Si no encuentras lo que buscas o prefieres contactar con un agente, llámanos
91 210 80 00 - 902 44 33 55 Fax: 91 578 16 17 / 91 210 80 01 Lunes a viernes de 8:30 a 20 hSi lo prefieres, escríbenos un correo electrónico a:
clientes@lefebvre.es Enviar mailSolicita asistencia online de uno de nuestros agentes para ayudarte a lo largo de tu sesión
Lunes a Jueves: 10:00-14:00 y 16:00-18:00 / Viernes: 9:00-14:00AEPD 02/03/2026
Un particular presenta reclamación contra un ayuntamiento alegando que ejerció su derecho de acceso a sus datos personales, solicitando gratuitamente acceso a los ficheros y bases de datos municipales donde constaran datos sobre su persona, y que el ayuntamiento no atendió correctamente la solicitud, ya que la inadmitió/denegó calificándola de manifiestamente abusiva y por falta de motivación suficiente.
La AEPD señala que el procedimiento tiene por objeto la falta de atención del derecho de acceso y que el derecho de acceso se rige por el art. 15 RGPD, con los aspectos formales del art. 12 RGPD, y que el responsable del tratamiento debe facilitar el ejercicio de derechos y responder en plazo, debiendo expresar motivos si no atiende la solicitud.
Y argumenta que el ayuntamiento no puede denegar el derecho de acceso con afirmaciones genéricas, como que la solicitud es “muy amplia”, “difusa”, “difícil” o que es “imposible” por falta de medios, sin examen ni soporte documental, porque el art. 12.5 RGPD impone al responsable la carga de demostrar que la solicitud es manifiestamente infundada o excesiva. Además, si necesita concretar, puede pedir aclaraciones conforme al art. 13.1 LOPD 2018, y si la solicitud es compleja puede ampliar el plazo, comunicándolo al interesado, sin que el derecho de acceso pueda denegarse por la sola alegación de carga organizativa o falta de medios.
Por ello, la AEPD declara que procede estimar la reclamación por infracción del art. 15 RGPD e insta al ayuntamiento a que, en 10 días hábiles, remita a la reclamante una certificación en la que se atienda el derecho de acceso solicitado y comunique a la AEPD las actuaciones realizadas en el mismo plazo.
Número de documento: EXP202514668
Fecha de documento: 02/03/2026
RESOLUCIÓN DE PROCEDIMIENTO DE DERECHOS
Vista la reclamación registrada en fecha 9 de julio de 2025 ante esta Agencia y realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes
PRIMERO: A.A.A. (en adelante, la parte reclamante) ejerció el derecho de Acceso frente al AYUNTAMIENTO DE CABEZÓN DE LA SAL (en adelante, la parte reclamada) sin que su solicitud haya recibido la contestación legalmente establecida.
El 24/06/25 la parte reclamante ejercitó el derecho de acceso ante la parte reclamada. En la instancia registrada solicitaba expresamente "que se le facilite gratuitamente el derecho de acceso a los ficheros de datos que respecto a esta solicitante existan en ese Ayuntamiento de Cabezón de la Sal, Cantabria, así como, en los contenidos respecto a esta interesada en la base de datos de información de todas y cada una de las concejalías y departamentos que conforman ese Ayuntamiento de Cabezón de la Sal, Cantabria".
El 30/06/25 la parte reclamada inadmite la petición "por no estar justificada en la finalidad de la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, al incurrir elementos de carácter manifiestamente abusivos y ausencia de motivación suficiente."
Junto a la reclamación aporta la instancia registrada para ejercitar el derecho y la contestación emitida para denegarlo.
SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.
En su escrito de respuesta a las actuaciones de traslado de 17 de septiembre de 2025, la parte reclamada señala:
"2. Si han dado respuesta a la solicitud de ejercicio de derechos de la parte reclamante, acreditación de la respuesta facilitada.
La respuesta facilitada a la parte reclamante consta en el traslado de información que se nos ha efectuado y, por tanto, en el expediente.
3. En el supuesto de que se haya ejercitado el derecho de acceso, rectificación osupresión, informar si los datos solicitados están bloqueados o no.
La interesada ha solicitado acceso a la totalidad de sus datos, por lo que es necesario, en primer lugar, conocer en qué bases de datos se encuentran. Resulta imprescindible que la interesada aclara a qué datos concretos quiere acceder.
4. ¿Han adoptado alguna decisión a propósito de la reclamación que se traslada oprevén adoptarla?
Se inadmitió tal petición por abusiva y, además, recurrente, ya que la parte interesada ha ejercitado varios derechos de acceso en un breve plazo de tiempo. En otra ocasión, el derecho de acceso le fue concedido, pero al no haberse abonado la tasa correspondiente (cédula urbanística), finalmente no fue expedida la documentación pedida.
5. Si han dado respuesta a la parte reclamante con motivo del traslado por estaAgencia de su reclamación, acreditación de la respuesta facilitada.
A la interesada se le facilitó la respuesta a su derecho y que consta en el propio expediente que la Agencia Española de Datos ha abierto a consecuencia de la reclamación efectuada."
TERCERO: El resultado del trámite de traslado indicado en el Hecho anterior no permitió entender satisfechas las pretensiones de la parte reclamante. Con fecha 9 de octubre de 2025 se produjo la admisión a trámite de la reclamación presentada.
Mediante acuerdo de la Presidencia de la Agencia Española de Protección de Datos de 28 de octubre de 2025 se concedió a la parte reclamada trámite de audiencia, para que en el plazo de diez días hábiles presentase las alegaciones que estimara convenientes, formulando, en síntesis, las siguientes alegaciones:
"A día 24 de mayo de 2025 la reclamante solicitó derecho de acceso a todos aquellos datos personales que obrasen en el Ayuntamiento de Cabezón de la Sal sobre su persona.
Esta petición fue estudiada y considerada manifiestamente abusiva, denegándose tal acceso por dicha circunstancia.
La petición de acceso a datos personales debe ser concreta y específica, de conformidad con el artículo 13 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD).
El hecho de revisar la totalidad de la base de datos, necesario cumplir con la petición de la interesada, en un plazo de 30 día, es una tarea imposible para el Ayuntamiento de Cabezón de la Sal, municipio pequeño de 8.280 habitantes con unos medios físicos y materiales bastante limitados.
En conclusión, el derecho de acceso fue denegado por dos motivos, el primero, porque no fue limitado tal y como indica el artículo 13 de la LOPD, el segundo, Añadir que, en otra ocasión, a la misma interesada le fue concedido otro derecho de acceso que ejercitó, lo que demuestra la intención del Ayuntamiento de Cabezón de la Sal en garantizar los derechos de todos los interesados.
A la interesada se le facilitó la respuesta a su derecho y que consta en el propio expediente que la Agencia Española de Datos ha abierto a consecuencia de la reclamación efectuada.
CUARTO. - Como corolario a todo lo hasta aquí expuesto, y con carácter complementario, consideramos oportuno destacar que el Ayuntamiento de Cabezón de la Sal ha actuado conforme a ley y entiende que no ha cometido nunca infracción alguna relacionada con la normativa de protección de datos personales. Y que, no obstante, este Ayuntamiento se ofrece a colaborar con la Agencia Española de Protección de Datos en lo que considere oportuno. porque a pesar de la buena fe e interés en conceder el derecho de acceso, era completamente imposible."
CUARTO: Examinado el escrito presentado por la parte reclamada, se traslada a la parte reclamante, para que, en el plazo de diez días hábiles formule las alegaciones que considere oportunas, presentando las siguientes alegaciones:
"Tercero. - Que mediante el presente escrito se formulan alegaciones dentro del plazo conferido, solicitando que se continúe la tramitación del procedimiento, al apreciarse indicios claros de infracción del derecho de acceso reconocido en el artículo 15 RGPD.
