AEPD Resolution on GDPR Rights Procedure

1/5 Expediente N.º: EXP202517678 RESOLUCIÓN DE PROCEDIMIENTO DE DERECHOSVista la reclamación registrada en fecha 11 de septiembre de 2025 ante esta Agencia yrealizadas las actuaciones procedimentales previstas en el Título VIII de la LeyOrgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía delos derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientesHECHOSPRIMERO: La parte reclamante ejerció derecho de Acceso frente al reclamado y susolicitud, según manifiesta la parte reclamante, no recibió la contestación legalmenteestablecida.La parte reclamante aporta diversa documentación relativa a la reclamación planteadaante esta Agencia y sobre el ejercicio del derecho ejercitado.SEGUNDO : Una vez cumplido el trámite previsto en el artículo 65.4 de la LOPDGDD,se admitió a trámite la reclamación y se concedió a la entidad reclamada trámite deaudiencia, para que en el plazo de diez días hábiles presentase las alegaciones queestimara convenientes.La entidad reclamada no ha acreditado, con ocasión de los trámites formalizados, quehaya dado respuesta a la solicitud de ejercicio de derechos que le fue presentada porla parte reclamante.FUNDAMENTOS DE DERECHOI CompetenciaDe acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cadaautoridad de control y según lo establecido en los artículos 47, 48.1 y 64.1 de la LeyOrgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía delos derechos digitales (en adelante, LOPDGDD), es competente para resolver esteprocedimiento la Presidencia de la Agencia Española de Protección de Datos.Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuestoen el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposicionesreglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con caráctersubsidiario, por las normas generales sobre los procedimientos administrativos."

2/5II Cuestiones previasDe conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española deProtección de Datos es competente para desempeñar las funciones que se le asignanen su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover lasensibilización de los responsables y los encargados del tratamiento acerca de lasobligaciones que les incumben, así como tratar las reclamaciones presentadas por uninteresado e investigar, en la medida oportuna, el motivo de las mismas. Correlativamente, el artículo 31 del RGPD establece la obligación de los responsablesy encargados del tratamiento de cooperar con la autoridad de control que lo solicite enel desempeño de sus funciones. Para el caso de que éstos hayan designado undelegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función decooperar con dicha autoridad.De conformidad con esta normativa, siguiendo el trámite previsto en el artículo 65.4 dela LOPDGDD, con carácter previo a la admisión a trámite de la reclamación deejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar alpresente procedimiento, se dio traslado de la misma a la parte reclamada para queprocediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes yacreditara haber facilitado al reclamante la respuesta debida. El resultado de dicho traslado no permitió entender satisfechas las pretensiones de laparte reclamante. En consecuencia, con fecha 11 de diciembre de 2025, a los efectosprevistos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamaciónpresentada. Dicha admisión a trámite determina la apertura del presenteprocedimiento de falta de atención de una solicitud de ejercicio de los derechosestablecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de laLOPDGDD, según el cual: “Cuando el procedimiento se refiera exclusivamente a la falta de atención de unasolicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 delReglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a loestablecido en el artículo 65 de esta ley orgánica. En este caso el plazo para resolver el procedimiento será de seis meses a contardesde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión atrámite. Transcurrido ese plazo, el interesado podrá considerar estimada sureclamación”.El artículo 58.2 del RGPD confiere a la Agencia Española de Protección de Datos unaserie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD,de entre los que se incluye “ordenar al responsable o encargado del tratamiento queatiendan las solicitudes de ejercicio de los derechos del interesado en virtud delpresente Reglamento.III Derechos de las personas en materia de protección de datos personalesLos derechos de las personas en materia de protección de datos personales estánregulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se

