Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 05/12/2025
Un particular ejercitó su derecho de acceso a sus datos personales frente a un ayuntamiento, el cual no respondió en un primer momento.
Solicitado de nuevo, el ayuntamiento envió al reclamante un requerimiento de subsanación en el que le instaba para que aportase una copia del DNI y la cumplimentación del formulario para ejercitar el derecho de acceso.
El ciudadano presentó el formulario cumplimentado y firmado con su certificado electrónico de la FNMT. Frente a dicha presentación el ayuntamiento remitió un nuevo requerimiento de subsanación, en el que se le comunicaba que debía aportar una fotocopia de su DNI.
Comunicada dicha circunstancia a la AEPD, se dio traslado de la reclamación al ayuntamiento para que procediese a su análisis e informase, en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
Frente a dicho comunicación el ayuntamiento insistió en que el ciudadano tenía que subsanar la solicitud del derecho de acceso presentando una copia de su DNI, por lo que la Presidencia de la AEPD acordó admitir a trámite la reclamación presentada.
Y la AEPD concluye que asiste la razón al reclamante ya que cuando una persona utiliza su certificado FNMT para autenticarse o firmar, su identidad está legalmente acreditada, por lo que solicitar a la parte reclamante fotocopia de su DNI no debe hacerse ya que su identidad queda fehacientemente acredita mediante el certificado electrónico emitido por la FNMT.
No obstante lo anterior, dado que el ciudadano aportó la copia del DNI, la AEPD estima por motivos formales la reclamación al haberse emitido la respuesta extemporáneamente, sin que se requiera la realización de actuaciones adicionales por parte del responsable del fichero en orden a emitir una nueva certificación sobre la atención del derecho ejercitado.
Número de documento: EXP202510722
Fecha de documento: 05/12/2025
RESOLUCIÓN DE PROCEDIMIENTO DE DERECHOS
Vista la reclamación registrada en fecha 18 de mayo de 2025 ante esta Agencia y realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes
PRIMERO: A.A.A. (en adelante, la parte reclamante) ejerció el derecho de Acceso frente al AYUNTAMIENTO DE SAN FERNANDO DE HENARES (en adelante, la parte reclamada) sin que su solicitud haya recibido la contestación legalmente establecida.
El 23/09/24 la parte reclamante ejercitó el derecho de acceso ante la parte reclamada.
El 24/04/25 la parte reclamante presentó un escrito ante la parte reclamada para solicitar que se atendiese la petición formulada con anterioridad.
El 04/05/25 la parte reclamante recibió un requerimiento de subsanación remitido por la parte reclamada, en el que le instan a que aporte una copia del DNI y la cumplimentación del formulario para ejercitar el derecho de acceso.
El 20/05/25 la parte reclamante presentó el formulario para ejercitar el derecho que le facilitó la parte reclamada, firmando el mismo con su certificado electrónico de la FNMT.
El 19/06/25 la parte reclamada remite un nuevo requerimiento de subsanación, en el que se le comunica que debe aportar una fotocopia de su DNI.
La parte reclamante manifiesta que su identidad ha podido ser validada electrónicamente porque para relacionarse con la parte reclamada utiliza su certificado electrónico de la FNMT, destacando a su vez, que la solicitud que envió estaba firmada electrónicamente, pudiendo comprobarse en el citado documento su identidad.
Asimismo, considera que la petición de fotocopia de su DNI es ilegal según Real Decreto 522/2006 (Art. único.1) donde se prohíbe a la Administración General del Estado y organismos dependientes exigir fotocopias del DNI en procedimientos administrativos.
Junto a la reclamación se aportan los escritos registrados para ejercitar el derecho de acceso y las contestaciones emitidas por la parte reclamada.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
En su escrito de respuesta a las actuaciones de traslado de 31 de julio de 2025, la parte reclamada sigue insistiendo en que el reclamante tiene que subsanar la solicitud del derecho de acceso presentando una copia de su DNI.
TERCERO: El resultado del trámite de traslado indicado en el Hecho anterior no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 13 de agosto de 2025, a los efectos previstos en el artículo 64.1 de la LOPDGDD, la Presidencia de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada.
El mencionado acuerdo concedió a la parte reclamada trámite de audiencia, para que en el plazo de quince días hábiles presentase las alegaciones que estimara convenientes, formulando, en síntesis, las siguientes alegaciones:
(…) SEGUNDO. Hasta el 07/08/2025, fecha en que el interesado aportó finalmente copia de su DNI, la solicitud no reunía los requisitos previstos en los artículos 66 de la Ley 39/2015, por lo que no podía entenderse correctamente presentada ni dar lugar a la tramitación del procedimiento. Ello comporta que, hasta ese momento, el reclamante no podía ser considerado interesado en los términos del artículo 4 de la citada Ley.
