El Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016) descansa en una serie de principios generales de entre los que destaca el de «licitud, lealtad y transparencia».
La licitud y legitimidad de los tratamientos de datos personales responde, con carácter general, a la «necesidad» de los mismos (bien sea para cumplir con las obligaciones que derivan de un contrato con la persona a la que se refieren esos datos —el interesado—, para cumplir obligaciones impuestas por el ordenamiento jurídico, para cumplir una misión de interés público o para salvaguardar los intereses vitales del interesado o de otra persona) y, de forma mucho más excepcional, a la expresión de la libre voluntad del interesado o a la persecución de intereses de terceros (sean la persona o entidad responsable del tratamiento u otra persona o entidad), siempre que esos intereses prevalezcan sobre el derecho a la privacidad de los interesados).
La transparencia para con el interesado se manifiesta en su derecho a conocer cómo se tratan sus datos personales, así como los datos sobre su persona objeto de tratamiento. Ese derecho a saber del interesado se traduce en un deber de informar del responsable, tanto de forma espontánea (típicamente, al tiempo de recabar los datos) como en respuesta a una solicitud del interesado (normalmente, cuando ejercita el así llamado «derecho de acceso» a sus datos).
A la hora de establecer los límites del derecho de acceso, el RGPD es especialmente generoso. El «Considerando 63» se refiere no sólo a la obligación de informar al interesado sobre las categorías de datos objeto de tratamiento, sino que establece la necesidad de facilitarle copia de los datos concretos de que se dispone (se refiere, en concreto y con carácter ilustrativo, este Considerando al derecho de un paciente a acceder a los datos de su historia clínica).
La autoridad de control del Reino Unido, la Information Commissioner Office (ICO), ha publicado recientemente unas directrices acerca del alcance del derecho de acceso de los interesados. En términos generales, la ICO (que ya no forma parte del CEPD pero que sigue siendo un referente a la hora de interpretar el RGPD) señala que los grandes conjuntos de datos, incluidos los que resultan del análisis de otros datos y los volúmenes de datos no estructurados, no constituyen una excepción a la garantía que concede este derecho, por lo que los responsables del tratamiento no pueden ampararse en la dificultad que pueda suponer recopilar estos datos para evitar satisfacer el derecho ejercitado por el interesado.
En particular y a modo de ejemplo, concreta que la información contenida en correos electrónicos constituye una forma de tratamiento automatizado a la que se aplican los principios generales del RGPD y que, en consecuencia, para garantizar el derecho de acceso puede ser necesario revelar parte o la totalidad de esos correos electrónicos, siempre que contengan información relacionada con el interesado.
Aproximadamente entre el 70% y el 90% de información almacenada por las compañías es «dark data», es decir, datos no estructurados y dispersos en sus sistemas
Así pues, el interesado tiene derecho a acceder a todos los datos objeto de tratamiento, con independencia de que dichos datos se usen para una finalidad concreta o, simplemente, estén incorporados a documentos almacenados en los sistemas del responsable. Cabe destacar en este punto que, entre el 70% y el 90% (1) de la información que almacenan las compañías, aproximadamente, es «dark data» es decir, datos no estructurados y dispersos en sus sistemas que no se tratan para ninguna finalidad concreta (por ejemplo, datos personales incluidos en informes, correos electrónicos, documentos o archivos, copias de seguridad, etc.).
En vista de esto, y para impedir situaciones indeseables derivadas del ejercicio de este derecho según se ha configurado, propone la ICO que sean los responsables del tratamiento los que evalúen el esfuerzo que conlleva encontrar y recuperar la información solicitada, sin que sea necesario realizar búsquedas que vayan más allá de lo razonable o que resulten desproporcionadas. También deja al criterio del responsable del tratamiento determinar la conveniencia de proporcionar información que se pueda considerar confidencial o relativa a terceros.
Sin estas limitaciones, sin estas fronteras al derecho de acceso, cuando un usuario ejerciese este derecho frente a un buscador de internet, por ejemplo, éste debería facilitarle cualquier dato personal que se encontrase albergado en sus sistemas en el momento en que se ejerció el derecho. Es decir, tendría que localizar en todas las páginas de internet que existen y que estén indexadas en sus sistemas, qué datos personales hay sobre esa persona y facilitárselos.
No sólo se trata, por tanto, de límites ineludibles, sino de límites que, a nuestro juicio, reflejan una necesidad superior, la de diferenciar entre tratamientos deliberados y tratamientos no deliberados de datos personales.
