El TJUE efectúa su labor interpretativa a raíz de un litigio surgido en Finlandia en relación con la solicitud dirigida a un banco para que facilitara al afectado la identidad de las personas que habían consultado sus datos, las fechas exactas de las consultas y los fines del tratamiento de sus datos. El banco solo detalló las operaciones de consulta efectuadas por su servicio de auditoría interna, e intentó excusarse alegando un error con un cliente del banco que tenía el mismo apellido que el solicitante a efectos de averiguar si existía una relación de conflicto de intereses indebida, pero se negó a comunicar la identidad de los trabajadores que habían llevado a cabo las operaciones de consulta por considerar que esa información constituía datos personales de esos trabajadores.
Interpreta el art. 15.1 del RGPD (LA LEY 6637/2016) teniendo en cuenta no solo su tenor, sino también su contexto, así como los objetivos y la finalidad que persigue el acto del que forma parte, examinando los conceptos de “datos personales”, “destinatarios” y “tratamiento”.
Para el TJUE, el Reglamento de Protección de Datos Personales impone la obligación de facilitar la información relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, pero este derecho no se extiende a la información relativa a la identidad de los empleados que llevaron a cabo la consulta, - salvo que la información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere el Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados-.
Explica la sentencia que en caso de darse un conflicto entre el ejercicio del derecho de acceso y los derechos o libertades de quienes accedieron, debe intentar resolverse, siempre que sea posible, sin vulnerar estos derechos o esas libertades, y a la vez, intentando que el resultado no sea una negativa a prestar toda la información al interesado.
Y a esta solución no obsta que el responsable del tratamiento desarrolle un negocio bancario en el marco de una actividad reglada, ni que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también, fuera a la vez, empleada del mismo, condiciones que se consideran irrelevante a efectos de la definición del alcance del derecho de acceso.
Se pronuncia también el TJUE sobre el ámbito de aplicación temporal del citado art. 15.1, y lo declara aplicable a una solicitud de acceso a la información relativa a operaciones de tratamiento efectuadas antes de la fecha en que empezó a ser aplicable el Reglamento, pero siempre que la solicitud se presentara después de esa fecha.