El artículo 15 del Reglamento General de Protección de Datos, incorporado a la legislación neerlandesa mediante el Algemene Verordening Gegevensbescherming (AVG), otorga a toda persona el derecho inequívoco a saber si una organización procesa sus datos personales, a obtener una copia y a conocer el contexto, como las finalidades, los destinatarios y los periodos de conservación. Este derecho es la piedra angular de la transparencia y la rendición de cuentas: permite a las personas verificar la información que se conserva sobre ellas y obliga a las empresas a mantener sus prácticas de gestión de datos limpias, documentadas y justificables.
Tanto si solicita su propio expediente de RR. HH. como si se prepara para responder a la solicitud de acceso de un cliente, conocer el alcance y los límites exactos del Artículo 15 reduce el riesgo de multas, disputas y daños a la reputación. En las páginas siguientes, traducimos el texto legal a un lenguaje sencillo, guiamos a los interesados por una plantilla de solicitud paso a paso, orientamos a los responsables del tratamiento sobre plazos, tarifas y obligaciones de redacción, señalamos las normas específicas de los Países Bajos que aplica la Autoriteit Persoonsgegevens y concluimos con listas de verificación prácticas para ambas partes.
Descifrando el artículo 15 de AVG en un lenguaje sencillo
“El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a dichos datos personales…” — Artículo 15(1) GDPR
En lenguaje sencillo: puedes preguntar a cualquier organización ¿Almacenan datos sobre mí? En caso afirmativo, díganme qué, por qué, con quién los comparten y durante cuánto tiempo los conservan. Esa es la esencia del derecho de acceso bajo el RGPD; el alcance del artículo 15 de la AVG en los Países Bajos es idéntico porque la Uitvoeringswet AVG holandesa simplemente localiza la aplicación sin cambiar la sustancia.
Cuando presentas una solicitud, tienes derecho a ocho elementos concretos:
- Confirmación de procesamiento
- Una copia de los datos personales
- Los fines del tratamiento
- Categorías de datos involucradas
- Destinatarios o categorías de destinatarios
- Periodo de almacenamiento planificado o criterios para determinarlo
- Otros derechos del RGPD que puedes ejercer
- Salvaguardias para cualquier transferencia fuera del EEE
El derecho es personal—sólo el titular de los datos (o un representante válido) puede invocarlo—y es fotometría absoluta) En cuanto a recibir sus propios datos. Sin embargo, los responsables del tratamiento podrán restringir o denegar el acceso cuando se vulneren otros derechos fundamentales (secretos comerciales, privacidad de terceros).
Texto legal vs. términos comunes
| Cláusula del artículo 15 | lo que realmente significa |
|---|---|
| 15 (1) confirmación | Pregunte “sí/no” si procesan sus datos. |
| 15 (1) de la máquina | Obtenga los datos reales más el contexto. |
| 15 (1) (c) destinatarios | Conozca quién ve u obtiene los datos, dentro o fuera de la empresa. |
| 15 (2) transferencias a terceros países | Infórmese sobre los datos enviados fuera del EEE y las protecciones utilizadas. |
| 15 (3) copia | Recibe la información en formato digital reutilizable, sin coste alguno. |
Puntos clave de un vistazo
- ¿Cuanto tiempo puede tardar un controlador? Un mes, ampliable a tres para casos complejos.
- ¿Pueden cobrarme? No, a menos que la solicitud sea “manifiestamente infundada o excesiva”.
- ¿En qué formato recibiré los datos? Archivo electrónico seguro (por ejemplo, PDF o CSV) a menos que solicite lo contrario.
- ¿Debo utilizar un formulario especial? No;un correo electrónico, una carta o incluso una llamada telefónica cuentan.
- ¿Y si no me tienen nada en cuenta? Deben decirlo por escrito dentro del mismo plazo.
¿Quién puede ejercer el derecho y frente a quién?
De conformidad con el artículo 4(1) del RGPD, sujeto de datos Es cualquier persona física viva e identificable, ya sea cliente, empleado, paciente o alumno menor de edad. Todas ellas pueden invocar el derecho de acceso en virtud del RGPD: el alcance del artículo 15 de la Ley de Protección de Datos no discrimina por edad, nacionalidad ni residencia. Las solicitudes deben dirigirse a controlador:el partido que decide por qué y cómo Los datos se procesan. Un proveedor de nube o una agencia de nóminas que simplemente almacena los datos es un procesador; debe pasar la solicitud al controlador pero no puede rechazar la instrucción directa.