3/5contemplan los derechos de acceso, rectificación, supresión, oposición, derecho a lalimitación del tratamiento y derecho a la portabilidad.Los aspectos formales relativos al ejercicio de esos derechos se establecen en losartículos 12 del RGPD y 12 de la LOPDGDD. Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes delRGPD.De conformidad con lo dispuesto en estas normas, el responsable del tratamientodebe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de susderechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en unmes, salvo que pueda demostrar que no está en condiciones de identificar alinteresado, y a expresar sus motivos en caso de que no fuera a atender dichasolicitud. Recae sobre el responsable la prueba del cumplimiento del deber deresponder a la solicitud de ejercicio de sus derechos formulada por el afectado.La comunicación que se dirija al interesado con ocasión de su solicitud deberáexpresarse en forma concisa, transparente, inteligible y de fácil acceso, con unlenguaje claro y sencillo.Tratándose del derecho de acceso a los datos personales, de acuerdo con loestablecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho serefiera a una gran cantidad de datos, el responsable podrá solicitar al afectado queespecifique los “datos o actividades de tratamiento a los que se refiere la solicitud”. Elderecho se entenderá otorgado si el responsable facilita un acceso remoto a los datos,teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la informaciónreferida a los extremos previstos en el artículo 15. Del RGPD). El ejercicio de este derecho se podrá considerar repetitivo en más de una ocasióndurante el plazo de seis meses, a menos que exista causa legítima para ello.Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un mediodistinto al que se le ofrece que suponga un coste desproporcionado, que deberá serasumido por el afectado.IV ConclusiónEn el supuesto aquí analizado, la parte reclamante ejercitó su derecho de Accesoregulado en el artículo 15 del RGPD y artículo 13 de la LOPDGDD.Trascurrido el plazo establecido conforme a las normas antes señaladas, su solicitudno obtuvo la respuesta legalmente exigible. La entidad reclamada no ha atendido lasolicitud de la parte reclamante ni los requerimientos que le han sido remitidos por estaAgencia. Las normas antes citadas no permiten que pueda obviarse la solicitud como si no sehubiera planteado, dejándola sin la respuesta que obligatoriamente deberán emitir losresponsables, aún en el supuesto de que no existan datos del interesado objeto de

4/5tratamiento por la entidad o incluso en aquellos supuestos en los que no reuniera losrequisitos previstos, en cuyo caso el destinatario de dicha solicitud viene igualmenteobligado a requerir la subsanación de las deficiencias observadas o, en su caso,denegar la solicitud motivadamente indicando las causas por las que no procedeconsiderar el derecho de que se trate.Por tanto, la solicitud que se formule obliga al responsable a dar respuesta expresa, entodo caso, empleando para ello cualquier medio que justifique la recepción de lacontestación.Dado que no se ha aportado copia de la necesaria comunicación que debe dirigir alreclamante informándole sobre la decisión que haya adoptado a propósito de lasolicitud de ejercicio de derechos, procede estimar la reclamación que originó elpresente procedimiento.Vistos los preceptos citados y demás de general aplicación,la Presidencia de la Agencia Española de Protección de Datos RESUELVE:PRIMERO: ESTIMAR la reclamación formulada por A.A.A. al considerar que se hainfringido lo dispuesto en el Artículo 15 del RGPD e instar al AUTOKRATOR, S.A., con NIF A45444502, para que, en el plazo de diez días hábiles desde que la presenteresolución sea firme y ejecutiva, remita a la parte reclamante certificación por la que seatienda el derecho de Acceso ejercido o se deniegue motivadamente indicando lascausas por las que no procede atender la petición, de conformidad con lo establecidoen el cuerpo de la presente resolución. Las actuaciones realizadas comoconsecuencia de la presente Resolución deberán ser comunicadas a esta Agencia enidéntico plazo. El incumplimiento de esta resolución podría comportar la comisión deuna infracción del artículo 83.6 del RGPD, calificada como muy grave a los efectos deprescripción en el artículo 72.1.m) de la LOPDGDD, que se sancionará, de acuerdocon el art. 58.2 del RGPD.SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a AUTOKRATOR, S.A.. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presenteResolución se hará pública. La publicación se realizará una vez haya sido notificada alos interesados. Contra esta resolución, que pone fin a la vía administrativa (artículo 18.4 de la LOPD),y de conformidad con lo establecido en el artículo 123 de la Ley 39/2015, de 1 deoctubre, del Procedimiento Administrativo Común de las Administraciones Públicas, sepodrá interponer, potestativamente, recurso de reposición ante la Presidencia de laAgencia Española de Protección de Datos, en el plazo de un mes a contar desde eldía siguiente a la notificación de esta resolución, o directamente recurso contenciosoadministrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional,con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la DisposiciónAdicional Cuarta de la Ley 29/1998, de 13 de julio, reguladora de la JurisdicciónContencioso-Administrativa, en el plazo de dos meses a contar desde el día siguientea la notificación de este acto, según lo previsto en el artículo 46.1 del referido textolegal.

5/51167-171225Lorenzo Cotino HuesoPresidente de la Agencia Española de Protección de Datos