El artículo 15 del RGPD (LA LEY 6637/2016) señala que [e]l interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información: a) los fines del tratamiento […]. Es decir, deja claro que el interesado debe poder conocer qué datos personales trata el responsable y la finalidad para la que los trata. Sin embargo, ¿realmente pretende otorgar el derecho a acceder al resto de datos que, de forma desestructurada, se albergan en los sistemas del responsable y que trata, por consiguiente, de forma no deliberada? Si tenemos en cuenta que la licitud y legitimidad de los tratamientos depende de su finalidad, cuándo ésta no se pueda determinar, ¿debieran siquiera quedar protegidos esos datos por la normativa de protección de datos? En la misma línea que cuando estamos ante tratamientos no automatizados de datos, objeto de protección sólo si están o está previsto que vayan a ser incorporados a una base de datos estructurada, ¿no debiera ser el hecho de tratar los datos deliberadamente, es decir, para una finalidad concreta, lo que determinase su sujeción a la normativa de protección de datos?
Se debe tener en cuenta, además, que el CEPD ha desarrollado el concepto de dato personal hasta difuminar por completo la línea entre el propio dato y la información que eventualmente se puede obtener del mismo, tratando de regular no sólo lo que existe (el dato) sino también lo que no existe (lo que un individuo puede llegar a saber a partir de ese dato). Así, en sus Directrices 6/2020 (2) sobre la interrelación entre la PSD2 (LA LEY 20018/2015) y el RGPD (LA LEY 6637/2016), llega a manifestar que los datos financieros de los interesados, cuando puedan revelar pertenencia a un sindicato, simpatía con un partido político, necesidades sanitarias, etc. deben considerarse especiales categorías de datos. Una conclusión que, trasladada a otras situaciones, supone aceptar, por ejemplo, que el responsable de un sistema de videovigilancia que capte la imagen de un individuo que padezca una condición física temporalmente incapacitante (por ejemplo, que porte una férula en uno de sus brazos) está tratando un dato de salud del interesado, lo que, a nuestros ojos, hace aún más necesario discernir los tratamientos deliberados de datos personales de los no deliberados.
Otro inconveniente no menor cuando estamos en presencia de datos no estructurados es que, en ocasiones, para poder facilitar el dato personal objeto de tratamiento al interesado que ejerce su derecho de acceso, es preciso facilitarle copia del documento que incorpora dicho dato.
Se cuida mucho el RGPD (en su Considerando 63 (LA LEY 6637/2016)) de no establecer expresamente la obligación de dar acceso a los documentos que incorporan los datos y se refiere siempre a los datos incluidos en los mismos. Sin embargo, cuando estemos ante un documento sonoro o de vídeo, por ejemplo ¿cómo extractar los datos? ¿Cómo extraerlos de los documentos a los que se han fijado? ¿Bastaría con facilitar un frame del vídeo o un segundo de la grabación de que se trate? Si atendemos a la necesidad de facilitar copia de los datos no estructurados, la respuesta debiera ser negativa. Aunque el dato principal y estructurado objeto de tratamiento en un documento de vídeo es la imagen del interesado, dado que su imagen revela otro tipo de información personal, si atendemos a la interpretación del derecho de acceso generalmente aceptada y que propone el ICO, el interesado debiera poder acceder a la totalidad de la grabación. Lo mismo sucede con las grabaciones de audio.
A la vista de que la información inferida de los datos es determinante a efectos de determinar su naturaleza (según el CEPD), esto mismo podría llegar a ser predicable de los documentos de texto, en la medida en que sólo si se conoce el contexto en que se emplean los datos podrá el interesado conocer si se deben considerar especiales categorías de datos o no y, por ende, si el tratamiento que está llevando a cabo el responsable es conforme a derecho.
De este modo, no sólo es que el responsable deberá revisar cada documento y extractar los datos del interesado, sino que, en algunos casos, deberá desvelar al interesado el propio documento o documentos que incorporen esos datos, algo que puede resultar inconveniente, si bien, siguiendo el criterio de la ICO, podría llegar a avalar la decisión del responsable de no facilitar tal información al interesado.
El responsable del tratamiento deberá, por tanto, analizar cada solicitud de forma individualizada y determinar el alcance de la información a facilitar al interesado a la hora de responder a un derecho de acceso, prestando especial atención a los datos no estructurados y objeto de tratamiento no deliberado. Sólo de este modo será capaz de proteger sus legítimos intereses y, al mismo tiempo, responder en tiempo y forma a las solicitudes de acceso de los interesados.