El número de accesos realizados a los datos ¿es parte del derecho de acceso?


Nuestro amigo (de otras entradas) Pedro, es consultado por un cliente sobre la manera de actuar ante una petición de derecho de acceso en la que se solicita:

  • Qué personas han accedido a los datos.
  • Con qué finalidad.
  • Cuántas veces han accedido.
Pedro tiene bastante clara su respuesta en dos puntos:
Respecto a las personas que han accedido existe, por ejemplo, un Informe de la Agencia Española de Protección de Datos en el que se analiza la naturaleza jurídica del derecho de acceso: El Informe 167/2005, señala  en relación a esta cuestión:

“el derecho concedido al interesado por la Ley únicamente abarcaría el conocimiento de la información sometida a tratamiento, pero no qué personas, dentro del ámbito de organización del responsable del fichero han podido tener acceso a dicha información”

Por lo que se refiere a la finalidad, tampoco es complicado, ya que Pedro se remitiría a la finalidad propia del fichero tal y cómo se encuentre declarado en el Registro de la Agencia (obviamente, la finalidad debería coincidir con la real del fichero).

Pero más dudas le genera la última de las peticiones, la relacionada con el número de veces en las que se ha accedido a los datos. Obviamente, en un primer lugar, podría pensar en la posibilidad de denegar esta petición, pero antes Pedro hace un pequeño “sondeo” de lo que opinan las  Agencias de Protección de Datos y ahí es donde se encuentra con el Dictamen CN11-009 de la Agencia Vasca de Protección de Datos, que da una visión novedosa sobre este asunto. Así, para la Agencia Vasca,  el número de accesos realizados a los datos constituye información sobre si los propios datos del interesado está siendo objeto de tratamiento, según se establece en el artículo 27.1 del Real Decreto 1720/2007. Así, concluye que:

“El ejercicio del derecho de acceso previsto en el artículo 15 de la LOPD incluye el derecho a conocer el número de accesos que se han producido a los datos de carácter personal de su titular, así como la finalidad del tratamiento que se está realizando.”

Por si alguien se pregunta (como se hizo Pedro al leer este Dictamen) que si en en la aplicación de este criterio se debe distinguir entre datos de carácter personal o datos especialmente protegidos, o sobre el tipo de datos, según las medidas de seguridad a aplicar, la respuesta es negativa, ya que la Agencia Vasca de Protección de Datos, en su Dictamen, no realiza estas distinciones.

¿Qué os parece este criterio?

¿Las aplicaciones informáticas que tratan datos personales están preparadas para ofrecer esta información?

PD: Agradezco a Francisco Javier Sempere (@fjavier_sempere) la ayuda recibida para escribir esta entrada.

Autor: 

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo


Anuncios

16 Responses to “El número de accesos realizados a los datos ¿es parte del derecho de acceso?”


  1. 1 María 24/10/2011 en 10:27

    Interesante post!

    Entiendo que el número de accesos a los datos se podrá comunicar al usuario si el sistema que aloja los mismos tiene implantado registro de accesos, sólo exigible a los datos de nivel alto, entendiendo igualmente, que es posible, que en el caso concreto del Dictamen de la AVPD se refiera a un fichero de nivel alto.

    Muchas dudas me entran en el caso de que se tratase de un fichero cuyo nivel no exigiera registro de accesos.

    Un saludo

    @meryglezm

    • 2 Administrador 24/10/2011 en 10:41

      Gracias María por comentar. A mí, leyendo el criterio, me sugiere que sea únicamente para ficheros que tengan implantadas las medidas de nivel alto, pero las conclusiones del Dictamen parece indicar que sea en cualquier caso.

  2. 3 fjaviersempere 24/10/2011 en 13:25

    Hola, en primer lugar, gracias por la mención 🙂

    Hay alguna autoridad europea -aunque no recuerdo quién exactamente- que también es partidaria de dar esa información, es decir, no sólo el número de accesos sino también las personas que han accedido a la información.

    En la APDCM, somos partidarios de que no, ya que ni la LOPD ni el Reglamento lo contempla. Incluso, podría considerarse una cesión de datos sin consentimiento (en caso de que se diese información de quién ha accecido, con nombres y apellidos).

    Salu2.

    Quizás, la postura de la AVPD vaya por la transparencia.

