No, el derecho de acceso no sirve para todo

Por María Luisa González Tapia

Recientemente, la Agencia Española de Protección de Datos ha publicado una resolución en la que aclara que el derecho de acceso incluye los datos de base que son objeto de tratamiento, pero no comprende aquellos generados en el desarrollo de una relación contractual laboral.

En el supuesto objeto de análisis en dicho procedimiento, el reclamante ejerció el derecho de acceso para conocer el tiempo trabajado durante el año 2020, así como las horas de fichajes de entrada y salida de los días trabajados. En la R/00061/2021, se explica lo siguiente:

“A este respecto, cabe señalar que el interesado tiene derecho a obtener del responsable los datos que son objeto del tratamiento y así poder comprobar que los datos son ciertos, que la utilización o tratamiento se limite a los datos estrictamente necesarios para la finalidad que se hace conforme a la relación entre el interesado y el responsable, y en el caso de disconformidad, poder ejercitar cualquiera de los derechos establecidos en el RGPD.

Una vez examinada la documentación obrante en el procedimiento, se observa que la petición de la parte reclamante no es el acceso a los datos de base registrados, sino que es la obtención de una serie de datos relativos a las horas trabajadas.

En relación a esta solicitud cabe señalar que el derecho de acceso consiste en obtener información de los datos personales de base registrados. Por tanto, la obtención de datos derivados de la relación contractual laboral queda fuera del derecho de acceso configurado en la normativa de protección de datos, todo ello, con independencia de que la normativa sectorial ampare la obtención de dichos datos”.

En ocasiones, se recurre al derecho de acceso como vía rápida para obtener copias de documentos o información que se ha denegado a través de los cauces específicos habilitados para obtenerla. Sin embargo, el derecho de acceso tiene límites y no puede (o no debería) ejercerse por motivos desvinculados de la protección de datos personales. Veamos otros ejemplos en los que nuestra autoridad de control ha considerado que el derecho de acceso se ejercía de forma abusiva o debía desestimarse.

1. El derecho de acceso no incluye el listado de personas que han consultado los datos del afectado en el entorno de una organización. Se trata de una petición frecuente sobre la que la Agencia Española de Protección de Datos ya se ha pronunciado en otras ocasiones. En el supuesto analizado en la resolución que tomamos como ejemplo, la R/00252/2019, el afectado ejerció su derecho de acceso frente a la Conserjería de Sanidad de la Comunidad de Madrid en términos muy amplios. Solicitaba el acceso a todos los datos existentes en todos los ficheros de la Conserjería y entidades asociadas o dependientes de dicha Consejería de Sanidad como el servicio Madrileño de Salud, Hospitales, Centros Sanitarios o Fundaciones entidades sanitarias privadas con acuerdos o convenios para prestar un servicio público. Tras la recepción de la petición, el responsable del tratamiento se puso en contacto con el interesado para concretar el objeto de su solicitud. Esto dio lugar a un intercambio de diversos escritos y llamadas telefónicas, en las que el interesado insistía en conocer todas las circunstancias relativas al tratamiento de sus datos personales. Finalmente, presentó una reclamación en la Agencia Española de Protección de Datos. Nuestra autoridad de control desestima la solicitud de tutela:

“Para finalizar, si se mantiene una controversia con el responsable del tratamiento sobre cuestiones derivadas de la relación médico paciente, deben saber que la Agencia Española de Protección de Datos no es competente para dirimir cuestiones tales como las relativas a los tratamientos realizados o no realizados, el cambio de hospital o citas médicas, la capacidad de un facultativo para dar un alta o administrar un tratamiento, la inclusión de información en un expediente médico, la repercusión en la derivación a hospitales privados etc.

Hay que puntualizar que el derecho de acceso no recoge que al reclamante se le puedan facilitar datos de terceros que hayan tratado sus datos personales en cumplimento de sus funciones, como pueden ser el personal de un hospital.

Por último, la Ley de Autonomía del Paciente sería más adecuada para dirimir las discrepancias existentes. Y respecto a protección de datos, se han ejercido unos derechos de forma genérica y, a pesar de haber solicitado información para poder atenderlos, no se ha facilitado y no se han podido atender.

Por todo ello, procede desestimar la reclamación que originó el presente procedimiento”.

