Derecho de acceso: qué es y cómo ejercerlo

Blog / Derecho de acceso: qué es y cómo ejercerlo
Publicado por Usercentrics
Tiempo de lectura 5 mins
Dic 3, 2024

¿Qué es el derecho de acceso?

El derecho de acceso es aquel que poseen las personas respecto al responsable del tratamiento de sus datos personales, para saber si los está tratando y de qué manera. 

En su página web, la Agencia Española de Protección de Datos (AEPD)  indica qué información relativa a sus datos personales pueden consultar los interesados amparándose en el derecho de acceso. 

En concreto, los usuarios pueden exigir a las empresas lo siguiente:

  • Una copia de los datos tratados
  • Los fines del procesamiento de datos
  • Categorías de datos que se estén tratando
  • Destinatarios, si hay terceros que tratan los datos y si alguno está en el extranjero
  • El plazo previsto para conservar los datos

Los interesados pueden presentar una reclamación a la AEPD, la autoridad de control en España, en caso de que sus derechos no sean respetados.

¿Quién puede ejercer el derecho de acceso?

Cualquier persona física de la Unión Europea cuyos datos estén siendo procesados por una organización tiene derecho a exigir el acceso a los mismos que recoge el RGPD. Esto incluye a empleados de la empresa, clientes, prospectos, proveedores, candidatos a un puesto de empleo, usuarios que visitan la web, etc.

Por ejemplo, estos son algunos casos en que la empresa deberá responder:

  • Un empleado solicita acceder a su historial laboral
  • El usuario que visita una web quiere conocer las cookies que se usan
  • Un cliente quiere tener los datos asociados a su perfil

Estos son solo algunos ejemplos en los cuales una persona física puede dirigirse a una compañía para exigir información relativa a sus datos de carácter personal.

El procedimiento para ejercer el derecho de acceso

El primer paso que deben seguir los usuarios para ejercer el derecho de acceso es solicitarlo a la organización responsable del tratamiento. Esto significa que las empresas deben asegurarse de proporcionar las vías necesarias para que los usuarios puedan realizar estas solicitudes. 

En el artículo 12, el RGPD señala que «el responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22.» Los artículos 15 a 22 son un desglose de cada uno de los derechos que deben ser protegidos: acceso, rectificación, supresión, limitación, notificación relativa a rectificación o supresión, portabilidad y oposición.

El RGPD establece en su artículo 12.3 que el responsable del tratamiento tiene el plazo de un mes desde la recepción de la solicitud para facilitar al interesado la información reclamada. Si la solicitud es muy compleja o la empresa tiene muchas peticiones, este plazo puede ampliarse dos meses más. En ese caso, la empresa debe avisar al interesado en el plazo de un mes explicándole el motivo del retraso.

Asegúrese de informar sobre sus derechos a los usuarios con la solución en la nube e intuitiva de Usercentrics.

La AEPD pone a disposición de los ciudadanos españoles una página web donde explica los distintos derechos que tienen respecto a sus datos personales. En cuanto al derecho de acceso, el sitio web incluye el acceso directo a un formulario para ejercerlo, que se puede completar y enviar a la agencia. 

Source

Para recurrir a esta vía es imprescindible que primero el interesado haya realizado su solicitud formal a la organización responsable del tratamiento y que haya pasado un mes desde entonces sin recibir respuesta alguna.

Sanciones por incumplimiento del derecho de acceso

Las empresas tienen un doble deber sobre el derecho de acceso: 

  • Facilitar que se ejerza ofreciendo las vías de comunicación necesarias
  • Responder a cualquier solicitud en el plazo de un mes

Las consecuencias legales de no respetar este derecho pueden suponer multas de hasta 20 millones de euros en los casos más graves, o el 4% del volumen de negocio anual de la empresa. En función de la naturaleza, duración y gravedad de la infracción, la AEPD es quien impone la multa correspondiente.

Un ejemplo mediático en que la AEPD multó a una gran compañía por no cumplir el derecho de acceso es el caso de Vodafone. La empresa de telefonía fue condenada a pagar 70.000 euros por haber incurrido en una vulneración del artículo 15 del RGPD calificada como «grave». La empresa, en este caso, no cumplió su deber de custodiar y facilitar a un cliente una copia de la grabación de la contratación.

Si quiere prevenir cualquier clase de infracción que pueda estar cometiendo sin saberlo, revise esta checklist RGPD, donde podrá conocer más a fondo las obligaciones legales derivadas de la ley de protección de datos de la Unión Europea.

Diferencia entre el derecho de acceso y otros derechos relacionados

Es un error común confundir el derecho de acceso con otros asociados a la protección de datos, como el derecho al olvido. 

El de acceso es el primero en la lista de derechos recogidos en el RGPD y es, además, el que se limita a asegurar que el usuario esté informado sobre cómo se están tratando sus datos. El objetivo es garantizar que las personas físicas tengan el control y conocimiento sobre la manera en que utiliza su información personal. Los demás derechos, como el de rectificación, supresión, limitación o portabilidad, van un paso más allá y permiten a las personas modificar, eliminar o controlar el uso de sus datos. 

Es importante que las personas conozcan la diferencia entre estos derechos para poder ejercerlos de forma efectiva. Al mismo tiempo, las empresas deben asegurarse de contar con todos los mecanismos necesarios para poder facilitar a los usuarios que los ejerzan sin problema.

Asegúrese de incluir una política de privacidad en su sitio web en la que detalle todo lo que corresponda, dedicando un apartado a los distintos derechos y a cómo se deben ejercer.

Conclusión

Cumplir las leyes de protección de datos para empresas no es un tema menor, y hay un largo historial de casos que confirman que las multas por infracciones del RGPD pueden ser cuantiosas. Asegúrese de cumplir con el derecho de acceso de los usuarios, además del resto de derechos recogidos en la legislación vigente, y así evitará sanciones y mejorará la confianza hacia su empresa.

Usercentrics le ofrece una CMP o plataforma de gestión del consentimiento que le ayuda a cumplir las leyes de protección de datos. Con la tecnología adecuada, su empresa podrá cumplir la normativa con facilidad. Anticípese a cualquier solicitud de los usuarios, contando con un plugin de consentimiento de cookies que le permite agregar un banner al sitio web con toda la información y los recursos para recopilar el consentimiento tal como dispone la ley.

Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.