Derecho de acceso: Definición, regulación y solicitud

El derecho de acceso es uno de los que regulan el tratamiento de información relativa a personas físicas. ¿En qué consiste? ¿Cómo puede ayudar a proteger los datos personales de los ciudadanos? Lo vemos en el siguiente artículo.

¿Qué es el derecho de acceso?

El derecho de acceso en el RGPD se define como el derecho que tienen los ciudadanos a que los responsables del tratamiento de datos le informen si están tratando información personal que le concierne y, en caso de respuesta afirmativa, cuáles son esos datos y de qué manera se están tratando.

Se trata de uno de los derechos que forman parte de los denominados derechos ARSULIPO (o antiguos derechos ARCO), esto es, acceso, rectificación, supresión, limitación, portabilidad u oposición.

El derecho de acceso se aplica sobre los datos personales del sujeto. En concreto, el individuo debe poder acceder a la siguiente información:

• Finalidad del tratamiento: los motivos por los que se recaban los datos personales.
• Categorías de los datos personales: datos sensibles, no sensibles y categorías especiales de datos.
• Destinatarios de la información: quién son los encargados del tratamiento y quién tiene acceso a los datos.
• Cesión de datos a terceros: si la información va a ser transferida a un destinatario diferente al que la obtuvo.
• Plazo de conservación de datos: el tiempo que permanecerá la información en los ficheros del responsable y/o destinatario, así como los criterios seguidos para determinar dicho plazo.
• Origen de la información: siempre que no se haya obtenido directamente del interesado.
• Existencia de decisiones automatizadas: lo cual incluye informar sobre la elaboración de perfiles y las consecuencias que dichos tratamientos podrían tener para el interesado.

Además, el responsable del tratamiento debe informar al interesado de cómo solicitar el derecho de acceso, así como los cauces para ejercitar sus derechos de rectificación, limitación, supresión u oposición a dicho tratamiento.

Por último, el responsable también debe informar sobre la potestad del individuo para realizar una reclamación ante la autoridad de control pertinente, en caso de considerar que se está vulnerando su derecho de acceso.

El derecho de acceso en protección de datos es el derecho del individuo a dirigirse al responsable del tratamiento para saber si se están tratando sus datos personales y, en caso afirmativo, obtener información acerca del tipo del tratamiento que se está realizando.

¿Dónde y cómo se regula el derecho de acceso?

El artículo 15 del RGPD señala que “el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales“.

El derecho de acceso a los datos personales también tiene su regulación en el artículo 13 de la LOPDGDD, que remite directamente a los expuesto en el RGPD, indicando que “el derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679“.

Requisitos generales del procedimiento de acceso a datos

Todo individuo tiene derecho a saber el uso que otros hacen de sus datos personales. Por tanto, el derecho de acceso obliga a los responsables del tratamiento a facilitar al interesado toda la información relativa a dicho tratamiento.

El derecho de acceso en la protección de datos, por tanto, establece una obligación, a la que el responsable no se puede negar, aunque sí pueden existir ciertas condiciones o requisitos.

Por ejemplo, en caso de que el acceso a datos personales entrañe cierta complejidad, el responsable del tratamiento puede solicitar que el interesado especifique los ficheros que desea consultar. En dicho caso, deberá proporcionar un listado con todos los ficheros para que el individuo pueda identificarlos.

El individuo también tiene derecho a recibir la información por los medios solicitados. En caso de que la solicitud se presente por medios digitales, debería obtenerla por los mismos medios, salvo petición expresa en contrario.

Los derechos que otorga el acceso a la información no se limitan a la merca consulta. Además, el interesado deberá recibir una copia de su información personal, que podrá guardar de forma privada.

¿Cómo se solicita el derecho de acceso?

El interesado debe emplear los cauces ofrecidos por el responsable del tratamiento para la solicitud de acceso a sus datos personales. En este sentido, el artículo 13 sobre el derecho de acceso LOPD señala que el responsable del tratamiento está obligado a facilitar un sistema de acceso remoto, seguro y directo a los datos personales que garantice de modo permanente el acceso a su totalidad.

En lo que respecta al formato, la persona puede realizar la solicitud por medio de soportes físicos o electrónicos. A su vez, el responsable del tratamiento debe responder por el mismo medio, salvo que el interesado decida otra cosa.

En caso de que la respuesta a dicha solicitud se haga online o a través de medios digitales, deberá facilitarse en un formato de archivo sencillo y compatible con la mayoría de dispositivos.

Plazo de contestación cuando se ejercita el derecho de acceso

En cualquier caso, el responsable del tratamiento está obligado a facilitar el acceso a los datos al interesado en un plazo de un mes. Si no tiene la información en su poder, también deberá comunicarlo antes de que pase un mes.

