Datos de geolocalización
Recientemente, la Agencia Española de Protección de Datos a través del Procedimiento EXP202213697 ha resuelto el derecho que tienen los interesados a poder acceder a los datos de geolocalización que son usados y tratados por el responsable del tratamiento. En este caso, el internado a través del artículo 15 del Reglamento General de Protección de Datos 2016/679 solicitó el derecho de acceso a la información ante su compañía telefónica, en este caso Vodafone, en la que solicitaba los datos de geolocalización de cada una de las líneas contratadas.
La operadora contestó al interesado indicándole que dichos datos no constaban registrados en sus ficheros y que por lo tanto, no podía entregar ninguna información. Respuesta que fue presentada ante la Autoridad de Control ya que el interesado consideró que no se había atendido a su derecho de manera correcta y que no se le entrega unos datos que sí eran tratados por parte del responsable del tratamiento.
¿Qué argumentos legales usó la operadora para no proporcionar los datos de geolocalización?
Principalmente su argumento pivotó en base a la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.
Para la compañía, la petición de interesado excede el alcance del ejercicio del derecho de acceso a sus datos de carácter personal ya que entiende que las obligaciones de conservación y cesión de dichos datos es únicamente a los agentes públicos y siempre previa autorización judicial de acuerdo con el artículo 6 de la citada ley, por lo que únicamente podría facilitar el acceso a dicha información a las autoridades en el marco de una investigación penal y previa autorización judicial.
¿Qué dice la Agencia Española de Protección de Datos?
El artículo 15.1 del RGPD establece que “El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información”.
Indica que Vodafone únicamente se limita a afirmar que no está obligado a otorgar dicho derecho debido a que, a su juicio, su conservación se establecería legalmente con el único objetivo de ser puestos a disposición de las Fuerzas y cuerpos de seguridad, previa autorización judicial, conforme a lo establecido en la Ley 25/2007, de 18 de octubre. Sin embargo, una vez determinado el carácter de “dato personal” de la información solicitada, las únicas excepciones que pudieran establecerse respecto al ejercicio de cualquier derecho de los establecidos en los artículos 15 a 22 del Reglamento serán las legalmente establecidas.
También hace una valoración del argumento legal que hace la compañía de teléfono al ampararse en el artículo 9 de la Ley 25/2007, por lo que la AEPD entiende que en el mismo precepto no se establece restricción alguna en relación con la posibilidad de ejercer el derecho de acceso. Únicamente se contienen las obvias precauciones de que al titular de los datos no tendrá que comunicársele la cesión de los mismos (cuestión obvia por tratarse de investigaciones penales), y que no podrá ejercerse el derecho de supresión.
La Autoridad de Control concluye estableciendo que los datos de ubicación de la línea telefónica pueden ser objeto de petición de derecho de acceso.
El derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como información, en particular, sobre los fines del tratamiento, las categorías de datos personales de que se trate, los destinatarios o categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, el plazo previsto o criterios de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una reclamación ante la autoridad de control, la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información sobre transferencias de datos personales a un tercer país o a una organización internacional.
No te pierdas toda la actualidad en Protección de Datos & Cumplimiento Normativo de la mano de los mejores profesionales del sector en nuestro Máster Profesional en Dirección de Compliance & Protección de Datos.