Derecho de acceso RGPD: cómo responder la solicitud

·

Cualquier persona puede dirigirse a tu empresa en cualquier momento y preguntar: «¿qué datos míos tenéis y qué hacéis con ellos?». Esta pregunta, aparentemente sencilla, activa el derecho de acceso reconocido en el artículo 15 del Reglamento (UE) 2016/679 (RGPD) y obliga a la organización a responder de manera completa, gratuita y dentro de un plazo legal que no admite demoras injustificadas. Gestionar bien estas solicitudes no es solo una cuestión de cumplimiento: es también una señal de seriedad y confianza ante clientes, empleados y proveedores.

Este artículo explica, paso a paso, cómo responder a una solicitud de acceso a datos: desde la verificación de identidad del solicitante hasta la redacción de la respuesta, pasando por los plazos del artículo 12.3 del RGPD, la gratuidad de la gestión y los límites que la norma permite aplicar ante peticiones manifiestamente infundadas o excesivas.

Qué es el derecho de acceso según el RGPD

El artículo 15 del RGPD regula el derecho de acceso del interesado. En virtud de este derecho, cualquier persona física tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en caso afirmativo, acceder a dichos datos y recibir la siguiente información:

El responsable debe facilitar además, si así se solicita, una copia de los datos personales objeto del tratamiento (art. 15.3 RGPD). Esta copia se proporcionará en formato electrónico cuando la solicitud se haya presentado por medios electrónicos, salvo que el interesado solicite otro formato.

El procedimiento de atención a los derechos de los interesados es uno de los pilares de cualquier programa de adecuación al RGPD. Sin un canal de respuesta definido, es prácticamente imposible gestionar estas solicitudes en los plazos que exige la norma.

Primer paso: verificar la identidad del solicitante

Antes de responder a una solicitud de acceso, la empresa debe asegurarse de que quien la presenta es realmente quien dice ser. El artículo 12.6 del RGPD permite al responsable solicitar información adicional para confirmar la identidad del solicitante cuando existan dudas razonables sobre ella. No es un trámite opcional: facilitar los datos de una persona a quien se hace pasar por ella es en sí mismo una brecha de seguridad.

Sin embargo, la verificación debe ser proporcionada. No es admisible exigir documentación desproporcionada para ejercer un derecho básico. Las buenas prácticas recomendadas por la AEPD en su guía de derechos incluyen:

El período que transcurre mientras se espera la acreditación de identidad no computa dentro del plazo de un mes, siempre que la solicitud de información adicional se haga sin demora injustificada. Esto debe quedar documentado.

Plazo para responder: el mes del artículo 12.3 del RGPD

El artículo 12.3 del RGPD establece que el responsable del tratamiento debe facilitar la información solicitada a más tardar en el plazo de un mes a partir de la recepción de la solicitud. Cuando las solicitudes sean complejas o numerosas, ese plazo puede ampliarse en dos meses adicionales, siempre que se informe al interesado de la ampliación y de sus motivos antes de que venza el primer mes inicial.

Si el responsable decide no actuar, también debe comunicarlo al interesado en el plazo de un mes, informándole del motivo y de su derecho a presentar una reclamación ante la AEPD y a ejercer acciones judiciales.

Plazos de respuesta según el artículo 12 del RGPD
Supuesto Plazo Requisito adicional
Solicitud ordinaria 1 mes desde la recepción Ninguno
Solicitud compleja o múltiple Hasta 3 meses desde la recepción Informar al interesado de la ampliación y sus motivos antes de que venza el primer mes
Decisión de no actuar 1 mes desde la recepción Comunicar motivos y derecho a reclamar ante la AEPD
Verificación de identidad pendiente El plazo queda en suspenso Solicitud de acreditación sin demora injustificada

El cómputo del plazo es en meses naturales, no en días hábiles. Una solicitud recibida el 10 de enero debe responderse como máximo el 10 de febrero (o el 10 de abril si se aplica la ampliación).

Gratuidad y excepciones: solicitudes manifiestamente infundadas o excesivas

La regla general es clara: el ejercicio del derecho de acceso es gratuito (art. 12.5 RGPD). No se puede cobrar al interesado por la tramitación ordinaria de su solicitud ni por la copia de sus datos.

Sin embargo, el mismo artículo 12.5 prevé dos excepciones para las solicitudes que sean manifiestamente infundadas o excesivas, en particular por su carácter repetitivo:

  1. El responsable podrá cobrar un canon razonable que tenga en cuenta los costes administrativos de facilitar la información o la comunicación o de llevar a cabo la acción solicitada.
  2. El responsable podrá negarse a actuar sobre la solicitud.

En ambos casos, corresponde al responsable demostrar que la solicitud es manifiestamente infundada o excesiva. Esta excepción no es de aplicación automática ni puede usarse como mecanismo defensivo ante cualquier solicitud incómoda. La AEPD exige que quede debidamente justificado y documentado por qué una solicitud concreta merece esa calificación.

En la práctica, una solicitud repetitiva podría ser la de un mismo interesado que, en el plazo de pocos meses, presenta varias solicitudes de acceso idénticas sin que haya habido cambios en los datos tratados. Pero incluso en ese supuesto, la empresa debe valorar si existe una razón legítima detrás de la reiteración antes de aplicar la excepción.

Qué debe incluir la respuesta

La respuesta a una solicitud de acceso tiene que ser completa, comprensible y por escrito. El artículo 12.1 del RGPD exige que la información se facilite de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, especialmente cuando vaya dirigida a un menor de edad.

Un modelo de respuesta estructurada debería incluir los siguientes bloques:

  1. Confirmación de si se tratan datos del solicitante y, en caso negativo, indicación expresa.
  2. Categorías de datos tratados: nombre, datos de contacto, datos contractuales, datos de navegación, etc., según lo que realmente obre en poder de la empresa.
  3. Finalidades y bases jurídicas del tratamiento para cada categoría.
  4. Destinatarios: encargados del tratamiento, cesionarios, transferencias internacionales si las hubiera.
  5. Plazo de conservación o criterios para determinarlo.
  6. Información sobre los demás derechos: rectificación, supresión, limitación, oposición, portabilidad y derecho a retirar el consentimiento.
  7. Derecho a reclamar ante la AEPD (art. 77 RGPD).
  8. Si procede, información sobre la lógica de decisiones automatizadas.
  9. Copia de los datos, cuando sea solicitada expresamente.

La respuesta debe enviarse por un canal equivalente al utilizado por el solicitante. Si la solicitud llegó por correo electrónico, la respuesta puede enviarse al mismo correo. Si llegó en papel, la respuesta puede enviarse igualmente por carta, salvo que el interesado indique preferencia por otro medio.

Cómo gestionar solicitudes presentadas por representantes o terceros

Cuando la solicitud de acceso la presenta un representante legal —por ejemplo, uno de los progenitores en nombre de un menor, o un abogado en nombre de su cliente—, la empresa debe verificar tanto la identidad del representado como la del representante y la vigencia del poder de representación.

Esto es especialmente relevante en entornos con datos sensibles: una clínica que recibe una solicitud de acceso a la historia clínica de un paciente a través de un supuesto familiar directo debe ser especialmente cuidadosa, dado que los datos de salud son una categoría especial protegida por el artículo 9 del RGPD.

En caso de duda, es preferible solicitar la acreditación documental y documentar la diligencia aplicada, que facilitar datos a quien no está legitimado para recibirlos.

El papel del Registro de Actividades de Tratamiento en la respuesta

El Registro de Actividades de Tratamiento (RAT), exigido por el artículo 30 del RGPD, es la herramienta interna que permite a la empresa responder con precisión a una solicitud de acceso. Sin un RAT actualizado, la empresa no puede saber con certeza qué datos trata, en qué sistemas residen, con qué finalidad o cuánto tiempo los conserva.

Por eso, el RAT y el procedimiento de atención a derechos van de la mano: un RAT bien mantenido convierte una solicitud de acceso en una tarea ordenada; sin él, cada solicitud se convierte en una búsqueda improvisada que consume tiempo y genera riesgo de respuestas incompletas.

Desde Summum Consultoría acompañamos a las organizaciones en la implantación de procedimientos internos para la gestión de los derechos de los interesados, incluyendo plantillas de respuesta, registros de solicitudes y protocolos de verificación de identidad adaptados al tamaño y sector de cada empresa.

Régimen sancionador aplicable

La vulneración del derecho de acceso puede tener consecuencias serias. El artículo 83.5 del RGPD, que recoge las infracciones más graves, incluye la infracción de los derechos de los interesados reconocidos en los artículos 12 a 22. Las sanciones pueden alcanzar hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial del ejercicio financiero anterior, el importe que sea mayor.

La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) adapta este marco al ordenamiento español, con un sistema de gradación que distingue infracciones muy graves, graves y leves, y que tiene en cuenta factores como la intencionalidad, el número de afectados, la duración de la infracción y la diligencia demostrada por la empresa.

Conviene tener en cuenta que la AEPD puede iniciar actuaciones tanto por reclamación directa del interesado (art. 77 RGPD en relación con el art. 64 LOPDGDD) como de oficio. En muchos expedientes sancionadores relacionados con derechos de los interesados, el origen ha sido una reclamación de un cliente o empleado que no recibió respuesta en plazo o que recibió una respuesta incompleta.

Lista de verificación para responder correctamente

A modo de guía rápida, estos son los pasos que debe seguir cualquier empresa al recibir una solicitud de ejercicio del derecho de acceso a datos:

  1. Registrar la solicitud con fecha y hora de recepción (el plazo empieza a contar desde ese momento).
  2. Verificar la identidad del solicitante de manera proporcionada.
  3. Localizar todos los datos que la empresa trata sobre esa persona, consultando el RAT y los sistemas implicados.
  4. Valorar si aplica alguna excepción (solicitud manifiestamente infundada o excesiva; restricciones por derechos de terceros; secreto profesional).
  5. Redactar la respuesta completa incluyendo todos los elementos del artículo 15.1 y 15.2 del RGPD.
  6. Adjuntar la copia de los datos si ha sido solicitada expresamente.
  7. Enviar la respuesta en el canal adecuado antes de que venza el plazo de un mes.
  8. Documentar todo el proceso: recepción, verificación, búsqueda interna, respuesta y fecha de envío.

Para ampliar el contexto normativo, puede resultar útil revisar también el panorama completo de los derechos de los interesados en el RGPD, que incluye una visión integrada de acceso, rectificación, supresión, portabilidad y oposición.

Preguntas frecuentes

¿El derecho de acceso obliga a entregar los documentos originales o una copia?

El artículo 15.3 del RGPD obliga a facilitar una copia de los datos personales objeto del tratamiento, no los documentos originales ni todos los ficheros internos. La empresa decide el formato de la copia (un documento PDF, un informe estructurado, un fichero de datos) siempre que sea comprensible y completo. La primera copia es gratuita; por las copias adicionales, el artículo 15.3 permite cobrar un canon razonable basado en los costes administrativos.

¿Un empleado puede ejercer el derecho de acceso frente a su propia empresa?

Sí. Los empleados son interesados a todos los efectos del RGPD, y la empresa actúa como responsable del tratamiento de sus datos. El trabajador tiene derecho a saber qué datos laborales trata la empresa sobre él: nóminas, evaluaciones de desempeño, registros de jornada, datos de salud relacionados con la prevención de riesgos, comunicaciones internas en las que figure como interesado, etc. La empresa está obligada a responder en los mismos plazos y condiciones que para cualquier otro interesado.

¿Puede la empresa negarse a responder si los datos afectan a terceros?

El artículo 15.4 del RGPD establece que el derecho de acceso no puede afectar negativamente a los derechos y libertades de otras personas. Esto significa que, si la copia de los datos del solicitante incluye datos de terceros (por ejemplo, una conversación en la que aparecen otros empleados), la empresa puede anonimizar o suprimir los datos del tercero antes de entregar la copia, pero no puede negar la totalidad de la respuesta amparándose en este motivo si es posible facilitar la información de forma que no afecte a terceros.

¿Qué ocurre si la empresa no responde en el plazo de un mes?

Si la empresa no responde en el plazo del artículo 12.3 del RGPD, el interesado puede presentar una reclamación directamente ante la AEPD (art. 77 RGPD), que puede iniciar un procedimiento de tutela de derechos y, en caso de confirmar la infracción, remitir el expediente al procedimiento sancionador. La ausencia de respuesta es, en sí misma, una infracción del artículo 12 del RGPD. Por ello, incluso cuando la empresa todavía está recopilando información internamente, es recomendable enviar un acuse de recibo al interesado confirmando que la solicitud ha sido recibida y que se está tramitando dentro del plazo legal.