La Agencia Española de Protección de Datos (AEPD) ha instado a una empresa para que en el plazo de diez días hábiles de respuesta a un ejercicio de derechos, concretamente al derecho de acceso recogido en el artículo 15 del Reglamento General de Protección de Datos y en el artículo 13 de la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales.
Los hechos se remontan al 4 de junio de 2022, día en el que se admitió a trámite la reclamación presentada por la reclamante, en la cual se expone que la reclamada no ha atendido al ejercicio del derecho de acceso a sus datos de carácter personal en fecha 5 de noviembre de 2021.
En el mencionado acuerdo se concedió a la entidad reclamada trámite de audiencia para que en el en el plazo de quince días hábiles presentase las alegaciones que estimara convenientes. En palabras de la Agencia, “el resultado de dicho traslado no permitió dar por satisfechas las pretensiones de la parte reclamante”.
Con los hechos descritos, en la Resolución PD-00155-2022 dictada por la AEPD, se expone que "la reclamada no atendió debidamente el derecho de acceso al informar sobre la categoría de datos sin concretar específicamente el dato objeto del tratamiento".
La AEPD manifiesta que el derecho de acceso permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la posibilidad de obtener una copia de los mismos, así como información, en particular, sobre los fines del tratamiento, las categorías de datos personales, los destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos, el plazo previsto o criterios de conservación, así como la posibilidad de ejercitar otros derechos (rectificación, supresión, oposición, limitación del tratamiento, portabilidad), además del derecho a presentar una reclamación ante la autoridad de control, el derecho a conocer la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), el derecho a saber si estamos ante decisiones automatizadas, incluida la elaboración de perfiles y la información sobre transferencias de datos personales.
Continúa la AEPD indicando que “la reclamada no da la debida respuesta al derecho de acceso conforme a la normativa en materia de protección, pues se detalla las categorías del registro y no del contenido específico del dato, que datos son objeto del tratamiento, los fines, etc., señalando, de forma genérica, los campos que conforman el fichero: por ejemplo, indican que disponen de nombre y apellidos, el DNI, el teléfono… pero no los reseñan. La respuesta a una solicitud de acceso debe cumplir con la normativa y estar estructurada según lo que dicta el art. 15 RGPD”.
1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:
a) los fines del tratamiento;
b) las categorías de datos personales de que se trate;
c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
f) el derecho a presentar una reclamación ante una autoridad de control;
g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros.
Resuelve la AEPD instando a la empresa para que en el plazo de 10 días hábiles remita a la parte reclamante certificación en la que se atienda correctamente el derecho de acceso solicitado. El incumplimiento de esta resolución podría comportar la comisión de la infracción considerada en el artículo 72.1.m) de la LOPDGDD, que se sancionará, de acuerdo con el art. 58.2 del RGPD.
Esta infracción y su correspondiente sanción se han materializado en otras ocasiones por la no respuesta al ejercicio de derechos de un interesado, tal y como se concluye en la Resolución PS-00420-2022 y en la Resolución PS-00561-2021.
Unive Abogados cuenta con abogados especialistas en Protección de Datos con experiencia tanto en el ámbito público como en el privado, que acompañan al responsable del tratamiento en la adaptación y cumplimiento de la normativa en materia de Protección de Datos, así como en el establecimiento de los procedimientos para dar respuesta al ejercicio de derechos de los interesados, entre otras funciones.