  3. 4 Administrador 24/10/2011 en 14:15

    Gracias Javier por el comentario y por mostrar la postura en este tema de la APDCM

  4. 5 Maria 24/10/2011 en 15:09

    Hola, yo personalmente considero que se trata de una interpretacion que sobrepasa a lo establecido en la LOPD y su Reglamento.
    Otra cosa es que si se dispone de dicha informacion, se facilite, previa solicitud del interesado, claro está.
    Un saludo!
    @mlozac

  5. 6 Pedro Alberto (@paGonzalez) 26/10/2011 en 13:24

    Hola Gontzal.
    El criterio que en su día adoptó la AEPD respecto de preservar la identidad de las personas concretas que han podido acceder a la información me parece, de entrada, acertado. Pero creo que no se debe convertoir en una excusa de opacidad para con el ciudadano, y yo creo que hay que ir a la raíz del “bien jurídico” a proteger.
    Es decir, cuando alguien pregunta, por algo será: aunque siempre hay quien dice que “solo es por fastidiar”, normalmente habrá algún motivo que le hace pensar que sus datos no están siendo correctamente (o legalmente) tratados, y el acceso es su derecho.
    Precisamente, los registros de accesos son una medida de seguridad reforzada (art. 103 RDLOPD que, como bien se apunta, únicamente es exigible para datos de nivel “alto”), que permite asegurar la trazabilidad de los accesos y, en consecuencia, garantizar que “Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos” (art. 91.4 RDLOPD). No podemos pasar por alto esta finalidad.
    Es por ello que cuando el afectado pudiera querer verificar el uso correcto de su información, el número de accesos a sus datos (y también, porqué no, las fechas) le puede dar pistas sobre ello e iniciar la denuncia correspondiente: será entonces la APD correspondiente la que sí recabará la información concreta de los registros de accesos y decidirá sobre la pertinencia (o no) de tales accesos.
    En mi opinión personal, ese derecho de acceso a los datos relativos a los registros de accesos podría resolverse por vía interpuesta, mediante el ejercicio de la “tutela de derechos” por la APD competente, sin tener así que forzar una denuncia. Pero esto es solo una conjetura…

  6. 7 Administrador 26/10/2011 en 13:47

    Muchas gracias Pedro Alberto por comentar y dar tu visión respecto a este tema.

    A mí, particularmente, me parece muy correcto el poder facilitar la información del número de accesos (e incluso, como tu comentas, la fecha), en una petición de derecho de acceso, cuando el responsable tiene la obligación de tener implantado un registro de accesos (en un tratamiento de nivel alto).
    Pero me genera más dudas cuando no existe tal obligación, es decir, si no tengo implantado el registro de accesos porque no tengo esa obligación (en un tratamiento de nivel básico o medio).

    • 8 Pedro Alberto (@paGonzalez) 26/10/2011 en 15:15

      Bueno, aquí no estaría muy de acuerdo:
      1.- si el nivel del fichero no es Alto, no hay obligación de mantener un registro de accesos; pero las medidas tienen la consideración de “mínimos exigibles” (art. 81.7 RDLOPD), luego tenerlo sería una ” buena práctica”
      2.- en el abanico comprendido entre la consideración de “dato excesivo” y el de “dato obligatorio” caben muchos datos relacionados con la finalidad del tratamiento, ya sea de forma sustantiva o bien instrumental, como sería el caso de los registros de accesos, que no siendo obligatorios, tampoco serían excesivos.
      3.- si existe un registro de accesos, no puede hurtarse su existencia, por lo que su información sigue teniendo la consideración de “datos de carácter personal” sujetos al derecho de acceso (con la salvedad ya apuntada de la identidad del usuario).
      Como decía no-se-quien, ésta es mi opinión: hay otras, pero no son la mía ;o)))

  7. 9 María 26/10/2011 en 18:11

    Buenas de nuevo.
    La respuesta de Pedro Alberto me ha dado que pensar y coincido con él en varios aspectos:
    1.- Medidas de seguridad son mínimos exigibles.
    2.- Aunque el registro de accesos al fichero sólo es obligatoriamente exigible para los ficheros de nivel alto, sí se nos exige para el resto de niveles el que sólo el personal autorizado accederá a los datos, de forma que se podría llegar a determinar “el quien” a través de esta medida, aunque a priori (y no soy técnica) no “el cuanto”.
    3.- El usuario q solicita dicho acceso puede tener un motivo bien fundado y fundamentado para solicitar el dº acceso con ese grado de especificación, y si la finalidad y el objetivo es válido, y el responsable puede aportar esos datos porque no hacerlo.

    Me crea dudas el facilitar el listado del personal que accedió al fichero en la respuesta al ejercicio derecho de acceso, pues podría ser considerada una cesión ilícita de datos….

    En este sentido, interesante la sentencia que adjunto en enlace (https://docs.google.com/open?id=0Bx0CPHPoWU-fZjRmZTNhZWUtNTllYy00MjVmLTljN2MtYWZhNTNhMmI1YzJj), en la que se indemniza a la familia por el número de accesos indebidos realizados a la historia clínica de un fallecido, al considerar que era por mero cotilleo. Eso sí, aquí estamos ante un fichero de nivel alto…

    Seguiremos divagando 😉

    Un saludo

    @meryglezm

  8. 10 Gontzal Gallo (@gongaru) 26/10/2011 en 18:47

    Gracias María por dar tu punto de vista y sobre todo por aportar esa Sentencia….la estaba buscando “desesperadamente” por otras cuestiones.