El plazo para entregar los datos puede ser ampliado a dos meses, siempre y cuando existan razones para ello, como la complejidad del acceso a la información o un exceso de consultas. El responsable debe informar del retraso al interesado antes de que pase un mes desde la solicitud.

Limitaciones al derecho de acceso

El RGPD señala que el derecho de acceso se puede ejercer en cualquier momento y ante cualquier entidad, salvo algunas excepciones. Estas excepciones contemplan datos relativos a:

• Seguridad y defensa del Estado y de la seguridad pública.
• Prevención, detección, investigación o enjuiciamiento de acciones penales.
• Ejecución de sanciones penales, incluidas las referidas a la prevención de amenazas contra la seguridad pública.
• Objetivos de interés general para la Unión Europea o uno de sus Estados miembros, ya sea en materia fiscal, presupuestaria o monetaria, así como relativos a la sanidad pública o la seguridad social.
• Procedimientos judiciales y salvaguarda de la independencia de la jurisprudencia.
• Prevención, detección, investigación y enjuiciamiento de infracciones relacionadas con normas deontológicas o del ejercicio profesional..
• Supervisión y control del ejercicio de la autoridad pública.
• Protección de los derechos y libertades de otros.
• Ejecución de demandas civiles.

También se puede considerar que el derecho de acceso a datos se está ejerciendo de una forma repetitiva y desmedida si se solicita acceder a los datos más de una vez en un plazo de seis meses.

Sanciones por no atender correctamente una solicitud de acceso a datos

El Reglamento General de Protección de Datos señala que las infracciones respecto a los artículo 15 al 22 relativos a los derechos de los interesados (entre los que se encuentra el derecho al acceso) son considerada como muy graves y serán sancionadas con un máximo de 20 millones de euros, o con una multa equivalente al 4% de la facturación del último ejercicio.

La LOPDGDD corrobora las sanciones anteriores, señalando que se considerará como infracción muy grave el impedimento, obstaculización o no atención reiterada de las solicitudes de ejercicio de los derechos 15 al 22 del RGPD, así como el cobro de un canon para atender las solicitudes de los afectados.

Ejemplos

Ejemplo 1: sobre el acceso a datos personales

La Sentencia del Tribunal de Justicia (Sala Tercera) de 17 de julio de 2014 estimaba el derecho de acceso del demandante a los datos necesarios para tramitar un documento de resistencia. Dicha sentencia señala que la persona tiene derechos de acceso a todos los datos personales que fueron objeto de tratamiento por parte de las administraciones administrativas, considerando que dicho derecho sería satisfecho si se le facilitase una idea completo de dichos datos por medios y formas inteligibles.

Ejemplo 2: sobre el derecho de acceso a la información pública.

En este caso, un ciudadano presentó una demanda contra la Corporación Radiotelevisión Española para que le facilitarse información relacionada con los gastos derivados de la participación de España en Eurovisión 2015.

La sentencia condenaba a RTVE a facilitar dicha información en un plazo de 15 días al interesado, además de disponer de otros 15 días para comunicarla al Consejo de Transparencia.

RTVE interpuso un recurso de apelación en el que señalaba que la publicación de dicha información podría perjudicar sus intereses comerciales. Sin embargo, el recurso fue desestimado al considerar el tribunal que la información solicitada es de interés y carácter público, además de que la Corporación no pudo acreditar que el hecho de facilitar dicha información pudiera suponer un perjuicio para sus intereses.

FAQ

¿Me pueden denegar el acceso a mis datos personales?

Ya hemos visto algunas de las limitaciones al derecho de acceso. Sobre todo, hay que tener en cuenta que no se podrá ejercer si afecta a los derechos y libertades de otros, incluyendo los derechos sobre la propiedad intelectual o los secretos comerciales. El acceso a mis datos también podría ser denegado en caso de ejercerlo de forma reiterada y desproporcionada, o en su defecto, podrían cobrarme un canon.

¿Cómo debo actuar si me deniegan el acceso por causas no justificadas?

En estos casos lo mejor es acudir en primera instancia a la Agencia Española de Protección de Datos, quien instará al responsable del tratamiento a que cumpla con su obligación de informar al interesado. Si, aún así, el responsable se niega, queda la opción de reclamar por la vía judicial.

¿El derecho de acceso es gratuito?

Sí, el derecho de acceso se puede ejercer de forma totalmente gratis, salvo que se actúe de forma excesiva. Por ejemplo, en caso de que el interesado solicite que el responsable proporcione la información por un medio distinto al solicitado y que suponga un coste desproporcionado. En estos casos, será el afectado quien corra con los gastos derivados de esta exigencia.