Nuestro amigo (de otras entradas) Pedro, es consultado por un cliente sobre la manera de actuar ante una petición de derecho de acceso en la que se solicita:
- Qué personas han accedido a los datos.
- Con qué finalidad.
- Cuántas veces han accedido.
«el derecho concedido al interesado por la Ley únicamente abarcaría el conocimiento de la información sometida a tratamiento, pero no qué personas, dentro del ámbito de organización del responsable del fichero han podido tener acceso a dicha información»
Por lo que se refiere a la finalidad, tampoco es complicado, ya que Pedro se remitiría a la finalidad propia del fichero tal y cómo se encuentre declarado en el Registro de la Agencia (obviamente, la finalidad debería coincidir con la real del fichero).
Pero más dudas le genera la última de las peticiones, la relacionada con el número de veces en las que se ha accedido a los datos. Obviamente, en un primer lugar, podría pensar en la posibilidad de denegar esta petición, pero antes Pedro hace un pequeño «sondeo» de lo que opinan las Agencias de Protección de Datos y ahí es donde se encuentra con el Dictamen CN11-009 de la Agencia Vasca de Protección de Datos, que da una visión novedosa sobre este asunto. Así, para la Agencia Vasca, el número de accesos realizados a los datos constituye información sobre si los propios datos del interesado está siendo objeto de tratamiento, según se establece en el artículo 27.1 del Real Decreto 1720/2007. Así, concluye que:
«El ejercicio del derecho de acceso previsto en el artículo 15 de la LOPD incluye el derecho a conocer el número de accesos que se han producido a los datos de carácter personal de su titular, así como la finalidad del tratamiento que se está realizando.»
Por si alguien se pregunta (como se hizo Pedro al leer este Dictamen) que si en en la aplicación de este criterio se debe distinguir entre datos de carácter personal o datos especialmente protegidos, o sobre el tipo de datos, según las medidas de seguridad a aplicar, la respuesta es negativa, ya que la Agencia Vasca de Protección de Datos, en su Dictamen, no realiza estas distinciones.
¿Qué os parece este criterio?
¿Las aplicaciones informáticas que tratan datos personales están preparadas para ofrecer esta información?
PD: Agradezco a Francisco Javier Sempere (@fjavier_sempere) la ayuda recibida para escribir esta entrada.
Autor:
Gontzal Gallo
Especialista en Derecho de las TIC
Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya
Twitter: @gongaru
Linkedin: Gonzalo Gallo
Google+: +Gontzal Gallo
Entre Códigos Civiles y Androides 
Interesante post!
Entiendo que el número de accesos a los datos se podrá comunicar al usuario si el sistema que aloja los mismos tiene implantado registro de accesos, sólo exigible a los datos de nivel alto, entendiendo igualmente, que es posible, que en el caso concreto del Dictamen de la AVPD se refiera a un fichero de nivel alto.
Muchas dudas me entran en el caso de que se tratase de un fichero cuyo nivel no exigiera registro de accesos.
Un saludo
@meryglezm
Gracias María por comentar. A mí, leyendo el criterio, me sugiere que sea únicamente para ficheros que tengan implantadas las medidas de nivel alto, pero las conclusiones del Dictamen parece indicar que sea en cualquier caso.
Hola, en primer lugar, gracias por la mención 🙂
Hay alguna autoridad europea -aunque no recuerdo quién exactamente- que también es partidaria de dar esa información, es decir, no sólo el número de accesos sino también las personas que han accedido a la información.
En la APDCM, somos partidarios de que no, ya que ni la LOPD ni el Reglamento lo contempla. Incluso, podría considerarse una cesión de datos sin consentimiento (en caso de que se diese información de quién ha accecido, con nombres y apellidos).
Salu2.
Quizás, la postura de la AVPD vaya por la transparencia.
Gracias Javier por el comentario y por mostrar la postura en este tema de la APDCM
Hola, yo personalmente considero que se trata de una interpretacion que sobrepasa a lo establecido en la LOPD y su Reglamento.
Otra cosa es que si se dispone de dicha informacion, se facilite, previa solicitud del interesado, claro está.
Un saludo!
@mlozac
Hola Gontzal.
El criterio que en su día adoptó la AEPD respecto de preservar la identidad de las personas concretas que han podido acceder a la información me parece, de entrada, acertado. Pero creo que no se debe convertoir en una excusa de opacidad para con el ciudadano, y yo creo que hay que ir a la raíz del «bien jurídico» a proteger.
Es decir, cuando alguien pregunta, por algo será: aunque siempre hay quien dice que «solo es por fastidiar», normalmente habrá algún motivo que le hace pensar que sus datos no están siendo correctamente (o legalmente) tratados, y el acceso es su derecho.
Precisamente, los registros de accesos son una medida de seguridad reforzada (art. 103 RDLOPD que, como bien se apunta, únicamente es exigible para datos de nivel «alto»), que permite asegurar la trazabilidad de los accesos y, en consecuencia, garantizar que «Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos» (art. 91.4 RDLOPD). No podemos pasar por alto esta finalidad.
Es por ello que cuando el afectado pudiera querer verificar el uso correcto de su información, el número de accesos a sus datos (y también, porqué no, las fechas) le puede dar pistas sobre ello e iniciar la denuncia correspondiente: será entonces la APD correspondiente la que sí recabará la información concreta de los registros de accesos y decidirá sobre la pertinencia (o no) de tales accesos.
En mi opinión personal, ese derecho de acceso a los datos relativos a los registros de accesos podría resolverse por vía interpuesta, mediante el ejercicio de la «tutela de derechos» por la APD competente, sin tener así que forzar una denuncia. Pero esto es solo una conjetura…
Muchas gracias Pedro Alberto por comentar y dar tu visión respecto a este tema.
