- 27 de junio de 2023
El TJUE establece que toda persona tiene derecho a conocer la fecha y las razones por las que se consultaron sus datos personales
El Tribunal de Justicia de la Unión Europea ha señalado que toda persona tiene derecho a conocer la fecha y las razones por las que se consultaron sus datos personales con independencia de que se desarrolle una actividad reglada. Con relación a los datos de los empleados concretos que realizaron las consultas siguiendo instrucciones del responsable del tratamiento, únicamente se tendría derecho a ellos cuando resultase indispensable para ejercer los derechos que reconoce el Reglamento General Europeo de Protección de Datos, y siempre teniendo en cuenta los derechos de esos empleados.
El Tribunal de Justicia de la Unión Europea ha dictaminado que
toda persona tiene derecho a conocer la fecha y las razones por las que se
consultaron sus datos personales, aunque el responsable de su tratamiento
lleve a cabo una actividad reglada, como sucedió en el caso concreto analizado,
en el que un empleado y a la vez cliente de un banco tuvo constancia de que sus
datos habían sido consultados por otros empleados.
En 2014, el empleado y cliente del banco tuvo conocimiento de que
sus datos habían sido consultados, en varias ocasiones, por otros miembros del
personal de la entidad bancaria entre el 1 de noviembre y el 31 de
diciembre de 2013. Para verificar la licitud de esas consultas, el empleado,
que fue despedido entretanto, solicitó al banco que le comunicara la
identidad de las personas que habían consultado los datos, las fechas exactas
de las consultas y los fines del tratamiento de dichos datos.
La entidad se negó a comunicar la identidad de los trabajadores
que habían llevado a cabo las operaciones de consulta, por considerar que esa
información constituía datos personales de esos trabajadores, pero sí detalló
las operaciones de consulta efectuadas por su servicio de auditoría interna,
indicando que un cliente del banco del que el solicitante era asesor era
acreedor de una persona que tenía el mismo apellido que el solicitante. El
banco quiso verificar si el solicitante y el deudor eran la misma persona y si
podía haber existido una relación de conflicto de intereses indebida.
En su sentencia de hoy, el TJUE ha interpretado el artículo 15
del RGPD en el sentido de que «la información relativa a
operaciones de consulta de datos personales de una persona, relativas a las
fechas y a los fines de estas operaciones, constituye información que esa
persona tiene derecho a obtener del responsable del tratamiento.
En cambio, el RGPD no consagra ese derecho en lo que respecta a la
información relativa a la identidad de los empleados que llevaron a cabo esas
operaciones, de conformidad con las instrucciones del responsable del
tratamiento, a menos que esa información sea indispensable para permitir al
interesado ejercer efectivamente los derechos que le confiere ese Reglamento y
siempre bajo la condición de que se tengan en cuenta los derechos y libertades
de esos empleados».
El TJUE ha señalado que, cuando exista conflicto entre el ejercicio del
derecho de acceso que garantice la eficacia de los derechos reconocidos por
el RGPD al interesado y los derechos o libertades de otros, debe
hacerse una ponderación entre los derechos y libertades en cuestión. Optando,
cuando sea posible, por modalidades que no vulneren esos derechos o esas
libertades.
Por último, el TJUE concluye que el hecho de que el responsable del tratamiento desarrolle una actividad bancaria en el marco de una actividad reglada, y de que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también fuera empleada de ese responsable no influye, en principio, en el alcance del derecho del que goza esa persona.
FUENTE: IBERLEY