El derecho de acceso supone, en muchos más casos de los deseados, un reto para los responsables del tratamiento de los datos personales que manejan las empresas. ¿Por qué? Porque hay muchas dudas sobre cómo deben desempeñar su función. Y es que algunos aspectos clave sobre la atención y gestión de manera adecuada de las solicitudes no están del todo claros. La idea es cumplir con las garantías que señala el Reglamento General de Protección de Datos (RGPD) (LA LEY 6637/2016), pero también facilitar a los ciudadanos la posibilidad de conocer el tipo de información que manejan las organizaciones sobre ellos. El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) ha publicado el informe “Implementarion of the right of access by controllers reports” en el que señala siete desafíos para facilitar el derecho de acceso, que diariolaley ha analizado. Y ahora, detallaremos las recomendaciones para solventar estos problemas.
En cada uno de estas áreas de mejora, el estudio plantea una serie de buenas prácticas que pretenden orientar a los responsables del tratamiento en la atención del derecho de acceso a los datos personales por parte de los interesados. Son las siguientes:
Recomendaciones sobre el reto nº1: Falta de concienciación
Lo primero que deben hacer los responsables del tratamiento es evaluar el ámbito de aplicación del artículo 15 del RGPD para tener más claridad sobre qué tipo de información puede contener datos personales y, por tanto, debería incluirse en la respuesta a una solicitud de acceso. A esto también le pueden ayudar las Directrices 1/2022 y la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre reclamaciones por la entrega de información incompleta.
Lo primero que deben hacer los responsables del tratamiento es evaluar el ámbito de aplicación del artículo 15 del RGPD para tener más claridad sobre qué tipo de información puede contener datos personales y, por tanto, debería incluirse en la respuesta a una solicitud de acceso. A esto también le pueden ayudar las Directrices 1/2022 y la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) sobre reclamaciones por la entrega de información incompleta.
Asimismo, deberían identificar previamente en qué instancias y bases de datos deben realizar las comprobaciones necesarias para atender la solicitud de acceso que tengan que gestionar. En el registro de actividades de tratamiento podrán identificar con precisión las posibles ubicaciones de almacenamiento de los datos personales, ya que debe estar actualizado en todo momento, incluso cuando se incorporen nuevos sistemas informáticos o encargados del tratamiento, al igual que cuando se amplíe la estructura organizativa y cuando se inicien nuevas actividades de tratamiento.
Recomendaciones sobre el reto nº2: Períodos de conservación indefinidos
Los responsables del tratamientos deben seleccionar periodos de conservación adecuados para las solicitudes de acceso. Entre las recomendaciones que señala el documento está la fijación de un plazo basado en criterios objetivos y documentar su razonamiento, siguiendo los criterios que se establecen en el artículo 5 del RGPD (LA LEY 6637/2016). Los períodos de conservación legales para otros tipos de documentos o registros no deberían aplicarse por defecto y se debería evaluar si cubren realmente la comunicación de solicitudes de acceso. Esta evaluación también se debe documentar.
Asimismo, deben asegurarse de que la comunicación de la solicitud se almacena separadamente de otra información sobre el interesado que pueda estar sujeta a otros períodos de conservación.
Recomendaciones sobre el reto nº3: Falta de procedimientos internos documentados
Se aconseja que se promueva la adopción de códigos de conducta con procedimientos para documentar la gestión de las solicitudes de acceso, teniendo en cuenta las diferentes categorías de responsables del tratamiento. Asimismo, se deberían establecer las bases de un intercambio adecuado entre los distintos agentes internos de las organizaciones para calificar y filtrar adecuadamente las solicitudes desde el principio, con orientaciones generales que ayuden a reconocer este tipo de peticiones, incluidas las que resulten más complejas de identificar.
Además, los responsables del tratamiento deben asegurarse de que todos los empleados están formados para reconocer una solicitud de acceso, independientemente del canal por el que se presente. Y también que conozcan a qué canal deben transferirla. Las prácticas habituales sobre esta manera se deben revisar de manera activa con fines de mejorarlas. Y si es necesario, los responsables del tratamiento deben verificar con la persona que presenta la solicitud que lo que realmente quiere ejercer su derecho de acceso.
Otra buena práctica puede ser la creación de un formulario web que guíe al solicitante a través de una serie de preguntas para que dé con el canal adecuado, aunque se debe tener muy claro que el reglamento no fija requisitos formales para ejercer el derecho de acceso.
Recomendaciones sobre el reto nº4: Obstáculos al derecho de acceso
Los responsables del tratamiento deben estar preparados para gestionar las solicitudes de acceso, incluso si la solicitud no se presenta a través de un canal específico. Por lo tanto, deberían evaluar caso por caso para determinar si se requiere de una identificación o autenticación adicional del interesado para atender su petición. En todo caso, estarían obligados a demostrar que necesitan más documentos para confirmar la identidad de la persona que plantea la solicitud.
Los responsables del tratamiento deben estar preparados para gestionar las solicitudes de acceso, incluso si la solicitud no se presenta a través de un canal específico. Por lo tanto, deberían evaluar caso por caso para determinar si se requiere de una identificación o autenticación adicional del interesado para atender su petición. En todo caso, estarían obligados a demostrar que necesitan más documentos para confirmar la identidad de la persona que plantea la solicitud.
Recomendaciones sobre el reto nº5: Excesos en los límites del derecho de acceso
Los supervisores deberían dar a conocer ejemplos de prácticas de denegación correctas y casos de uso que resulten en una limitación de acceso de acuerdo con lo que establece el RGPD y la regulación nacional y la jurisprudencia sobre este asunto. El objetivo debe ser ayudar a los responsables del tratamiento a comprender estos límites y los escenarios en los que se pueden rechazar las solicitudes de manera total o parcial.
Si finalmente se restringe el derecho de acceso de un interesado, el responsable del tratamiento tiene que ser capaz de justificar los motivos. Adicionalmente, debe adoptar políticas para equilibrar los derechos y libertades propios y de terceros con los derechos de los interesados, en particular en lo que respecta al derecho a la intimidad de sus empleados. Se tendrá que evaluar cada situación particular.
Recomendaciones sobre el reto nº6: Excesos en las especificaciones de las solicitudes
Los supervisores deberán impulsar campañas y actividades de sensibilización o directamente adoptar medidas basadas en las reclamaciones que reciban sobre las peticiones de especificación. Además, se deberían aclarar las diferencias entre la especificación y el “enfoque estratificado” al presentar los datos. El análisis caso por caso es lo recomendable para verificar si se cumplen las condiciones para requerir una especificación.
Los responsables del tratamiento podrían proporcionar a los interesados herramientas de autoservicio o la posibilidad de preseleccionar una, varias o todas las actividades de tratamiento sobre las que desea recibir información, eso sí, teniendo presente que el RGPD no fija requisitos formales para las solicitudes de acceso. Si los solicita todos, se les deberán proporcionar en su totalidad.
Recomendaciones sobre el reto nº7: Ofrecer información no detallada ni adaptada
Los responsables del tratamiento deben tramitar las solicitudes de acceso caso por caso e informar al interesado qué datos personales se están manejando y con qué fines. Deberán registrar con precisión a qué entidades revelan esta información y dónde se encuentran, de modo que sea más fácil cumplir con sus obligaciones en relación con el derecho de acceso.
Por último, un consejo transversal para resolver estos siete retos: los organismos supervisores también pueden contribuir a mejorar su gestión con la difusión de las mejores prácticas y la puesta en marcha de campañas de sensibilización periódicas para apoyar la labor de los responsables del tratamiento y contribuir a un cumplimiento eficaz del derecho de acceso.