A mí, particularmente, me parece muy correcto el poder facilitar la información del número de accesos (e incluso, como tu comentas, la fecha), en una petición de derecho de acceso, cuando el responsable tiene la obligación de tener implantado un registro de accesos (en un tratamiento de nivel alto).
Pero me genera más dudas cuando no existe tal obligación, es decir, si no tengo implantado el registro de accesos porque no tengo esa obligación (en un tratamiento de nivel básico o medio).
Bueno, aquí no estaría muy de acuerdo:
1.- si el nivel del fichero no es Alto, no hay obligación de mantener un registro de accesos; pero las medidas tienen la consideración de «mínimos exigibles» (art. 81.7 RDLOPD), luego tenerlo sería una » buena práctica»
2.- en el abanico comprendido entre la consideración de «dato excesivo» y el de «dato obligatorio» caben muchos datos relacionados con la finalidad del tratamiento, ya sea de forma sustantiva o bien instrumental, como sería el caso de los registros de accesos, que no siendo obligatorios, tampoco serían excesivos.
3.- si existe un registro de accesos, no puede hurtarse su existencia, por lo que su información sigue teniendo la consideración de «datos de carácter personal» sujetos al derecho de acceso (con la salvedad ya apuntada de la identidad del usuario).
Como decía no-se-quien, ésta es mi opinión: hay otras, pero no son la mía ;o)))
Buenas de nuevo.
La respuesta de Pedro Alberto me ha dado que pensar y coincido con él en varios aspectos:
1.- Medidas de seguridad son mínimos exigibles.
2.- Aunque el registro de accesos al fichero sólo es obligatoriamente exigible para los ficheros de nivel alto, sí se nos exige para el resto de niveles el que sólo el personal autorizado accederá a los datos, de forma que se podría llegar a determinar «el quien» a través de esta medida, aunque a priori (y no soy técnica) no «el cuanto».
3.- El usuario q solicita dicho acceso puede tener un motivo bien fundado y fundamentado para solicitar el dº acceso con ese grado de especificación, y si la finalidad y el objetivo es válido, y el responsable puede aportar esos datos porque no hacerlo.
Me crea dudas el facilitar el listado del personal que accedió al fichero en la respuesta al ejercicio derecho de acceso, pues podría ser considerada una cesión ilícita de datos….
En este sentido, interesante la sentencia que adjunto en enlace (https://docs.google.com/open?id=0Bx0CPHPoWU-fZjRmZTNhZWUtNTllYy00MjVmLTljN2MtYWZhNTNhMmI1YzJj), en la que se indemniza a la familia por el número de accesos indebidos realizados a la historia clínica de un fallecido, al considerar que era por mero cotilleo. Eso sí, aquí estamos ante un fichero de nivel alto…
Seguiremos divagando 😉
Un saludo
@meryglezm
Gracias María por dar tu punto de vista y sobre todo por aportar esa Sentencia….la estaba buscando «desesperadamente» por otras cuestiones.
Por dar un matiz, respecto a lo que señalas en relación al persona autorizado, yo tampoco soy técnico, pero creo que existen otros mecanismos para verificarlos (Active Directory, se me ocurre).
Ahora bien, estoy de acuerdo contigo que si el RF puede dar esa información (aunque no esté obligado), ¿por que no darla? Eso sí, si no tiene implantado un sistema de registro de accesos (porque no está obligado), ¿le puedes exigir y, en su caso, sancionar por no tenerlo?
Saludos,
Implantar un control de acceso donde se registre el acceso que se tiene a una carpeta o una determinado fichero puede ser sencillo a través de un log.
El unico problema que veo es, la cantidad de información que generaría ese log y si realmente se revisa ese log.
con lo cual tenemos un control que está funcionando pero no se está controlando.
Gracias Javier, por dar tu visión
Buenas noches
Mi opinión particular es que el derecho de acceso se refiere a la información del titular que es objeto de tratamiento, y que los accesos que se han producido no forman parte del mismo.
La LOPD dice que “el interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.”
De acuerdo con los criterios interpretativos de nuestro Código Civil, si el contenido de los términos de una norma son claros, para su interpretación se estará al tenor literal de sus cláusulas. Y a mí no me cabe duda sobre el sentido del precepto y su extensión: datos personales del interesado, origen y comunicaciones. No se dice que el derecho de acceso se extienda a las personas que han accedido a la misma, a las medidas de seguridad aplicadas o cualquier otra cuestión relativa al tratamiento que se le pueda ocurrir al interesado.
Pero es que si aplicamos otros criterios de interpretación llegamos al mismo resultado. Así, de acuerdo con la interpretación sistemática, vemos que si la LOPD y su reglamento no obligan a tener un registro de accesos, salvo en el nivel alto, difícilmente puede considerarse que el interesado tiene un derecho que carece de la correlativa obligación por la otra parte.
Se dice también que habrá que distinguir entre el nivel de los datos, y si este es alto sí cabría exigir el acceso a los accesos (valga la redundancia) aunque no en los de nivel medio y básico. A esto podemos replicar que hay otra regla de interpretación en nuestro derecho según la cual “donde la ley no distingue el intérprete no debe distinguir”. Por tanto el derecho de acceso tendrá el mismo contenido para todo tipo de datos, y si no es exigible conocer quién ha accedido a los datos de nivel básico tampoco lo será en los datos de nivel alto.
Por eso me parece más acertado el criterio en este aspecto de la agencia madrileña que el de la vasca.
Un saludo a todos.
Gracias Juan Luis por tu aporte a esta discusión. Sin duda una muy interesante aportación de cómo se interpretan las normas en nuestro ordenamiento jurídico.
Un saludo.
Gracias a tí. Enhorabuena por tu blog y suerte, visitas y participación en la andadura blogera.