Los residentes holandeses también pueden dirigir su solicitud a una empresa extranjera que se centre en el mercado neerlandés (por ejemplo, una red social irlandesa). El plazo de un mes comienza a contar desde el momento en que el responsable recibe la solicitud, independientemente de la ubicación de sus servidores.
Situaciones especiales: Representantes, personas fallecidas, padres y tutores
- Menores y adultos incapaces: un padre, tutor o curador puede actuar en su nombre según el Libro 1 del Código Civil holandés.
- Escuelas y empleadores: alumnos y empleados sí mismos puede presentar una Solicitud de Acceso a la Información Sujeta al Titular (SAR); los representantes son opcionales, no obligatorios.
- Las personas fallecidas quedan fuera del ámbito de aplicación del RGPD, pero los médicos, notarios y aseguradoras aún deben respetar las normas de secreto profesional antes de revelar archivos relacionados.
Responsabilidad conjunta de los controladores en sistemas compartidos
Cuando dos o más organizaciones conjuntamente determinar los fines o medios del procesamiento (artículo 26 del RGPD) —por ejemplo, un empleador y su proveedor de software de RR.HH.— son controladores conjuntosDeben acordar de forma transparente quién responde a las solicitudes del Artículo 15 e informar al titular de los datos, pero cada uno sigue siendo responsable si el otro comete errores.
Qué debe divulgarse: datos e información complementaria
Cuando se invoca el derecho de acceso en virtud del RGPD, el ámbito de aplicación del artículo 15 de la AVG obliga al responsable del tratamiento a entregar dos cosas: datos personales reales y un paquete de detalles contextualesConsidérelo como recibir tanto la foto como su pie de foto. La legislación divide la obligación de divulgación en ocho categorías, que se enumeran a continuación.
| Artículo 15(1) | Lo que deberías recibir |
|---|---|
| (a) Confirmación | Una limpieza si no Si sus datos son procesados |
| (b) Finalidades | Las razones por las que existen los datos (por ejemplo, nómina, marketing) |
| (c) Categorías | Tipos como detalles de contacto, historial de compras, registros de GPS |
| (d) Destinatarios | Equipos internos y socios externos o procesadores |
| (e) Retención | Periodo o criterios exactos (por ejemplo, “7 años para la legislación fiscal”) |
| (f) Derechos | Recordatorio: puede rectificar, borrar, restringir, oponerse y reclamar. |
| (g) Fuente | De dónde provienen los datos si no fueron recopilados directamente de usted |
| (h) Transferencias | Salvaguardias para cualquier envío fuera del EEE |
Los datos personales son más que un nombre y un número. Abarcan perfiles de comportamiento, puntajes crediticios inferidos, grabaciones de cámaras de seguridad, grabaciones de voz, identificadores de dispositivos e incluso metadatos aparentemente insulsos, como las marcas de tiempo de inicio de sesión: cualquier cosa que pueda vincularse, directa o indirectamente, a una persona identificable.
Explicación de la “Copia de los Datos Personales”
A copia significa una reproducción inteligible, no el archivo original en papel. Esperar:
- Un PDF de su registro de nómina
- Exportación CSV de notas de CRM
- ZIP con archivos de audio de llamadas de soporte
Si envió la solicitud por correo electrónico, la entrega predeterminada también debe ser electrónica y en un formato “comúnmente utilizado”, a menos que solicite papel.
Datos personales vs. documentos: ¿Dónde trazar el límite?
Los controladores deben extraer solo los fragmentos que le conciernen. Por ejemplo, en un memorando de reunión con varios empleados, sus comentarios verbales pueden divulgarse, mientras que los de sus colegas se ocultan. Por el contrario, un documento firmado... contrato de empleo se revela en su totalidad porque cada cláusula le concierne.
Información complementaria obligatoria
Además de la copia de datos, el responsable del tratamiento debe explicar: fines, categorías, destinatarios, conservación, derechos disponibles, fuentes de datos, lógica de las decisiones automatizadas (si las hubiera) y garantías de transferencia. Preste atención a las respuestas imprecisas: es poco probable que "para fines comerciales" o "almacenados el tiempo que sea necesario" satisfagan a la Autoridad de Protección de Datos. Unas explicaciones completas y sencillas son la mejor protección contra quejas y multas.
Cómo presentar y gestionar una solicitud de acceso a la información (SAR) en los Países Bajos
Una solicitud de acceso a los datos se puede realizar de cualquier forma que desee el interesado: por teléfono, o enviar un email., carta, mensaje directo en redes sociales o incluso un chatbot. El artículo 12 del RGPD prohíbe a los responsables del tratamiento exigir un formulario específico, por lo que basta con "Quiero una copia de todos los datos personales que tengan sobre mí" para iniciar el proceso. Sin embargo, la mejor práctica es presentar un registro escrito para que ambas partes puedan hacer un seguimiento de los plazos. Una vez recibida la solicitud, el responsable del tratamiento debe inmediatamente (1) acusar recibo y (2) registrar la información. un mes Plazo de respuesta. El silencio o la demora después del primer mes conllevan el riesgo de una queja ante la Autoridad de Protección de Datos (AP) y posibles multas.
A continuación se muestra una plantilla concisa y bilingüe que los interesados pueden copiar y pegar (no se requiere jerga legal).
Subject: Subject Access Request – Article 15 GDPR/AVG
Dear [Controller],
I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data.
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).
Kind regards,
[Name] | [Email] | [Any reference number]
---
Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR
Geachte [Verwerkingsverantwoordelijke],
Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt.
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.
Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]
Los controladores deben crear un flujo de trabajo de admisión simple:sales@costex.com buzón de correo, número de ticket, confirmación automática... para demostrar el cumplimiento más tarde.
Verificación de identidad sin recopilación excesiva de datos
El controlador debe ser razonable al verificar quién solicita información sin obtener más datos de los necesarios. El AP recomienda:
- Siempre que sea posible, haga coincidir los detalles de la solicitud con los datos de la cuenta existente (nombre de usuario, ID de cliente).
- Si no se puede evitar una prueba adicional, solicite un pasaporte redactado o escaneo de licencia de conducir con el BSN, la foto y el MRZ tachados.
- Nunca conserve copias por más tiempo del necesario para la verificación; registre el hecho de la verificación y luego elimine el archivo.
Registro y conservación de registros para la rendición de cuentas
Un registro SAR básico mantiene a los reguladores y a su DPO satisfechos. Registro:
- Fecha de recepción y canal (correo electrónico, llamada, etc.)
- Medidas de verificación de identidad adoptadas
- Alcance de los datos ubicados
- Equipos internos involucrados
- Fecha y método de respuesta + cualquier prórroga solicitada
- Resumen de la información proporcionada o motivos de la denegación
Mantener este registro respalda el principio de “rendición de cuentas” del Artículo 5 y proporciona un registro de auditoría listo para usar si la AP llama a su puerta.
Plazos, tarifas y formatos de entrega de los controladores
Cuando el reloj comienza, los controladores tienen un mes para responder a una solicitud de acceso a la información. Pueden prorrogarse una vez hasta dos meses adicionales, pero sólo para solicitudes complejas o numerosas y Deben explicar el retraso dentro del primer mes. Si no se conservan datos personales, el responsable del tratamiento debe responder dentro del mismo plazo e indicarlo explícitamente.
El artículo 12(5) establece una regla de tarifa cero: el acceso es gratuito. Solo se permite el cobro cuando existe una demanda. “manifiestamente infundada o excesiva”—pensemos en un empleado que pide copias idénticas cada semana, o en un spammer que solicita datos de cientos de perfiles falsos.
La entrega debe realizarse en un formato seguro de uso común. Una comparación rápida:
| Formato | Ventajas | Desventajas |
|---|---|---|
| PDF encriptado | Legible; fácil redacción | Es posible que se utilicen contraseñas débiles |
| CSV | Legible por máquina; tamaño pequeño | Más difícil para los profanos |
| Portal seguro | 2FA y registro de auditoría | Costoso de mantener |
Cualquiera sea la ruta elegida, los controladores deben respetar las preferencias razonables y evitar el bloqueo propietario.
