Insurance Europe ha publicado su respuesta a una consulta realizada por el Consejo Europeo de Protección de Datos (EDPB) sobre su proyecto de directrices en relación al derecho de acceso. Insurance Europe acoge «con satisfacción» el borrador de las directrices, ya que aclaran cómo manejar los casos prácticos de solicitudes de acceso a datos y las obligaciones a las que deben adherirse las aseguradoras.

Sin embargo, a Insurance Europe le preocupa que, en ciertos casos, la interpretación de las directrices sobre el derecho de acceso derive en un manejo más oneroso de las solicitudes de acceso a los datos sin ningún beneficio claro para los interesados.

Por ejemplo, la recomendación de las directrices de buscar en los sistemas de respaldo, que pueden no ser de fácil acceso, constituiría una carga desproporcionada. Los datos de copia de seguridad son datos personales almacenados únicamente con el fin de restaurarlos en el caso de pérdida de datos y, por lo tanto, no deben incluirse en el ámbito del derecho de acceso.

El EDPB también recomienda que el controlador asuma que la solicitud de acceso cubre todos los datos personales relacionados con el interesado, independientemente del formato en que se procesen, y que la información debe adaptarse a cada solicitud. Por ejemplo, tras una solicitud de acceso, el controlador de datos no solo debe ofrecer una lista de terceros a los que se han comunicado datos personales, sino especificar sus actividades, subactividades y arrendamientos.

Teniendo en cuenta el elevado número de terceras partes que contribuyen al desarrollo de la actividad aseguradora, esta información sería, a juicio de Insurance Europe, menos útil para el interesado, por el exceso de detalles, y supondría además un esfuerzo desproporcionado y excesivo por parte del responsable del tratamiento. Por lo tanto, sería aconsejable que el controlador pudiera implementar un enfoque por capas. Los controladores podrían, como primer paso, brindar acceso a la información de manera general, similar a un aviso de privacidad, y luego preguntar al sujeto de los datos si se requiere información más personalizada.