El Tribunal de Justicia ha dictado una sentencia, de fecha 22 de junio de 2023, Asunto C-579/21, donde interpreta el Reglamento 2016/679 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y sobre la libre circulación de dichos datos (RGPD)
La solicitud de petición prejudicial se solicito en el contexto de un procedimiento iniciado por un ciudadano sobre la negativa de una institución bancaria a que le proporcionara cierta información sobre sus datos personales.
Antecedentes
A lo largo de 2014, un empleado y, a la vez, cliente de Pankki S, tuvo conocimiento de que sus datos personales habían sido consultados, en varias ocasiones, por otros miembros del personal del banco entre el 1 de noviembre y el 31 de diciembre de 2013. Al albergar dudas sobre la licitud de esas consultas, ese empleado, entretanto despedido de su puesto en Pankki S, solicitó a este, el 29 de mayo de 2018, que le comunicara la identidad de las personas que habían consultado sus datos, las fechas exactas de las consultas y los fines del tratamiento de dichos datos.
En su respuesta de 30 de agosto de 2018, Pankki S se negó a comunicar la identidad de los trabajadores que habían llevado a cabo las operaciones de consulta, por considerar que esa información constituía datos personales de esos trabajadores. En cambio, Pankki S detalló las operaciones de consulta efectuadas por su servicio de auditoría interna, indicando que un cliente del banco del que el solicitante era asesor era acreedor de una persona que tenía el mismo apellido que el solicitante. El banco quiso, por tanto, aclarar si el solicitante y el deudor en cuestión eran la misma persona, y si podía haber existido una relación de conflicto de intereses indebida. Pankki S añadió que la respuesta a esa cuestión exigió el tratamiento de los datos de que se trataba, precisando que cada miembro del personal del banco que había tratado esos datos había presentado al servicio de auditoría interna una declaración sobre los motivos del tratamiento de datos. Además, el banco declaró que esas consultas habían permitido descartar cualquier sospecha de conflicto de intereses con respecto al solicitante.
El solicitante acudió a la Oficina del Supervisor de Protección de Datos de Finlandia para que se ordenara a Pankki S que le transmitiera la información solicitada. Al ser denegada esa solicitud, el solicitante interpuso un recurso ante el Tribunal de lo Contencioso-Administrativo de Finlandia Oriental, el cual solicita al Tribunal de Justicia que interprete el artículo 15 del Reglamento general de protección de datos (RGPD) (LA LEY 6637/2016).
Apreciación del Tribunal de Justicia
En su sentencia, el Tribunal de Justicia observa, de entrada, que el RGPD, aplicable desde el 25 de mayo de 2018, se aplica a una solicitud presentada después de esa fecha cuando esa solicitud se refiere a operaciones de tratamiento de datos personales efectuadas antes de la fecha en que empezó a ser aplicable el RGPD.
A continuación, el Tribunal de Justicia declara que el RGPD debe interpretarse en el sentido de que la información
relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento. En cambio, el RGPD no consagra ese derecho en lo que respecta a la información relativa a la identidad de los empleados que llevaron a cabo esas operaciones de conformidad con las instrucciones del responsable del tratamiento, a menos que esa información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados. En efecto, en caso de conflicto entre, por un lado, el ejercicio del derecho de acceso que garantice la eficacia de los derechos reconocidos por el RGPD al interesado y, por otro, los derechos o libertades de otros, debe hacerse una ponderación entre los derechos y libertades en cuestión. Siempre que sea posible, ha de optarse por modalidades que no vulneren esos derechos o esas libertades.
Por último, el Tribunal de Justicia declara que el hecho de que el responsable del tratamiento desarrolle una actividad bancaria en el marco de una actividad reglada, y de que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también fuera empleada de ese responsable no influye, en principio, en el alcance del derecho del que goza esa persona.