La DPC tiene el mandato de gestionar las reclamaciones de particulares, incluidas las solicitudes de acceso a datos personales (artículo 15 del RGPD). El artículo 15 del RGPD contiene una obligación general que exige, en primer lugar, que la organización confirme si se están procesando o no los datos personales del particular.
Además, el artículo 15(1) del RGPD otorga a una persona el derecho a obtener información de una organización sobre:
- la finalidad para la cual se procesan los datos personales;
- las categorías de datos personales de que se trate;
- los destinatarios o las categorías de destinatarios a quienes se han comunicado o se comunicarán los datos personales;
- cuando sea posible, el plazo previsto durante el cual se conservarán los datos personales.
Esta información permite a una persona evaluar si el procesamiento de sus datos personales es legal y también garantiza que esté en condiciones de ejercer otros derechos bajo el RGPD, como el derecho de borrado o rectificación en determinadas circunstancias.
Al responder a una solicitud de acceso a datos, una organización puede tener derecho a restringir la divulgación de datos personales si puede confiar en las restricciones del RGPD y/o la Ley de Protección de Datos de 2018. En tal caso, la organización debe poder demostrar el motivo de cualquier restricción.
En el caso de que los registros contengan tanto los datos personales de la persona como los datos personales de otra(s) persona(s), el RGPD (artículo 15(4)) permite a la organización retener esta información si su divulgación pudiera afectar negativamente a la(s) otra(s) persona(s) afectada(s). Un ejemplo de esto sería un caso en el que los registros médicos o las notas de una sesión de asesoramiento, por ejemplo, incluyan información relativa tanto a la persona como a su cónyuge, ex cónyuge, pareja, hijos u otros terceros. Al considerar la posible aplicación de esta restricción del RGPD, una organización debe poder demostrar y haber registrado el razonamiento por el que considera que la restricción es aplicable junto con los detalles de cómo se llegó a la decisión y los esfuerzos realizados para considerar los derechos de todos los interesados (como se describe en las Directrices sobre los derechos de los interesados del CEPD).
La sección 60(3)(b) de la Ley de Protección de Datos de 2018 también puede facultar a una organización a retener información a un individuo, en la medida en que la información constituya una expresión de opinión sobre un individuo dada de manera confidencial.
La DPC tramita periódicamente quejas de personas que están preocupadas porque las organizaciones no han abordado adecuadamente su solicitud de acceso a sus datos personales.
Al tramitar una reclamación de un particular, la DPC examinará en general las restricciones en las que se basó la organización para retener los datos personales de un particular, a fin de evaluar si dichas restricciones se han aplicado correctamente en las circunstancias particulares de la reclamación. Al examinar la validez de las restricciones, la DPC se pondrá en contacto con la organización y planteará determinadas preguntas de investigación que ayudarán a la DPC a determinar la validez de las restricciones aplicadas en cada caso.
La DPC es plenamente consciente de la sensibilidad que entrañan determinadas denuncias. Toda información que se le proporcione en este contexto, cuando se traten cuestiones de especial sensibilidad, se mantendrá estrictamente confidencial y no se compartirá fuera de la DPC.
En el caso de que los registros contengan información personal tanto de la persona solicitante como de otras personas (como su cónyuge, pareja o hijo), los derechos de esas otras partes (incluido su derecho a la vida y a la integridad física) deben equilibrarse con el derecho de la persona solicitante a acceder a información sobre qué datos personales relacionados con ella pueden estar incluidos en esos registros. En otras palabras, el derecho a obtener acceso a información sobre qué datos personales pueden estar incluidos en un registro no prevalece automáticamente sobre los derechos de terceros.
Toda restricción del derecho de acceso o de información debe justificarse sobre una base probatoria, haciendo referencia al contexto específico del caso en cuestión. En el caso de un “registro mixto” que contenga tanto los datos personales de la persona solicitante como de terceros relacionados (como el cónyuge/pareja/hijo de la persona solicitante), es evidente que un riesgo identificado de daño para el cónyuge/pareja/hijo, que surja de la posible divulgación de la información a la persona solicitante, podría justificar la retención de la información en cuestión. Además, en situaciones altamente sensibles en las que es muy probable que la divulgación de datos personales dé lugar a daños y riesgos significativos para otras personas, la presunción general es que el derecho de acceso puede restringirse. Tales decisiones deben documentarse y las organizaciones afectadas están obligadas a cooperar de manera confidencial con el DPC en el desempeño de sus funciones. El DPC está disponible para debatir y asesorar a las organizaciones sobre el mejor enfoque y, cuando sea necesario, también está disponible para reunirse para analizar cuestiones particularmente sensibles.
https://www.dataprotection.ie/en/dpc-guidance/blogs/DPC-handling-of-Subject-Access-Requests