El Reglamento (UE) 2016/679 reconoce a toda persona física un conjunto de derechos sobre el tratamiento de sus datos personales: acceso a la información tratada (art. 15), rectificación de datos inexactos (art. 16), supresión cuando concurran los supuestos legalmente previstos (art. 17), limitación del tratamiento (art. 18), portabilidad de los datos en formato estructurado y de uso común (art. 20), oposición al tratamiento (art. 21) y derecho a no ser objeto de decisiones individuales basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, cuando estas produzcan efectos jurídicos o igualmente significativos (art. 22). Desde el punto de vista del responsable del tratamiento, cada uno de estos derechos implica una obligación operativa concreta: disponer de un canal para recibir las solicitudes, verificar la identidad del solicitante, analizar su petición frente a las bases jurídicas del tratamiento y responder en el plazo y la forma que establece el artículo 12 del RGPD.
El artículo 12 del RGPD fija el marco procedimental general: la respuesta al interesado debe facilitarse sin dilación indebida y en cualquier caso en el plazo de un mes desde la recepción de la solicitud. Ese plazo puede prorrogarse otros dos meses cuando la complejidad o el volumen de solicitudes lo justifique, siempre que se informe al interesado dentro del primer mes indicando los motivos de la demora. La respuesta se facilita de forma gratuita; solo cuando las solicitudes sean manifiestamente infundadas o excesivas —especialmente por su carácter repetitivo— el responsable puede cobrar un canon razonable o negarse a actuar, pero en todo caso debe motivar esa decisión y notificarla al interesado, que conserva el derecho a reclamar ante la Agencia Española de Protección de Datos. La LOPDGDD (LO 3/2018) complementa este régimen con disposiciones específicas para el contexto español, en particular en materia de derechos en el ámbito laboral (art. 88 y ss.) y de acceso a datos disociados.
El principal reto operativo para pymes y medianas empresas no es el desconocimiento de los derechos reconocidos por el RGPD, sino la ausencia de un procedimiento interno que permita gestionar las solicitudes de forma ordenada y dentro de los plazos legales. Sin un canal establecido, la solicitud puede llegar por correo electrónico, por carta, de forma verbal o a través del formulario web y extraviarse en el circuito interno antes de llegar a quien debe decidir. Sin criterios claros de verificación de identidad, existe el riesgo de responder a quien no tiene derecho a la información o, en sentido contrario, de imponer cargas desproporcionadas al solicitante legítimo. Sin un sistema de registro, la organización no puede acreditar ante la AEPD que respondió en plazo y de forma correcta, lo que puede convertir una gestión que de facto fue diligente en una infracción imposible de demostrar.
En Summum Consultoría acompañamos a las organizaciones en el diseño e implantación de un procedimiento completo de atención al ejercicio de derechos: definición del canal oficial de recepción, formularios adaptados a cada tipo de derecho (acceso, rectificación, supresión, oposición, limitación, portabilidad y decisiones automatizadas), criterios de verificación de identidad proporcionales al riesgo, flujo interno de escalado y toma de decisión, y plantillas de respuesta que cumplen los requisitos de forma y contenido del artículo 12 del RGPD. El procedimiento se integra en el sistema de protección de datos de la organización, de modo que cualquier solicitud —independientemente del empleado que la reciba— sigue el mismo circuito y genera la misma trazabilidad documental.
La documentación y el registro de cada solicitud y respuesta son elementos clave para acreditar el cumplimiento ante el regulador. El principio de responsabilidad proactiva del artículo 5.2 del RGPD exige que el responsable del tratamiento no solo cumpla con sus obligaciones, sino que pueda demostrar que las cumple. Esto implica conservar evidencia de la solicitud recibida, las verificaciones realizadas, la decisión adoptada —incluida su motivación si se deniega total o parcialmente—, la respuesta enviada y la fecha exacta de envío. Nuestro equipo asesora sobre el formato y el periodo de conservación adecuados para este registro, y asiste en la atención de solicitudes complejas en las que la decisión exige análisis jurídico específico: solicitudes que afectan a datos de terceros, datos sujetos a un deber de confidencialidad, tratamientos con pluralidad de responsables o derechos cuyo ejercicio entra en conflicto con una obligación legal.