Dret d’accés, dret d’accés, dret d’accés… De segur que darrerament has llegit o escoltat molt sobre aquest dret. Vull dir, drets -en plural-, perquè no hi ha un sol dret d’accés, sinó diversos. En aquesta entrada em referiré al dret d’accés que potser et resulta més desconegut, el que estableix l’article 15 del RGPD com una de les facultats que el dret fonamental a la protecció de dades personals atribueix a tota persona física. Aquest dret d'accés formava part del conjunt de drets coneguts com drets ARCO (accés, rectificació, cancel·lació i oposició), que han estat modificats i ampliats pel RGPD, i que també es denominen drets habeas data. El meu objectiu no és només ajudar-te a conèixer millor aquest dret, sinó també a poder-lo diferenciar dels altres drets d’accés, que no sempre resulta fàcil.
Per enfocar correctament el tema, és oportú recordar breument els trets essencials dels altres drets d’accés. D’una banda, el dret d’accés a la informació pública, regulat a la legislació de transparència i, de l’altra, el dret d’accés a l’expedient per part de les persones interessades, regulat a la legislació de procediment administratiu. Em refereixo a aquests dos drets d’accés perquè són els que -més sovint- es poden confondre amb el que regula el RGPD; i obvio, doncs, altres drets d’accés establerts per legislació sectorial, com seria el cas del dret reconegut als càrrecs electes, que es pot qualificar de privilegiat o reforçat, en connectar amb l’article 23 de la Constitució espanyola (CE).
Sobre el dret d’accés a la informació pública, ja us n'ha parlat Lorena Elvira en dos apunts anteriors. En el primer ens recordava que “El dret a saber o dret a accedir a la informació pública és el dret de les persones majors de setze anys i persones jurídiques a demanar informació que estigui en poder d'una administració pública”. Aquest dret està reconegut en l’article 105.b de la CE, i desenvolupat per les lleis de transparència (Llei 19/2014, de 29 de desembre, de transparència, accés a la informació pública i bon govern, a Catalunya). La finalitat d’aquest dret d’accés -eix bàsic de la transparència, juntament amb la publicitat activa- és permetre a la ciutadania la fiscalització de l’activitat pública, perquè qualsevol persona pugui saber a què es destinen els recursos públics, els criteris d’actuació, etc. Com segurament ja saps, no és un dret absolut sinó que està subjecte a límits, establerts en els articles 21, 23 i 24 de la Llei 19/2014.
Quant al dret d’accés a l’expedient per part de les persones interessades en un procediment administratiu en tràmit, és un dret directament vinculat al dret de defensa, que connecta, doncs, amb l’article 24 de la CE i que està regulat en l’article 26 de la Llei 26/2010, de 3 d'agost, de règim jurídic i de procediment de les administracions públiques de Catalunya, i a l'article 53.1.a de la Llei 39/2015, d'1 d'octubre, del procediment administratiu comú de les administracions públiques. Aquest dret permet a la persona interessada d'accedir als documents que formen part de l’expedient en què té tal condició. La finalitat d’aquest dret és que la persona interessada pugui accedir al contingut de l’expedient, per defensar els seus drets i/o interessos. Ara bé, malgrat que és un dret d’accés amb un abast més ampli -pel fet que l’exerceix la persona interessada-, no és un dret absolut, sinó que també està subjecte a limitacions, tal com es desprèn de l'article 51.1 de la Llei 26/2010 i l'article 82.1 de la Llei 39/2015, que expressament es remeten a les possibles exclusions i limitacions. A més, cal respectar sempre el principi de minimització de dades (art. 5.1.c del RGPD), de manera que si en l’expedient consten dades de tercers, cal assegurar-se de facilitar a la persona interessada sol·licitant d’accés només les dades que siguin adequades, pertinents i limitades al que és necessari en relació amb la finalitat perseguida, que com s’ha dit és satisfer el seu dret de defensa.
