Protección de Datos

Derecho de acceso RGPD (art. 15): cómo responder

Derecho de acceso RGPD (art. 15): qué debe entregar el responsable, plazo de un mes, verificación de identidad y cómo responder sin exponerte a sanciones AEPD.

También disponible en:English·Français·Deutsch·Italiano

En una frase. El derecho de acceso RGPD del art. 15 obliga al responsable a confirmar si trata datos de una persona y, en su caso, a entregar una copia de esos datos más la información del art. 15.1, en el plazo de un mes y de forma gratuita.

Puntos clave

  • El art. 15 RGPD da a cualquier interesado derecho a saber si se tratan sus datos, a acceder a ellos y a recibir información sobre finalidades, categorías, destinatarios, plazos y origen.
  • El plazo de respuesta es de un mes desde la recepción, prorrogable dos meses más en casos complejos, previa comunicación motivada.
  • La verificación de identidad es legítima, pero no puede convertirse en un obstáculo para desincentivar el ejercicio del derecho.
  • No atender una solicitud de acceso es una de las causas más frecuentes de reclamación y sanción ante la AEPD.
  • El acceso es la puerta de entrada al resto de derechos ARCO+: quien no puede acceder, no puede rectificar ni suprimir.

Qué es el derecho de acceso RGPD y qué obliga a entregar

El derecho de acceso RGPD permite a toda persona física obtener del responsable dos cosas. Primero, confirmación de si se están tratando o no datos personales que le conciernen. Segundo, si la respuesta es afirmativa, acceso a esos datos y a la información que enumera el art. 15.1 RGPD: fines del tratamiento, categorías de datos, destinatarios o categorías de destinatarios (en especial fuera de la UE), plazo de conservación previsto o los criterios para fijarlo, existencia de los demás derechos, derecho a reclamar ante la autoridad de control, origen de los datos cuando no se obtuvieron del interesado y existencia de decisiones automatizadas.

Además, el art. 15.3 obliga a facilitar una copia de los datos objeto de tratamiento. Esta copia es el punto que más conflictos genera: no es la entrega de expedientes enteros ni de documentos de terceros, sino de los datos personales del solicitante. Las Directrices 01/2022 del CEPD sobre el derecho de acceso precisan su alcance y son la referencia interpretativa a seguir.

Plazo y forma de respuesta

El responsable debe responder sin dilación indebida y, a más tardar, en un mes desde la recepción de la solicitud (art. 12.3 RGPD). Ese plazo puede prorrogarse dos meses adicionales cuando la solicitud sea compleja o haya muchas solicitudes, pero hay que informar al interesado de la prórroga y de sus motivos dentro del primer mes.

La respuesta debe darse en forma concisa, transparente, inteligible y de fácil acceso, con lenguaje claro. Si la solicitud se presentó por medios electrónicos, la información se facilitará en formato electrónico de uso común, salvo que el interesado pida otra cosa. El acceso es gratuito; solo cabe cobrar un canon razonable o negarse cuando las solicitudes sean manifiestamente infundadas o excesivas, en particular por repetitivas —y el responsable debe poder demostrar ese carácter.

Verificación de identidad y solicitudes de terceros

El responsable puede —y debe— asegurarse de que quien solicita el acceso es realmente el titular de los datos (art. 12.6 RGPD). Pero la verificación tiene límites: pedir sistemáticamente el DNI escaneado cuando la identidad puede confirmarse por otros medios menos invasivos choca con el principio de minimización de datos. La regla práctica: solicita solo la información adicional necesaria y proporcionada al riesgo.

Cuando el acceso afecta a datos de terceros —correos con otras personas, informes compartidos— el art. 15.4 protege los derechos de esos terceros, pero no permite denegar el acceso en bloque: obliga a ponderar y, en su caso, a anonimizar o disociar la información ajena.

