Derecho de acceso


Manuel Castilleja Toscano     15/09/2025


DERECHO DE ACCESO (art. 15 RGPD)

1. Desglose del art. 15 RGPD

Apartado

Contenido

1

Confirmación de si el responsable del tratamiento está tratando o no datos personales que conciernen a la persona solicitante.

2

Acceso a los datos personales que conciernen a la persona solicitante.

3

Acceso a la siguiente información sobre el tratamiento:

  1. los fines del tratamiento;
  2. las categorías de datos personales;
  3. los destinatarios o las categorías de destinatarios;
  4. la duración prevista del tratamiento o los criterios para determinar la duración;
  5. la existencia de los derechos de rectificación, supresión, limitación del tratamiento y oposición a dicho tratamiento;
  6. el derecho a presentar una reclamación ante una autoridad de control;
  7. cualquier información disponible sobre el origen de los datos, si no se han recogido del interesado;
  8. la existencia de decisiones automatizadas, incluida la elaboración de perfiles y otra información relacionada con ellas.

4

Información sobre las garantías en virtud del artículo 46 cuando los datos personales se transfieran a un tercer país o a una organización internacional.

5

Obligación del responsable del tratamiento de facilitar una copia de los datos personales objeto de tratamiento.

6

Cobro de un canon razonable por parte del responsable del tratamiento basado en los costes administrativos por cualquier otra copia solicitada por el interesado.

7

Suministro de información en formato electrónico.

8

Tener en cuenta los derechos y libertades de otros.

2. Objetivo del derecho de acceso

El objetivo general del derecho de acceso es facilitar a los interesados información suficiente, transparente y fácilmente accesible sobre el tratamiento de sus datos personales, de modo que puedan conocer y verificar la licitud del tratamiento y la exactitud de los datos tratados.

Esto facilitará, aunque no es una condición, que la persona ejerza otros derechos, como el derecho a la supresión o rectificación.

3. Componentes del derecho de acceso

El derecho de acceso incluye la confirmación de si se tratan o no datos personales del solicitante. Si se están tratando, se debe facilitar al solicitante:

  • Acceso a los mismos; y
  • La siguiente información sobre el tratamiento:
    • Siempre:
      • Fines del tratamiento;
      • Categorías de los datos;
      • Plazos o criterios de conservación;
      • Derechos que asisten al interesado.
    • Cuando sea el caso:
      • Destinatarios o categorías de destinatarios, en particular destinatarios en terceros países u organizaciones internacionales y garantías adecuadas relativas a la transferencia;
      • Origen de los datos cuando no se obtengan del interesado;
      • La existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

4. Consideraciones generales sobre la evaluación de la solicitud del interesado

El interesado no tiene que motivar la solicitud de acceso y no corresponde al responsable analizar si la solicitud ayudará al interesado a verificar la licitud del tratamiento o a ejercer otros derechos.

El responsable tendrá que tramitar la solicitud a menos que quede claro que esta se realiza con arreglo a normas distintas al RGPD.

A la hora de analizar el contenido de la solicitud, el responsable del tratamiento debe evaluar si la solicitud:

  • Se refiere a:
    • Datos personales del solicitante.
    • La totalidad o solo a partes de los datos tratados sobre el solicitante.
  • Entra en el ámbito de aplicación del art. 15 y/o si existen otras disposiciones más específicas que regulen el acceso en un sector determinado.

No existen requisitos específicos sobre el formato de la solicitud. El responsable del tratamiento debe proporcionar canales de comunicación adecuados y fáciles de usar que el interesado pueda utilizar fácilmente. Sin embargo, el interesado no está obligado a utilizar estos canales específicos y, en su lugar, puede enviar la solicitud a un punto de contacto oficial del responsable del tratamiento.

El responsable del tratamiento no está obligado a dar curso a las solicitudes que se envíen a direcciones completamente aleatorias o aparentemente incorrectas.

Cuando el responsable del tratamiento:

  • No pueda identificar los datos que se refieren al interesado, informará de ello al solicitante y podrá denegar el derecho de acceso, a menos que este facilite información adicional que permita la identificación.
  • Tenga dudas sobre si el solicitante es quién afirma ser, podrá solicitar información adicional para confirmar su identidad. La solicitud de información adicional debe ser proporcional al tipo de datos tratados, a los daños que podrían producirse, etc., a fin de evitar una recogida excesiva de datos.

5. Alcance del derecho de acceso

El alcance del derecho de acceso viene determinado por el alcance del concepto de datos personales definido en el art. 4.1 RGPD.

Aparte de los datos personales básicos, como el nombre, la dirección, el número de teléfono, etc., esta definición puede incluir una amplia variedad de datos, como los resultados médicos, el historial de compras, los indicadores de solvencia, los registros de actividad, las actividades de búsqueda, etc. Los datos personales que han sido objeto de seudonimización siguen siendo datos personales, a diferencia de los datos anonimizados.

El derecho de acceso se refiere a los datos personales relativos a la persona que presenta la solicitud. Esto no debe interpretarse de manera demasiado restrictiva y puede incluir datos que podrían afectar también a otras personas, por ejemplo, el historial de comunicación que implique mensajes entrantes y salientes.

Además de facilitar el acceso a los datos personales, el responsable del tratamiento debe facilitar información adicional sobre el tratamiento y sobre los derechos de los interesados. Esta información puede basarse en lo que ya figura en el registro de actividades de tratamiento del responsable del tratamiento (art. 30 RGPD) y/o en la información que se facilita al interesado sobre el tratamiento de sus datos (art. 13 y 14 RGPD).

6. Cómo facilitar el acceso a los datos

Las formas de facilitar el acceso pueden variar en función de la cantidad de datos y de la complejidad del tratamiento que se lleve a cabo. Salvo que se indique expresamente lo contrario, debe entenderse que la solicitud se refiere a todos los datos personales relativos al interesado, aunque el responsable del tratamiento puede pedir al interesado que concrete la solicitud si trata una gran cantidad de datos.

El responsable del tratamiento tendrá que buscar datos personales en todos los sistemas informáticos y ficheros no informáticos sobre la base de criterios de búsqueda que reflejen la forma en que está estructurada la información, por ejemplo, nombre y número de cliente.

La comunicación de los datos y demás información sobre el tratamiento debe facilitarse de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo. Los requisitos más precisos a este respecto dependen de las circunstancias del tratamiento de datos, así como de la capacidad del interesado para captar y comprender la comunicación (por ejemplo, teniendo en cuenta que el interesado es un niño o una persona con necesidades especiales). Si los datos consisten en códigos u otros “datos en bruto”, es posible que haya que explicarlos para que tengan sentido para el interesado.

La principal forma para facilitar el acceso es proporcionar al interesado una copia de sus datos, pero pueden preverse otras formas (como verbalmente y acceso in situ) si el interesado lo solicita.

La primera copia se debe facilitar de manera gratuita, incluso si las organizaciones consideran que el coste de emitirla es alto. Por cualquier otra copia solicitada por el interesado se puede cobrar por parte del responsable un canon razonable basado en los costes administrativos.

Los datos pueden enviarse por correo electrónico, siempre que se apliquen todas las garantías necesarias teniendo en cuenta, por ejemplo, la naturaleza de los datos o de otras formas, por ejemplo, una herramienta de autoservicio.

A veces, cuando hay una gran cantidad de datos y al interesado le resultaría difícil comprender la información si se le diera toda de una vez (especialmente en el contexto online), la medida más adecuada podría ser un enfoque por niveles. Facilitar la información en diferentes niveles puede facilitar la comprensión de los datos por parte del interesado. El responsable del tratamiento debe poder demostrar que el enfoque por niveles tiene un valor añadido para el interesado y todos los niveles deben facilitarse al mismo tiempo si el interesado así lo decide.

La copia de los datos y la información adicional deben facilitarse en un formato permanente, como un texto escrito, que podría estar en un formato electrónico de uso común (PDF, Excel, etc.), de modo que el interesado pueda descargarlo fácilmente. Los datos pueden facilitarse en forma de transcripción o compilación, siempre que se incluya toda la información y ello no altere ni modifique su contenido.

Deberán facilitarse incluso los datos que puedan ser incorrectos o tratados de forma ilícita. No pueden facilitarse datos que ya hayan sido suprimidos, por ejemplo, de acuerdo con una política de conservación, y que por tanto ya no estén a disposición del responsable del tratamiento.

7. Plazo para responder a la solicitud

La solicitud deberá atenderse lo antes posible y, en cualquier caso, en el plazo de un mes a partir de su recepción. Este plazo puede prorrogarse dos meses más en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. A continuación, se debe informar al interesado del motivo del retraso.

