Noticia

El Tribunal de Justicia de la Unión Europea ha señalado que toda persona tiene derecho a conocer la fecha y las razones por las que se consultaron sus datos personales con independencia de que se desarrolle una actividad reglada. Con relación a los datos de los empleados concretos que realizaron las consultas siguiendo instrucciones del responsable del tratamiento, únicamente se tendría derecho a ellos cuando resultase indispensable para ejercer los derechos que reconoce el Reglamento General Europeo de Protección de Datos, y siempre teniendo en cuenta los derechos de esos empleados.

El Tribunal de Justicia de la Unión Europea ha dictaminado que toda persona tiene derecho a conocer la fecha y las razones por las que se consultaron sus datos personales, aunque el responsable de su tratamiento lleve a cabo una actividad reglada, como sucedió en el caso concreto analizado, en el que un empleado y a la vez cliente de un banco tuvo constancia de que sus datos habían sido consultados por otros empleados. 

En 2014, el empleado y cliente del banco tuvo conocimiento de que sus datos habían sido consultados, en varias ocasiones, por otros miembros del personal de la entidad bancaria entre el 1 de noviembre y el 31 de diciembre de 2013. Para verificar la licitud de esas consultas, el empleado, que fue despedido entretanto, solicitó al banco que le comunicara la identidad de las personas que habían consultado los datos, las fechas exactas de las consultas y los fines del tratamiento de dichos datos. 

La entidad se negó a comunicar la identidad de los trabajadores que habían llevado a cabo las operaciones de consulta, por considerar que esa información constituía datos personales de esos trabajadores, pero sí detalló las operaciones de consulta efectuadas por su servicio de auditoría interna, indicando que un cliente del banco del que el solicitante era asesor era acreedor de una persona que tenía el mismo apellido que el solicitante. El banco quiso verificar si el solicitante y el deudor eran la misma persona y si podía haber existido una relación de conflicto de intereses indebida. 

En su sentencia de hoy, el TJUE ha interpretado el artículo 15 del RGPD en el sentido de que «la información relativa a operaciones de consulta de datos personales de una persona, relativas a las fechas y a los fines de estas operaciones, constituye información que esa persona tiene derecho a obtener del responsable del tratamiento. En cambio, el RGPD no consagra ese derecho en lo que respecta a la información relativa a la identidad de los empleados que llevaron a cabo esas operaciones, de conformidad con las instrucciones del responsable del tratamiento, a menos que esa información sea indispensable para permitir al interesado ejercer efectivamente los derechos que le confiere ese Reglamento y siempre bajo la condición de que se tengan en cuenta los derechos y libertades de esos empleados».

El TJUE ha señalado que, cuando exista conflicto entre el ejercicio del derecho de acceso que garantice la eficacia de los derechos reconocidos por el RGPD al interesado y los derechos o libertades de otros, debe hacerse una ponderación entre los derechos y libertades en cuestión. Optando, cuando sea posible, por modalidades que no vulneren esos derechos o esas libertades. 

Por último, el TJUE concluye que el hecho de que el responsable del tratamiento desarrolle una actividad bancaria en el marco de una actividad reglada, y de que la persona cuyos datos personales fueron tratados en su condición de cliente del responsable del tratamiento también fuera empleada de ese responsable no influye, en principio, en el alcance del derecho del que goza esa persona.

FUENTE: IBERLEY