Qué información acompaña a la copia de datos

Entregar la copia de los datos no agota la obligación: el art. 15.1 exige acompañarla de un bloque de información que muchos responsables omiten. En concreto, hay que indicar los fines de cada tratamiento, las categorías de datos afectadas, los destinatarios —con mención expresa de si están fuera de la UE y de las garantías aplicadas—, el plazo de conservación previsto o los criterios para determinarlo, la existencia del derecho a solicitar la rectificación, supresión, limitación u oposición, el derecho a reclamar ante la AEPD, el origen de los datos cuando no se obtuvieron del interesado y la existencia de decisiones automatizadas, incluida la elaboración de perfiles, con información significativa sobre su lógica.

Este contenido convierte el acceso en algo más que un volcado de datos: es una fotografía completa del tratamiento. Omitir estos elementos es tan defectuoso como no entregar los datos, y es uno de los motivos por los que la AEPD estima reclamaciones incluso cuando el responsable creía haber respondido.

Errores que sanciona la AEPD

Buena parte de las resoluciones de la AEPD nacen de derechos no atendidos. Los patrones más habituales:

Error frecuente Regla correcta
No responder o hacerlo fuera de plazo Un mes, con prórroga motivada de hasta dos meses
Exigir un formulario propio obligatorio El interesado puede ejercer el derecho por cualquier medio
Pedir documentación de identidad excesiva Solo la necesaria y proporcionada
Entregar datos incompletos Copia íntegra de los datos + información del art. 15.1
Cobrar por defecto El acceso es gratuito salvo abuso demostrado

Bajo el art. 72.1.k) LOPDGDD, impedir u obstaculizar el ejercicio de derechos es infracción muy grave. La consecuencia de fallar aquí no es solo la multa: cada acceso mal gestionado suele arrastrar reclamaciones adicionales y refuerza la imagen de una organización sin procedimientos. La guía de la AEPD como autoridad de control detalla cómo tramita estas reclamaciones y las sanciones RGPD que pueden derivar.

Cómo montar un procedimiento de acceso que funcione

Un procedimiento sólido reduce el riesgo a casi cero. Cuatro elementos:

  1. Canal claro y registrado. Un punto de entrada (correo, formulario) que deje traza de la fecha de recepción, que es la que dispara el plazo.
  2. Localización de datos. Saber dónde están los datos de cada persona exige un registro de actividades de tratamiento actualizado; sin él, cumplir el plazo es cuestión de suerte.
  3. Plantillas de respuesta. Modelos para estimación, prórroga, solicitud de identidad y denegación motivada, con los plazos correctos.
  4. Trazabilidad. Conservar qué se pidió, qué se entregó y cuándo, para acreditar el cumplimiento ante la AEPD.

Mantener este flujo a mano se vuelve inviable con volumen. Una plataforma como Legiscope ayuda a mapear dónde residen los datos y a documentar cada solicitud, de modo que el plazo de un mes deje de ser un riesgo. Antes de responder tu próxima solicitud, contrasta tu proceso con el checklist de cumplimiento RGPD en España.

Véase también: derecho de rectificación, derecho de supresión y al olvido y derecho de oposición.

FAQ

¿Qué plazo tengo para responder a una solicitud de acceso?

Un mes desde la recepción de la solicitud (art. 12.3 RGPD), prorrogable dos meses más en casos complejos siempre que informes al interesado de la prórroga y sus motivos dentro del primer mes.

¿Puedo exigir el DNI para verificar la identidad?

Puedes verificar la identidad, pero solo con la información necesaria y proporcionada al riesgo. Exigir sistemáticamente el DNI escaneado cuando la identidad puede confirmarse de otro modo es desproporcionado y contrario a la minimización de datos.

¿Tengo que entregar los documentos originales o solo los datos?

Debes entregar una copia de los datos personales del solicitante y la información del art. 15.1, no necesariamente los documentos íntegros, sobre todo si contienen datos de terceros que deban protegerse (art. 15.4).

¿El derecho de acceso es gratuito?

Sí. El acceso es gratuito. Solo puedes cobrar un canon razonable o negarte cuando la solicitud sea manifiestamente infundada o excesiva —normalmente por repetitiva—, y debes poder demostrar ese carácter.


Fuentes oficiales: AEPD, Reglamento (UE) 2016/679 (RGPD) y Comité Europeo de Protección de Datos (CEPD).

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →