El TJUE establece que toda persona tiene derecho a saber a quién se han comunicado sus datos personales

El Tribunal de Justicia de la Unión Europea en su sentencia, asunto C-154/21, de 12 de enero de 2023, ECLI:EU:C:2023:3 reconoce la obligación del responsable del tratamiento de los datos de personales de facilitar al interesado la identidad de los destinatarios a los que haya facilitado o le vayan a ser facilitados esos datos.

En el caso concreto el TJUE analiza una cuestión prejudicial en la que el órgano remitente se cuestiona la interpretación del art. 15 apartado 1 letra c) del RGPD y si el mismo concede al interesado el derecho a acceder a la información relativa a los destinatarios concretos de los datos comunicados o si el responsable puede elegir entre indicar los destinatarios concretos o indicar únicamente las categorías de destinatarios.

El art. 15.1.c) del RGPD señala:

«El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros países u organizaciones internacionales».

Este derecho de acceso es necesario para que el interesado pueda ejercer, en su caso, su derecho de rectificación (art. 16 del RGPD), su derecho de supresión o «derecho al olvido» (art. 17 del RGPD) y el derecho a la limitación del tratamiento (art. 18 del RGPD). Así mismo, su derecho de oposición al tratamiento de sus datos personales del art. 21 del RGPD, y su derecho a recurrir por los daños sufridos, previsto en los arts. 78 y 82 del RGPD. Para garantizar la efectividad de todos estos derechos el interesado debe tener, en particular, derecho a ser informado de la identidad de los destinatarios concretos cuando sus datos personales ya hayan sido comunicados.

Esta interpretación se ve confirmada por el art. 19 del RGPD que establece «El responsable del tratamiento comunicará cualquier rectificación o supresión de datos personales o limitación del tratamiento efectuada con arreglo al artículo 16, al artículo 17, apartado 1, y al artículo 18 a cada uno de los destinatarios a los que se hayan comunicado los datos personales, salvo que sea imposible o exija un esfuerzo desproporcionado. El responsable informará al interesado acerca de dichos destinatarios, si este así lo solicita».

El TJUE subraya que tal y como resulta del art. 4 del RGPD el derecho de la protección de datos personales no es un derecho absoluto. Por tanto, cabe admitir que en determinadas circunstancias no sea posible facilitar información sobre destinatarios concretos, en consecuencia, el derecho de acceso podrá limitarse a la información de las categorías de destinatarios. Así mismo, en virtud del art. 12.5.b) del RGPD el responsable del tratamiento puede negarse a actuar respecto de las solicitudes cuando sean manifiestamente infundadas o excesivas, en este caso, el responsable debe soportar la carga de demostrar el carácter infundado o excesivo de la solicitud.

En vista de todo lo señalado el TJUE declara en su sentencia de 12 de enero de 2023:

«El artículo 15, apartado 1, letra c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos),

debe interpretarse en el sentido de que

el derecho de acceso del interesado a los datos personales que le conciernen, establecido en dicha disposición, implica, cuando esos datos hayan sido o vayan a ser comunicados a destinatarios, la obligación del responsable del tratamiento de facilitar a ese interesado la identidad de esos destinatarios, a menos que no sea posible identificarlos o que dicho responsable del tratamiento demuestre que las solicitudes de acceso del interesado son manifiestamente infundadas o excesivas en el sentido del artículo 12, apartado 5, del Reglamento 2016/679, en cuyo caso este podrá indicar al interesado únicamente las categorías de destinatarios de que se trate».