Ejercicio de derechos

Derechos ARCO protección de datos

Cuando un empleado, cliente o usuario ejerce sus derechos sobre sus datos personales, el artículo 12 del RGPD pone en marcha un plazo de un mes para responder: un mes en que la empresa debe localizar los datos, analizar la solicitud, decidir si procede atenderla —o motivar su denegación— y documentar todo el proceso. Desde Summum Consultoría acompañamos a las organizaciones en el diseño del procedimiento operativo que convierte esa obligación en un circuito claro, trazable y ajustado a los artículos 15 a 22 del Reglamento (UE) 2016/679.

Norma aplicableRGPD (UE) 2016/679 · LOPDGDD (LO 3/2018)
Plazo de respuesta1 mes desde la solicitud (art. 12 RGPD), prorrogable a 3
Autoridad supervisoraAEPD — Agencia Española de Protección de Datos

El Reglamento (UE) 2016/679 reconoce a toda persona física un conjunto de derechos sobre el tratamiento de sus datos personales: acceso a la información tratada (art. 15), rectificación de datos inexactos (art. 16), supresión cuando concurran los supuestos legalmente previstos (art. 17), limitación del tratamiento (art. 18), portabilidad de los datos en formato estructurado y de uso común (art. 20), oposición al tratamiento (art. 21) y derecho a no ser objeto de decisiones individuales basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, cuando estas produzcan efectos jurídicos o igualmente significativos (art. 22). Desde el punto de vista del responsable del tratamiento, cada uno de estos derechos implica una obligación operativa concreta: disponer de un canal para recibir las solicitudes, verificar la identidad del solicitante, analizar su petición frente a las bases jurídicas del tratamiento y responder en el plazo y la forma que establece el artículo 12 del RGPD.

El artículo 12 del RGPD fija el marco procedimental general: la respuesta al interesado debe facilitarse sin dilación indebida y en cualquier caso en el plazo de un mes desde la recepción de la solicitud. Ese plazo puede prorrogarse otros dos meses cuando la complejidad o el volumen de solicitudes lo justifique, siempre que se informe al interesado dentro del primer mes indicando los motivos de la demora. La respuesta se facilita de forma gratuita; solo cuando las solicitudes sean manifiestamente infundadas o excesivas —especialmente por su carácter repetitivo— el responsable puede cobrar un canon razonable o negarse a actuar, pero en todo caso debe motivar esa decisión y notificarla al interesado, que conserva el derecho a reclamar ante la Agencia Española de Protección de Datos. La LOPDGDD (LO 3/2018) complementa este régimen con disposiciones específicas para el contexto español, en particular en materia de derechos en el ámbito laboral (art. 88 y ss.) y de acceso a datos disociados.

El principal reto operativo para pymes y medianas empresas no es el desconocimiento de los derechos reconocidos por el RGPD, sino la ausencia de un procedimiento interno que permita gestionar las solicitudes de forma ordenada y dentro de los plazos legales. Sin un canal establecido, la solicitud puede llegar por correo electrónico, por carta, de forma verbal o a través del formulario web y extraviarse en el circuito interno antes de llegar a quien debe decidir. Sin criterios claros de verificación de identidad, existe el riesgo de responder a quien no tiene derecho a la información o, en sentido contrario, de imponer cargas desproporcionadas al solicitante legítimo. Sin un sistema de registro, la organización no puede acreditar ante la AEPD que respondió en plazo y de forma correcta, lo que puede convertir una gestión que de facto fue diligente en una infracción imposible de demostrar.

En Summum Consultoría acompañamos a las organizaciones en el diseño e implantación de un procedimiento completo de atención al ejercicio de derechos: definición del canal oficial de recepción, formularios adaptados a cada tipo de derecho (acceso, rectificación, supresión, oposición, limitación, portabilidad y decisiones automatizadas), criterios de verificación de identidad proporcionales al riesgo, flujo interno de escalado y toma de decisión, y plantillas de respuesta que cumplen los requisitos de forma y contenido del artículo 12 del RGPD. El procedimiento se integra en el sistema de protección de datos de la organización, de modo que cualquier solicitud —independientemente del empleado que la reciba— sigue el mismo circuito y genera la misma trazabilidad documental.

La documentación y el registro de cada solicitud y respuesta son elementos clave para acreditar el cumplimiento ante el regulador. El principio de responsabilidad proactiva del artículo 5.2 del RGPD exige que el responsable del tratamiento no solo cumpla con sus obligaciones, sino que pueda demostrar que las cumple. Esto implica conservar evidencia de la solicitud recibida, las verificaciones realizadas, la decisión adoptada —incluida su motivación si se deniega total o parcialmente—, la respuesta enviada y la fecha exacta de envío. Nuestro equipo asesora sobre el formato y el periodo de conservación adecuados para este registro, y asiste en la atención de solicitudes complejas en las que la decisión exige análisis jurídico específico: solicitudes que afectan a datos de terceros, datos sujetos a un deber de confidencialidad, tratamientos con pluralidad de responsables o derechos cuyo ejercicio entra en conflicto con una obligación legal.

El proceso de Derechos ARCO protección de datos.

El proceso · cuatro tiempos
01

Diseño del canal oficial y de los formularios de solicitud

Definimos el canal habilitado para recibir solicitudes de ejercicio de derechos —formulario web, dirección de correo electrónico específica, dirección postal— y diseñamos los formularios para cada tipo de derecho con los datos mínimos necesarios. El canal se comunica a los interesados en la política de privacidad y en los registros de actividades de tratamiento. Incluimos también las instrucciones para que los interesados que no deseen usar el formulario puedan ejercer sus derechos por vía libre, conforme al art. 12 RGPD.

02

Verificación proporcional de la identidad del interesado

Establecemos los criterios y los documentos admisibles para verificar la identidad del solicitante sin imponerle cargas desproporcionadas: el tipo de información a solicitar varía según la sensibilidad de los datos y el canal por el que llega la solicitud. Documentamos estos criterios para que el equipo pueda aplicarlos de forma uniforme. En caso de duda razonable sobre la identidad, definimos el procedimiento para solicitar información adicional sin retrasar el cómputo del plazo de un mes.

03

Análisis jurídico, resolución y respuesta en plazo

Definimos el flujo interno para analizar cada solicitud: quién la recibe, quién la evalúa jurídicamente, quién autoriza la respuesta y quién la envía. Elaboramos criterios para cada tipo de derecho —incluyendo los supuestos de denegación motivada que permite el RGPD— y plantillas de respuesta para los escenarios más frecuentes. Cuando se requiere análisis específico por la complejidad de la solicitud, asistimos en la evaluación caso a caso y en la redacción de la respuesta dentro del plazo del artículo 12 RGPD.

04

Registro y trazabilidad documental de cada solicitud

Implantamos el registro de solicitudes de derechos que permite dejar constancia de cada petición recibida, la verificación realizada, la decisión adoptada, la respuesta enviada y la fecha. Este registro es el soporte probatorio ante la AEPD en caso de reclamación. Incluye también las solicitudes denegadas, con la motivación correspondiente, y las que no pudieron atenderse en el plazo ordinario, con la notificación de prórroga enviada al interesado.

Qué incluye

Qué incluye Derechos ARCO protección de datos.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Canal oficial de recepción de solicitudes

    Definición y comunicación del canal habilitado para ejercer los derechos del RGPD: formulario web, dirección de correo electrónico o dirección postal, con instrucciones claras en la política de privacidad y los contratos de tratamiento.

  • Verificación de la identidad del solicitante

    Criterios proporcionales y documentados para confirmar que quien solicita es el interesado o su representante legal, sin imponer cargas excesivas ni retrasar el cómputo del plazo de un mes que establece el artículo 12 del RGPD.

  • Acceso, rectificación y supresión (arts. 15-17 RGPD)

    Procedimiento y plantillas para atender las solicitudes de acceso a los datos tratados, corrección de datos inexactos y supresión cuando concurra alguno de los motivos del artículo 17 del RGPD: datos ya no necesarios, revocación del consentimiento, oposición sin interés legítimo prevalente u obligación legal.

  • Oposición, limitación y portabilidad (arts. 18, 20-21 RGPD)

    Gestión de los derechos de limitación del tratamiento durante la resolución de una controversia, oposición al tratamiento basado en interés legítimo o en fines de mercadotecnia directa, y portabilidad de los datos en formato estructurado cuando el tratamiento se basa en el consentimiento o en la ejecución de un contrato.

  • Decisiones automatizadas y elaboración de perfiles (art. 22 RGPD)

    Análisis y procedimiento para atender el derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o igualmente significativos, incluida la elaboración de perfiles. Implantación de salvaguardias cuando este tipo de tratamiento sea necesario.

  • Registro y trazabilidad de solicitudes y respuestas

    Implantación del registro documental de cada solicitud: identificación, verificación, análisis, decisión, respuesta y fecha de envío. Soporte probatorio ante la AEPD en caso de reclamación y evidencia del principio de responsabilidad proactiva del artículo 5.2 del RGPD.

Cluster Summum

Cómo se cruza con las hermanas.

La gestión de los derechos de los interesados es uno de los ejes más visibles del cumplimiento del RGPD: conecta con la adecuación general al reglamento, con el papel activo del Delegado de Protección de Datos como punto de contacto para los interesados, y con el protocolo de brechas de seguridad, ya que una solicitud de supresión mal gestionada o una respuesta denegada sin motivación pueden derivar en reclamación ante la AEPD y en apertura de un expediente sancionador.

Preguntas frecuentes sobre Derechos ARCO protección de datos.

¿Qué derechos puede ejercer cualquier persona sobre los datos que mi empresa trata?

