Changeflow GovPing Data Privacy & Cybersecurity GDPR Resolution on Right of Access and Sanction
Priority review Enforcement Added Final

GDPR Resolution on Right of Access and Sanction

Favicon for www.aepd.es AEPD Resolutions (Spain DPA)
Filed July 18th, 2025
Detected March 24th, 2026
Email

Summary

The Spanish Data Protection Agency (AEPD) has issued a resolution regarding a complaint about the right of access under GDPR. The agency found that the respondent failed to provide a legally established response to the data subject's request, leading to the admission of the claim and the initiation of a procedure for infringement.

View original document View source feed page

What changed

The Spanish Data Protection Agency (AEPD) has issued a resolution (Expediente N.º: EXP202515553) concerning a complaint filed on July 18, 2025, regarding the exercise of the right of access under the GDPR and Spanish Organic Law 3/2018 (LOPDGDD). The claimant alleged that the respondent failed to provide a legally established response to their access request. Following procedural steps, including a hearing for the respondent, the AEPD determined that the respondent did not adequately demonstrate compliance with the request.

This resolution signifies a substantive enforcement action by the AEPD. Regulated entities, particularly those processing personal data within the EU, must ensure they have robust procedures for handling data subject access requests within the legally mandated timelines. Failure to do so can result in formal investigations and potential sanctions. Compliance officers should review their internal processes for managing data subject rights requests to ensure adherence to GDPR and LOPDGDD requirements, including proper documentation and timely responses.

What to do next

  1. Review internal procedures for handling data subject access requests.
  2. Ensure timely and documented responses to all data subject rights requests.
  3. Verify compliance with GDPR Articles 15-22 and LOPDGDD provisions.

Source document (simplified)

 Expediente N.º: EXP202515553

RESOLUCIÓN DE PROCEDIMIENTO DE DERECHOS Vista la reclamación registrada en fecha 18 de julio de 2025 ante esta Agencia y realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes

HECHOS PRIMERO: La parte reclamante ejerció derecho de Acceso frente al reclamado y su solicitud, según manifiesta la parte reclamante, no recibió la contestación legalmente establecida. La parte reclamante aporta diversa documentación relativa a la reclamación planteada ante esta Agencia y sobre el ejercicio del derecho ejercitado. SEGUNDO : Una vez cumplido el trámite previsto en el artículo 65.4 de la LOPDGDD, se admitió a trámite la reclamación y se concedió a la entidad reclamada trámite de audiencia, para que en el plazo de diez días hábiles presentase las alegaciones que estimara convenientes. La entidad reclamada no ha acreditado, con ocasión de los trámites formalizados, que haya dado respuesta a la solicitud de ejercicio de derechos que le fue presentada por la parte reclamante. FUNDAMENTOS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1 y 64.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Cuestiones previas De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los responsables y los encargados del tratamiento acerca de las obligaciones que les incumben, así como tratar las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de las mismas. Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha autoridad. De conformidad con esta normativa, siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con carácter previo a la admisión a trámite de la reclamación de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar al presente procedimiento, se dio traslado de la misma a la parte reclamada para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida. El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 18 de octubre de 2025, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apertura del presente procedimiento de falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual:

“Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica. En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación”.

El artículo 58.2 del RGPD confiere a la Agencia Española de Protección de Datos una serie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD, de entre los que se incluye “ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento. III Derechos de las personas en materia de protección de datos personales

Los derechos de las personas en materia de protección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad. Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos 12 del RGPD y 12 de la LOPDGDD. Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del RGPD. De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado. La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Tratándose del derecho de acceso a los datos personales, de acuerdo con lo establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se refiera a una gran cantidad de datos, el responsable podrá solicitar al afectado que especifique los “datos o actividades de tratamiento a los que se refiere la solicitud”. El derecho se entenderá otorgado si el responsable facilita un acceso remoto a los datos, teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información referida a los extremos previstos en el artículo 15. Del RGPD). El ejercicio de este derecho se podrá considerar repetitivo en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello. Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, que deberá ser asumido por el afectado. IV Conclusión En el supuesto aquí analizado, la parte reclamante ejercitó su derecho de Acceso regulado en el artículo 15 del RGPD y artículo 13 de la LOPDGDD. Trascurrido el plazo establecido conforme a las normas antes señaladas, su solicitud no obtuvo la respuesta legalmente exigible. La entidad reclamada no ha atendido la solicitud de la parte reclamante ni los requerimientos que le han sido remitidos por esta Agencia.

