Recientemente, la Oficina de la Autoridad de Protección de Datos (The Office of the Data Protection Authority) de Guernsey adopto el documento denominado “Guidance: Data Subject Access Request” (for Controllers), el cual expone una serie de consideraciones que podrían ser de gran ayuda para responder a solicitudes para el ejercicio del derecho de acceso a datos personales. La Guía incluye notas y ejemplos de casos para proporcionar una explicación acotada a contextos particulares.

A continuación, se presenta un resumen de dicho documento, el cual no tiene un carácter exhaustivo, por lo que se sugiere dirigirse directamente a la fuente original para una mejor comprensión de las ideas aquí referidas. Asimismo, se recomienda analizar la información con discreción, teniendo en cuenta que cada legislación de protección de datos puede establecer disposiciones, plazos o procedimientos distintos a los contenidos en la Guía.

Derecho de acceso a datos personales

La posibilidad de acceder a datos personales es un derecho de las personas físicas o naturales. Este derecho se ejerce a través de la presentación de una solicitud de acceso (comúnmente identificada como data subject access request o simplemente DSAR) que está destinada a obtener del responsable del tratamiento, una respuesta a preguntas como:

• ¿Qué información tienes sobre mi persona?
• ¿Qué sabes acerca de mí?
• ¿Qué piensas acerca de mí?
• ¿Qué estás haciendo con toda esa información?

Etapas en la atención de una solicitud de acceso a datos personales

Pueden identificarse cuatro etapas principales en el proceso de atención de una solicitud:

• Identificación y reconocimiento de una solicitud del derecho de acceso.
• Reunir la información acerca de la persona.
• Revisar la información recabada.
• Entregar la información a la persona solicitante.

Según se expone en la Guía, algunos puntos que deben considerarse durante el proceso de atención a solicitudes para el ejercicio del derecho de acceso a datos personales, son los siguientes:

¿Es la solicitud una solicitud para el ejercicio del derecho de acceso?

Es importante reconocer a las solicitudes para el ejercicio del derecho de acceso a datos personales como algo usual dentro de las operaciones del negocio. En caso de duda, la persona que atiende la solicitud deberá buscar clarificar la base o razón de la solicitud con la persona que la presenta, para confirmar su naturaleza. En cualquier caso, debe acusarse la recepción de la solicitud.

Registrar la solicitud en el sistema interno de solicitudes para el ejercicio del derecho de acceso

La autoridad de protección de datos de Guernsey recomienda llevar un registro de las solicitudes recibidas para demostrar el cumplimiento de la legislación. El registro puede incluir:

• El nombre de la persona solicitante.
• La información requerida.
• La fecha en que la solicitud fue recibida.
• Un registro de todas las decisiones realizadas respecto a o en atención a la solicitud.
• Un registro de todas las comunicaciones efectuadas con la persona solicitante.

Validez de la solicitud

Para determinar si una solicitud de acceso a datos personales es válida deben considerarse los siguientes puntos:

• Se ha verificado la identidad de la persona (¿se está seguro de que la persona que hace la solicitud es quien dice ser?).
• Se ha capacitado al personal para identificar y escalar, tan pronto como sea posible, las solicitudes de acceso a datos personales a la persona encargada de la protección de datos personales en la organización.
• La solicitud no requiere utilizar la expresión “solicitud de derechos” o “solicitud de acceso” para ser válida, ni señalar la legislación aplicable o incluso decir que es una solicitud de acceso a datos personales en su texto. Debe ser tratada con tal carácter si es claro que una persona está solicitando el acceso a sus datos personales.
• La solicitud es válida incluso si no se ha enviado directamente a la persona que normalmente da trámite a dichas solicitudes, por lo que es importante asegurarse de que el personal pueda reconoce una solicitud de acceso y tratarla apropiadamente.
• La solicitud puede ser presentada por la persona titular de los datos o por una tercera persona que actúe en su representación. Cuando se actúe a través de un representante, es importante confirmar que la persona tiene el poder o la autoridad para actuar en representación de la persona titular.

¿Es alguna parte de la solicitud manifiestamente infundada, frívola, vejatoria, innecesariamente repetitiva, o de otro modo excesiva?

La Guía señala que cuando las solicitudes sean manifiestamente infundadas el responsable deberá ser capaz de demostrarlo. Adicionalmente, se precisa que la legislación no limita el número de solicitudes que una persona puede presentar; no obstante, confiere discreción respecto a solicitudes que son innecesariamente repetitivas. En tal caso, el responsable del tratamiento podrá:

• Entregar la información, pero cobrar una tarifa razonable en función de los costes administrativos para facilitar la información, o
• Negarse a actuar respecto de la solicitud.

¿Se puede efectuar un cobro para dar tramite a una solicitud de acceso a datos personales?

Como regla general no, excepto en circunstancias excepcionales, las cuales incluyen cuando es posible demostrar que la solicitud es:

• Frívola.
• Vejatoria.
• Innecesariamente repetitiva.
• Excesiva de otra forma.

