Iniciamos esta entrada de nuestro blog haciendo referencia a otros artículos de nuestro blog (pincha aquí) sobre ejercicios de derechos, tanto el Reglamento General de Protección de Datos (RGPD) en sus artículos 15 a 22, como la ley orgánica de Protección de Datos y Garantía de los derechos digitales (LOPDGDD) en sus artículos 13 a 18, reconocen a los titulares de datos de carácter personal el ejercicio de una serie de derechos (conocidos como ARSOPOL) ante el responsable del tratamiento de sus datos:
- Derecho de acceso.
- Derecho de rectificación.
- Derecho de oposición.
- Derecho de supresión (conocido como derecho “al olvido”).
- Derecho a la limitación del tratamiento.
- Derecho a la portabilidad.
- Derecho de oposición al tratamiento de decisiones automatizadas.
Primero pasaremos a analizar las cuestiones generales sobre ejercicios de derechos a tener en cuenta por las entidades:
¿Qué cuestiones es imprescindible tener en cuenta en este sentido? (Art.12 LOPDGDD):
- Su ejercicio ha de ser gratuito.
- Si las solicitudes son manifiestamente infundadas o excesivas (p. ej., carácter repetitivo) el responsable podrá:
- Cobrar un canon proporcional a los costes administrativos soportados.
- Negarse a actuar.
- Las solicitudes deben responderse en el plazo de un mes, aunque, si se tiene en cuenta la complejidad y número de solicitudes, se puede prorrogar el plazo otros dos meses más.
- El responsable del tratamiento está obligado a informar sobre los medios para ejercitar estos derechos. Estos medios deben ser accesibles y no se puede denegar este derecho por el solo motivo de que optes por otro medio. (Correo electrónico, carta certificada, etc.)
- Si la solicitud se presenta por medios electrónicos, la información se facilitará por estos medios cuando sea posible, salvo que el interesado solicite que sea de otro modo.
- Si el responsable no da curso a la solicitud, informará y a más tardar en un mes, de las razones de su no actuación y la posibilidad de reclamar ante una Autoridad de Control.
- El interesado puede ejercer los derechos directamente o por medio de su representante legal o voluntario.
No queremos terminar este apartado sin referirnos a los requisitos que ha de cumplir el interesado a la hora de solicitar el ejercicio de sus derechos, que la propia AEPD incluye en los formularios de ejercicio de derechos (acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad, oposición al tratamiento de decisiones automatizadas), disponibles en su página web:
a) Nombre, apellidos del interesado. En los casos que existan dudas acerca de la identidad del interesado, se solicitará fotocopia de su documento nacional de identidad o pasaporte (art. 12.6 RGPD) y, en los casos que se admita, de la persona que le represente, así como del documento acreditativo de tal representación. La fotocopia del documento nacional de identidad o del pasaporte podrá ser sustituida por copia de documento equivalente que acredite su identidad conforme a derecho.
b) Petición en que se concreta la solicitud.
c) Domicilio a efectos de notificaciones, fecha y firma del solicitante.
d) Documentos acreditativos de la petición que formula, en su caso.
Como regla general y tal y como nos indica la Agencia Española de Protección de Datos (AEPD), esta sería la forma y los datos que deben de acompañar la solicitud, pero cabe hacerse otra pregunta al respecto:
¿Para ejercitar un derecho tengo que dirigirlo a través de los medios que facilite el responsable o valdría una dirección de correo electrónico genérica?
Para responder a esta pregunta vamos a guiarnos de una reciente Sentencia de la Audiencia Nacional, con fecha 3 de septiembre de 2025:
- Resolución impugnada:
Se recurre la resolución de la AEPD de 15/12/2022, que desestimó el recurso de reposición contra otra de 09/10/2022.Dicha resolución inadmitió la reclamación presentada por el recurrente.
- Fundamento de la AEPD:
Los responsables de datos deben habilitar vías específicas (correo postal, formulario web o email oficial) para ejercer los derechos. En este caso, la web de la Universidad reclamada indicaba direcciones concretas: pd@uax.es y una dirección postal en Villanueva de la Cañada. No consta que el recurrente usara las vías indicadas anteriormente (email o dirección postal específicos), pues los correos que envio el recurrente fueron enviados a otro email distinto del de pd@uax.es.
- Argumentos del reclamante:
En 2022 pidió por email a la Universidad su certificación académica (notas de Ingeniería Industrial). Ante la falta de respuesta, reiteró el 29/07/2022, esta vez con certificación de envío fehaciente (Egarante). El reclamante sostiene que ejerció su derecho de acceso a datos personales y académicos, al que la Universidad no dio respuesta.
- Legislación aplicable:
En este litigio resulta de aplicación lo previsto en el Considerando 59 del RGPD (UE 2016/679), que impone a los responsables del tratamiento la obligación de facilitar el ejercicio de los derechos de los interesados —incluido el acceso, rectificación, supresión y oposición—, debiendo ofrecer medios electrónicos cuando los datos se traten por tales vías y garantizando respuesta en un plazo máximo de un mes. Asimismo, es aplicable lo dispuesto en el artículo 15 RGPD, en relación con el artículo 13 de la Ley Orgánica 3/2018, que regulan el derecho de acceso a los datos personales y la obligación correlativa del responsable de atenderlo de forma efectiva y diligente.
En resumen, la Audiencia Nacional concluye que, aunque la Universidad disponía de cauces expresos para el ejercicio de los derechos de protección de datos (correo específico y dirección postal), el recurrente optó por enviar su solicitud a un buzón genérico sin que conste su recepción por la entidad reclamada. En consecuencia, no puede atribuirse a la Universidad la obstrucción del derecho de acceso, pues ni siquiera quedó acreditado que tuviera conocimiento de la petición. La certificación de envío aportada por Egarante solo prueba la remisión del correo, no su efectiva recepción. Por ello, la Sala de la Audiencia Nacional entiende que las alegaciones del reclamante no desvirtúan los fundamentos de la resolución impugnada, procediendo la desestimación de la demanda y la confirmación de la inadmisión dictada por la AEPD.
A modo de conclusión y para poder determinar ante qué medios se ha de realizar ejercicio de derechos en materia de protección de datos hemos de tener en cuenta que siempre y cuando estos medios estén disponibles en la información de la entidad (puede ser en su página web o en su documentación como en el caso concreto) la petición se entenderá valida si se realiza a través de los cauces establecidos, sino como ocurre en el caso de análisis realizado en esta entrada de nuestro blog se tendrá el ejercicio de derechos como no realizado.
