BOLETÍN DE ACTUALIDAD DE DERECHO CIVIL

Resolución de la AEPD contra DIGI Spain Telecom


La resolución de la Agencia Española de Protección de Datos (AEPD) frente al recurso de reposición de DIGI Spain Telecom se apoya en una interpretación exhaustiva de la normativa europea y nacional sobre protección de datos, así como en la doctrina del propio organismo y del Comité Europeo de Protección de Datos.

1. Derecho de acceso y su alcance

La AEPD recuerda que el derecho de acceso, recogido en el artículo 15 del Reglamento General de Protección de Datos (RGPD), confiere a toda persona interesada la facultad de obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, acceder a los mismos. Este derecho no solo abarca los datos facilitados directamente por el interesado, sino también aquellos generados por la prestación del servicio, como los registros de llamadas telefónicas.

La Agencia subraya que el derecho de acceso es un pilar fundamental de la protección de datos, ya que permite al interesado conocer y verificar la licitud del tratamiento de sus datos, así como ejercer otros derechos, como la rectificación o la supresión.

2. Límites al derecho de acceso

La resolución analiza los límites al derecho de acceso previstos en el artículo 15.4 del RGPD, que establece que el derecho de acceso no debe afectar negativamente a los derechos y libertades de otros. Esta limitación debe interpretarse de manera restrictiva y no puede aplicarse de forma generalizada, sino que requiere una justificación concreta y específica en cada caso.

La AEPD indica que, si bien puede haber situaciones en las que la entrega de determinados datos pueda afectar a terceros (por ejemplo, en llamadas desde números ocultos o de personas distintas al titular), corresponde al responsable del tratamiento acreditar de manera precisa cómo se verían afectados esos derechos y, si es posible, adoptar medidas técnicas para protegerlos, como la anonimización o el bloqueo de datos identificativos de terceros.

3. Interacción con la normativa sectorial

La Agencia examina la Ley 25/2007, de conservación de datos relativos a las comunicaciones electrónicas, y la Ley 11/2022, General de Telecomunicaciones. DIGI alegó que estas normas limitan la entrega de registros de llamadas entrantes a supuestos de requerimiento judicial o policial. Sin embargo, la AEPD concluye que estas leyes no establecen una restricción expresa al derecho de acceso de los usuarios a sus datos personales, sino que regulan obligaciones específicas de conservación y acceso para fines de seguridad y prevención de delitos.

Por tanto, la existencia de estas normas no puede justificar por sí sola la negativa a facilitar los registros de llamadas entrantes al interesado, siempre que se garantice la protección de los derechos de terceros.

4. Principio de responsabilidad proactiva

La resolución enfatiza el principio de responsabilidad proactiva del responsable del tratamiento, que debe adoptar las medidas necesarias para cumplir con la normativa de protección de datos y ser capaz de demostrarlo. Esto implica analizar cada solicitud de acceso de forma individualizada, valorar los riesgos para los derechos de terceros y buscar soluciones que permitan satisfacer el derecho de acceso sin menoscabar otras garantías.

5. Precauciones en la entrega de datos

La AEPD recuerda que el responsable debe asegurarse de que la información facilitada en respuesta a una solicitud de acceso corresponde efectivamente al interesado y no incluye datos personales de terceros, salvo que se cuente con su consentimiento o exista otra base legal para ello. Se recomienda, por tanto, extremar las precauciones y, en caso de duda, limitar o anonimizar la información relativa a terceros.

6. Rechazo de argumentos genéricos

La Agencia rechaza los argumentos genéricos presentados por DIGI, que se basaban en la posible afectación a derechos de terceros y en la existencia de normativa sectorial, sin aportar una justificación concreta y detallada de cómo se verían afectados en el caso particular. La resolución insiste en que la denegación del acceso debe estar motivada y respaldada por un análisis específico de los riesgos y las posibles medidas de mitigación.

https://www.aepd.es/documento/reposicion-pd-00132-2024.pdf

Back to top arrow