El pasado 12 de enero, el Tribunal de Justicia de la Unión Europea (TJUE) emitió un fallo que establece que las personas tienen derecho a saber a qué terceras partes se ceden sus datos salvo que el responsable de tratamiento pueda demostrar que es imposible identificar a esas terceras partes o cuando la petición sea manifiestamente infundada o excesiva.
El TJUE basa el fallo en el artículo 15.1.(c) del Reglamento General de Protección de Datos que determina que los individuos tendrán derecho a conocer a “los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales;”.
Los responsables deben, por tanto, ser capaces de identificar e informar sobre la identidad de todos los individuos y organizaciones a las que se les haya cedido datos personales. Esto puede llevarse a cabo mediante un registro electrónico de acceso o a través de cualquier otro medio siempre que se consiga tal fin.
El caso en cuestión partía de un ciudadano que solicitó a la principal compañía de correos de Austria ,Österreichische Post, que se le informase sobre la identidad de todas las terceras partes a las que se les hubiesen cedido sus datos personales.
Österreichische Post informó al solicitante de que es su práctica habitual ceder los datos personales a sus socios comerciales con fines de mercadotécnica en la medida que les permite la ley. El ciudadano procedió entonces a denunciar a la compañía ante los tribunales en Austria. Durante el proceso judicial, Österreichische Post informó al interesado sobre la categoría a la que pertenecían las terceras partes con las que comparte datos personales pero sin especificar en ningún caso su identidad.
El caso llegó hasta el Tribunal Supremo austríaco que solicitó al TJUE una cuestión prejudicial sobre la aplicación de la ley europea, en este caso del RGPD y más en concreto su artículo 15.1.(c) que parece dar la opción al responsable de tratamiento de dar informar bien sobre la identidad o sobre la categoría a la que pertenecen los destinatarios.
En su respuesta, el TUJE determinó que cuando los datos personales son compartidos con terceras partes, los responsables tienen la obligación de informar sobre la identidad de las mismas si se les solicita salvo que sea imposible determinar tal identidad o si se puede demostrar que la petición es infundada o excesiva. En estos últimos casos bastará con informar sobre las categorías a las que pertenecen los destinatarios de los datos.
El TJUE destaca que el acceso a esta información es necesario para que los ciudadanos puedan hacer efectivos los derechos contemplados en el RGPD, tales como el derecho de rectificación o cancelación.