    Por dar un matiz, respecto a lo que señalas en relación al persona autorizado, yo tampoco soy técnico, pero creo que existen otros mecanismos para verificarlos (Active Directory, se me ocurre).

    Ahora bien, estoy de acuerdo contigo que si el RF puede dar esa información (aunque no esté obligado), ¿por que no darla? Eso sí, si no tiene implantado un sistema de registro de accesos (porque no está obligado), ¿le puedes exigir y, en su caso, sancionar por no tenerlo?

    Saludos,

  9. 11 Javier Allende (@AllendeJavier) 27/10/2011 en 13:34

    Implantar un control de acceso donde se registre el acceso que se tiene a una carpeta o una determinado fichero puede ser sencillo a través de un log.

    El unico problema que veo es, la cantidad de información que generaría ese log y si realmente se revisa ese log.

    con lo cual tenemos un control que está funcionando pero no se está controlando.

  10. 13 Juan Luis Martínez-Carande Corral 29/10/2011 en 20:50

    Buenas noches

    Mi opinión particular es que el derecho de acceso se refiere a la información del titular que es objeto de tratamiento, y que los accesos que se han producido no forman parte del mismo.

    La LOPD dice que “el interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos así como las comunicaciones realizadas o que se prevén hacer de los mismos.”

    De acuerdo con los criterios interpretativos de nuestro Código Civil, si el contenido de los términos de una norma son claros, para su interpretación se estará al tenor literal de sus cláusulas. Y a mí no me cabe duda sobre el sentido del precepto y su extensión: datos personales del interesado, origen y comunicaciones. No se dice que el derecho de acceso se extienda a las personas que han accedido a la misma, a las medidas de seguridad aplicadas o cualquier otra cuestión relativa al tratamiento que se le pueda ocurrir al interesado.

    Pero es que si aplicamos otros criterios de interpretación llegamos al mismo resultado. Así, de acuerdo con la interpretación sistemática, vemos que si la LOPD y su reglamento no obligan a tener un registro de accesos, salvo en el nivel alto, difícilmente puede considerarse que el interesado tiene un derecho que carece de la correlativa obligación por la otra parte.

    Se dice también que habrá que distinguir entre el nivel de los datos, y si este es alto sí cabría exigir el acceso a los accesos (valga la redundancia) aunque no en los de nivel medio y básico. A esto podemos replicar que hay otra regla de interpretación en nuestro derecho según la cual “donde la ley no distingue el intérprete no debe distinguir”. Por tanto el derecho de acceso tendrá el mismo contenido para todo tipo de datos, y si no es exigible conocer quién ha accedido a los datos de nivel básico tampoco lo será en los datos de nivel alto.

    Por eso me parece más acertado el criterio en este aspecto de la agencia madrileña que el de la vasca.

    Un saludo a todos.

    • 14 Administrador 29/10/2011 en 21:55

      Gracias Juan Luis por tu aporte a esta discusión. Sin duda una muy interesante aportación de cómo se interpretan las normas en nuestro ordenamiento jurídico.

      Un saludo.

      • 15 Juan Luis Martínez-Carande Corral 29/10/2011 en 22:33

        Gracias a tí. Enhorabuena por tu blog y suerte, visitas y participación en la andadura blogera.


  1. 1 2.0, Administración y LOPD « Entre Códigos Civiles y Androides Trackback en 14/11/2011 en 08:38

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

  • Mi compañero Jesús escribiendo sobre "Competencia respecto al Esquema de Certificación AEPD-DPD" ow.ly/Bkx230fDae5 2 weeks ago
  • Ojeando Esquema Certificación de DPO de la AEPD, me pregunto: ¿En base a que competencia la AEPD crea ese Esquema? Yo no veo ninguna.... 2 weeks ago

Blogs de mis compañeros

Última entrada del Blog de Jesús Soler: jsolerabogado

Competencia respecto al Esquema de Certificación AEPD-DPD

Ciertamente siempre he tenido en gran consideración y estima la doctrina emanada desde la AEPD, en la que la suma de sus resoluciones, informes y guías han confeccionado un entramado científico, en cuanto al orden, que nos ha ofrecido soluciones a los problemas que la normativa no era capaz de exponer con el detalle y […]

Última entrada del Blog de Gonzalo Álvarez: Derecho de las TIC

Análisis de los conceptos de anonimización, seudonimización y disociación en el ámbito de protección de datos

INTRODUCCIÓN Esta entrada tiene por objeto analizar los conceptos de anonimización, seudonimización y disociación contemplados y definidos en la normativa vigente en materia de protección de datos con el objetivo de aportar una visión coherente ante la próxima transposición de la normativa europea a la legislación española. Asimismo, se realizan referencias a legislación sectorial que […]


jsolerabogado

Reflexiones de un abogado sobre legislación tecnológica

A %d blogueros les gusta esto: