PROTECCION DE DATOS PERSONALES
Sanción a Mercadona: La AEPD aumenta injustificadamente las obligaciones que se derivan del derecho de acceso
Publicado en El Confidencial el 05-07-2022
07-07-2022 — CM/2022/054
La Agencia Española de Protección de Datos (AEPD) ha sancionado a Mercadona por eliminar unas imágenes de seguridad conforme a su política de conservación de datos del sistema de videovigilancia después de haber recibido una solicitud de acceso a las grabaciones captadas por las cámaras.
La Agencia no impone la sanción por entender que la empresa haya actuado con mala fe, no afirma que ha eliminado las imágenes voluntariamente para evitar alguna responsabilidad. Todo parece indicar que considera que las imágenes se suprimieron por una descoordinación entre la política de conservación de datos y los procesos para atender los derechos de los interesados e impone la sanción por este motivo. Ni siquiera menciona la concurrencia de algún ánimo ilegítimo en la compañía.
La sanción tiene por causa esta descoordinación involuntaria en los procesos internos. Es decir, se basa en que la compañía no había previsto que la ejecución de la política de conservación de datos podía impedir la entrega al interesado de una copia de la información cuando se hubiera solicitado el acceso con anterioridad a su eliminación.
Desde nuestro punto de vista, el RGPD no secunda esta interpretación de la AEPD. La solicitud del derecho de acceso no obliga a conservar los datos y, por ello, no deben suspenderse las políticas generales que regulan la vida del dato.
Conforme al RGPD, el derecho de acceso atribuye al interesado el derecho a obtener, además de la información completa sobre las circunstancias del tratamiento, una copia de los datos objeto del tratamiento. Todo ello, en el plazo de un mes prorrogable por otro adicional en ciertos supuestos.
A nuestro entender, la clave para comprender correctamente el alcance del derecho de obtener una copia de los datos está en la cuestión de si la copia tiene que reflejar la información que se trataba en el momento en el que la requirió el interesado, o si, por el contrario, la copia debe facilitarse actualizada, de forma que refleje los datos que se tratan en el momento de atenderse la solicitud.
Parece lógico pensar que el principio de transparencia obliga al responsable a facilitar al interesado toda la información de que dispone cuando atiende la solicitud, con independencia de si es mayor o menor que en el momento en que la solicitó. La entrega de una copia sin actualizar sería totalmente desleal pues ocultaría al interesado la evolución del tratamiento durante el plazo de atención del derecho, que puede alargarse durante dos meses.
Por ello, consideramos que la sanción a Mercadona por haber informado al interesado de que, en ejecución de la política de conservación de datos, se habían eliminado las imágenes, en lugar de haber suspendido esa política tras recibir la solicitud de acceso, carece de fundamento legal pues el RGPD no impone esa obligación a quien recibe una solicitud de acceso.
Igualmente, la sanción por infringir esa pretendida obligación atenta contra el principio de legalidad. En este sentido, el Reglamento General de Protección de Datos (RGPD) prohíbe conservar los datos más tiempo del estrictamente necesario y, concretamente, el considerando 64 prohíbe conservarlos con el único propósito de responder a posibles solicitudes de acceso. Es más, el artículo 15.3, al regular la copia que debe facilitarse al interesado que solicita el acceso, menciona solo los datos que son “objeto del tratamiento”, no los que se hubieran tratado con anterioridad.
Parece que la AEPD presume la mala fe de la compañía al eliminar las imágenes, pero, curiosamente, no la acredita ni la afirma siquiera. La AEPD se limita a considerar que la solicitud de acceso debe paralizar el proceso normal de eliminación de imágenes.
Por ello, cabe afirmar que esta resolución fuerza el contenido del derecho de acceso al incluir en él el contenido del “derecho a la limitación del tratamiento” que regula el artículo 18 del RGPD, que atribuye al interesado la capacidad de exigir al responsable que conserve los datos para utilizarlos en una reclamación. Sin embargo, ningún artículo del RGPD permite esta interpretación expansiva de las consecuencias del derecho de acceso.
Se trata, en definitiva, de un asunto que debería revisar el Tribunal de Justicia de la Unión Europea (TJUE), pues las dudas interpretativas que siembra la Agencia mediante esta resolución solo puede resolverlas una sentencia de este tribunal.
Últimas noticias (ver todas)
La importancia de la elección ante el nuevo escenario de los vehículos alternativos
Cristina Mayo, sociaFrancisco Aparicio, asociado principal
18-12-2024
Cristina Mayo y Francisco Aparicio, socia y asociado principal de finReg360, analizan en esta tribuna de opinión el auge en España de la inversión alternativa y la flexibilidad regulatoria de vehículos como los FILPE 2.0 (fondos de inversión a largo plazo europeos), las entidades de capital riesgo y los fondos de inversión libre.
En FundsPeople el 18-12-2024 | finRegLa ESMA expone nuevos criterios sobre los nombres de los fondos relacionados con la sostenibilidad
finReg36018-12-2024
finReg360 explica que estas directrices establecen criterios específicos y, en el caso de los bonos verdes europeos, destacan que no se aplican ciertas exclusiones del Reglamento Delegado 2020/1818.
En Funds Society el 18-12-2024Las ventas cruzadas en bancaseguros, en el ojo del huracán
Gloria Hernández Aler, sociaIrene Fernández, asociada principal
17-12-2024
Gloria Hernández Aler e Irene Fernández de Buján, socia y asociada principal de finReg360, analizan la práctica de los bancos de ofrecer préstamos hipotecarios o al consumo junto con productos accesorios, como seguros de vida o de protección de pagos, para mejorar las condiciones del préstamo (hipotecas o préstamos bonificados). Aunque estas combinaciones son legales con ciertos requisitos de transparencia, el Banco de España y la Autoridad Europea de Seguros y Pensiones de Jubilación han intensificado su supervisión para asegurar que sean beneficiosas para los clientes.
En El Confidencial el 17-12-2024 | finReg