datos (“RGPD”). El TJUE concluye, entre otras cuestiones, que las fechas y los fines de las operaciones de consulta sobre los datos de una persona es información que el interesado tiene derecho a obtener del responsable del tratamiento.

El TJUE se ha pronunciado mediante su sentencia de 22 de junio de 2023 (caso C-579/21) y ha respondido a la cuestión prejudicial planteada por el Tribunal de lo Contencioso-Administrativo de Finlandia Oriental sobre la interpretación del artículo 15 del Reglamento General de Protección de Datos (“RGPD”). En este caso los hechos que dieron lugar a la cuestión prejudicial son la reclamación interpuesta ante la Oficina del Supervisor de Protección de Datos de Finlandia contra la denegación de facilitar al interesado la información relativa a quién había consultado sus datos personales, las fechas exactas de las consultas y los fines de dichas consultas.

El reclamante, empleado y también cliente de un banco, tuvo conocimiento de que sus datos personales habían sido consultados varias veces por otros empleados del banco a finales de 2013. El 29 de mayo de 2018 (fecha relevante por lo que veremos después) el empleado se dirigió al banco para solicitar, en virtud del derecho de acceso, que se le comunicase la información ya mencionada. Ante la negativa del banco a facilitar esta información, el interesado interpuso una reclamación ante la autoridad finlandesa de protección de datos, que fue también denegada. Y contra esta última interpuso un recurso contencioso-administrativo que fue el que motivó la consulta previa al TJUE.

Cabe destacar que el banco se negó a facilitar al reclamante la información relativa a la identidad de quienes habían consultado sus datos personales, por ser datos personales relativos a terceros. Conforme al apartado 4 del artículo 15 del RGPD, un límite al derecho de acceso cuando se trata de obtener una copia de los datos personales es que este “no afectará negativamente a los derechos y libertades de otros”.

En su sentencia, el TJUE se refiere en primer lugar a la aplicación temporal del RGPD. En concreto, el RGPD es aplicable a las solicitudes de ejercicio de derechos en protección de datos relativas a operaciones de tratamiento de los datos previas a la fecha de aplicación del RGPD, que fue el 25 de mayo de 2018 -y que había entrado en vigor el 24 de mayo de 2016-). En este caso, la solicitud de ejercicio del derecho de acceso al banco tenía fecha 29 de mayo de 2018, por lo que queda sujeta a lo dispuesto en el RGPD, aunque el tratamiento de datos personales por el que se pregunta se hubiera llevado a cabo años antes de la aplicación del RGPD, en 2013.

A continuación, el TJUE se centra en la interpretación del artículo 15 del RGPD sobre el derecho de acceso. El TJUE indica que la información relativa a operaciones de consulta de datos personales de una persona, a las fechas y a las finalidades de dichas operaciones, son datos personales en el sentido del RGPD y, por tanto, puede ser obtenida por el interesado en el ejercicio de su derecho de acceso. También que esta información permitiría al interesado obtener confirmación sobre el tratamiento de sus datos personales por el responsable y comprobar su licitud. Y, finalmente, el TJUE señala que, a efectos del alcance del derecho de acceso, los empleados de la organización del responsable del tratamiento no pueden ser considerados como destinatarios y que su identidad no puede ser facilitada al reclamante, salvo que dicha información fuera indispensable para que el interesado pueda ejercer sus derechos previstos en el RGPD y siempre que se hayan tenido en cuenta los derechos y libertades de estos empleados.

Esta conclusión plantea la necesidad de que los responsables del tratamiento adopten medidas para permitir un ejercicio efectivo del derecho de acceso por los interesados, debiendo tener en cuenta la sentencia previa del TJUE, también sobre la obtención de una copia de los datos personales, en el caso C-487/21, de 4 de mayo de 2023. En esta sentencia el TJUE concluía que el artículo 15, apartado 3, primera frase del RGPD debe interpretarse en el sentido de que el derecho de acceso “incluye el de obtener copia de extractos de documentos, o incluso de documentos enteros, o de extractos de bases de datos, que contengan, entre otros, dichos datos, si la entrega de tal copia es indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere” el RGPD




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad