AEPD Resolves Late Response to Data Subject Access Request Against AYUNTAMIENTO DE ARES

 Expediente N.º: EXP202517705

RESOLUCIÓN DE PROCEDIMIENTO DE DERECHOS Vista la reclamación registrada en fecha 11 de agosto de 2025 ante esta Agencia y realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes HECHOS PRIMERO: La parte reclamante ejerció el derecho de Acceso frente al reclamado y su solicitud, según manifiesta la parte reclamante, no recibió la contestación legalmente establecida. La parte reclamante aporta diversa documentación relativa a la reclamación planteada ante esta Agencia y sobre el ejercicio del derecho ejercitado. SEGUNDO : Una vez cumplido el trámite previsto en el artículo 65.4 de la LOPDGDD, se admitió a trámite la reclamación y se concedió a la entidad reclamada trámite de audiencia, para que en el plazo de diez días hábiles presentase las alegaciones que estimara convenientes. La entidad reclamada, con ocasión de los trámites formalizados, ha acreditado ante esta Agencia haber atendido el derecho ejercitado y remitido a la parte reclamante la debida respuesta a su solicitud.

FUNDAMENTOS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1 y 64.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Cuestiones previas De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los responsables y los encargados del tratamiento acerca de las obligaciones que les incumben, así como tratar las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de las mismas. Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha autoridad. De conformidad con esta normativa, siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con carácter previo a la admisión a trámite de la reclamación de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar al presente procedimiento, se dio traslado de la misma a la parte reclamada para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida. El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 11 de noviembre de 2025, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apertura del presente procedimiento de falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual:

"Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica. En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación".

El artículo 58.2 del RGPD confiere a la Agencia Española de Protección de Datos una serie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD, de entre los que se incluye "ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento. III Derechos de las personas en materia de protección de datos personales

Los derechos de las personas en materia de protección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad. Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos 12 del RGPD y 12 de la LOPDGDD. Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del RGPD. De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado. La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. IV Conclusión En el supuesto aquí analizado, la parte reclamante ejercitó su derecho de Acceso regulado en el artículo 15 del RGPD y artículo 13 de la LOPDGDD. Trascurrido el plazo establecido conforme a las normas antes señaladas, su solicitud no obtuvo la respuesta legalmente exigible. Las normas antes citadas no permiten que pueda obviarse la solicitud como si no se hubiera planteado, dejándola sin la respuesta que obligatoriamente deberán emitir los responsables, aún en el supuesto de que no existan datos del interesado objeto de tratamiento por la entidad o incluso en aquellos supuestos en los que no reuniera los requisitos previstos, en cuyo caso el destinatario de dicha solicitud viene igualmente obligado a requerir la subsanación de las deficiencias observadas o, en su caso, denegar la solicitud motivadamente indicando las causas por las que no procede considerar el derecho de que se trate. Por tanto, la solicitud que se formule obliga al responsable a dar respuesta expresa, en todo caso, empleando para ello cualquier medio que justifique la recepción de la contestación. En este caso, sin embargo, consta que durante la tramitación de la reclamación que da lugar al presente procedimiento, formulada precisamente por esa falta de respuesta adecuada a la solicitud de ejercicio de derechos, la parte reclamada ha aportado documentación acreditando la comunicación remitida al interesado atendiendo el

derecho o informando sobre la decisión adoptada a propósito de la solicitud. Esta respuesta, por tanto, se produce una vez rebasado el plazo establecido. A este respecto, cabe precisar que la respuesta que corresponde realizar no puede manifestarse con ocasión de un mero trámite administrativo. Por consiguiente, considerando que el presente procedimiento tiene como objeto que las garantías y los derechos de los afectados queden debidamente restaurados, conjugando la información obrante en el expediente con la normativa referida en los apartados precedentes, procede estimar por motivos formales la presente reclamación al haberse emitido la respuesta extemporáneamente, sin que se requiera la realización de actuaciones adicionales por parte del responsable del tratamiento en orden a emitir una nueva certificación sobre la atención del derecho. Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ESTIMAR por motivos formales, la reclamación formulada por A.A.A., contra AYUNTAMIENTO DE ARES, con NIF P1500400E. No obstante, no procede la emisión de nueva certificación por parte de dicha entidad, al haberse emitido la respuesta extemporáneamente, sin que se requiera la realización de actuaciones adicionales por parte del responsable. SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a AYUNTAMIENTO DE

ARES.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

1157-171225Lorenzo Cotino Hueso

Presidente de la Agencia Española de Protección de Datos