Plazo de respuesta en ejercicio de derechos: art. 12 RGPD

·

Recibir una solicitud de ejercicio de derechos es uno de los momentos en que el cumplimiento del Reglamento (UE) 2016/679 (RGPD) se vuelve más visible y urgente para cualquier organización. La persona interesada espera una respuesta; la norma impone plazos; y la Agencia Española de Protección de Datos (AEPD) investiga cuando no se cumplen. Este artículo analiza, artículo a artículo, el régimen de plazos del RGPD, cómo se computan, cuándo cabe prorrogar y qué consecuencias acarrea el silencio o la demora.

Los derechos que activan el plazo del artículo 12

El RGPD reconoce un conjunto de derechos individuales que se agrupan bajo la etiqueta ARCO+: acceso (art. 15), rectificación (art. 16), supresión o «derecho al olvido» (art. 17), limitación del tratamiento (art. 18), portabilidad (art. 20), oposición (art. 21), y el derecho a no ser objeto de decisiones automatizadas (art. 22). Todos ellos convergen en el artículo 12 del RGPD, que establece el régimen general de transparencia y comunicación con el interesado.

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) complementa este marco en España, especialmente en sus artículos 12 a 18, sin alterar los plazos fijados por el Reglamento europeo. Conviene aclarar que la derogada Ley Orgánica 15/1999 (antigua LOPD) ya no está en vigor; cuando se habla de «LOPD» vigente, se hace referencia a la LOPDGDD.

Si tu organización recibe solicitudes de derechos y necesita acompañamiento para gestionarlas correctamente, en Summum Consultoría disponemos de un servicio específico de gestión de derechos de los interesados adaptado al tamaño y sector de cada empresa, con oficinas en Castilla y León y Canarias.

El plazo de un mes: qué dice exactamente el artículo 12.3 del RGPD

El artículo 12.3 del RGPD establece lo siguiente:

«El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud.»

Tres elementos de este texto merecen atención especial:

Cómputo exacto del plazo de un mes

El Reglamento se refiere a «meses» en sentido calendario, siguiendo el artículo 3 del Reglamento (CE, Euratom) 1182/71, que regula los plazos en el derecho de la Unión Europea. Un mes se cuenta de fecha a fecha: si la solicitud se recibe el 10 de enero, el plazo vence el 10 de febrero.

Cuando el mes de vencimiento no tiene el mismo día (por ejemplo, una solicitud recibida el 31 de enero vencería el 28 o 29 de febrero), el plazo vence el último día del mes. Si el día de vencimiento es festivo o no hábil, el RGPD no prevé suspensión automática: la respuesta debe estar lista antes o en ese mismo día. La Agencia Española de Protección de Datos aplica este criterio con rigor.

En la práctica, las organizaciones deben registrar la fecha exacta de recepción de cada solicitud y establecer alertas internas con suficiente antelación para revisar, gestionar y enviar la respuesta antes del vencimiento. La cuenta regresiva empieza desde el momento en que la solicitud llega al canal habilitado, sea este un formulario web, un correo electrónico o una comunicación en papel.

La prórroga de dos meses adicionales: cuándo y cómo aplicarla

El artículo 12.3 del RGPD, párrafo segundo, contempla una prórroga excepcional:

«Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.»

La prórroga no es automática ni discrecional. Requiere que concurran razones objetivas de complejidad o volumen. La AEPD considera que la mera carga de trabajo ordinaria de la organización no justifica la prórroga; deben existir circunstancias que hagan razonablemente imposible dar respuesta completa en el plazo de un mes. Algunos ejemplos admisibles:

Lo que no justifica la prórroga: desconocer qué datos se tienen, no haber implantado un procedimiento interno, o la ausencia del personal responsable por vacaciones.

La notificación de la prórroga al interesado debe producirse dentro del primer mes, antes de que venza el plazo ordinario. Si el responsable no notifica la prórroga en ese plazo, la extensión no surte efecto jurídico y el incumplimiento del mes original es constatable.

Tabla comparativa: plazos del artículo 12 del RGPD

Supuesto Plazo Obligación adicional
Respuesta ordinaria a cualquier derecho ARCO+ 1 mes desde la recepción Ninguna, salvo facilitar información completa
Prórroga por complejidad o volumen 3 meses desde la recepción (1 mes + 2 adicionales) Notificar la prórroga y sus motivos dentro del primer mes
Solicitud manifiestamente infundada o excesiva A discreción del responsable, dentro del plazo de 1 mes Comunicar motivadamente la negativa o cobrar una tasa razonable (art. 12.5 RGPD)
Imposibilidad de identificar al solicitante El plazo se suspende hasta recibir información adicional de identificación Solicitar al interesado la información necesaria sin demora indebida (art. 12.6 RGPD)

El silencio del responsable: qué significa y qué abre

El RGPD no recoge expresamente la figura del «silencio administrativo» al modo de la legislación española de procedimiento administrativo, pero la consecuencia práctica del silencio del responsable es clara: el interesado puede reclamar ante la autoridad de control por falta de respuesta en plazo. La AEPD trata el silencio como un incumplimiento del artículo 12.3 del RGPD, susceptible de dar lugar a un procedimiento sancionador.

Conviene distinguir dos situaciones:

  1. Silencio dentro del primer mes sin haber notificado prórroga: el incumplimiento es directo. El interesado puede presentar reclamación ante la AEPD al día siguiente del vencimiento.
  2. Respuesta en plazo pero incompleta o evasiva: también puede dar lugar a reclamación, pues el artículo 12.3 exige facilitar «información relativa a sus actuaciones», no una respuesta formal vacía de contenido.

