En la actualidad, todas las empresas y particulares a quienes aplique la normativa en materia de protección de datos, y que actúen en calidad de Responsables de Tratamiento (en adelante RT), están obligados a proporcionar información al interesado sobre los datos personales que tratan y tienen en su poder. Al igual que el resto de los derechos del interesado, el derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos personales, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento. ¿Cómo puede el RT verificar la identidad del interesado que solicita su información?
Hace escasas semanas, el Comité Europeo de Protección de Datos (en adelante, CEPD), publicó unas Directrices sobre los derechos de los interesados, concretamente, sobre el Derecho de Acceso. No obstante, debemos mencionar que estas Directrices no son definitivas ya que, tras la publicacion de esta Guía, se abre un periodo de consulta publica. En esta primera version, se hace un repaso exhaustivo sobre todas las casuísticas que se pueden dar tanto para la figura del interesado como para la del responsable del tratamiento durante el ejercicio de este derecho en particular. En esta ocasión, nos vamos a centrar en el análisis de:
La correcta forma de verificación de la identidad de un interesado cuando ejerce su derecho de acceso ante el Responsable.
Cuando un Responsable del Tratamiento recibe una solicitud de derecho de acceso lo primero que debe hacer es identificar al interesado. Tal y como se establece en las mencionadas Directrices, el derecho de acceso puede ejercerse exclusivamente en relación con los datos personales relativos al interesado que solicita el acceso o, en su caso, por una persona autorizada o un apoderado. Por tanto, es imprescindible que el RT se asegure de que el interesado que está solicitando el acceso a sus datos personales es quien dice ser.
Así las cosas, si el Responsable tiene dudas razonables sobre la identidad de la persona física que realiza la solicitud, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado. En este caso, si existen problemas para establecer la identidad de la persona que hace la solicitud, el responsable debe dar curso a las solicitudes de los interesados para el ejercicio de sus derechos individuales, a menos que pueda demostrar, mediante una justificación acorde con el principio de responsabilidad, que no está en condiciones de identificar al interesado.
De este modo, según el Considerando 59 del Reglamento Europeo de Protección de Datos (en adelante RGPD), en caso de que se demuestre la imposibilidad de identificar al interesado, el Responsable del Tratamiento debe informarle al respecto, si es posible, ya que el Responsable esta obligado, en general, a responder a las solicitudes del interesado sin demoras indebidas y a motivar su decisión de no atenderlas. ya que el Responsable del Tratamiento debe estar obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.
Evaluación de la proporcionalidad en relación con la identificación de la persona solicitante:
Como hemos visto, si el Responsable del Tratamiento tiene motivos razonables para dudar de la identidad de la persona solicitante, puede requerirle información adicional para confirmar su autenticidad. Particularmente, en relación con las solicitudes de acceso en el contexto de los servicios en línea, el Considerando 64 del mismo Reglamento se refiere a la posibilidad de que el responsable utilice todas las “medidas razonables” para verificar la identidad de los interesados. Sin embargo, al mismo tiempo, el Responsable debe garantizar que no recoge más datos personales de los necesarios para permitir la identificación de la persona solicitante.
Por lo tanto, el RT deberá llevar a cabo una evaluación de la proporcionalidad, que debe tener en cuenta los siguientes elementos:
- El tipo de datos personales que se tratan (por ejemplo, categorías especiales de datos o no).
- La naturaleza de la solicitud.
- El contexto en el que se realiza la solicitud.
- Así como el perjuicio que podría derivarse de una divulgación indebida.
Al evaluar la proporcionalidad, se debe recordar que hay que evitar la recogida excesiva de datos y garantizar al mismo tiempo un nivel adecuado de seguridad en el tratamiento.
Además, el método utilizado para la autenticación debe ser pertinente, adecuado, proporcionado y respetar el principio de minimización de los datos.
Si el Responsable del Tratamiento impone medidas encaminadas a la identificación del interesado que resulten gravosas, deberá justificarlas adecuadamente y garantizar el cumplimiento de todos los principios fundamentales, incluida la minimización de datos y la obligación de facilitar el ejercicio de los derechos de los interesados.
En consecuencia, y tal y como se estipula en las Directrices de referencia, es desproporcionado exigir una copia de un documento de identidad (DNI) en el caso de que el interesado que realiza sus solicitudes ya estuviera autenticado por el responsable del tratamiento, por ejemplo, mediante un mecanismo de autenticación, como las mismas credenciales, empleadas por el interesado para abrir una sesión en el servicio en línea ofrecido por el responsable.
Cabe destacar que el uso de una copia de un DNI como parte del proceso de autenticación crea un riesgo para la seguridad de los datos personales y puede dar lugar a un tratamiento no autorizado o ilegal, por lo que debe considerarse inadecuado, a menos que sea estrictamente necesario, adecuado y conforme a la legislación nacional.
En cualquier caso, la información sobre la identificación que no sea necesaria para confirmar la identidad del interesado como la nacionalidad, la foto u otros aspectos del DNI que pueden ser ennegrecidos u ocultados por el interesado antes de presentarlo al responsable del tratamiento, excepto cuando la legislación nacional exija una copia completa sin tachar del documento de identidad.
