Derecho de Acceso: ¿lo estás haciendo bien?

Derecho de Acceso: ¿lo estás haciendo bien?

Es bien sabido que….todo derecho conlleva una obligación.

Por lo que respecta a los derechos de protección de datos, la máxima es la misma; cualquiera de los derechos reconocidos en la Normativa de protección de datos (RGPD y LOPDGDD) podrá ser ejercido por el titular o su representante, ya sea éste legal o voluntario, y el responsable del tratamiento o responsable, tendrá la obligación de dar respuesta a dicha solicitud de ejercicio en el plazo de un mes, de acuerdo con el art. 12.3 RGPD.

Pero lo más importante para el Responsable no es el plazo legal para emitir respuesta, sino cumplir con lo dispuesto en el art. 12.4 de LOPDGDD, cuando señala que: “La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por el afectado recaerá sobre el responsable”aplicando no sólo en el tiempo de respuesta, sino también por el contenido de la misma.

Sobre este punto, el Comité Europeo de Protección de Datos (CEPD) acaba de publicar el resultado de la Iniciativa Coordinada Europea en relación con la atención brindada por los Responsables del Tratamiento al derecho de acceso, analizando los puntos de mejora y áreas de oportunidad en donde los responsables del tratamiento, deberán poner atención para considerar que están atendiendo correctamente el derecho de acceso reconocido en el art. 15 del RGPD y el art. 13 de la LOPDGDD.

Recomendaciones para atender el derecho de Acceso

Para mejorar la atención del derecho de acceso de los interesados, por parte del responsable del tratamiento, el CEPD recomienda lo siguiente:

Concienciación

Es necesario conocer el alcance del acceso que debe proporcionarse, para ello, el responsable debe analizar el alcance del art. 15 RGPD e identificar qué información es la que contiene datos personales, y posteriormente, ubicar dentro de sus bases de datos o archivos, donde encontrar dicha información.

Plazos

Los responsables del tratamiento deben atender las solicitudes dentro del plazo legal, como marco general, pero también deben dar trámite a las solicitudes de acuerdo con sus procedimientos internos, los cuales deben ser objetivos y diseñados para que le responsable pueda cumplir con el principio de responsabilidad proactiva del art. 5.2 RGPD.

Procedimientos internos

Los procedimientos internos pueden ser muy variados dependiendo del tipo de responsable del tratamiento con el que nos encontremos, pero la promoción de códigos de conducta y diseñar procedimientos internos que tengan como finalidad identificar cuál es el contenido del acceso solicitado, así como identificar dónde se encuentra dicha información dentro de la estructura del responsable es necesario.

Aunado a ello, y todavía más importante, es que todo el personal del responsable esté formado en protección de datos para que puedan identificar las solicitudes de acceso, independientemente del canal por el cual llegan al responsable, de forma que se canalice correctamente la solicitud y pueda ser atendida lo antes posible.

Obstáculos a la facilitación del derecho de acceso

Los responsables del tratamiento deben asegurarse de que están preparados para gestionar las solicitudes de acceso, incluso si la solicitud no se envía a través del canal diseñado a tales efectos. Del mismo modo, el responsable debe analizar la solicitud de acceso y evaluar si es necesario obtener más datos de identificación o autenticación del interesado.

Interpretaciones incoherentes y excesivas de los límites al derecho de acceso:

El responsable del tratamiento debe evaluar el alcance del acceso, así como poder argumentar los límites o restricciones a dicho acceso, en su caso. Para ello, contar con políticas internas en donde se establezcan los límites entre los derechos del responsable y los terceros o interesados es de gran ayuda para encontrar el equilibrio en esta tarea.

Interpretación excesiva de la posibilidad de solicitar la especificación de las solicitudes de acceso:

Es necesario diferenciar entre la especificación según el considerando 63, apartado 7, del RGPD y el «enfoque por capas» promovido por el CEPD.

El derecho de acceso no debe afectar negativamente a los derechos y libertades de terceros, teniendo como el límite que no puede derivar en la negación de entregar la información solicitada.

Si existen dudas sobre la información solicitada, el responsable debe preguntar al solicitante que especifique exactamente qué información es la que requiere.

Entrega de información adecuada:

Cada solicitud de acceso debe ser analizada caso por caso y evaluar e identificar la información solicitada y cómo entregarla, cumpliendo con el mandato legal.

Debe llevarse un registro de todas las solicitudes de acceso recibidas y la información entregada en cada una de ellas, para poder cumplir con las obligaciones de los responsables, entre ellas, la responsabilidad proactiva.

Business Adapter® a tu servicio 

Para que los responsable del tratamiento puedan atender cada día mejor el derecho de acceso ejercidos por cada uno de nosotros, el CEPD se compromete a elaborar nuevas guías y profundizar sobre la Directiva 01/2022, para proporcionar a los responsables herramientas para mejorar en su obligación de atender el derecho de acceso acorde con el art. 15 del RGPD.

Si necesitas ayuda, contacta con tu consultor para recibir el asesoramiento necesario.

Si aún no eres cliente y necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en nuestro formulario: