LA PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL NUEVA NORMATIVA:

REGLAMENTO EUROPEO 2016/679

MÓDULO VI ANÁLISIS NORMATIVO: EJERCICIO DE DERECHOS

CONTENIDO:

I.- EJERCICIO DE DERECHOS pág.1

I.1. NORMAS COMUNES pág2
I.2. DERECHO DE ACCESO pág.6
I.3. DERECHO DE RECTIFICACIÓN pág.8
I.4. DERECHO CANCELACIÓN pág.8
I.5. DERECHO DE OPOSICIÓN pág.10
I.6. OTROS pág.10

II. TUTELA AGENCIA DE PROTECCIÓN DE DATOS pág.12

Bibliografía y fuentes: Agencia Española de Protección de Datos, guías y documentos públicos .

 I.- LOS PROCEDIMIENTOS PARA EL EJERCICIO DE LOS DERECHOS

El Reglamento Europeo 2016/679, dedica como ya se ha visto su Capítulo III a los derechos
de las personas, que constituyen uno de los ejes fundamentales sobre los que se articula la protección
del honor, la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, en
vinculación directa a lo dispuesto en el artículo 18.4 de la Constitución Española.
El ejercicio de los derechos de está definido normativamente por el RGLMEU, y la Nueva
LOPD en su Capítulo II, recoge los derechos establecidos y refiere sus procedimientos, algo que en
líneas generales coincide, con la aún vigente, LOPD de 1999 y el Real Decreto 1720/2007.
Dividiremos la exposición de esta materia en varios apartados. En el primero se explicarán las
normas comunes y en los siguientes detallaremos las reglas especiales que existen para el ejercicio de
cada uno de los derechos indicados.

I.1. NORMAS COMUNES

Recordemos lo dispuesto:
 RGLMEU. Art.12
2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos
15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición
del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar
que no está en condiciones de identificar al interesado.
3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base
de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la
recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta
la complejidad y el número de solicitudes.

 NLOPD:
Artículo 12. Disposiciones generales sobre ejercicio de los derechos.
1. Los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679, podrán ejercerse
directamente o por medio de representante legal o voluntario.
2. El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para
ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El
ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio.
3. El encargado podrá atender, por cuenta del responsable, las solicitudes de ejercicio formuladas por los
afectados de sus derechos si así se estableciere en el contrato o acto jurídico que les vincule.
4. La prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulado por
el afectado recaerá sobre el responsable.
5. Cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al
ejercicio de los derechos previstos en el Capítulo III del Reglamento (UE) 2016/679, se estará a lo dispuesto en
aquéllas.

2
ÍNDICE
 1.1. Condiciones generales
Una primera advertencia importante es que los derechos establecidos por la normativa vigente,
son derechos independientes, de modo que no puede supeditarse el ejercicio de ninguno de ellos al
previo ejercicio de otro cualquiera.
Además hay que destacar que el ejercicio de los derechos de acceso, rectificación, cancelación
y oposición, etc., tiene carácter personalísimo, lo que significa que sólo pueden ser ejercitados por el
directamente afectado. Así lo visto en la NLOPD: 1. Los derechos reconocidos en los artículos 15 a
22 del Reglamento (UE) 2016/679:
Art 15 Derecho de acceso del interesado
Art. 16 Derecho de rectificación
Art. 17 Derecho de supresión («el derecho al olvido»)
Art. 18 Derecho a la limitación del tratamiento
Art. 19 Obligación de notificación relativa a la rectificación o supresión de datos personales o la
limitación del tratamiento
Art. 20 Derecho a la portabilidad de los datos
Art. 21 Derecho de oposición
Art. 22 Decisiones individuales automatizadas, incluida la elaboración de perfiles
, podrán ejercerse directamente o por medio de representante legal o voluntario.
Esto supone que no puede intervenir en estos procedimientos una persona en defensa de los
derechos de otra, salvo que el afectado quiera valerse de un representante legal. Esto último sucede en
dos supuestos:
1. Cuando el afectado sea menor de edad, establecida en 13 años en la NLOPD, o se encuentre
en una situación de incapacidad que le imposibilite el ejercicio personal de sus derechos (por ejemplo,
los padres de un niño son sus representantes legales).
2. Cuando el interesado expresamente designe un representante voluntario para el ejercicio de
su derecho. En este segundo caso la solicitud debe recoger claramente la identidad del representado,
mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente, e ir
acompañada del documento que acredite suficientemente esa representación. Cuando el responsable
del fichero sea un órgano de las Administraciones públicas o de la Administración de Justicia, podrá
acreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o
mediante declaración en comparecencia personal del interesado.

El responsable del tratamiento estará obligado a informar al afectado sobre los medios a su
disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente
accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar
el afectado por otro medio.
Esto lleva a que los derechos serán denegados cuando la solicitud sea formulada por persona
distinta del afectado y no se acreditase que la misma actúa en representación de aquél.

3
ÍNDICE
 El ejercicio de estos derechos es además gratuito, por lo que no se puede cobrar por atender el
ejercicio de los derechos. Por ello no son conformes con lo dispuesto los supuestos en que el
responsable del tratamiento establece como medio para que el interesado pueda ejercitar sus derechos
el envío de cartas certificadas o semejantes, la utilización de servicios de telecomunicaciones que
implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste
excesivo para el interesado.
El RGMEU señala en su art. 12. 5. La información facilitada en virtud de los artículos 13 y 14 así
como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título
gratuito. Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su
carácter repetitivo, el responsable del tratamiento podrá:
a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la
información o la comunicación o realizar la actuación solicitada, o
b) negarse a actuar respecto de la solicitud. El responsable del tratamiento soportará la carga de
demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
Y así mismo la NLOPD en su art. 72, considera una infracción grave el cobro de canon por
estos supuestos: j) La exigencia del pago de un canon para facilitar al afectado la información a la que se
refieren los artículos 13 y 14 del Reglamento (UE) 2016/679 o por atender las solicitudes de ejercicio de
derechos de los afectados previstos en los artículos 15 a 22 del Reglamento (UE) 2016/679, fuera de los
supuestos establecidos en su artículo 12.5.

1.2. Procedimientos para el ejercicio de estos derechos

Salvo en situaciones específicas, como regla general el procedimiento se inicia mediante una
comunicación que el afectado debe dirigir al Responsable del fichero/tratamiento, o bien ante el
Delegado de Protección de Datos, si fuese el caso. Cuando los afectados ejerciten sus derechos ante
un encargado del tratamiento, el encargado debe dar traslado de la solicitud al responsable, a fin de
que por el mismo se resuelva, a menos que en la relación existente con el responsable del tratamiento
se prevea precisamente que el encargado atenderá, por cuenta del responsable, las solicitudes de
ejercicio por los afectados de sus derechos de acceso, rectificación, cancelación u oposición, etc.
En la comunicación del interesado deben recogerse los siguientes extremos:
a) Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su
pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o
instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo
de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la
presentación de las fotocopias del DNI o documento equivalente.

b) Petición en que se concreta la solicitud.

c) Dirección a efectos de notificaciones, fecha y firma del solicitante.

d) Documentos acreditativos de la petición que formula, en su caso.

Para la presentación de la comunicación el interesado debe utilizar cualquier medio que permita
acreditar el envío y la recepción de la solicitud.

4
ÍNDICE
 No obstante, no será infrecuente que el responsable del fichero o tratamiento disponga de
servicios propios de atención al público o para la presentación de reclamaciones (por ejemplo, en su
página web) y que permita al afectado ejercer sus derechos de acceso, rectificación, cancelación y
oposición a través de esos servicios. En tal caso, la identidad del interesado se considera acreditada por
los medios establecidos para la identificación de los clientes del responsable en la prestación de sus
servicios o contratación de sus productos.
De todos modos, que se ofrezca esta posibilidad al afectado no puede ser un obstáculo para el
ejercicio de sus derechos por otros medios. Por eso, como ya se ha señalado,el responsable del fichero
o tratamiento está obligado a atender la solicitud de acceso, rectificación, cancelación u oposición
ejercida por el afectado aun cuando el mismo no hubiese utilizado el procedimiento establecido
específicamente al efecto por aquél, siempre que el interesado haya utilizado un medio que permita
acreditar el envío y la recepción de la solicitud.
El responsable del fichero debe contestar a todas las solicitudes que le dirijan, con
independencia de que figuren o no datos del solicitante en sus ficheros, utilizando también cualquier
medio que permita acreditar el envío y la recepción. Sobre el papel son varias las situaciones que
pueden darse:
a) En el supuesto de que la solicitud no reúna los requisitos mencionados anteriormente, el responsable
del fichero debe requerir al solicitante para que subsane la deficiencia detectada.

b) Si no figuran datos personales del afectado en sus ficheros, el responsable denegará el derecho.

c) Lo mismo hará si no se dan los requisitos legales para acceder a la pretensión del interesado, como
veremos en los epígrafes siguientes.

d) Accederá a lo solicitado en todo lo que sea conforme con los requisitos previstos para cada caso en
la legislación aplicable, pues de lo contrario su decisión puede ser revisada por la Agencia Española de
Protección de Datos.

A este respecto el RGLMEU señala que: sin perjuicio de cualquier otro recurso administrativo
o extrajudicial, todo interesado tendrá derecho a la tutela judicial efectiva en caso de que la autoridad
de control que sea competente no dé curso a una reclamación o no informe al interesado en el plazo de
tres meses sobre el curso o el resultado de la reclamación presentada en virtud del art. 77.

El ejercicio de los derechos de acceso, rectificación, cancelación y oposición no satisfechos

por el responsable del fichero pueden ser reclamados ante la Agencia Española que abrirá un
procedimiento de tutela de derechos a fin de determinar si estos han sido vulnerados.
Sea cual sea la decisión que adopte, el responsable del tratamiento debe conservar la prueba de
que ha respondido, puesto que es a él a quien incumbe demostrar que ha cumplido con su deber de
respuesta.

5
ÍNDICE
 A continuación exponemos las reglas especiales previstas para cada uno de los procedimientos
de ejercicio de derechos de acceso, rectificación, cancelación y oposición. En relación con los distintos
plazos que se mencionen hay que hacer algunas precisiones:

no se cuentan ni los domingos ni los festivos).

Es de señalar la nueva apreciación de la normativa sobre los datos de personas fallecidas:

Disposición adicional séptima. Acceso a contenidos de personas fallecidas.
El acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información a favor de
personas que hayan fallecido se regirá por las reglas previstas en el artículo 3 de esta ley orgánica, a saber:
a) Los herederos de la persona fallecida podrán dirigirse a los prestadores de servicios de la sociedad de la
información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas
sobre su utilización, destino o supresión.
Como excepción, los herederos no podrán acceder a los contenidos del causante, ni solicitar su rectificación o
supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.
b) El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese designado
expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los
contenidos con vistas a dar cumplimiento a tales instrucciones.
c) En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes
legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de
cualquier persona física o jurídica interesada.
d) En caso de fallecimiento de personas con discapacidad, estas facultades podrán ejercerse también, además
de por quienes señala la letra anterior, por quienes hubiesen sido designados para el ejercicio de funciones de
apoyo.

En la página web de la Agencia (www.agpd.es) se encuentran disponibles los modelos de solicitudes

para ejercitar estos derechos, así como para interponer en su caso las reclamaciones oportunas ante la
propia Agencia.

I.2. PROCEDIMIENTO DE ACCESO

NLOPD. Artículo 13. Derecho de acceso.
1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del
Reglamento (UE) 2016/679.
Cuando el responsable trate una gran cantidad de información relativa al afectado y éste ejercite su derecho de
acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de
facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la
solicitud.
2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema
de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su
totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que éste podrá acceder a
dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.
3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el
ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa
legítima para ello.

6
ÍNDICE
 Así, para ejercitar el derecho de acceso al afectado le basta con dirigirse al responsable o
encargado del fichero o tratamiento indicando en su solicitud el fichero o ficheros a consultar, el
domicilio a efectos de comunicaciones, la fecha y la firma del interesado. También debe aportar
fotocopia de su DNI o cualquier otro documento que acredite legalmente su identidad. Se debe utilizar
para todo ello un medio que permita acreditar el envío y la recepción de la solicitud (presentación en
un registro público, correo certificado, etc.).
Para facilitar el ejercicio de este derecho se impone al responsable del fichero un nuevo deber:
adoptar las medidas necesarias para garantizar que todas las personas de su organización que tienen
acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el
ejercicio de sus derechos.
El responsable del fichero debe responder la solicitud que se le dirija en cualquier
circunstancia, con independencia de que figuren o no datos de carácter personal del afectado en sus
ficheros.

acceso en el plazo máximo de un mes a contar desde la fecha en que haya recibido la solicitud,
reconociendo el derecho al afectado o denegando el acceso si no reuniera los requisitos legalmente
exigidos.

En todo caso debe haber una respuesta expresa, para evitar que el silencio del responsable deje
sin efectos los derechos de los afectados. Por ello, como garantía adicional se considera que, si en el
plazo de un mes no se ha resuelto de forma expresa, la solicitud ha sido denegada. De esa forma se
abre la puerta al interesado para acudir a la AEPD en busca de la tutela de su derecho.
Además, la contestación debe practicarse utilizando un medio que permita acreditar el envío y
la recepción de la misma.
En el caso de que el responsable del fichero reconozca el derecho de acceso al afectado y no
acompañase a su comunicación la información requerida, el acceso se hará efectivo durante los diez
días siguientes a dicha comunicación. El obligado a proporcionar esa información puede hacerlo a
través de cualquier medio: desde la simple consulta de los datos por medio de su visualización en una
pantalla a su reflejo en un escrito, copia, telecopia o fotocopia, certificada o no. Pero sea cual sea el
medio empleado para proporcionar los datos solicitados, debe reflejar esa información de forma
inteligible, sin utilizar claves o códigos que requieran para su comprensión el uso de dispositivos
mecánicos específicos. Además, la información que se le proporcione debe ser gratuita.
El responsable del fichero o tratamiento también puede denegar el acceso a los datos de
carácter personal cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud,
salvo que se acredite un interés legítimo al efecto. Otros supuestos en los que puede denegarse el

7
ÍNDICE
 acceso son cuando así lo prevea una Ley o una norma de Derecho comunitario de aplicación directa o
cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos
a los que se refiera el acceso.
Sea cual sea su respuesta el responsable del fichero debe informar al afectado de su derecho a
recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de
control de las comunidades autónomas. Señalar que el RGLMEU establece que sin perjuicio de
cualquier otro recurso administrativo o extrajudicial, todo interesado tendrá derecho a la tutela judicial
efectiva en caso de que la autoridad de control no dé curso a una reclamación o no informe al
interesado en el plazo de tres meses sobre el curso o el resultado de la reclamación presentada.

I.3. PROCEDIMIENTO PARA EJERCER EL DERECHO DE RECTIFICACIÓN

NLOPD. Artículo 14. Derecho de rectificación.
Al ejercer el derecho de rectificación reconocido en el artículo 16 del Reglamento (UE) 2016/679, el afectado
deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar,
cuando sea preciso, la documentación justificativa de la inexactitud o carácter incompleto de los datos objeto de
tratamiento.

Para ejercitar su derecho de rectificación, como en los restantes supuestos, el afectado debe
dirigirse al responsable del fichero o tratamiento mediante una comunicación con los requisitos ya
indicados. La solicitud de rectificación debe indicar el dato que se estima erróneo, la corrección que
debe realizarse y, salvo que la misma dependa exclusivamente del consentimiento del interesado, debe
presentar con ella la documentación justificativa de la rectificación solicitada.
Una vez recibida la solicitud de rectificación, el responsable del fichero puede estimarla o no:
rectificación en el menor plazo posible, (la LOPD
e 1999 señalaba un plazo de 10 días) desde la recepción de la solicitud.

porque no se dieran las circunstancias legalmente exigidas, deberá comunicárselo motivadamente

dentro del mismo plazo. Es decir, debe explicar las razones que le llevan a no rectificar los datos en el
sentido reclamado por el afectado. De ese modo, si este el interesado no comparte los motivos
esgrimidos por el responsable del fichero podrá acudir a la AEPD para que tutele su derecho.
Igualmente si el responsable del fichero no se pronuncia al respecto de forma expresa se entenderá
desestimada y podrá el interesado acudir a la AEPD para que tutele su derecho.
La respuesta debe darse además utilizando un medio que permita acreditar el envío y la
recepción por el interesado. Si los datos rectificados hubieran sido cedidos previamente a un tercero, el
responsable del fichero tiene la obligación de notificar al cesionario la rectificación practicada.

8
ÍNDICE
 I.4. PROCEDIMIENTO PARA EJERCER EL DERECHO DE CANCELACIÓN
NLOPD. Artículo 15. Derecho de supresión.
1. El derecho de supresión se ejercerá de acuerdo con lo establecido en el artículo 17 del Reglamento (UE)
2016/679.
2. Cuando la supresión derive del ejercicio del derecho de oposición con arreglo al artículo 21.2 del
Reglamento (UE) 2016/679, el responsable podrá conservar los datos identificativos del afectado necesarios
con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.

Si un ciudadano comprueba que sus datos son inadecuados o excesivos tiene derecho a
solicitar su cancelación, sin perjuicio del deber de bloqueo previsto.
Para exigir la cancelación el interesado debe dirigirse al responsable del fichero indicando indicar a
qué datos se refiere, aportando al efecto la documentación que lo justifique, en su caso.
El responsable del fichero o tratamiento debe contestar de forma motivada a la solicitud que se
le dirija, con independencia de que figuren o no datos personales del afectado en sus ficheros. Para esa
comunicación debe utilizar cualquier medio que permita acreditar el envío y la recepción de su
respuesta.
El responsable del fichero resolverá sobre la solicitud de cancelación en el menor plazo
posible, (se vuelve a señalar que la anterior y aun vigente normativa, lo establecía en 10 días). Y debe
hacerlo de forma expresa: aun en el caso de que no disponga de datos de carácter personal del afectado
deberá igualmente comunicárselo en dicho plazo. Si transcurrieran diez días sin que haya respuesta
expresa, el interesado podrá interponer ante la AEPD la reclamación correspondiente.
Procede desestimar la cancelación en distintos supuestos:
a) Cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las
disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad
responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

b) Cuando así lo prevea una ley o una norma de derecho comunitario de aplicación directa o cuando
éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los
que se refiera el acceso.

En los supuestos en que el responsable del fichero estime la solicitud del afectado debe
proceder al bloqueo de todos aquellos datos de carácter personal que hayan dejado de ser necesarios
para el fin para el que se recabaron. Solo se procederá a su cancelación definitiva una vez cumplidos
los plazos de prescripción derivados de las obligaciones o responsabilidades nacidas del tratamiento.
Mientras tanto los datos bloqueados quedan a disposición de las Administraciones públicas y de los
Tribunales para la exigencia de eventuales responsabilidades nacidas del tratamiento de los datos.
Además, si los datos cancelados hubieran sido comunicados o cedidos previamente a un tercero, el
responsable del fichero debe notificar al cesionario la cancelación efectuada en el mismo plazo. En el

9
ÍNDICE
 caso de que este último mantuviera el tratamiento también deberá proceder a la cancelación en los
términos expuestos.
Para concluir con el derecho de cancelación es oportuno recordar lo ya citado en las normas
generales, sobre el tratamiento de datos referentes a personas fallecidas.

I.5. PROCEDIMIENTO PARA EJERCER EL DERECHO DE OPOSICIÓN

NLOPD. Artículo 18. Derecho de oposición.
El derecho de oposición, así como los derechos relacionados con las decisiones individuales automatizadas,
incluida la realización de perfiles, se ejercerán de acuerdo con lo establecido, respectivamente, en los artículos
21 y 22 del Reglamento (UE) 2016/679.

El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos
de carácter personal o a que este cese en los supuestos ya indicados.
El derecho de oposición puede ejercerse en tres situaciones:
a) En el momento de la recogida de la información.

b) Posteriormente, dirigiendo una solicitud por escrito al responsable del fichero o tratamiento, en la
que se hagan constar los motivos fundados y legítimos relativos a una concreta situación personal del
afectado, que justifican el ejercicio de este derecho. El responsable del fichero o tratamiento deberá
excluir del tratamiento los datos relativos al afectado que ejercite su derecho de oposición o denegar
motivadamente la solicitud del interesado en el plazo de diez días. En el caso de que sea procedente
acceder a la oposición, el responsable del fichero ha de excluir del tratamiento los datos del interesado.

c) En el caso de datos empleados en actividades de publicidad y prospección comercial los interesados

tienen derecho a oponerse al tratamiento de sus datos, previa petición y sin gastos. En este supuesto no
es preciso que aleguen motivo alguno. La cancelación es automática e incondicionada.

A tal efecto, deberá concederse al interesado un medio sencillo y gratuito para oponerse al tratamiento.
En particular, se considerará cumplido lo dispuesto en este precepto cuando los derechos puedan
ejercitarse mediante la llamada a un número telefónico gratuito o la remisión de un correo electrónico.

I.6.- OTROS DERECHOS:

Artículo 16. Derecho a la limitación del tratamiento.

1. El derecho a la limitación del tratamiento se ejercerá de acuerdo con lo establecido en el
artículo 18 del Reglamento (UE) 2016/679.
2. El hecho de que el tratamiento de los datos personales esté limitado debe constar claramente
en el sistema.

10
ÍNDICE
 Artículo 17. Derecho a la portabilidad.
El derecho a la portabilidad se ejercerá de acuerdo con lo establecido en el artículo 20 del
Reglamento (UE) 2016/679.

Como se ve, la NLOPD referencia al RGLMEU en su articulación, sin entrar en más detalles.
Recordemos dichas indicaciones:
RGLMEU
Artículo 20 Derecho a la portabilidad de los datos
1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un
responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a
otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9,
apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
b) el tratamiento se efectúe por medios automatizados.
2. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá
derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea
técnicamente posible.
3. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del
artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
4. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros.
Artículo 21 Derecho de oposición
1. El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación
particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en lo dispuesto en el
artículo 6, apartado 1, letras e) o f), incluida la elaboración de perfiles sobre la base de dichas disposiciones. El
responsable del tratamiento dejará de tratar los datos personales, salvo que acredite motivos legítimos
imperiosos para el tratamiento que prevalezcan sobre los intereses, los derechos y las libertades del interesado,
o para la formulación, el ejercicio o la defensa de reclamaciones.
2. Cuando el tratamiento de datos personales tenga por objeto la mercadotecnia directa, el interesado tendrá
derecho a oponerse en todo momento al tratamiento de los datos personales que le conciernan, incluida la
elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia.
3. Cuando el interesado se oponga al tratamiento con fines de mercadotecnia directa, los datos personales
dejarán de ser tratados para dichos fines.
4. A más tardar en el momento de la primera comunicación con el interesado, el derecho indicado en los
apartados 1 y 2 será mencionado explícitamente al interesado y será presentado claramente y al margen de
cualquier otra información.
5. En el contexto de la utilización de servicios de la sociedad de la información, y no obstante lo dispuesto en la
Directiva 2002/58/CE, el interesado podrá ejercer su derecho a oponerse por medios automatizados que
apliquen especificaciones técnicas.
6. Cuando los datos personales se traten con fines de investigación científica o histórica o fines estadísticos de
conformidad con el artículo 89, apartado 1, el interesado tendrá derecho, por motivos relacionados con su
situación particular, a oponerse al tratamiento de datos personales que le conciernan, salvo que sea necesario
para el cumplimiento de una misión realizada por razones de interés público.
Artículo 22 Decisiones individuales automatizadas, incluida la elaboración de perfiles
1. Todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento
automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte
significativamente de modo similar.
2. El apartado 1 no se aplicará si la decisión:

11
ÍNDICE
 a) es necesaria para la celebración o la ejecución de un contrato entre el interesado y un responsable del
tratamiento;
b) está autorizada por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del
tratamiento y que establezca asimismo medidas adecuadas para salvaguardar los derechos y libertades y los
intereses legítimos del interesado, o
c) se basa en el consentimiento explícito del interesado.
3. En los casos a que se refiere el apartado 2, letras a) y c), el responsable del tratamiento adoptará las medidas
adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado, como mínimo el
derecho a obtener intervención humana por parte del responsable, a expresar su punto de vista y a impugnar la
decisión.
4. Las decisiones a que se refiere el apartado 2 no se basarán en las categorías especiales de datos personales
contempladas en el artículo 9, apartado 1, salvo que se aplique el artículo 9, apartado 2, letra a) o g), y se
hayan tomado medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del
interesado.

Hay que mencionar finalmente, el derecho a la indemnización, recogido expresamente por el

RGLMEU:
Artículo 82 Derecho a indemnización y responsabilidad
1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una
infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una
indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios
causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado
únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las
obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o
en contra de las instrucciones legales del responsable.
3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si
demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
4. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan
participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de
cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado
responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.
5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una
indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a
los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de
la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de
conformidad con las condiciones fijadas en el apartado 2.
6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales
competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.

II. TUTELA DE ESTOS DERECHOS POR LAS AGENCIAS DE PROTECCIÓN DE DATOS

Si los responsables de ficheros y tratamientos no atienden debidamente los derechos de los
afectados en materia de protección de datos de carácter personal siempre pueden estos últimos acudir a
la Agencia Española de Protección de Datos o, en su caso, del organismo competente de cada
Comunidad Autónoma, para solicitar la tutela de su derecho.
En particular, si a un interesado se le deniega, total o parcialmente, el ejercicio de los derechos
de oposición, acceso, rectificación o cancelación, puede ponerlo en conocimiento de la Agencia

12
ÍNDICE
 Española de Protección de Datos, que debe asegurarse de la procedencia o improcedencia de la
denegación. Para ello debe instruir un procedimiento administrativo, en los términos que se han
establecido reglamentariamente.
El procedimiento de tutela se inicia a instancia del interesado, para lo cual debe presentar en la
AEPD un escrito, en el que se expresen con claridad sus datos, el contenido de la reclamación y los
preceptos de la normativa que considere vulnerados.
A continuación la AEPD debe dar traslado de la reclamación al responsable del fichero o
tratamiento instándole para que, en el plazo de quince días, formule las alegaciones que estime
pertinentes. Una vez recibidas las alegaciones (o transcurrido el plazo indicado sin haberlas recibido)
la Agencia Española de Protección de Datos, previos los informes, pruebas y otros actos de instrucción
pertinentes, incluida la audiencia del afectado y nuevamente del responsable del fichero, resolverá
sobre la reclamación formulada.
La AEPD debe resolver ese procedimiento en un plazo máximo de seis meses, contados desde
que el afectado presenta su reclamación. Si en dicho plazo no se hubiese dictado y notificado
resolución expresa, el afectado puede considerar estimada su reclamación por silencio administrativo
positivo.
La resolución de la AEPD establecerá si procede estimar o no la petición del afectado. Si la
resolución de tutela fuese estimatoria, la AEPD exigirá al responsable del fichero para que en el plazo
de diez días haga efectivo el ejercicio del derecho tutelado. Una vez haya atendido la petición del
afectado, el responsable del fichero debe dar cuenta por escrito de dicho cumplimiento a la Agencia en
el mismo plazo.
Hay que aclarar que esta resolución de la AEPD no tiene carácter sancionador, puesto que se
limita a estimar o desestimar las reclamaciones planteadas por los ciudadanos. Sin embargo, en
algunas ocasiones, los hechos constatados en los citados procedimientos pueden dar lugar a la
iniciación de procedimientos sancionadores. Si el interesado no obtiene una respuesta satisfactoria de
la AEPD tiene siempre la posibilidad de acudir a los Tribunales de Justicia. En particular, contra las
resoluciones de la Agencia Española de Protección de Datos el interesado que considere que su
derecho no ha sido debidamente tutelado puede interponer un recurso contencioso-administrativo, para
que sean los Tribunales los que revisen la legalidad de la decisión de la Agencia y el cumplimiento de
la normativa.
A este respecto hay que indicar que las resoluciones del Director de la Agencia Española de
Protección de Datos son firmes en vía administrativa, por lo que contra las mismas sólo se puede
interponer recurso potestativo de reposición o bien recurso contencioso-administrativo ante la
Audiencia Nacional.

ÍNDICE 13