Lily F. Estrada, abogada del área de IP&IT y Protección de Dato de Durán-Sindreu.

El ejercicio de derechos en materia de protección de datos ya estaba previsto en la derogada Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Sin embargo, con la entrada en vigor del Reglamento General de Protección de Datos (“RGPD”) y la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) se han extendido estos derechos, otorgando más control al interesado sobre sus datos. Por tanto, actualmente, los interesados tienen derecho a acceder, rectificar y suprimir sus datos, limitar y oponerse al tratamiento, así como el derecho a no ser objeto de decisiones individuales automatizadas y revocar su consentimiento previamente otorgado.

Uno de los principales problemas que aparecen a la hora de resolver las solicitudes de derechos de los interesados es el plazo legalmente limitado del que disponen los responsables del tratamiento para contestar. En base al artículo 12.4 del RGPD, el responsable dispone de un mes a partir de la recepción de la solicitud para dar curso a su petición. Solo en caso de que se reciba un elevado número de solicitudes o la solicitud del interesado sea compleja puede prorrogarse este término por dos meses más. Eso sí, el responsable deberá notificar al interesado de este hecho e informarle sobre los motivos que lo han causado.

Si no se ofrece una solución al interesado a tiempo o se ponen trabas para el ejercicio de estos derechos, estaríamos cometiendo una infracción contemplada en el artículo 83.5 RGPD las cuales se sancionan con multas administrativas de hasta 20.000.000€ o la cuantía equivalente al 4% del volumen de negocio total anual, optándose por la de mayor cuantía.

Para evitar estas elevadas sanciones y respetar los derechos y libertades de los interesados, debemos tener presente los siguientes aspectos a la hora de tramitar las solicitudes de derechos de los interesados:

1. Se debe ofrecer un medio sencillo a través del cual los interesados puedan ejercer sus derechos. Entre los mecanismos más habituales se encuentran los formularios web, la habilitación de un correo electrónico expresamente para ello o, en el caso de las administraciones públicas, la posibilidad de realizar este trámite presencialmente.
2. Por regla general, las solicitudes de derechos de protección de datos son gratuitas. No se puede exigir el pago de un canon para dar trámite a las solicitudes de los interesados, ya que de lo contrario se estaría obstaculizando el ejercicio de sus derechos. Solo el responsable del tratamiento podrá exigir una tasa o negarse a tramitar la petición cuando se trate de solicitudes manifiestamente infundadas o excesivas, especialmente por su carácter repetitivo. Normalmente, el responsable deberá optar por negarse cuando la solicitud sea infundada y se decantará por exigir el abono de un canon cuando la solicitud sea excesiva, que no podrá superar el coste de tramitación.
3. El responsable está obligado a tramitar todas las solicitudes, aunque las haya recibido a través de medios no oficiales, ya que no hay una obligación para el interesado de ejercitar sus derechos de una determinada manera. Además, solo en caso de que tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud, el responsable podrá solicitarle que aporte algún documento identificativo.
4. Uno de los aspectos que puede generar mayores conflictos es el plazo de un mes a partir de la recepción de la solicitud del que dispone el responsable para solventar la petición del interesado. En este sentido, la disposición adicional tercera de la LOPDGDD prevé que el cálculo de los plazos establecidos en meses que establecidos en tanto en el RGPD como en la propia LOPDGDD se realizará de día a día. Es decir, si recibimos una solicitud el 15 de septiembre, dispondremos hasta el 15 de octubre para tramitarla. Si no hubiera un día equivalente, se entenderá que el plazo finaliza el último día del mes; y en caso de que el último día fuera inhábil, el plazo se prorrogará hasta el primer día hábil siguiente. Adicionalmente, el Considerando 59 del RGPD exige que se tramiten las solicitudes de los interesados sin dilación indebida, por lo que se recomienda no agotar el plazo.

En conclusión, hemos de prestar especial atención a la tramitación de las solicitudes de ejercicio de derechos de los interesados para no vulnerar sus derechos y libertades, así como para evitar las altas sanciones que se pueden llegar a imponer por parte de las autoridades competentes en materia de protección de datos. Concretamente, se tendrá que facilitar el ejercicio de estos derechos ofreciendo distintos medios, y atender de igual modo aquellas solicitudes que se reciban por otros canales diferentes a los previstos. Asimismo, aunque dispongamos del plazo de un mes para contestar al interesado, computándose de fecha a fecha, es importante gestionar las solicitudes sin dilación indebida y procurar no consumir el plazo legalmente establecido. De lo contrario, pasado el plazo de 30 días sin contestar, el interesado podrá presentar una reclamación ante la Agencia Española de Protección de Datos u otra autoridad competente correspondiente, con la consecuente inspección a la empresa.