Sobre la carga de acreditar el carácter abusivo.
El articulo 12.5 RGPD permite al responsable denegar la atención de una solicitud de ejercicio de derechos cuando esta sea manifiestamente infundada o excesiva, pero atribuye expresamente al responsable la carga de demostrar dicho carácter en cada caso concreto. No basta, por tanto, con calificar genéricamente la solicitud como "abusiva" o "excesiva", sino que deben aportarse hechos, datos objetivos, información sobre volumen de datos afectados, reiteración de solicitudes, coste o impacto real en la organización o en derechos de terceros, que permitan justificar la desproporción. En el presente caso, el Ayuntamiento se limita a afirmar que la petición es "manifiestamente abusiva" y que resulta "completamente imposible" atenderla en el plazo de 30 días, sin acompañar informe técnico, estimación de cargas de trabajo, análisis de número de tratamientos afectados, ni referencia a eventuales solicitudes reiterativas o de la supuesta mala fe de la reclamante.
Esta falta de prueba incumple el estándar exigido por el artículo 12.5 RGPD y por la doctrina de la propia AEPD, que viene exigiendo una justificación concreta y verificable para apreciar el abuso de derecho o el carácter excesivo de la solicitud.
Insuficiencia de la alegación de "tarea imposible".
Que la revisión de "la totalidad de la base de datos en 30 días" pueda resultar organizativamente compleja no permite, por sí sola, vaciar el contenido del derecho de acceso. El artículo 12.3 RGPD prevé expresamente la posibilidad de prorrogar el plazo inicial de un mes por otros dos adicionales en caso de solicitudes complejas o numerosas, siempre que se motive la prórroga e informe al interesado. El Ayuntamiento de Cabezón de la Sal no hizo uso de esta facultad de prórroga, ni justificó por qué, aun con tal extensión de plazo, resultaría materialmente imposible atender el derecho de acceso. Asimismo, no consta acreditado ni en la respuesta dada a esta reclamante, ni en las alegaciones remitidas a ese órgano de control, que el responsable municipal correspondiente en el supuesto de ser ciertas sus afirmaciones haya explorado soluciones menos restrictivas, tales como acotar temporal o materialmente los tratamientos, ofrecer accesos parciales, priorizar determinados ficheros o ámbitos (por ejemplo, padrón, tributos, servicios sociales, recursos humanos), o utilizar sistemas de búsqueda por procedimientos o departamentos, en lugar de negar de plano el derecho. La ausencia de cualquier intento de segmentación, planificación o propuesta de alternativas revela que no se ha realizado una verdadera ponderación de cargas, sino una simple invocación genérica de falta de medios, incompatible con el carácter fundamental del derecho de acceso.
Deber de concreción y requerimiento de subsanación.
El artículo 13 de la LOPDGDD establece que, cuando el responsable trate una gran cantidad de datos relativos al afectado, (hecho que no sucede en esta ocasión) y este ejercite el derecho de acceso sin especificar si se refiere a todos o a parte de ellos, el responsable podrá solicitar que el interesado especifique los datos o actividades de tratamiento a los que se refiere su solicitud. Tal previsión no autoriza a denegar de entrada el derecho, sino únicamente a requerir una mayor concreción antes de resolver, configurándose como un deber de colaboración y canalización del derecho, no como causa de inadmisión automática. En este caso, el Ayuntamiento afirma que la petición "no fue limitada", pero no consta que se hubiera cursado requerimiento de subsanación alguno a la reclamante, ni que se le ofrecieran criterios razonables de acotación (periodos, tipos de expedientes, servicios municipales, etc.) antes de denegar el derecho. Esta actuación se aparta de la interpretación habitual de la AEPD y de la jurisprudencia contencioso-administrativa en materia de ejercicio de derechos, que exige agotar los mecanismos de esclarecimiento y subsanación antes de adoptar decisiones restrictivas y, en todo caso, motivar adecuadamente las causas de denegación.
Inobservancia del deber de motivación y vaciamiento del derecho de acceso.
La denegación del derecho de acceso se funda en expresiones genéricas ("tarea imposible", "solicitud manifiestamente abusiva", "no fue limitada") sin un mínimo desarrollo fáctico, ni jurídico individualizado.
Esta forma de proceder vulnera el deber de motivación de los actos limitativos de derechos y deja al ciudadano en la imposibilidad de conocer las razones materiales que justifican la negativa, dificultando su derecho de defensa y de impugnación ante la AEPD o los tribunales. La Audiencia Nacional ha insistido en que las decisiones en materia de protección de datos deben permitir al interesado comprender las causas de la estimación o inadmisión de sus pretensiones, de modo que quede plenamente garantizada la tutela judicial efectiva. Del mismo modo, la doctrina de la AEPD exige que la apreciación de abuso de derecho o carácter excesivo vaya acompañada de un análisis de las "circunstancias presentes" y no se base en fórmulas estereotipadas o abstractas carentes de sustento probatorio.
Resoluciones y jurisprudencia favorables en casos similares.
En múltiples resoluciones, la AEPD ha recordado que la mera invocación de dificultades organizativas o de falta de medios no exime al responsable de cumplir con los derechos de los interesados, ni legitima denegaciones genéricas. En especial, en supuestos donde se alega abuso de derecho, la Agencia ha señalado que la calificación de una solicitud como "manifiestamente infundada o excesiva" requiere acreditar la reiteración injustificada, la finalidad espuria o la desproporción objetiva del esfuerzo requerido, no siendo suficiente una simple apreciación subjetiva del responsable. Asimismo, la jurisprudencia sobre abuso de derecho en el ejercicio de facultades legalmente reconocidas como recuerda la Sentencia del Tribunal Supremo de 20 de mayo de 2002, citada por la propia AEPD en la resolución e/00739/2021 exige probar que el titular "ha sobrepasado manifiestamente los límites normales de este con ocasión de su ejercicio", lo que no sucede cuando el interesado formula una primera solicitud general de acceso a sus datos, amparada en el artículo 15 RGPD, como es en esta ocasión. La doctrina reciente sobre la limitación del derecho de acceso en casos de mala fe insiste en que las restricciones deben ser excepcionales, estar debidamente motivadas y apoyarse en indicios sólidos de propósito abusivo, sin que pueda presumirse tal mala fe a partir de la mera amplitud de la solicitud o de la carga de trabajo que implica.
Cuarto . Que este incumplimiento que es causa de esta reclamación, no es un hecho aislado, sino que se integra en una conducta administrativa reiterada del Ayuntamiento de Cabezón de la Sal, Cantabria consistente en no responder a las solicitudes de información o responder de forma vacua mediante generalidades, obligando a ésta reclamante, a usuarios y vecinos, a acudir repetidamente a mecanismos de tutela externa, como el CTBG, el Defensor del Pueblo, o esa AEPD, con el consiguiente menoscabo de sus derechos, coste económico tanto para los interesados, como para la administración. Causando con esa inactividad administrativa y la falta de resolución perjuicios graves, demorando actuaciones relevantes, generando incertidumbre y pudiendo provocar la pérdida de oportunidades o la imposibilidad de ejercitar acciones vinculadas al contenido de la información solicitada. Que esta conducta vulnera el principio de buena administración, el deber de eficacia y el sometimiento pleno a la ley y al Derecho recogidos en el artículo 103 de la Constitución Española, así como el derecho de acceso a la información pública, cuyo ejercicio no puede verse obstaculizado por la inacción administrativa."
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1 y 64.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Cuestiones previas
De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los responsables y los encargados del tratamiento acerca de las obligaciones que les incumben, así como tratar las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de las mismas.
Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha autoridad.
De conformidad con esta normativa, siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con carácter previo a la admisión a trámite de la reclamación de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar al presente procedimiento, se dio traslado de la misma a la parte reclamada para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida.
El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 9 de octubre de 2025, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apertura del presente procedimiento de falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual:
"Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica.
En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación".
El artículo 58.2 del RGPD confiere a la Agencia Española de Protección de Datos una serie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD, de entre los que se incluye ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento.
III
Derechos de las personas en materia de protección de datos personales
Los derechos de las personas en materia de protección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.
Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos 12 del RGPD y 12 de la LOPDGDD.
Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del RGPD.
De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado.
La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo.
IV
Derecho de acceso
Conforme a lo establecido en el artículo 15 del RGPD y artículo 13 de la LOPDGDD,
"el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales".
Tratándose del derecho de acceso a los datos personales, de acuerdo con lo establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se refiera a una gran cantidad de datos, el responsable podrá solicitar al afectado que especifique los "datos o actividades de tratamiento a los que se refiere la solicitud". El derecho se entenderá otorgado si el responsable facilita un acceso remoto a los datos, teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información referida a los extremos previstos en el artículo 15 del RGPD).
El ejercicio de este derecho se podrá considerar repetitivo si se ejerce en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, que deberá ser asumido por el afectado.
Al igual que el resto de los derechos del interesado, el derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como información, en particular, sobre los fines del tratamiento, las categorías de datos personales de que se trate, los destinatarios o categorías de destinatarios a los que podrán comunicarse los datos, el plazo previsto o criterios de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una reclamación ante la autoridad de control, la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información sobre transferencias de datos personales a un tercer país o a una organización internacional. La posibilidad de obtener copia de los datos personales objeto de tratamiento no afectará negativamente a los derechos y libertades de otros.
V
Conclusión
En el supuesto aquí analizado, la parte reclamante ejerció su derecho de acceso, obteniendo respuesta por la que se denegaba el derecho solicitado.
La parte reclamada denegó el derecho solicitado al considerar que la petición es manifiestamente abusiva y que la petición de acceso a datos personales debe ser concreta y especifica, de conformidad con el artículo 13 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Y que el hecho de revisar la totalidad de la base de datos, necesario para cumplir con la petición de la interesada, en un plazo de 30 días, es una tarea imposible para el Ayuntamiento de Cabezón de la Sal, municipio pequeño de 8.280 habitantes con unos medios físicos y materiales bastante limitados.
No obstante, la parte reclamada no puede denegar el derecho de acceso a los datos personales, alegando únicamente y de manera genérica, sin ningún examen y soporte documental que lo sustente, sin justificación suficiente, que la solicitud es "muy amplia", "difusa" o "difícil". Recordemos que el RGPD impone al responsable del tratamiento, artículo 12.5 de dicho texto legal, soportar la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud como parte, también, de la responsabilidad proactiva, artículo 5.2 del RGPD.
Amén de que la valoración de si una solicitud puede calificarse como excesiva por constituir un abuso de derecho debe realizarse conforme a criterios rigurosos, la acreditación exigible al responsable del carácter excesivo por abusivo de una solicitud también debe serlo, consecuencia del carácter excepcional de la denegación del derecho de acceso. Máxime cuando, como establece la jurisprudencia del TJUE desde la STJUE de 7 de mayo de 2009, en el asunto C-553/07, el derecho de acceso resulta indispensable para que el interesado ejerza otros derechos que le reconoce la normativa de protección de datos.
En lo referente a que la solicitud deba ser concreta y especifica, la parte reclamada puede pedir aclaraciones si es necesario para conocer la voluntad del interesado antes de facilitar la información", artículo 13.1 de la LOPDGDD.
Ello no significa que la parte reclamante deba de tener que identificar cada base de datos o cada dato personal que solicite en el marco del derecho de acceso. En muchas ocasiones el interesado que ejerce el derecho de acceso desconoce en qué base de datos se encuentran lo que le conciernen o qué datos personales dispone el responsable del tratamiento. Precisamente por ello ejerce su derecho de acceso.
La normativa de protección de datos permite pedir concreción respecto de los datos personales solicitados a los efectos de suministrar el acceso, lo que no hizo la parte reclamada al denegarlo de plano, pero no permite denegar el derecho de acceso si la parte reclamada tiene datos personales que conciernen al interesado, por el mero hecho de que estén dispersos o requiera trabajo recopilarlos.
El RGPD permite ampliar el plazo otros 2 meses cuando la solicitud sea compleja. Si la parte reclamada decide ampliar este plazo debe comunicarlo a la parte reclamante.
El derecho de acceso no puede denegarse tampoco por falta de medios. El artículo 12.2 del RGPD establece que el responsable del tratamiento (la parte reclamada) no puede negarse a actuar, salvo que no esté en condiciones de identificar al interesado.
La carga organizativa o que le suponga demasiado trabajo suministrar el derecho de acceso, la excusa de que "es un municipio pequeño", "tiene pocos medios" o "es imposible revisar la base de datos en 30 días", no es un motivo válido para que el responsable del tratamiento deniegue el derecho de acceso al considerar la petición excesiva, especialmente cuando ni tan siquiera se demuestra que efectivamente lo sea en los términos del RGPD.
La AEPD en múltiples resoluciones ha considerado que "la falta de medios, volumen de trabajo o complejidad no exime a la parte reclamada de cumplir con su deber". La parte reclamante tiene el derecho y puede pedir todos los datos personales que obren en poder de la parte reclamada.
De igual forma, el CEPD dispone en las Directrices 01/2022 sobre los derechos de los interesados - Derecho de acceso, que "El hecho de que el responsable del tratamiento tardaría mucho tiempo y esfuerzo en facilitar la información o la copia al interesado no puede, por sí solo, hacer que la solicitud sea excesiva".
A mayor abundamiento las Directrices 01/2022 sobre los derechos de los interesados Derecho de acceso del CEPD, indica que "En caso de solicitud manifiestamente infundada o excesiva del derecho de acceso, los responsables del tratamiento pueden, de conformidad con el artículo 12, apartado 5, del RGPD, cobrar un canon razonable (teniendo en cuenta los costes administrativos de facilitar información o comunicación o adoptar las medidas solicitadas) o negarse a responder a la solicitud" y que "El CEPD señala que, por una parte, los responsables del tratamiento no están generalmente obligados a cobrar un canon razonable antes de negarse a responder a una solicitud. Por otra parte, tampoco tienen plena libertad para elegir entre las dos alternativas. De hecho, los responsables del tratamiento tienen que tomar una decisión adecuada en función de las circunstancias específicas del caso. Si bien es difícil imaginar que el cobro de un canon razonable sea una medida adecuada en caso de solicitudes manifiestamente infundadas, en caso de solicitudes excesivas, en consonancia con el principio de transparencia, a menudo será más adecuado cobrar un canon razonable como compensación por los costes administrativos que generen las solicitudes repetitivas".
En el supuesto examinado no se ha acreditado el carácter excesivo de la solicitud del ejercicio del derecho de acceso por la parte reclamante, por lo tanto, esta Agencia procede a estimar la reclamación que dio origen a este procedimiento, al no haberse atendido el derecho de acceso solicitado.
Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: ESTIMAR la reclamación formulada por A.A.A. al considerar que se ha infringido lo dispuesto en el Artículo 15 del RGPD e instar al AYUNTAMIENTO DE CABEZÓN DE LA SAL con NIF P3901200J, para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la parte reclamante certificación en la que se atienda el derecho solicitado. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de una infracción del art. 83.6 del RGPD, calificada como muy grave a los efectos de prescripción en el artículo 72.1.m) de la LOPDGDD, que se sancionará de acuerdo con el art. 58.2 del RGPD.
SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y al AYUNTAMIENTO DE CABEZÓN DE LA SAL.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Lorenzo Cotino Hueso
Presidente de la Agencia Española de Protección de Datos
