El derecho de acceso es una de las garantías que recoge el Reglamento General de Protección de Datos (RGPD) para que los ciudadanos puedan conocer cuál es la información de carácter personal sobre ellos mismos que pueden estar manejando las empresas u otro tipo de organizaciones. Sin embargo, hay algunos puntos de mejora para su ejercicio efectivo. Así lo destaca el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) en un informe en el que identifica siete retos a los que los responsables del tratamiento deberían dar respuesta.
El informe “Implementarion of the right of access by controllers reports” resume el resultado de una serie de actuaciones coordinadas en el ámbito nacional que impulsó en 2024 el Marco de Aplicación Coordinada (CEF). Además de enumerar los problemas o retos observados en la ejecución del derecho de acceso, incluye una serie de recomendaciones para ayudar a los responsables del tratamiento a cumplir con eficacia en la implementación de este derecho.
En general, algunos de los desafíos que se han detectado tienen relación con el temor a que la responsabilidad legal que tendrían que asumir los propios responsables del tratamiento ante determinados errores o accesos. Por este motivo, en numerosas ocasiones exigen requisitos adicionales para su cumplimiento; o bien, actúan bajo la presión de un cierto sentido de protección hacia la empresa u organización para la que trabajan, por lo que establecen límites excesivos para evitar riesgos. Asimismo, se ha detectado que, cuando hay numerosas solicitudes de acceso, suelen poner trabas porque su gestión puede resultar costosa o exigirles un tiempo mayor de dedicación.
Siete desafíos en el derecho de acceso
Estas son las siete áreas en las que se pueden registrar mejoras en el derecho de acceso y que son un reto para los responsables del tratamiento de datos personales:
1. Falta de concienciación.
Esto afecta especialmente al alcance de los datos personales a los que debe facilitarse acceso, ya que suele aplicarse un enfoque demasiado restrictivo. Algunos responsables del tratamiento solo buscan en las bases de datos internas más utilizadas sin comprobar si hay datos personales adicionales relativos al solicitante. En algunos casos, se excluyen ficheros, formatos o datos, (como ficheros no textuales, metadatos o datos de copia de seguridad) o no incluye los datos seudonimizados o los datos de tráfico ni las comunicaciones internas sobre los interesados. De este modo, no hay garantías de que los datos a los que se da acceso correspondan lo más fielmente posible a lo que hay en el momento de la solicitud.
Si hay varias solicitudes seguidas, es habitual que solo se informe al interesado de los cambios que se han producido desde su última solicitud y hay algunos incumplimientos en la obligación de facilitar una copia de los datos personales objeto de tratamiento, que suelen darse de forma incompleta. Los responsables del tratamiento no pueden limitar sus respuestas a los datos que consideren "pertinentes" o "importantes" para el interesado, o que puedan compilarse fácilmente para una respuesta; tienen que facilitar que el interesado conozca y compruebe la licitud del tratamiento. Solo él puede limitar el alcance de la solicitud de acceso y tiene que poder verificar la exactitud y exhaustividad de los datos.
2. Períodos de conservación indefinidos
El informe también destaca que los periodos de conservación son indefinidos, excesivos o incoherentes en relación con las solicitudes de acceso, en algunos casos se almacenan indefinidamente las solicitudes de acceso y las comunicaciones relacionadas, incumpliendo los principios de minimización de datos y limitación del almacenamiento; otros la conservan junto con otra información sobre el interesado o aplican períodos de conservación que rigen para otro tipo de documentación, principalmente debido a diferentes interpretaciones de la legislación nacional o a disposiciones potencialmente poco claras. A veces ni siquiera plantean un razonamiento o fundamento jurídico para explicar esta disparidad y otros aplican los periodos de prescripción para defenderse ante posibles reclamaciones judiciales. La conclusión es que hay diferencias extremas en los periodos de conservación en un mismo Estado.
Esto se puede explicar porque el RGPD no estipula períodos de conservación específicos y los responsables del tratamiento se enfrentan a una tensión entre el cumplimiento de la obligación de suprimir los datos personales contenidos en la comunicación de solicitud de acceso y la necesidad de demostrar el cumplimiento de las solicitudes de acceso, por ejemplo, en una auditoría o en un litigio. No obstante, según el reglamento, se deben garantizar unos periodos de conservación adecuados y toda conservación debe ser objetivamente justificable.
3. Falta de procedimientos internos documentados
Aunque no es un requisito legal que los responsables del tratamiento dispongan de un documento de procedimiento en el que se detalle cómo responder a las solicitudes de acceso, la falta de una guía formal puede incrementar el riesgo de que se vulneren los derechos de los interesados, algo que es más común en las organizaciones de menor tamaño, donde los recursos son menores y donde se producen dificultades incluso para reconocer las solicitudes de acceso y diferenciarlas de otro tipo de peticiones, sobre todo, si se ha presentado en otros canales. A veces, no se da acuse de recibo.
Sin embargo, los responsables del tratamiento deben estar preparados para recibir, tramitar y dar una respuesta adecuada a estas solicitudes sin demoras indebidas. Aunque el RGPD no especifica cómo se deben preparar, las directrices señalan que los recursos deben ser adecuados y proporcionados para que el responsable del tratamiento cumpla sus obligaciones. Disponer de procedimientos internos documentados puede ayudar al responsable del tratamiento a demostrar que cumple con la legalidad vigente.