TERCERO. La actuación municipal se ajusta al artículo 15 del RGPD, en cuanto reconoce el derecho de acceso a datos personales como un derecho de carácter personalísimo, y al considerando 64 y artículo 12.6 del RGPD, que facultan al responsable del tratamiento para requerir documentación adicional cuando existan dudas razonables sobre la identidad del solicitante.
CUARTO. La exigencia de copia del DNI o documento equivalente no constituye un formalismo innecesario, sino una garantía esencial de seguridad jurídica y de protección frente a la posible comunicación de datos personales a terceros no legitimados. En este sentido, el modelo normalizado aprobado por el Ayuntamiento recoge expresamente dicha exigencia, cumpliendo lo dispuesto en el artículo 66.6 de la Ley 39/2015.
QUINTO. Una vez aportado el DNI el 07/08/2025, este Ayuntamiento debe admitir a trámite la solicitud de acceso a datos personales y ha acordado su tramitación conforme al artículo 15 RGPD y al artículo 13 LOPDGDD.
SEXTO. Los cuatro puntos de la valoración de la solicitud conectan directamente con el concepto de "complejidad de la solicitud" que habilita la ampliación del plazo en el art. 12.3 RGPD. La amplitud de la petición, la pluralidad de áreas implicadas, la obligación de proteger derechos de terceros y la necesidad de exhaustividad hacen jurídicamente procedente prorrogar el plazo hasta tres meses."
CUARTO: Examinado el escrito presentado por la parte reclamada, se traslada a la parte reclamante, para que, en el plazo de quince días hábiles formule las alegaciones que considere oportunas, formulando, en síntesis, las siguientes alegaciones:
"El Ayuntamiento de San Fernando de Henares ha obstaculizado reiteradamente el ejercicio del derecho de acceso mediante dilaciones injustificadas y requisitos desproporcionados, incurriendo en infracciones graves del RGPD y la LOPDGDD. Se solicita a la AEPD que ampare estas alegaciones y garantice el cumplimiento efectivo de los derechos del interesado."
I Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1 y 64.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II Cuestiones previas
De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los responsables y los encargados del tratamiento acerca de las obligaciones que les incumben, así como tratar las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de las mismas.
Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha autoridad.
De conformidad con esta normativa, siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con carácter previo a la admisión a trámite de la reclamación de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar al presente procedimiento, se dio traslado de la misma a la parte reclamada para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida.
El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 13 de agosto de 2025, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apertura del presente procedimiento de falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual:
"Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.
En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación".
El artículo 58.2 del RGPD confiere a la Agencia Española de Protección de Datos una serie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD, de entre los que se incluye "ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento.
III Derechos de las personas en materia de protección de datos personales
Los derechos de las personas en materia de protección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos 12 del RGPD y 12 de la LOPDGDD.
Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del RGPD.
De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado.
La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
IV Derecho de acceso
Conforme a lo establecido en el artículo 15 del RGPD y artículo 13 de la LOPDGDD, "el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales".
Tratándose del derecho de acceso a los datos personales, de acuerdo con lo establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se refiera a una gran cantidad de datos, el responsable podrá solicitar al afectado que especifique los "datos o actividades de tratamiento a los que se refiere la solicitud". El derecho se entenderá otorgado si el responsable facilita un acceso remoto a los datos, teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información referida a los extremos previstos en el artículo 15 del RGPD).
El ejercicio de este derecho se podrá considerar repetitivo si se ejerce en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, que deberá ser asumido por el afectado.
Al igual que el resto de los derechos del interesado, el derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como información, en particular, sobre los fines del tratamiento, las categorías de datos personales de que se trate, los destinatarios o categorías de destinatarios a los que podrán comunicarse los datos, el plazo previsto o criterios de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una reclamación ante la autoridad de control, la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información sobre transferencias de datos personales a un tercer país o a una organización internacional. La posibilidad de obtener copia de los datos personales objeto de tratamiento no afectará negativamente a los derechos y libertades de otros.
V Conclusión
Durante la tramitación del presente procedimiento, la entidad reclamada ha contestado a esta Agencia y a la parte reclamante, acreditando haber atendido lo solicitado por la parte reclamante, remitiéndole la preceptiva respuesta a su solicitud.
Si bien la parte reclamada alega que, la parte reclamante presentó varias solicitudes de acceso entre septiembre de 2024 y agosto de 2025 y que, siendo requerido en diversas ocasiones para subsanar la solicitud, no fue hasta el 7 de agosto de 2025 cuando la parte reclamante aportó finalmente la documentación completa exigida por la parte reclamada.
No obstante, hay que decir que la parte reclamante presentó su primera solicitud el 23 de septiembre de 2024 y que la parte reclamada en ningún momento solicitó a la parte reclamante subsanación de dicha solicitud, por lo que el 24 de marzo de 2025 la parte reclamante presentó otro escrito ante la parte reclamada para solicitar que se atendiera la petición formulada con anterioridad, por lo que no se puede considerar una nueva petición.
