Ejerciendo los derechos de acceso en España

Mediante la puesta en marcha de un breve estudio etnográfico hemos querido explicar las experiencias de ejercer el derecho de acceso a los datos personales en España. En primer lugar, ubicando la información requerida sobre las organizaciones y sus controladores de datos y, en segundo lugar, enviando solicitudes de acceso a estas organizaciones. La primera oleada del trabajo de campo se realizó unos años atrás, cuando Eticas participaba en un proyecto de investigación europeo más amplio. La segunda se realizó en 2018 por parte del equipo de Eticas Foundation y de colaboradores.

Derechos de acceso en España, 2014

Como parte de este proceso, intentamos ubicar los controladores de datos en 30 organizaciones y posteriormente enviamos 21 solicitudes de acceso a una amplia gama de controladores tanto en el sector público como del privado.

Los detalles del controlador de datos se encontraban habitualmente en los sitios web oficiales de las organizaciones. Si no, a menudo era necesario ponerse en contacto con las organizaciones por teléfono. Cuando hablamos con el personal por teléfono había una falta de experiencia sobre la protección de datos y los derechos de acceso. Estas conversaciones resultaron difíciles debido a la sospecha sistemática de los encuestados, que parecían escépticos de que quisiéramos acceder a nuestros datos personales simplemente porque teníamos curiosidad.

En el caso de los sistemas de CCTV, la señalización obligatoria debería haber comportado que podríamos ubicar el controlador de datos sin hablar con ningún miembro del personal en persona. Pero se encontraron irregularidades en la señalización debido a una ubicación deficiente e invisibilidad, ninguna señalización, o señalización sin detalles del controlador de datos. Sólo en 2 de 5 sitios se encontró una señalización con buen cumplimiento de la ley española.

Cuando hicimos este trabajo de campo en el año 2014, descubrimos que el grado general de cumplimiento legal y el desempeño de buenas prácticas cuando los ciudadanos intentaban ejercer sus derechos de acceso en España eran bajos. Algunas organizaciones no respondieron a nuestras solicitudes en ningún momento y solo se consideró que una minoría de los casos dio lugar a respuestas legalmente adecuadas después de un proceso relativamente sencillo y directo.

En este sentido, ¿cómo sería la situación 4 años después, y con la nueva regulación europea sobre protección de datos ya en vigor? Para responder a esa pregunta, decidimos volver a poner nuestros derechos de acceso en práctica.

Derechos de acceso en España (2018) bajo RGPD

En esta ocasión para realizar el trabajo de campo buscamos el contacto de 34 controladores de datos, de los que finalmente pudimos efectuar 31 peticiones de acceso a datos personales (91,18%), correspondientes tanto a empresas y organismos del sector público como del sector privado. Las 3 peticiones de acceso que no pudimos llegar a llevar a cabo fueron, en dos casos, porque que no fue posible localizar los datos de contacto para realizarla, y en otro caso, el formulario contenía un error y no dejaba introducir el código postal correspondiente, y por tanto no dejaba enviar la petición.

El nivel de cumplimiento fue bastante desigual. De las 31 peticiones de acceso que pudimos hacer, solamente 12 fueron respuestas de manera óptima y directa (38,71%), es decir, respuestas que ofrecían una información correcta dentro del plazo establecido. Por otro lado, 6 respuestas recibidas solicitaban algo más de información de parte de la persona interesada (19,35%) para que la petición se pudiera seguir procesando: 2 pedían enviar una copia del documento de identidad; 1 efectuó incluso una llamada telefónica a la interesada preguntándole de qué datos quería recibir información (y por qué motivos); y en 2 casos pedían las dos cosas, es decir, enviar un documento de identidad y especificar a qué información se deseaba acceder.

Sólo en 1 caso recibimos una respuesta que era una comunicación de ampliación del plazo legalmente establecido de 30 días a 2 meses para dar una respuesta, argumentando que se trataba de una petición compleja de responder dada la gran cantidad de datos que gestionaban. Si 12 fueron respuestas directamente, y 7 fueron respuestas pero sin ofrecer en un primer momento los datos personales solicitados, las peticiones enviadas de las que no obtuvimos ninguna respuesta fueron un total de 9, lo que es casi un 30% (29,03%). Además, añadidos a estos, en 1 caso recibimos respuesta fuera del plazo que establece la ley.

Por sectores, el sector privado en general responde mejor que el sector público. Consideramos 34 controladores de datos, de los cuales 21 eran actores privados y 13 actores públicos. De las respuestas más satisfactorias, sólo un 16,67% corresponde a entidades del sector público, y el resto (83,3%) son empresas privadas. Por el contrario, de los casos de los que no recibimos respuesta, un 55,6% de corresponde a entidades del sector público, y el 44,4% a entidades privadas.

En cuanto a la opción que recoge la nueva legislación europea relativa a proporcionar una vía electrónica mediante la cual ejercer el derecho de acceso (RGPD, considerando 59), en la LOPDGDD no se considera una obligación sino una opción más entre otras. Así, de las organizaciones incorporadas en el estudio, 20 lo ofrecen (un 64,52% de entidades), pero 12 no, es decir, un 38,71%. Y por sectores, las que no son mayoritariamente del sector público, un 66,67%, frente a un 33,33% de empresas del sector privado. En cuanto a las que sí cumplen con esta opción contemplada por la ley, 15 son empresas privadas y 5 públicas, con un 75% y un 25% respectivamente. De los casos vale la pena resaltar cuando recibimos una llamada al móvil donde nos hacían preguntas sobre los motivos de por qué se quería llevar a cabo este derecho; en otro caso, nos pedían de ir personalmente para identificarse. O también, el caso en que recibimos un correo electrónico que prácticamente no se podía leer, texto sin formato, con código html visible y utilizando una jerga legal.

Conclusión

Hemos mejorado algo, sí: en acceder a los datos de contacto donde poder ejercer los derechos de acceso, pasando de un 74% de éxito en 2014 a un 91,18% en 2018. Y también hemos mejorado en poder acceder a estos datos de contacto mediante consulta online (sin tener que visitar el organismo personalmente ni tener que llamar por teléfono), pero todavía vemos un nivel bastante bajo de ofrecimiento del derecho de acceso por medios electrónicos, ya que casi un 40% no lo proporcionan (38,71%). 

Y todavía quedan prácticas poco afines a la protección de datos como la que relatamos de la llamada telefónica, aunque en este caso debido a que la interacción personal es menor hemos encontrado solamente uno. Finalmente, el sector público sigue estando por detrás del sector privado en buenas prácticas, pero va mejorando, pues ostentaba el 90% de las malas prácticas en 2014, y el 2018 representa un 55,6% de las entidades que no ofrecen ninguna respuesta. También siguen yendo por detrás, como veíamos en los porcentajes, ofreciendo una vía electrónica para ejercer el derecho de acceso, respecto a entes privados.

Podéis consultar el informe completo here