La carga de la prueba recae sobre el responsable del tratamiento. El artículo 12.2 del RGPD establece que, si el responsable decide no actuar ante la solicitud del interesado, deberá comunicarlo sin dilación y a más tardar en el plazo de un mes, informando al interesado de la posibilidad de presentar una reclamación ante una autoridad de control. Si no puede probar que cumplió, se presume incumplimiento.

Reclamación ante la AEPD: procedimiento y plazos

El artículo 77 del RGPD reconoce el derecho a presentar reclamación ante una autoridad de control. En España, la admisión a trámite y resolución de reclamaciones ante la AEPD se rigen por los artículos 63 a 65 de la LOPDGDD, y la potestad supervisora y sancionadora de la Agencia está atribuida por el artículo 47 de la LOPDGDD. El procedimiento para presentar una reclamación ante la AEPD consta de los siguientes pasos:

  1. Reclamación previa al responsable: aunque no es obligatoria, la AEPD recomienda que el interesado dirija antes su solicitud al responsable y espere respuesta. Si la organización no contesta en plazo o la respuesta no es satisfactoria, procede la reclamación ante la Agencia.
  2. Presentación de la reclamación: se realiza a través de la sede electrónica de la AEPD, mediante el trámite habilitado para reclamaciones de derechos. El interesado debe aportar copia de la solicitud original, acreditación de su envío y la respuesta recibida (o constancia de la falta de respuesta).
  3. Admisión a trámite: la AEPD dispone de un plazo para admitir o inadmitir la reclamación. Si la admite, trasladará la reclamación al responsable para que formule alegaciones.
  4. Resolución: la AEPD dicta resolución estimando o desestimando la reclamación. Si aprecia infracción, puede iniciar un procedimiento sancionador de oficio.

Si tu organización ha recibido una comunicación de la AEPD en el marco de una reclamación de derechos, el equipo de Summum Consultoría puede acompañarte en la preparación de las alegaciones y en la revisión de los procedimientos internos. Consulta nuestro servicio de gestión de derechos de los interesados para más información.

Consecuencias del incumplimiento: régimen sancionador

El incumplimiento de las obligaciones del artículo 12 del RGPD puede ser calificado como infracción según el artículo 83 del propio Reglamento. La clasificación depende de la gravedad:

La LOPDGDD (LO 3/2018) adapta este régimen en sus artículos 70 a 74, clasificando las infracciones en muy graves, graves y leves, con modulaciones para las Administraciones Públicas. La AEPD tiene en cuenta circunstancias agravantes y atenuantes al fijar la sanción concreta: la intencionalidad, el número de afectados, las medidas adoptadas para paliar el daño, la colaboración con la Agencia y el historial de incumplimientos anteriores.

Buenas prácticas para gestionar solicitudes de derechos en plazo

El cumplimiento del plazo del artículo 12.3 del RGPD no depende únicamente de conocer la norma; depende de haber implantado un proceso interno que funcione de forma fiable. Las organizaciones con las que trabajamos en Castilla y León y Canarias suelen beneficiarse de estas medidas:

Preguntas frecuentes

¿El plazo de un mes corre aunque la solicitud llegue por un canal no habilitado?

Sí. El artículo 12.3 del RGPD no exige que la solicitud llegue por un canal específico para que el plazo empiece a correr. Si el interesado envía su solicitud por correo ordinario, por correo electrónico a una dirección genérica o incluso verbalmente ante un empleado, el plazo se inicia desde que la organización tiene constancia de la solicitud. El responsable puede, en cambio, solicitar al interesado información adicional para verificar su identidad (art. 12.6 RGPD), lo que suspende el plazo hasta recibir esa información, pero solo si hay dudas razonables sobre la identidad del solicitante.

¿Puede el responsable cobrar por atender la solicitud?

Como regla general, no. El artículo 12.5 del RGPD establece que la información y las comunicaciones derivadas de los artículos 15 a 22 se facilitarán de forma gratuita. Solo cuando las solicitudes sean «manifiestamente infundadas o excesivas, en particular debido a su carácter repetitivo», el responsable puede cobrar una tasa razonable que tenga en cuenta los costes administrativos de facilitar la información, o negarse a actuar. En ambos casos, debe demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

¿Qué ocurre si el responsable responde denegando el ejercicio del derecho?

El responsable puede denegar una solicitud de ejercicio de derechos cuando concurran excepciones previstas en el RGPD (por ejemplo, cuando el tratamiento es necesario para cumplir una obligación legal, o cuando los datos son necesarios para formular o defender reclamaciones). En ese caso, debe comunicar la denegación motivada al interesado dentro del plazo de un mes e informarle de su derecho a presentar una reclamación ante la AEPD y a ejercer acciones judiciales. Una denegación sin motivación o fuera de plazo tiene el mismo tratamiento que el silencio.

¿Puede el interesado reclamar directamente ante la AEPD sin esperar a que el responsable responda?

El artículo 77 del RGPD reconoce el derecho a presentar reclamación ante una autoridad de control. En España, la AEPD admite reclamaciones al amparo de los artículos 63 a 65 de la LOPDGDD una vez transcurrido el plazo de un mes previsto en el artículo 12.3 del RGPD sin haber obtenido respuesta, o cuando la respuesta obtenida no sea satisfactoria. En la práctica, la AEPD recomienda que el interesado haya intentado previamente el ejercicio directo ante el responsable y pueda acreditarlo, pero no es un requisito legal de admisibilidad. La Agencia puede inadmitir reclamaciones en que no conste ni siquiera el intento de solicitud, aunque esta práctica es excepcional.