Asimismo, los responsables del tratamiento deben realizar todos los esfuerzos razonables para facilitar el ejercicio del derecho de acceso.
4. Obstáculos a la facilitación del derecho de acceso
Hay varias prácticas que obstaculizan este derecho, por ejemplo, la exigencia de que se utilice un mecanismo específico, como un formulario web o que se plantee por escrito. También afrontan dificultades para confirmar la identidad de los interesados cuando se recibe una solicitud de acceso, por lo que solicitan más información, pero deben estar preparados para recibir y tramitar una solicitud de acceso independientemente del medio por el que se reciba. No existe una forma correcta o estándar de ejercer el derecho de acceso, y no debe existir ningún obstáculo que impida o dificulte a un interesado el ejercicio de sus derechos.
En relación con la autenticación del solicitante, el 70% de los responsables del tratamiento participantes no respondían verbalmente a una solicitud de acceso debido a la falta de autenticación del interesado. Sin embargo, el 30% de los responsables del tratamiento que respondieron sí ofrecieron una respuesta verbal a una solicitud de acceso cuando el interesado facilitó varios identificadores, como un número de cliente o de DNI o cuando se trata de personas vulnerables, como ancianos, personas con discapacidad visual o personas con discapacidad cognitiva o de otro tipo.
Algunos responsables del tratamiento realizaban una solicitud genérica de información adicional para confirmar la identidad del interesado. Aunque deben solicitar una forma de identificación o información adicional, debe ser proporcionada al tipo de datos tratados y el responsable debe poder demostrar la duda razonable si se le solicita. La solicitud indiscriminada de un documento de identificación puede constituir un tratamiento excesivo de datos personales y crear un obstáculo innecesario.
5. Excesos en los límites del derecho de acceso
Se detectaron también varios problemas relativos a la interpretación de los límites y restricciones del derecho de acceso por parte de los responsables del tratamiento. En algunos casos, las solicitudes se deniegan por falta de precisión o por razones de coste, incluso se pide que pague una tasa, por ejemplo, si se pide más de una vez al año o se rechazan si se interpreta que existen supuestas intenciones de perseguir objetivos no relacionados directamente con la protección de datos, algo que se puede realizar en circunstancias muy limitadas. En algunas organizaciones ni siquiera se han definido internamente los escenarios en los que aplicar las limitaciones que recoge el RGPD debido a que no han gestionado un gran volumen de solicitudes. Mientras que otros encargados del tratamiento no las utilizan nunca.
Nuevamente, hay casos en la que solo se ofrece solo una parte de los datos, omitiendo por ejemplo vídeos o algunas imágenes captadas con cámaras de seguridad. Esto, por un tema de tiempo, ya que tendrían que difuminar los rostros de otras personas en el contenido audiovisual en cuestión. Otros no revelan nunca información sobre los empleados que tratan los datos personales del solicitante, aunque ocasionalmente pueda ser necesario. Algunos no eran conscientes de que pueden y deben establecer limitaciones para proteger los derechos y libertades de los demás al tramitar las solicitudes de acceso. Con todo, hay una tendencia a interpretar los límites y restricciones del derecho de acceso de forma demasiado amplia. Y en otras ocasiones, la negativa se produce en base a argumentos vagos o poco claros. Sin embargo, el RGPD establece muy pocos límites al derecho de acceso.
6. Excesos al pedir que se especifiquen las solicitudes de acceso
Los responsables del tratamiento tienden a pedir a los interesados que especifiquen su solicitud, incluso antes de comprobar si se está procesando una gran cantidad de información o sin que la petición plantee alguna duda. El problema es que en muchos casos se presenta la especificación como una condición previa para seguir tramitando la solicitud, obstaculizando el derecho de acceso a todos los datos del interesado. El estudio recuerda que la posibilidad de pedir a los interesados que especifiquen su solicitud no está abierta a todos los responsables del tratamiento ni a todas las solicitudes de acceso, sino que hay que cumplir una serie de requisitos. Pedir una mayor especificación no debe limitar la respuesta. Si se solicita mayor detalle, se deberá proporcionar al mismo tiempo información significativa. Asimismo, el informe advierte que la solicitud de especificación no se debe confundir con el enfoque estratificado, que solo tiene que ver con el formato o la presentación del acceso que debe facilitarse.
7. Ofrecer información no detallada ni adaptada a los interesados
El nivel de detalle y precisión de la información facilitada supone otro reto. En muchos de los casos analizados, la información no está adaptada a la solicitud específica. En lo que respecta a los destinatarios de los datos personales, solo se facilitan categorías, y normalmente se nombran destinatarios individuales cuando hay una petición específica del interesado. Los periodos de conservación se mencionan de forma general y muchas veces resulta más fácil para los responsables del tratamiento remitir a documentos preexistentes, como las políticas de privacidad, en lugar de recopilar información específica para cada solicitud. Esto se acentúa cuando tienen que gestionar un gran número de solicitudes de acceso. La conclusión es que la mayoría de las dificultades están relacionadas con la manera como se gestionan los datos en la propia organización del responsable del tratamiento.
Estos son los retos para cumplir con el derecho de acceso, pero el informe también destaca algunas recomendaciones. Las detallaremos en una próxima entrega.