Otro supuesto en el que es posible cobrar una tarifa es cuando la persona solicitante requiere “copias adicionales” de los datos personales. El pago de la tarifa debe ser informado a la persona, así como la cantidad exacta, antes de dar trámite a la solicitud. 

¿Es la solicitud de acceso presentada por un niño o niña (menor de edad)?

Tratándose de un menor (dependiendo de la edad que la legislación establezca), el derecho de acceso a datos personales deberá ser ejercido por las personas que poseen la responsabilidad parental. La Guía señala que, si se está seguro de que el menor puede entender sus derechos, se debe responder al niño o niña en vez de al padre o tutor. Existen algunos criterios que deberán tenerse en cuenta al dirigirse a un menor de edad, por ejemplo, el nivel de madurez, la naturaleza de los datos personales solicitados, las afectaciones potenciales que pudieran suscitarse en el menor (a partir de la entrega de los datos), entre otros.

Verificación de la identidad

La Guía menciona que se puede requerir información suficiente para establecer si la persona que hace la solicitud es la persona a quien conciernen los datos personales. Lo anterior, para evitar entregar información personal a otro individuo, de manera accidental o producto de un engaño. Los medios empleados para verificar la identidad deben ser razonables.

¿Se puede requerir más información antes de responder a una solicitud de acceso a datos personales?

Antes de responder a la solicitud se puede requerir más información si es vaga o muy amplia en su alcance. Se recomienda contactar a la persona solicitante para clarificar si hay algo específico que requiera, con el fin de acotar la búsqueda. Sin embargo, la persona solicitante no tiene la obligación de proporcionar esta aclaración, de tal manera que, si el alcance no es delimitado, una respuesta completa debe ser proporcionada por el responsable.

Adoptar salvaguardas para garantizar que solo se realicen cambios de rutina

El uso rutinario de los datos personales puede dar lugar a que se modifiquen o incluso se eliminen los datos personales mientras se atiende la solicitud. Por lo tanto, resulta razonable que se proporcione a la persona solicitante la información que se tiene cuando se envía la respuesta, incluso si es diferente a la que se tenía cuando se recibió la solicitud.

Llevar a cabo una búsqueda exhaustiva de la información solicitada

Debe llevarse a cabo una revisión exhaustiva en:

• Registros en papel.
• Registros electrónicos (incluidos correos electrónicos, sistemas en la nube y elementos eliminados).
• Sistemas y registros de archivo.
• Todos los sistemas y dispositivos de mensajería del lugar de trabajo.

También debe asegurarse de que todos los datos en poder de cualquier encargado se busquen y se incluyan en la respuesta.

¿Cuánto tiempo se tiene para responder a una solicitud?

Debe responderse a las solicitudes para el ejercicio del derecho de acceso en el plazo de un mes contados a partir de:

• El día que se recibe la solicitud.
• El día en que se reciba cualquier información razonablemente necesaria para confirmar la identidad de la persona solicitante.
• El día en que se paga cualquier tarifa o cargo por mandato de ley.

¿Qué procede cuando los datos incluyen información sobre otras personas?

Los datos que un responsable posee sobre la persona que realiza la solicitud pueden incluir información relacionada o concerniente a otra persona o personas. La decisión de proporcionar el acceso a los datos personales requerirá llevar a cabo una ponderación entre el derecho de acceso de la persona solicitante con los derechos de las otras personas.

La Guía señala que, si la otra persona otorga su consentimiento para que se divulgue la información sobre ella, entonces es posible entregar los datos personales; sin embargo, ante la falta de dicho consentimiento, debe realizarse el ejercicio de ponderación, antes referido.

El documento sugiere tener en cuenta diversos criterios como parte del ejercicio de ponderación, entre ellos, considerar el tipo de datos personales involucrados, las expectativas razonables de cada persona, las posibles consecuencias de revelar la información personal de una persona distinta al titular, entre otras.

Aplicación de excepciones

La Ley prevé excepciones determinadas, limitadas y específicas al derecho de acceso a datos personales, como lo hace con la mayoría de los derechos (ningún derecho es absoluto). La persona que gestiona la atención de solicitudes de acceso a datos personales, debe asegurarse de leer y comprender las excepciones existentes, así como mantener un registro interno de cualquiera que resulte aplicable, así como la anotación respecto a por qué se utilizan las excepciones correspondientes.

Proporcionar información adicional

Se debe proporcionar a la persona solicitante la información adicional que resulte relevante. Cuando sea apropiado y proporcionado, se deberán enumerar las fuentes específicas, los responsables que han recibido la información del solicitante y los países a los que se ha transferido su información, así como la información más general que usualmente se incluye en el aviso de procesamiento de datos (aviso de privacidad o fair processing notice).

Fuente de consulta

The Office of the Data Protection Authority (2023), GUIDANCE: Data Subject Access Requests (for Controllers). Disponible en: https://www.odpa.gg/information-hub/guidance/data-subject-access-requests/2023.06.13-data-subject-access-request-guide-for-controllers.pdf (consultado por última vez el 24 de julio de 2023).