Un cop fet aquest breu recordatori sobre els trets bàsics d’aquests dos altres drets d’accés, entro ja en el dret d’accés que disposa el RGPD. En l'article 15.1 es reconeix el dret que tota persona física té de saber si les seves dades personals són objecte de tractament i, en cas afirmatiu, que el responsable que les tracta faciliti l’accés a aquestes dades, juntament amb altra informació que el precepte relaciona (finalitats del tractament, destinataris, termini de conservació i, en general, la mateixa informació que s’ha de facilitar en recollir les dades). L’article 15.3 del RGPD precisa que, per donar compliment al dret d’accés, el responsable ha de facilitar una còpia de les dades personals objecte de tractament.
Aquest dret d’accés del RGPD té, doncs, una finalitat evident, la de garantir a tota persona física un poder de control sobre les seves dades personals, enteses com qualsevol informació relativa a una persona física identificada o identificable (art. 4.1 del RGPD). Així ho declarava expressament el Tribunal Constitucional en la Sentència 292/2000, de 30/11/2000, quan reiterava la connexió d’aquest dret amb l’article 18.4 de la CE, tal com ja havia fet en la pionera STC 254/1993, de 20/07/1993, en la qual precisament es va declarar la vulneració d’aquest dret fonamental per no haver atès la sol·licitud d’una persona que demanava accedir a les seves dades que constaven en determinats fitxers de l’Administració general de l’Estat.
El dret d’accés a les dades pròpies té, doncs, la consideració de dret fonamental, però això no el converteix en un dret absolut, sinó que està subjecte a límits. Quins? Doncs, d’una banda, el mateix article 15.4 del RGPD ja adverteix que el dret a obtenir còpia de les dades pròpies no ha d’afectar negativament els drets i les llibertats de tercers, incloent-hi els secrets comercials o la propietat intel·lectual (considerant 63 del RGPD). De l'altra, l’article 23 del RGPD autoritza la UE i els Estats a limitar l’abast dels drets reconeguts al RGPD -entre aquests el dret d’accés- a través d’instruments legislatius. Ara bé, aquesta limitació ha de respectar “en allò essencial els drets i les llibertats fonamentals” i ser “una mesura necessària i proporcionada en una societat democràtica per salvaguardar” una sèrie de béns jurídics enumerats en l’article 23.1 del RGPD, en una llista (seguretat pública, prevenció o investigació d’infraccions penals, etc.) que té algunes similituds amb les de l'article 21 de la Llei 19/2014 i l'article 14 de la Llei 19/2013, de 9 de desembre, de transparència, accés a la informació pública i bon govern, en els quals també es posen límits al dret d’accés a la informació pública.
El considerant 63 del RGPD ens posa algun exemple concret d’aquest dret d’accés a les dades pròpies quan es refereix al dret de tota persona a accedir a les dades que consten a la seva història clínica, i estableix com una manera vàlida de fer efectiu aquest dret l’accés remot o en línia que permeti a la persona interessada accedir directament a les seves dades, òbviament a través d’un sistema segur. També es refereix a aquesta opció de l’accés remot el projecte de nova LOPD que està a punt de ser aprovat a les Corts Generals, quan en l'article 13.2 disposa que s’ha d'entendre atorgat l’accés si el responsable facilita a la persona afectada un sistema d’accés “remot, directe i segur a les dades personals que garanteixi, de manera permanent, l’accés a la seva totalitat”, i es pot donar resposta a una sol·licitud d’accés amb la simple remissió de les indicacions per accedir a aquest sistema.
Sobre la tramitació d’aquesta sol·licitud d’accés a les dades pròpies, l’article 12.2 de l’RGPD obliga el responsable a facilitar a la persona interessada l’exercici dels seus drets, la qual cosa implica que cal disposar d’un procediment establert a aquest efecte, encara que la persona afectada en pugui utilitzar un altre de diferent. Amb caràcter general, el dret d’accés s’hauria d’exercir per mitjans electrònics (considerant 59 del RGPD). Es tracta d’un dret personalíssim que només pot exercir la persona física afectada (no persones jurídiques), sens perjudici que es pugui fer a través de representació, degudament acreditada. L’article 12.3 del RGPD precisa que el dret s’ha d’exercir davant el responsable del tractament, però es podria atribuir tal facultat a l’empresa externa que actua com a encarregada del tractament, si s'ha establert en el contracte corresponent.
