Bruselas, 20 de enero – El Comité Europeo de Protección de Datos (CEPD) ha adoptado un informe sobre la aplicación del derecho de acceso por parte de los responsables del tratamiento. El informe resume el resultado de una serie de acciones nacionales coordinadas llevadas a cabo en 2024 en el marco de aplicación coordinada (MCE). Enumera los problemas que se observaron para algunos controladores, junto con una serie de recomendaciones para ayudarlos a implementar el derecho de acceso. Un elemento central es el conocimiento por parte de los responsables del tratamiento de las Directrices 01/2022 del CEPD sobre los derechos de los interesados — Derecho de acceso y si estas directrices se siguieron en la práctica.
El vicepresidente del CEPD, Zdravko Vukíc, ha declarado: «El MCE es una valiosa iniciativa que contribuye a reforzar la cooperación entre las autoridades de protección de datos: al abordar temas seleccionados de manera coordinada, logran una mayor eficiencia y coherencia. La forma en que los responsables del tratamiento aplican el derecho de acceso constituye el núcleo de la protección de datos y es uno de los derechos de los interesados que se ejerce con mayor frecuencia».
A lo largo de 2024, treinta APD de toda Europa iniciaron investigaciones coordinadas sobre la conformidad de los responsables del tratamiento con el derecho de acceso, mediante la apertura de investigaciones formales, la evaluación de si estaba justificada una investigación formal o la realización de ejercicios de investigación. Un total de 1.185 controladores, formados por pequeñas y medianas empresas (pymes) y grandes empresas activas en diferentes industrias y campos, así como diversos tipos de entidades públicas, respondieron a la acción.
Ámbitos de mejora y principales retos
Los resultados sugieren que es necesaria una mayor sensibilización sobre las Directrices 01/2022, tanto a nivel nacional como de la UE, ya que las directrices ayudan a los responsables del tratamiento a aplicar el derecho de acceso, explican cómo puede facilitarse el ejercicio de este derecho y enumeran las excepciones y limitaciones del derecho de acceso.
Como resultado de la acción del MCE de 2024, se identificaron siete retos. Una de ellas es la falta de procedimientos internos documentados para gestionar las solicitudes de acceso. Además, también se observaron interpretaciones incoherentes y excesivas de los límites del derecho de acceso, como basarse excesivamente en determinadas excepciones para denegar automáticamente las solicitudes de acceso. Otro ejemplo son las barreras que las personas pueden encontrar al ejercer su derecho de acceso, como los requisitos formales o la solicitud de documentos de identificación excesivos. Para cada reto identificado, el informe proporciona una lista de recomendaciones no vinculantes que deben tener en cuenta los responsables del tratamiento y las autoridades de protección de datos.
Resultados positivos
A pesar de los retos existentes, dos tercios de las APD participantes evaluaron el nivel de cumplimiento de los responsables del tratamiento que respondieron con respecto al derecho de acceso de «medio» a «alto». Un factor importante que influyó en el nivel de cumplimiento fue el volumen de solicitudes de acceso recibidas por los responsables del tratamiento, así como el tamaño de la organización. Más específicamente, los controladores de gran tamaño o los controladores que recibían más solicitudes tenían más probabilidades de alcanzar un mayor nivel de cumplimiento que las pequeñas organizaciones con menos recursos.
Se observaron resultados positivos en toda Europa. Estos incluyen la aplicación de las mejores prácticas por parte de los responsables del tratamiento, como formularios en línea fáciles de usar que permitan a las personas presentar fácilmente una solicitud de acceso, así como sistemas de autoservicio que permitan a las personas descargar de forma autónoma sus datos personales con unos pocos clics y en cualquier momento.
Antecedentes y próximos pasos
El MCE es una acción clave del CEPD en el marco de su Estrategia 2024-2027, destinada a racionalizar el cumplimiento y la cooperación entre las APD.
En los últimos tres años, se han llevado a cabo dos acciones anteriores del MCE.
Los resultados de estas acciones nacionales se agregan y analizan conjuntamente para generar una visión más profunda del tema y permitir un seguimiento específico tanto a nivel nacional como de la UE.
En 2023, el CEPD publicó el informe sobre su primera acción coordinada sobre el uso de servicios basados en la nube por parte del sector público.
En 2024, el CEPD también publicó el informe sobre el resultado de la segunda acción coordinada sobre la designación y el cargo de los responsables de la protección de datos.
La acción del MCE 2025 se centrará en la aplicación del derecho de supresión.