Hay que señalar que las administraciones públicas no pueden exigir el uso obligatorio de modelos normalizados para ejercer el derecho de acceso a datos personales. Según el reglamento (UE) 2016/679, conocido como Reglamento General de Protección de Datos (RGPD), el ejercicio de los derechos por parte del interesado, incluyendo el derecho de acceso (art. 15), debe ser:
• Fácil.
• Gratuito.
• Sin formalismos innecesarios.
Además, la Agencia Española de Protección de Datos (AEPD) ha reiterado en varias resoluciones y guías que: "No se puede supeditar el ejercicio de derechos al uso de un formulario normalizado". Las administraciones pueden ofrecer formularios o modelos orientativos para facilitar el ejercicio de derechos, pero no pueden exigir su uso obligatorio, deben aceptar solicitudes por cualquier medio valido, siempre que permitan identificar al interesado y el derecho que se quiere ejercer.
El 12 de mayo de 2025, transcurridos varios meses desde la solicitud de acceso de la que no había obtenido respuesta y habiendo instado de nuevo su resolución, la parte reclamante recibió un requerimiento de subsanación remitido por la parte reclamada, en el que le instaba a que aporte una copia del DNI y la cumplimentación del formulario para ejercitar el derecho de acceso; al respecto hay que decir que en el momento de presentación de la primera solicitud según dice la parte reclamante no estaba disponible ni accesible ningún modelo para ejercer el derecho. El 20 de mayo de 2025 la parte reclamante presentó el formulario para ejercitar el derecho que le facilitó la parte reclamada, firmando el mismo con su certificado electrónico de la FNMT.
El 19 de junio de 2025 y el 31 de julio de 2025 se le requiere a la parte reclamante la presentación de la fotocopia del DNI o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del Tratamiento de Datos pueda constatarla, concediéndole diez días hábiles para su subsanación, todo ello al amparo de diversa normativa administrativa que cita.
El 7 de agosto de 2025 la parte reclamante aporta fotocopia del DNI ante la parte reclamada, justificando su ilegalidad y la parte reclamada le notifica el 24 de septiembre de 2025 que su solicitud ha sido admitida a trámite casi 1 año después de la solicitud.
En relación con la aportación de la fotocopia del DNI de la parte reclamante, decir que la identidad de una persona queda acreditada mediante el certificado electrónico de la FNMT (Fábrica Nacional de Moneda y Timbre), siempre que:
1. El certificado esté en vigor y no haya sido revocado.
2. Se use correctamente (es decir, firmado o autenticado digitalmente con él).
3. Corresponda a la persona física o jurídica que realiza el trámite.
El certificado electrónico de persona física de la FNMT acredita:
• La identidad del titular, validada presencialmente o por videollamada ante un organismo oficial (como Hacienda o una oficina de registro).
• La vinculación del titular con una clave pública y privada, lo que permite firmar electrónicamente documentos o autenticarse en servicios online.
• El consentimiento y voluntad del firmante si se usa para firmar documentos (como un contrato).
Este certificado tiene plena validez legal en España, conforme a:
• El Reglamento (UE) Nº 910/2014 (eIDAS) sobre identificación electrónica y servicios de confianza.
• La Ley 6/2020 de servicios electrónicos de confianza.
Por tanto, cuando una persona utiliza su certificado FNMT para autenticarse o firmar, su identidad está legalmente acreditada, como es el caso que nos ocupa, por lo que solicitar a la parte reclamante fotocopia de su DNI no debe hacerse ya que su identidad queda fehacientemente acredita mediante el certificado electrónico emitido por la FNMT.
En este caso, sin embargo, consta que durante la tramitación de la reclamación que da lugar al presente procedimiento, formulada precisamente por esa falta de respuesta adecuada a la solicitud de ejercicio de derechos, la parte reclamada ha aportado documentación acreditando la comunicación remitida al interesado atendiendo el derecho o informando sobre la decisión adoptada a propósito de la solicitud. Esta respuesta, por tanto, se produce una vez rebasado el plazo establecido.
A este respecto, cabe precisar que la respuesta que corresponde realizar no puede manifestarse con ocasión de un mero trámite administrativo. Por consiguiente, considerando que el presente procedimiento tiene como objeto que las garantías y los derechos de los afectados queden debidamente restaurados, conjugando la información obrante en el expediente con la normativa referida en los apartados precedentes, procede estimar por motivos formales la presente reclamación al haberse emitido la respuesta extemporáneamente, sin que se requiera la realización de actuaciones adicionales por parte del responsable del fichero en orden a emitir una nueva certificación sobre la atención del derecho
Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: ESTIMAR por motivos formales, la reclamación formulada por A.A.A., contra el AYUNTAMIENTO DE SAN FERNANDO DE HENARES. No obstante, no procede la emisión de nueva certificación por parte de la parte reclamada, al haberse emitido la respuesta extemporáneamente, sin que se requiera la realización de actuaciones adicionales por parte del responsable.
SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y al AYUNTAMIENTO DE SAN FERNANDO DE HENARES.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