El termini màxim per donar resposta a les sol·licituds d’accés és d’un mes, que es pot ampliar a dos mesos més, tenint en compte la complexitat i el nombre de sol·licituds. Sobre això, el considerant 63 del RGPD precisa que si el volum d’informació personal tractada és elevat, es pot requerir al sol·licitant que especifiqui la informació a la qual vol accedir, disposició que també recull l’article 13.1 del projecte de nova LOPD. L’accés a les dades s’ha de facilitar de manera gratuïta, tret de sol·licituds mancades de fonament, o excessives, per repetitives, i en aquest cas es podria cobrar un cànon raonable, o bé denegar la sol·licitud (art. 12.5 del RGPD). A aquest respecte, l’article 13.1 del projecte de nova LOPD qualifica com a “repetitiu” l’exercici del dret d’accés en més d’una ocasió durant el termini de sis mesos, tret que ho justifiqui una causa legítima. En cas de denegació o desatenció del dret en el termini establert, la persona afectada pot reclamar davant l’Autoritat Catalana de Protecció de Dades.
En definitiva, si en l’òrgan on prestes serveis reps una sol·licitud d’una persona física que demana accés a informació relativa a la seva persona, cal que tinguis en compte el següent: a) si la informació està compresa en un procediment en tràmit en què el sol·licitant és persona interessada, el seu dret a accedir-hi i a obtenir còpia estaria reconegut tant pel RGPD com per la legislació de procediment administratiu; b) en la resta de casos, és a dir tant en procediments finalitzats, com també en el cas de dades que obren en poder de l’Administració però que no estan formalment integrades en un procediment, caldria atendre’l com una sol·licitud d’accés del RGPD, i no d’accés a informació pública, tal com determina la legislació de transparència.
En efecte, l’article 24.3 de la Llei 19/2014 adverteix que si la sol·licitud d’accés a informació pública es refereix només a dades personals del sol·licitant, s’ha de resoldre conformement a la legislació de protecció de dades. És a dir, el legislador de la Llei de transparència va ser conscient que si la persona sol·licitant vol accedir a documents amb informació personal seva, la finalitat que persegueix no té res a veure amb la transparència. En efecte, el que vol aquesta persona sol·licitant no és obtenir informació per controlar els governants, sinó controlar la seva informació personal i l’ús que se’n fa.
Acabo aquesta entrada amb alguns exemples de sol·licituds d’accés que, en aplicació del que he exposat fins aquí, s’haurien de tramitar conformement a la legislació de protecció de dades:
- Qui havia estat l’única persona interessada en un procediment ja finalitzat, demana accés a un document de l’expedient amb dades seves.
- Una persona participant d’un procés selectiu en el qual no va resultar seleccionat, un any després d’haver finalitzat demana accés al seu examen i a les correccions/qualificacions del tribunal.
- Una persona demana informació sobre els impostos que ha abonat els darrers cinc anys, o sobre les multes de trànsit que li han imposat.
Entre la documentació esmentada en aquests exemples és molt possible que hi figurin dades de tercers, en particular les dels empleats públics actuants. Això no evita, però, que la sol·licitud d’accés -plantejada en els termes exposats- s’hagi de tramitar i resoldre com una petició d’accés a les dades pròpies, atès que la finalitat seria exercir el poder de control que tota persona té sobre la seva informació personal. Corrobora aquesta idea el que disposa el considerant 63 del RGPD, ja mencionat, de l’accés a la història clínica, en la qual òbviament hi figuren les dades identificatives dels professionals sanitaris que hi han intervingut. És més, fins i tot si en la informació personal a la qual es pretén accedir hi constessin dades de terceres persones, existiria l’opció d’ocultar aquesta informació personal per no afectar negativament els drets i les llibertats d’altri (art. 15.4 del RGPD).
En fi, confio que el que acabes de llegir et serveixi per tenir més clar quina és la norma a escollir davant una sol·licitud d’accés, cosa que, com he dit al principi, no sempre resulta fàcil.
Per si vols llegir més sobre aquest tema, pots consultar uns enllaços a pronunciaments de l’APDCAT, el primer, en una resolució d’un procediment de tutela del dret d’accés, i el segon, en un dictamen.