El CEPD recomienda, como buena práctica, que el responsable del tratamiento, después de comprobar el documento de identidad, anote, por ejemplo, «Se ha comprobado el documento de identidad» para evitar la copia o el almacenamiento innecesarios de copias del documento de identidad.
En consonancia con ello, el pasado mes de febrero se publicó por parte de la Agencia Española de Protección de Datos, en adelante AEPD, una resolución por la cual se sancionaba con 300 mil euros a la consultora Michael Page por haber establecido como procedimiento interno de gestión de derechos la solicitud del DNI al interesado de forma previa al acceso de sus datos personales vulnerándose así el principio de minimización de datos del artículo 5.1 c) del RGPD.
En España, la necesidad de aportar el DNI o documento equivalente por parte del interesado estaba prevista en el artículo 25 del derogado, en su casi totalidad, Real Decreto 1720/2007. Si bien es cierto que la “Guía para el Ciudadano” elaborada por la AEPD y las instrucciones que contienen los formularios para el ejercicio de derechos que esta Agencia pone a disposición de los ciudadanos a través de su web, se informa a los ciudadanos sobre la posibilidad de que los responsables les soliciten fotocopia del DNI o documento equivalente, pero con la advertencia de que esto debe plantearse cuando el responsable tenga dudas sobre la identidad del solicitante, así como la posibilidad de usarse la firma electrónica en vez del documento identificativo.
Asimismo, cuando se necesite solicitud de información adicional por parte del Responsable al interesado con el objeto de verificar su identidad se han de tener en cuenta algunas consideraciones como son:
- Posibilidad al alcance del responsable.
- Excepcionalidad.
- Minimización y proporcionalidad.
Así, respecto al requerimiento del DNI, la AEPD constató que Michael Page:
- Diseñó su procedimiento de gestión de derechos sin analizar previamente la existencia o no de dudas razonables respecto a la identidad del solicitante.
- No justificó tener dudas razonables sobre la identidad del solicitante.
- Disponía de medios menos intrusivos para verificar la identidad.
En la misma línea que la AEPD, se ha manifestado la Autoridad de Control de Protección de Datos Holandesa en una resolución a través de la cual impone una multa de 525 mil euros a la empresa de medios belga DPG Media por requerir el DNI previamente, como prueba de identificación, a los interesados que querían acceder a sus datos personales.
La Autoridad de Control Holandesa considera que nunca se debe solicitar un documento completo de identidad ya que esa acción supone tratar más datos personales de los necesarios.
La Agencia Española de Protección de Datos ya se manifestó acerca de ello en alguna otra ocasión y lo analizamos en nuestro blog.
Solicitudes de acceso realizadas a través de terceros / apoderados:
Aunque el derecho de acceso es ejercido generalmente por los interesados en lo que les concierne, es posible que un tercero presente una solicitud en nombre del interesado. Esto puede aplicarse, entre otras cosas, a la actuación a través de un apoderado o de los tutores legales en nombre de los menores, así como la actuación a través de otras entidades a través de portales en línea.
En algunas circunstancias, la identidad de la persona autorizada a ejercer el derecho de acceso, así como la autorización para actuar en nombre del interesado, puede requerir una verificación siempre que sea adecuado y proporcionado.
Por último, las Directrices sobre el derecho de acceso también nos señalan una serie de ejemplos prácticos para llevar a cabo una correcta verificación de la identidad del interesado por parte del RT:
Cuando el RT tenga dudas razonables a la hora de identificar al interesado:
“La interesada Sra. X solicita el acceso a sus datos mientras habla con un asesor de la línea de ayuda de una compañía eléctrica con la que ha suscrito un contrato.
El asesor, al tener dudas sobre de la identidad de la persona que realiza la solicitud, genera en el sistema de la empresa un código único único que se envía al número de teléfono móvil del usuario, facilitado al crear la cuenta, como parte del sistema de doble verificación, acción que debe considerarse proporcionada en este caso”.
Para una verificación pertinente y no gravosa:
- Utilizar las mismas credenciales utilizadas por el interesado para iniciar sesión en el servicio en línea ofrecido por el Responsable del Tratamiento.
- Para que los particulares puedan acceder a los datos contenidos en sus cuentas (como una cuenta de correo electrónico, una cuenta en redes sociales o tiendas en línea), lo más pertinente es que los Responsables del Tratamiento soliciten el registro a través del nombre de usuario y la contraseña de autenticar, lo que en estos casos debería ser suficiente para identificar al interesado.
Otras formas de verificación:
- Solicitud de derechos con firma electrónica.
- Uso de una herramienta multifactor.
A modo de conclusión, las normas que regulan el ejercicio de derechos no establecen, por tanto, la necesidad de aportar ningún documento identificativo concreto para que puedan ser atendidas, ni siquiera exigen que esa verificación de la identidad se realice mediante documentación. Se refieren a la posibilidad de recabar “información adicional” y a la utilización de “medidas razonables”, correspondiendo al responsable determinar qué información y qué medidas resultan razonables en cada caso, atendidas las circunstancias concurrentes y acudiendo siempre a los medios menos invasivos para la intimidad de las personas solicitantes. Todo ello, bajo la condición previa de que se trate de un supuesto en el que no existan “dudas razonables” sobre la identidad del solicitante.