El Tribunal de Justicia de la Unión Europea (TJUE) dictaminó que, al tenor del Reglamento General de Protección de Datos de la UE (RGPD), toda persona tiene derecho a conocer la fecha y las razones por las que se han consultado sus datos personales. El hecho de que el responsable del tratamiento desarrolle una actividad bancaria no incide en esta obligación.
Un hombre tomó conocimiento de que empleados de su banco, en el cual también había trabajado, consultaron sus datos personales sin autorización. Tras solicitar a la entidad bancaria que proporcionara la fecha exacta de las consultas y la identidad de los empleados involucrados, esta se negó, aduciendo que aquella era información personal de sus trabajadores.
Sin perjuicio de lo anterior, el banco informó al requirente que las consultas fueron realizadas para descartar algún conflicto de interés, puesto que otro cliente era acreedor de una persona con su mismo apellido. Del mismo modo precisó que los empleados involucrados remitieron debidamente los antecedentes del caso a la oficina de auditoría interna.
El requirente recurrió ante la autoridad administrativa pertinente, acusando al banco de incumplir sus obligaciones establecidas en el Reglamento General de Protección de Datos de la UE (RGPD), por negarse a proporcionar la información solicitada, no obstante, su pretensión fue desestimada. Estimó que los antecedentes requeridos estaban protegidos por ser datos de protocolo de los empleados.
Noticia Relacionada
Por lo anterior, interpuso un recurso en sede judicial. El tribunal que tomó conocimiento del asunto planteó una cuestión prejudicial al TJUE para que interpretara si, al tenor del RGPD, era posible obligar al responsable del tratamiento de datos personales a entregar información al titular de estos, relativa a las fechas de las consultas.
En su análisis de fondo, el Tribunal señala que “(…) la información relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento”.
Agrega que “(…) en cambio, el RGPD no consagra ese derecho en lo que respecta a la información relativa a la identidad de los empleados que llevaron a cabo esas operaciones de conformidad con las instrucciones del responsable del tratamiento, a menos que esa información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados.
Comprueba que “(…) en caso de conflicto entre, por un lado, el ejercicio del derecho de acceso que garantice la eficacia de los derechos reconocidos por el RGPD al interesado y, por otro, los derechos o libertades de otros, debe hacerse una ponderación entre los derechos y libertades en cuestión. Siempre que sea posible, ha de optarse por modalidades que no vulneren esos derechos o esas libertades”.
En definitiva, el Tribunal concluye que “(…) el hecho de que el responsable del tratamiento desarrolle una actividad bancaria en el marco de una actividad reglada, y de que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también fuera empleada de ese responsable, no influye, en principio, en el alcance del derecho del que goza esa persona”.
Al tenor de lo expuesto, el Tribunal resolvió que la normativa europea ampara el derecho del actor a conocer la información solicitada.
Vea sentencia Tribunal de Justicia de la Unión Europea C-579.21.