El RGPD reconoce a toda persona física cuyos datos sean tratados los siguientes derechos: acceso (art. 15), rectificación (art. 16), supresión (art. 17), limitación del tratamiento (art. 18), portabilidad (art. 20), oposición (art. 21) y a no ser objeto de decisiones automatizadas con efectos significativos (art. 22). El conjunto se conoce habitualmente como derechos ARCO —Acceso, Rectificación, Cancelación y Oposición— denominación de la anterior LOPD (LO 15/1999, derogada), aunque el RGPD amplió y matizó el catálogo con el derecho a la limitación y la portabilidad. La LOPDGDD (LO 3/2018) añade especificidades para el contexto español, como el derecho al olvido en redes sociales (art. 94) o los sistemas de exclusión publicitaria (art. 23), y el derecho de oposición al tratamiento con fines de mercadotecnia directa (art. 21 RGPD).

¿Cuánto tiempo tengo para responder a una solicitud de ejercicio de derechos?

El artículo 12.3 del RGPD establece que la respuesta debe facilitarse sin dilación indebida y en cualquier caso en el plazo de un mes desde la recepción de la solicitud. Este plazo puede prorrogarse otros dos meses adicionales cuando la complejidad o el número de solicitudes lo requiera. En ese caso, el responsable del tratamiento debe comunicar al interesado la prórroga y los motivos de la demora en el plazo de un mes desde la recepción de la solicitud original. El plazo de un mes se computa desde el día en que se recibe la solicitud, independientemente de que el responsable necesite tiempo para verificar la identidad del solicitante, aunque en este último caso el art. 12.6 RGPD permite suspender el cómputo mientras se espera la información necesaria para confirmar la identidad.

¿Puedo negarme a atender una solicitud de supresión de datos?

Sí, el artículo 17.3 del RGPD enumera los supuestos en que la supresión puede denegarse: cuando el tratamiento sea necesario para el ejercicio de la libertad de expresión e información, para cumplir una obligación legal que exija el tratamiento (por ejemplo, conservación de facturas por obligación fiscal), por razones de interés público, para fines de archivo en interés público, investigación científica o histórica, o para la formulación, el ejercicio o la defensa de reclamaciones. La denegación debe ser motivada, comunicarse al interesado e informarle de su derecho a presentar una reclamación ante la AEPD. Una negativa sin motivación o basada en razones no previstas en el art. 17.3 puede dar lugar a una reclamación y a la apertura de un expediente sancionador.

¿Cómo verifico la identidad del solicitante sin imponerle cargas excesivas?

El artículo 12.6 del RGPD permite al responsable solicitar información adicional necesaria para confirmar la identidad del interesado cuando tenga dudas razonables sobre quién presenta la solicitud. La clave está en la proporcionalidad: la información solicitada debe ser la mínima necesaria para verificar la identidad y debe variar en función de la sensibilidad de los datos que se van a facilitar. Para datos no especialmente sensibles puede ser suficiente con datos de identificación básicos que el responsable ya tenga en su base de datos; para datos más sensibles —historial médico, datos financieros, datos de menores— puede ser razonable pedir una copia del documento de identidad. La AEPD ha publicado orientaciones sobre este punto en su guía de derechos de los interesados, y señala que el responsable no puede exigir siempre el DNI como requisito automático si dispone de otros medios de verificación.

¿Qué ocurre si no atiendo una solicitud de ejercicio de derechos dentro del plazo legal?

El incumplimiento de las obligaciones relativas a los derechos de los interesados —no responder en plazo, denegar solicitudes sin motivación, no facilitar el acceso a los datos tratados o no atender una solicitud de supresión cuando procede— puede calificarse como infracción del artículo 12 al 22 del RGPD. Conforme al artículo 83.5.b) del RGPD, estas infracciones están sujetas a multas de hasta 20 millones de euros o el 4 % del volumen de negocio anual total a escala mundial, aplicándose la cifra más elevada. Adicionalmente, el interesado puede presentar una reclamación ante la AEPD, que puede abrir un procedimiento de tutela de derechos y, en su caso, derivarlo a procedimiento sancionador. La LOPDGDD (LO 3/2018) clasifica como infracción grave, en su artículo 73.c), el incumplimiento de la obligación de atender las solicitudes de ejercicio de derechos de los interesados.

¿Cuándo existe la obligación de nombrar un Delegado de Protección de Datos para gestionar estos derechos?

El nombramiento de un Delegado de Protección de Datos (DPO) es obligatorio en los supuestos del artículo 37 del RGPD y del artículo 34 de la LOPDGDD: autoridades y organismos públicos, entidades que realicen a gran escala un seguimiento habitual y sistemático de interesados, o que traten a gran escala categorías especiales de datos o datos relativos a condenas e infracciones penales. En el contexto del ejercicio de derechos, el DPO actúa como punto de contacto con los interesados —su nombre y datos de contacto deben indicarse en la política de privacidad— y supervisa el cumplimiento del régimen de derechos. Para las organizaciones que no están obligadas a nombrarlo, disponer de un procedimiento interno documentado y un responsable interno identificado cumple la misma función práctica.