El Derecho de Acceso

Qué es

Con el Reglamento Europeo de Protección de Datos (aquí seguiremos usando el acrónimo «GDPR«), parece haberse generalizado el ejercicio de un derecho que también existía bajo la anterior legislación (LOPD). Esto es: cualquier interesado puede solicitar a una entidad, pública o privada, saber conocer:

  • qué datos personales tiene sobre él/ella;
  • para qué finalidades se usan;
  • para cuánto tiempo se estima que se usarán;
  • a quién se ceden, eventualmente, esos datos;
  • el listado completo de los derecho que le asisten.

En principio, parece todo normal. Sin embargo, recientemente, también a raiz de unos malentendidos y de frases poco afortunadas publicadas en la Web de la Autoridad de Protección de Datos del Reino Unido, se ha generalizado una práctica, a todas luces abusiva, basada en el ejericio del Derecho de Acceso.

Qué está pasando

Algunas empresas (que, curiosamente, ni siquiera tienen sede ni representantes en territorio de la UE), prometen a los incautos internautas, ser los valientes paladines de su privacidad, diciéndoles:

  • Deja que lea todos tus correos electrónicos;
  • Sacaré una lista de todas las entidades de las que recibes información comercial (en principio, legítimamente);
  • Ejerzo en tu nombre y representación el Derecho de Acceso; y
  • Si no contestan en el plazo establecido, les denunciamos.

Por un lado, desconozco el reparto acordado de las eventuales ganancias derivadas de estas denuncias.

Por otro, tengo reales dudas de que estas prácticas abusivas puedan llegar a tener algún impacto económico favorable para el interesado.

Qué hacen las empresas

Las empresas se ven sometidas a una avalancha de estas solicitudes, realizadas automáticamente, y gastan recursos y tiempo para realizar búsquedas en sus propias bases de datos y así, proporcionar la eventual información al interesado. Lo curioso es que, en mi experiencia, la inmensa mayoría de esas búsquedas terminan en: «Oye, de esa persona no tenemos nada…«. Pero, ahí se ha ido la mañana, detrás de esa búsqueda infructuosa. Claro está que, si no se atienden esas peticiones maliciosas, se corre el riesgo de recibir una inspección por parte de la Agencia Española de Protección de Datos (AEPD).

Contramedidas

Un poco hartos de esta situación, hemos decidido recabar la opinión de la misma AEPD. Básicamente, en nuestra solicitud, preguntábamos cómo comportarnos frente a este abuso del ejercicio del Derecho de Acceso. También sugerimos una interpretación del Derecho de Acceso más acorde a lo, en realidad, debería ser. Pero ahí, la AEPD no se ha mojado.

De hecho, la respuesta recibida ha sido más tibia de lo deseado. La Agencia reconoce, como no podía ser de otra forma, la existencia de este tipo de derecho; pero también recomienda que, frente a posibles razones que hagan dudar sobre la veracidad del ejercicio de estos derechos, las empresas puedan solicitar una prueba para identificar claramente al interesado.

Es curioso que la Agencia diga esto, sin sugerir una solución. ¿Qué pueden hacer las empresas?

  • ¿Pedir copia del DNI? Parece excesivo y no respuetuoso con el principio de minimización de los datos;
  • ¿Pedir otros datos como, por ejemplo, el número de móvil? El problema es que, en la inmensa mayoría de los casos, el usuario sólo ha proporcionado el email (caso, por ejemplo, de una suscripción a una newsletter).

Conclusiones

Necesitamos prestar atención a este tipo de prácticas que, aunque puedan parecer abusivas, siguen representando una carga para las empresas que tratan datos personales de sus propios clientes, usuarios y seguidores en las redes sociales.

No existe una respuesta que pueda valer para todos los casos así que, lo mejor, es enviarnos un email y plantearnos tu caso.

¿Hablamos?

Privacy Spoken