El responsable del tratamiento debe aplicar las medidas necesarias para tramitar las solicitudes lo antes posible y adaptarlas a las circunstancias del tratamiento. Cuando los datos solo se almacenen durante un período muy breve, deberá contarse con medidas para garantizar que la solicitud de acceso pueda atenderse sin que se borren los datos durante la tramitación de la solicitud. Cuando se trate una gran cantidad de datos, el responsable del tratamiento tendrá que establecer rutinas y mecanismos adaptados a la complejidad del tratamiento.

8. Límites y restricciones

El derecho de acceso no está sujeto a ninguna reserva general de proporcionalidad con respecto a los esfuerzos que el responsable del tratamiento debe realizar para satisfacer la solicitud del interesado.

El RGPD permite ciertas limitaciones del derecho de acceso:

  • Art. 12.5 RGPD: permite a los responsables del tratamiento rechazar solicitudes que sean manifiestamente infundadas o excesivas, o cobrar un canon razonable por dichas solicitudes. Estos conceptos deben interpretarse en sentido estricto. Dado que existen muy pocos requisitos previos en relación con las solicitudes de acceso, el alcance de considerar que una solicitud es manifiestamente infundada es bastante limitado. Las solicitudes excesivas dependen de las características específicas del sector en el que opera el responsable del tratamiento. Cuanto más a menudo se producen cambios en la base de datos del responsable del tratamiento, con mayor frecuencia puede permitirse al interesado solicitar el acceso sin que sea excesivo. En lugar de denegar el acceso, el responsable del tratamiento puede decidir cobrar un canon al interesado. Esto solo sería pertinente en el caso de solicitudes excesivas con el fin de cubrir los costes administrativos que puedan ocasionar dichas solicitudes. El responsable del tratamiento debe poder demostrar el carácter manifiestamente infundado o excesivo de una solicitud.
  • Art. 15.4 RGPD: el derecho a obtener una copia no afectará negativamente a los derechos y libertades de otros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos, no solo a la hora de facilitar el acceso mediante la una copia, sino también si se facilita por otros medios (por ejemplo, el acceso in situ), en estos casos el responsable del tratamiento debe poder demostrar que los derechos o libertades de otros se verían afectados negativamente en la situación concreta. La aplicación del art. 15.4, no debe dar lugar a la denegación total de la solicitud del interesado; solo daría lugar a la exclusión o la ilegibilidad de aquellas partes que puedan tener efectos negativos para los derechos y libertades de otros.
  • Art. 23 RGPD: pueden existir restricciones al derecho de acceso en la legislación nacional de los Estados miembros. Los responsables del tratamiento que pretendan acogerse a tales restricciones deben comprobar minuciosamente los requisitos de las disposiciones nacionales y cumplir las condiciones específicas que puedan aplicarse. Dichas condiciones pueden consistir en que el derecho de acceso solo se retrase temporalmente o que la restricción solo se aplique a determinadas categorías de datos.

9. Resumen

El derecho de acceso permite a las personas solicitar acceso a sus datos personales a las organizaciones que los tratan, verificando la exactitud de dichos datos y la licitud de los tratamientos. En cualquier caso y ante una solicitud de acceso por parte de una persona a sus datos personales la entidad que los está tratando debe:

  1. Responder en plazo sin demora indebida y a más tardar en el plazo de un mes a partir de la recepción de la solicitud de acceso a los datos.
  2. No exigir requisitos formales ni justificación a la persona solicitante, si bien el RGPD no exige ningún formato específico para solicitarlo, el CEPD recomienda proporcionar canales adecuados y fáciles de usar para los solicitantes.
  3. Facilitar la primera copia de datos personales de manera gratuita, incluso si las organizaciones consideran que el coste de emitirla es alto.
  4. Acceso a los datos adecuados y a la persona adecuada; las organizaciones deben poder determinar qué datos se refieren a la persona solicitante y confirmar la identidad de esa persona.
  5. Posibles restricciones:
    • En caso de solicitudes manifiestamente infundadas o excesivas (repetitivas), las organizaciones pueden negarse a atenderlas o cobrar un canon razonable (tras una evaluación cuidadosa).
    • Cuando alguien solicita una copia de sus datos, también deben tenerse en cuenta los derechos de terceros, así como los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos.
    • Pueden existir restricciones al derecho de acceso en la legislación nacional de los Estados miembros.
  6. Solicitudes de acceso a datos en nombre de otra persona, aunque el derecho de acceso generalmente lo ejerce la persona interesada, es posible que un tercero realice una solicitud en nombre de otra persona (como en el caso de progenitores o tutores legales que actúen en nombre de menores).