Las normas antes citadas no permiten que pueda obviarse la solicitud como si no se hubiera planteado, dejándola sin la respuesta que obligatoriamente deberán emitir los responsables, aún en el supuesto de que no existan datos del interesado objeto de tratamiento por la entidad o incluso en aquellos supuestos en los que no reuniera los requisitos previstos, en cuyo caso el destinatario de dicha solicitud viene igualmente obligado a requerir la subsanación de las deficiencias observadas o, en su caso, denegar la solicitud motivadamente indicando las causas por las que no procede considerar el derecho de que se trate. Por tanto, la solicitud que se formule obliga al responsable a dar respuesta expresa, en todo caso, empleando para ello cualquier medio que justifique la recepción de la contestación. Dado que no se ha aportado copia de la necesaria comunicación que debe dirigir al reclamante informándole sobre la decisión que haya adoptado a propósito de la solicitud de ejercicio de derechos, procede estimar la reclamación que originó el presente procedimiento. Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ESTIMAR la reclamación formulada por A.A.A. al considerar que se ha infringido lo dispuesto en el Artículo 15 del RGPD e instar al GLOBAL SATELLITE

TECHNOLOGIES, S.L., con NIF B88144944, para que, en el plazo de diez días

hábiles desde que la presente resolución sea firme y ejecutiva, remita a la parte reclamante certificación por la que se atienda el derecho de Acceso ejercido o se deniegue motivadamente indicando las causas por las que no procede atender la petición, de conformidad con lo establecido en el cuerpo de la presente resolución. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de una infracción del artículo 83.6 del RGPD, calificada como muy grave a los efectos de prescripción en el artículo 72.1.m) de la LOPDGDD, que se sancionará, de acuerdo con el art. 58.2 del RGPD. SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a GLOBAL SATELLITE

TECHNOLOGIES, S.L..

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD), y de conformidad con lo establecido en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, se podrá interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos, en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la Disposición Adicional Cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción

Contencioso-Administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.

1167-171225Lorenzo Cotino Hueso

Presidente de la Agencia Española de Protección de Datos

Named provisions

Right of Access Infringement Sanction

Related changes

Favicon for www.aepd.es GDPR Rights Resolution: Access and Suppression Claims
Priority review Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for www.aepd.es AEPD Resolution: Closure of Employee Biometric Data Tracking Investigation
Routine Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for www.aepd.es GDPR Resolution on Data Access Rights for VIMCORSA
Priority review Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for changeflow.com USPTO Patent Grant: Data Lifecycle Discovery and Management
Routine Mar 24, 2026 ChangeBridge: Patent Grants - AI & Computing (G06N) Telecom & Technology
Favicon for www.courtlistener.com Scranton v. Coyne - Injunction Affirmed on Personnel Files
Priority review Mar 24, 2026 PA Commonwealth Court Courts & Legal
Favicon for www.federalregister.gov Energy Department Privacy Act System of Records Notice Modification
Priority review Mar 24, 2026 FR: Energy Department Energy

Source

Favicon for www.aepd.es
AEPD Resolutions (Spain DPA) aepd.es/es/informes-y-resoluciones/resoluciones
Data Privacy & Cybersecurity
Analysis generated by AI. Source diff and links are from the original.

Classification

Agency
AEPD Spain
Filed
July 18th, 2025
Instrument
Enforcement
Legal weight
Binding
Stage
Final
Change scope
Substantive
Document ID
Expediente N.º: EXP202515553
Docket
EXP202515553

Who this affects

Applies to
Employers
Industry sector
9211 Government & Public Administration
Activity scope
Data Subject Rights Management
Geographic scope
ES ES

Taxonomy

Primary area
Data Privacy
Operational domain
Compliance
Compliance frameworks
GDPR
Topics
GDPR Enforcement Actions

Browse Categories

Agriculture & Food Safety 61 Banking & Finance 236 Consumer Protection 40 Courts & Legal 323 Data Privacy & Cybersecurity 64 Defense & National Security 48 Education 20 Energy 104 Environment 83 Government & Legislation 261 Healthcare 131 Housing 16 Immigration 9 Insurance 56 Labor & Employment 111 Legal & Courts 1 Pharma & Drug Safety 99 Securities & Markets 79 Tax 64 Telecom & Technology 47 Trade & Sanctions 124 Transportation 56

Get Data Privacy & Cybersecurity alerts

Weekly digest. AI-summarized, no noise.

Free. Unsubscribe anytime.

Get alerts for this source

We'll email you when AEPD Resolutions (Spain DPA) publishes new changes.

Free. Unsubscribe anytime.