ARP@TIC El blog de TIC de ARPA Abogados Consultores

La Web de Nuevas Tecnologías

de ARPA Abogados Consultores

Sobre el Derecho de Acceso (art.15 LOPD)

Monday, 02 June 2014 08:44 Escrito por 

El derecho de acceso forma parte de los denominados derechos “ARCO” que se regulan en la normativa de Protección de Datos de Carácter Personal (ARCO = Acceso, Rectificación, Cancelación y Oposición).

 

DEFINICIÓN

En concreto, el derecho de acceso se define como el derecho de los interesados a solicitar y obtener, de forma gratuita, información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

 

EFECTOS

El responsable del fichero o tratamiento ante el que se ejerza, en el plazo máximo de un mes, deberá atender la solicitud dando una respuesta incluso si no figurase dato alguno del afectado en sus ficheros o si la solicitud no reuniese los requisitos legalmente establecidos (en este último caso, deberá contestarse solicitando la subsanación de los mismos).

En caso de querer denegar el acceso también hay que responder. Téngase en cuenta, además, que los únicos supuestos de denegación son: i) que el interesado ya hubiera ejercitado el derecho de acceso en los doce meses anteriores a la solicitud y no acredite un interés legítimo al efecto y ii) que una Ley o una norma de derecho comunitario de aplicación directa así lo prevean o impidan.

Para los casos en que sí existan datos de carácter personal sometidos a tratamiento en los ficheros del responsable, éste deberá otorgar el acceso al interesado, pero ¿qué información hay que facilitar exactamente?

 

CONTENIDO DE LA SOLICITUD

De una lectura conjunta del artículo 15 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD) y del artículo 27 de su Reglamento de desarrollo, se desprende que el afectado podrá solicitar información sobre:

  • los datos de carácter personal que son objeto de tratamiento,
  • el origen de dichos datos,
  • las comunicaciones realizadas o que se prevén hacer de los mismos,
  • la finalidad del tratamiento que se esté realizando,
  • la existencia o no del tratamiento de datos de carácter personal que le conciernan.

 

ALCANCE DE LA RESPUESTA

Sin embargo, no es sino hasta el artículo 29 del citado Reglamento cuando se regula el contenido concreto de la información a proporcionar:

  • todos los datos “de base” del afectado,
  • los resultantes de cualquier elaboración o proceso informático,
  • la información disponible sobre el origen de los datos,
  • los cesionarios de los mismos,
  • la especificación de los concretos usos y finalidades para los que se almacenaron los datos.

 

DATOS “DE BASE” DEL AFECTADO

Aunque la normativa no aclara qué ha de entenderse por datos “de base” del afectado, parece razonable pensar que se refiere a datos de carácter primario u originario, no a datos generados, precisamente, a partir de ellos, como resultando de algún tipo de elaboración.

De hecho, el propio artículo 29 parece hacer una matización, a modo de excepción, al querer incluir de manera expresa, en la información a suministrar al afectado, los datos resultantes de cualquier elaboración o proceso “informático”.

Así pues, parece que los datos de carácter personal fruto de operaciones, elaboraciones o procesos “no informáticos”, es decir, “manuales” o “intelectuales”, como valoraciones, apreciaciones, notas personales, evaluaciones… no tienen porqué facilitarse o ponerse a disposición de los afectados. No obstante, si los datos han sido creados como resultado de un proceso informático, deberán notificarse al afectado.

Visto de este modo, que no deja de ser más que una interpretación, parece que el afectado puede tener acceso a los datos que recabó el responsable, puede estar al tanto de su origen, de la finalidad para la que los está tratando y de las cesiones realizadas o previstas pero no tiene porqué conocer, sí o sí, todos los nuevos datos que sobre él se han generado como resultando de una elaboración intelectual.

De todos modos, como quiera que el adjetivo “de base” pudiera tener otro significado y, más aún, si el sentido común no nos lo impide, no sería mala idea suministrar como regla general al afectado todos los datos de carácter personal que de él se posean (sean de base o no), de cara a la transparencia del tratamiento y a no limitar, si no lo vemos necesario, el ejercicio de un derecho fundamental.