Pues la respuesta por parte de la Autoridad de control Italiana ha sido que NO, en una reciente resolución donde una exempleada ejercitó su derecho de acceso conforme marca el artículo 15 RGPD, contra la entidad bancaria en la que venía prestando sus servicios.
Para empezar, debemos recordar que el derecho de acceso de los interesados está consagrado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea. Ha formado parte del marco jurídico europeo en materia de protección de datos desde sus inicios y ahora se desarrolla mediante normas más específicas y precisas en el artículo 15 del RGPD.
El objetivo general del derecho de acceso es proporcionar a las personas información suficiente, transparente y fácilmente accesible sobre el tratamiento de sus datos personales, de modo que puedan conocer y verificar la licitud del tratamiento y la exactitud de los datos tratados.
Este derecho de acceso con arreglo a la legislación en materia de protección de datos debe distinguirse de derechos similares con otros objetivos, por ejemplo, el derecho de acceso a los documentos públicos, que tiene por objeto garantizar la transparencia en la toma de decisiones de las autoridades y las buenas prácticas administrativas. Puedes consultar una entrada anterior a nuestro Blog sobre del derecho de acceso a información pública.
El derecho de acceso incluye tres componentes diferentes:
- Confirmación de si se tratan o no datos sobre la persona;
- Acceso a estos datos personales;
- Acceso a la información sobre el tratamiento, como los fines, las categorías de datos y los destinatarios, la duración del tratamiento, los derechos de los interesados y las garantías adecuadas en caso de transferencias de terceros países
Pues bien, en particular, en el caso que hoy nos ocupa, el motivo de la solicitud de la exempleada tenía como objetivo obtener «el acceso a los datos personales contenidos en su expediente personal, a una copia de los mismos y en particular a los datos contenidos en el expediente sancionador para conocer, de forma precisa y oportuna, toda la información que le concierne (datos valorativos y no valorativos) relativa a los hechos y conductas (que dieron lugar a la sanción disciplinaria impuesta por la entidad bancaria.
La exempleada, en sus alegaciones expuso que la información proporcionada por la entidad bancaria no era adecuada, ya que consistía en una «comunicación incompleta, de la correspondencia entre las partes relativa al citado expediente disciplinario«. a falta de más información sobre la base de la cual se le había impuesto la sanción disciplinaria. Concretamente lo que solicitaba era la correspondencia mantenida por la entidad bancaria con un tercero que denunciaba la comunicación ilícita de información confidencial de un titular de cuenta (el hermano de la ahora demandante) y utilizada por la demandante en el contexto de procedimientos judiciales.
En relación con la denuncia, la autoridad de control italiana requirió a la entidad bancaria a presentar observaciones sobre lo expuesto, para aclarar si todos los datos contenidos en el expediente personal del denunciante, y en particular los documentos relativos al procedimiento disciplinario ya habían sido comunicados, en caso contrario, aportar copia de los mismos. Sólo después del inicio de la investigación por parte de la Autoridad, la entidad entregó a la reclamante la documentación adicional contenida en el expediente.
La entidad bancaria por su parte, en las notas de respuesta a esta Autoridad, justificó la no presentación inicial de esta documentación por las implicaciones que se hubieran producido para el derecho de defensa y la protección de la confidencialidad de terceros. La entidad bancaria alega que el derecho de acceso debe referirse a los datos personales, así como a la información prevista en el apartado 1 del art. 15 y, no los documentos que los contengan, ni los documentos que contengan información relativa a hechos y a terceros.
Y va más allá, el derecho general de acceso previsto en el artículo 15 del RGPD no puede ser utilizado por el trabajador para obtener una prestación que no pueda solicitar en base a la normativa sectorial pertinente, como la legislación laboral.
En vista de lo anterior, como consecuencia del examen de la documentación aportada y de las declaraciones realizadas, el Garante Italiano consideró finalmente que la conducta de la entidad bancaria no se ajustaba a lo dispuesto en el art. 12, párr. 4 del Reglamento, al no haber comunicado los motivos de la falta de entrega de la documentación adicional, a pesar de haber sido objeto de una solicitud específica, imponiéndole una sanción de 20.000 euros.
Sin embargo, en lo que respecta a las necesidades que subyacen a la solicitud de acceso formulada por el denunciante, es necesario hacer algunas observaciones:
En general, se señala que el derecho de acceso tiene por objeto permitir al interesado tener control sobre los datos personales que le conciernen y, en particular, «conocer el tratamiento y verificar su licitud» (ver Cons. 63). ); sin embargo, esto no significa que este derecho deba negarse o limitarse cuando el fundamento de la solicitud sea la persecución de un objetivo diferente.
De hecho, de la lectura de las disposiciones combinadas de los artículos. 12 y 15 del Reglamento no es necesario que los interesados indiquen un motivo o una necesidad particular que justifique su solicitud para el ejercicio de sus derechos, ni se reconoce al responsable del tratamiento la posibilidad de preguntar los motivos de su solicitud.
Esta interpretación también fue aclarada por el CEPD mediante la aprobación de las Directrices 1/2022 sobre el derecho de acceso (véase, en particular, el punto 2.1 que establece que «los responsables del tratamiento no deben evaluar «por qué» el interesado solicita el acceso, sino sólo «qué» el interesado solicita (ver apartado 3 sobre análisis de la solicitud) y si posee datos personales relativos a esa persona (ver apartado 4). Por lo tanto, por ejemplo el responsable del tratamiento no debe denegar el acceso por motivos o sospechas del interesado, datos podrían ser utilizados por el interesado para defenderse ante los tribunales en caso de despido o de litigio comercial con el responsable del tratamiento.
De este modo, dado que la solicitud de acceso de la demandante a todos los datos e informaciones que forman parte de su expediente personal y que subyacen al procedimiento disciplinario que le concierne es legal, se considera que su cumplimiento no podía supeditarse al cumplimiento de determinados requisitos o a la consecución de objetivos particulares.
Por tanto, el responsable del tratamiento debe responder a las solicitudes de los interesados en relación con las solicitudes relativas a la relación laboral y, por tanto, en relación con los datos y la información contenidos en el expediente personal, incluso cuando se trata de información subyacente a los procedimientos disciplinario.
LIMITES Y RESTRICCIONES A L DERECHO DE ACCESO
Si bien El RGPD permite ciertas limitaciones del derecho de acceso tasadas que se derivan del artículo 15, apartado 4, del RGPD (derechos y libertades de otros), y del artículo 12, apartado 5, del RGPD (solicitudes manifiestamente infundadas o excesivas). Además, el Derecho de la Unión o de los Estados miembros puede restringir el derecho de acceso de conformidad con el artículo 23 del RGPD.
En todo caso, a pesar de estas limitaciones, los responsables del tratamiento que se niegan a responder a una solicitud de derecho de acceso total o parcial con arreglo al artículo 15, apartado 4, del RGPD, deben informar al interesado de los motivos sin dilación y, a más tardar, en el plazo de un mes (artículo 12, apartado 4, del RGPD). La exposición de motivos debe hacer referencia a las circunstancias concretas para que los interesados puedan evaluar si desean tomar medidas contra la denegación. Debe incluir información sobre la posibilidad de presentar una reclamación ante una autoridad de control (artículo 77 del RGPD) y de obtener tutela judicial efectiva (artículo 79 del RGPD).
La preocupación general de que los derechos y libertades de terceros puedan verse afectados por el cumplimiento de la solicitud de acceso no basta para invocar el artículo 15, apartado 4, del RGPD. El responsable del tratamiento debe poder demostrar que, en la situación concreta, los derechos o libertades de terceros se verían afectados de hecho.
Por lo tanto, el ejercicio del derecho de acceso también debe ponderarse con respecto a otros derechos fundamentales de conformidad con el principio de proporcionalidad. Cuando la evaluación del artículo 15, apartado 4, del RGPD demuestre que el cumplimiento de la solicitud tiene efectos negativos en los derechos y libertades de otros participantes, deben sopesarse los intereses de todos los participantes teniendo en cuenta las circunstancias específicas del caso y, en particular, la probabilidad y gravedad de los riesgos presentes en la comunicación de los datos.
El responsable del tratamiento debe intentar conciliar los derechos en conflicto, por ejemplo, mediante la aplicación de medidas adecuadas que mitiguen el riesgo para los derechos y libertades de otros. Como se subraya en el considerando 63, la protección de los derechos y libertades de otros en virtud del artículo 15, apartado 4, del RGPD, no debe tener como resultado la negativa a facilitar toda la información al interesado. Esto significa, por ejemplo, cuando se aplica la limitación, que la información relativa a otras personas debe hacerse ilegible en la medida de lo posible en lugar de negarse a facilitar una copia de los datos personales.
CÓMO FACILITAR EL ACCESO
También en este caso, cabe recordar las aclaraciones realizadas por la CEPD en las Directrices 01/2022, respecto a esta cuestión concreta, donde se especifica que la obligación de facilitar una copia no debe entenderse como un derecho adicional del interesado, sino como una modalidad de facilitar el acceso a los datos. (véase el punto 23 de la sección 2 de las Directrices). Refuerza el derecho de acceso a los datos y ayuda a interpretar este derecho, ya que deja claro que el acceso a los datos con arreglo al artículo 15, apartado 1, incluye información completa sobre todos los datos y no puede entenderse como una mera concesión de un resumen de los datos.
Por lo tanto, hacer algún tipo de recopilación y/o extracción de datos de una manera que haga que la información sea fácil de entender podría, en algunos casos, ser una forma de cumplir con estos requisitos. En otros casos, la información se entiende mejor proporcionando una copia del documento real que contiene los datos personales. Por lo tanto, la forma más adecuada debe decidirse caso por caso. (véase el punto 153 de las Directrices).
Con respecto al caso que nos ocupa, cabe señalar que la entrega de la documentación que contenía los datos personales del demandante en los que se basaba el procedimiento disciplinario era la única forma adecuada de permitir el acceso de acuerdo con los principios de equidad y transparencia antes mencionados.
Si quieres conocer más sobre este derecho de acceso puedes consultar entradas anteriores a nuestro Blog aquí y aquí.