2. El derecho de acceso no permite a una persona obtener copias de documentos concretos para cuya obtención existen otros cauces específicos de acceso o que podrían contener datos de terceros. En la R/00151/2021, se deniega al reclamante el acceso a su expediente de expulsión de un partido político con el siguiente razonamiento.

“Por otra parte, la parte reclamante manifiesta que no se ha facilitado copia del expediente que motivó la expulsión del partido.

Examinada la documentación obrante en el expediente, se observa que la pretensión de la parte reclamante es obtener copias de documentos, a este respecto debemos señalar que, conforme a la normativa en materia de protección de datos, la parte reclamante sólo puede solicitar sus propios datos personales, o de aquellas personas cuya representación ostente, en concreto, dicho documento puede contener otros datos que no constituyen datos de carácter personal de la parte reclamante.

El derecho de acceso es el derecho que tienen los interesados en conocer que datos están siendo tratados por el responsable del tratamiento, los datos objetos del tratamiento, la finalidad de este, el origen de los datos y si se han o van a comunicar a terceros. Con carácter general, la copia o acceso a documentos o información concreta no forma parte del contenido del derecho de acceso regulado en la normativa vigente en materia de protección de datos.

Por consiguiente, dicha petición, no se refería a datos de carácter personal de conformidad con la normativa de protección de datos regulado en el RGPD, así pues, esta petición no puede considerarse como alguno de los derechos regulados por el RGPD (acceso, rectificación, supresión, oposición), ya que la normativa de protección de datos no ampara la solicitud de documentos concretos, con independencia de que otra normativa ampare la obtención de dicha documentación, careciendo esta Agencia de competencias para su análisis.

El artículo 8.4.e) “Derechos y deberes de los afiliados” de la Ley Orgánica 6/2002, de 27 de junio, de Partidos Políticos, dispone que:

“4. Los estatutos contendrán una relación detallada de los derechos de los afiliados, incluyendo, en todo caso, respecto a los de mayor vinculación al partido político, los siguientes:

e) A acudir al órgano encargado de la defensa de los derechos del afiliado.”

Por ello, para acceder al expediente disciplinario, el cauce adecuado no se encuentra en la normativa de protección de datos de carácter personal, para la tutela del derecho supuestamente lesionado, por lo que deberá dirimirse y resolverse ante el órgano encargado de la defensa de los derechos del afiliado, en su caso”.

3. El derecho de acceso tampoco sirve para que el propietario de dos viviendas solicite al administrador de una finca copia del acta de la última junta de propietarios, el importe del ejercicio, y otras comunicaciones realizadas a los dueños de los inmuebles (R/00061/2021):

“Examinada la documentación obrante en el expediente, se observa que la pretensión de la parte reclamante es que, esta Agencia practique una serie de diligencias para que la reclamada le remita la documentación relacionada con dos viviendas de las que es propietaria; a este respecto, señalar que la petición solicitada no puede considerándose un derecho reconocido en la normativa de protección de datos, careciendo esta Agencia de competencias para su análisis.

Hay que señalar que no entra dentro del ámbito competencial de esta Agencia dirimir el conflicto que subyace entre las partes, fruto de la relación contractual que existe entre las mismas y en el caso de controversia, debe dirigirse a la autoridad competente en relación con la normativa específica”.

4. Por último, recordemos que el derecho de acceso no puede ejercerse de forma repetitiva, entendiendo por tal el envío de más de una petición en el plazo de seis meses (R/00382/2020):

“Asimismo, el art. 13.4 de LOPDGDD señala que, el derecho de acceso se podrá considerar repetitivo, si se ejercita en más de una ocasión durante el plazo de seis meses, salvo que exista causa legitimadora.

En base a lo anterior, cuando el derecho sea reiterativo o repetitivo, la reclamada podrá denegar el acceso cuando el derecho ya se haya ejercitado en los seis meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.

En el supuesto examinado, ha quedado acreditado que la parte reclamante solicitó el acceso de sus datos a la reclamada, dicha entidad contestó al derecho de acceso ejercido por el afectado.

En consecuencia, procede desestimar la presente reclamación, toda vez que la reclamada actuó conforme a derecho en materia de protección de datos”.