El derecho de acceso a los datos personales ha sido objeto de consideración en dos recientes decisiones legales: una del Tribunal de Justicia de la Unión Europea (TJUE) y otra de la Agencia Española de Protección de Datos (AEPD). Estas resoluciones tienen implicaciones significativas para la interpretación y aplicación del Reglamento General de Protección de Datos (RGPD) y enfatizan la extensión y el alcance del derecho de acceso a los datos personales.
El Tribunal de Justicia de la Unión Europea (CJEU) se pronunció sobre la aplicación del Artículo 15 del Reglamento General de Protección de Datos (RGPD) en este contexto. El tribunal determinó que el Artículo 15 del RGPD se aplica a una solicitud de acceso a la información si las operaciones de procesamiento en cuestión se realizaron antes de la fecha de entrada en vigor de este reglamento, pero la solicitud se presentó después de esa fecha. De esta manera, el Artículo 15 del RGPD brinda a las personas un derecho procesal para obtener información sobre el procesamiento de sus datos personales.
Además, el tribunal sostuvo que las informaciones sobre las operaciones de consulta de los datos personales de una persona, incluyendo las fechas y los propósitos de estas operaciones, son informaciones que la persona tiene derecho a obtener del responsable del tratamiento de datos en virtud del Artículo 15, párrafo 1, del RGPD1.
No obstante, el tribunal concluyó el derecho de acceso no consagra el derecho de una persona cuyos datos están siendo procesados a obtener acceso a información sobre la identidad de los empleados que procesaron estos datos bajo la autoridad del responsable y de acuerdo con sus instrucciones, a menos que estas informaciones sean indispensables para permitir a la persona ejercer efectivamente los derechos que el RGPD le confiere, y siempre y cuando se tenga en cuenta los derechos y libertades de estos empleados2.
Por otro lado, la resolución de la AEPD resalta la amplia interpretación de los «datos personales». La agencia determinó que las fotografías e informes de inspección del domicilio del reclamante constituían datos personales, a pesar de los argumentos de la empresa de que estos elementos no eran tal cosa.
Esta resolución de la AEPD es un recordatorio crucial para las organizaciones de que el concepto de «datos personales» bajo el RGPD es amplio. Los datos personales no se limitan a la información tradicionalmente considerada como tal, como el nombre y la dirección, sino que también pueden incluir otros tipos de información que puedan utilizarse para identificar a una persona o que puedan tener un efecto sobre ella.
En resumen, estas decisiones subrayan la importancia de una interpretación amplia del RGPD en lo que respecta a los «datos personales» y el derecho de acceso a estos. Las organizaciones deben estar preparadas para responder a las solicitudes de acceso de manera transparente y detallada, respetando al máximo el derecho de los individuos a controlar sus propios datos personales.