Transmisión segura y minimización de datos
Nunca envíe hojas de cálculo sin protección por correo electrónico. Utilice archivos protegidos con contraseña (comparta la clave por separado), portales HTTPS con autenticación de dos factores o correo certificado para los paquetes de papel. Antes de la transmisión, depure los datos de terceros con software de redacción y elimine los campos innecesarios. Esto cumple con la minimización del Artículo 5(1)(c), a la vez que protege a los compañeros de trabajo, los secretos comerciales y a terceros.
Motivos legítimos para restringir o denegar el acceso
El artículo 15 es contundente, pero no ilimitado. El apartado 4 y el considerando 63 dejan claro que un responsable del tratamiento puede restringir o incluso denegar la divulgación cuando la entrega de la información entre en conflicto con otros derechos fundamentales o sea manifiestamente irrazonable. La carga de la prueba recae en el responsable del tratamiento: debe documento Por qué el acceso total socavaría esos intereses en competencia y cómo se mitigó el impacto (por ejemplo, mediante redacción parcial).
Protección de la privacidad de terceros
Revelar una cadena de correo electrónico que también nombra a colegas o clientes puede revelar su Datos personales. La jurisprudencia neerlandesa (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) confirma que los responsables del tratamiento pueden suprimir o resumir los identificadores de terceros, siempre que el solicitante comprenda el contexto. Técnicas:
- Nombres y números de teléfono en línea negra
- Reemplazar con términos neutrales (“otro empleado”)
- Proporcionar extractos en lugar del archivo completo
Secretos comerciales, propiedad intelectual y derechos de autor
Las empresas no necesitan revelar su kimono algorítmico. Si revelar el código fuente, las fórmulas de fijación de precios o material protegido por derechos de autor pudiera exponer conocimientos técnicos confidenciales, el Artículo 15(4) permite una respuesta calibrada. Solución alternativa típica: describir la lógica de una decisión automatizada en un lenguaje sencillo, no el código completo; proporcionar extractos de un programa de contrato, no la plantilla propietaria. Explicar siempre por qué una divulgación más exhaustiva perjudicaría los intereses comerciales.
Prevención del abuso de derechos
una solicitud es manifiestamente infundada o excesiva Cuando es repetitivo, acosador o deliberadamente oneroso, piense en los informes SAR semanales, copiados y pegados, después de que ya se hayan entregado todos los datos. Los controladores pueden entonces:
- Cobrar una “tarifa razonable” que refleje el costo administrativo, or
- Negarse a actuar por completo.
En cualquier caso, deberá justificar su postura por escrito e informar al interesado de su derecho a presentar una reclamación ante la Autoriteit Persoonsgegevens.
En busca de reparación: quejas y litigios en los Países Bajos
Cuando un responsable del tratamiento no cumple con sus obligaciones, los interesados tienen opciones rápidas y progresivas para hacer cumplir el derecho de acceso conforme al RGPD (el alcance del artículo 15 de la AVG).
- Empujón interno. Envíe un recordatorio con fecha que haga referencia al Artículo 15 y la fecha límite transcurrida; la mayoría de las organizaciones cumplen una vez que se les solicita.
- Reclamación de Autoriteit Persoonsgegevens. Presentar la denuncia en línea. La AP puede ordenar la divulgación, imponer multas diarias o imponer multas administrativas. Los casos sencillos suelen resolverse en tres meses.
- Acción judicial civil. Según el artículo 82 del RGPD tribunales holandeses Puede conceder medidas cautelares y conceder indemnizaciones. Sentencias recientes han concedido entre 250 y 2500 euros por dificultades económicas, con vía rápida. procedimientos sumarios Alivio disponible para conflictos laborales urgentes.
Cooperación transfronteriza y ventanilla única
Un residente neerlandés puede presentar una reclamación ante la Autoridad de Protección de Datos incluso si la sede del responsable del tratamiento en la UE se encuentra en otro lugar. La Autoridad de Protección de Datos remite el expediente conforme al RGPD. ventanilla única, y Consejo Europeo de Protección de Datos puede romper cualquier punto muerto regulatorio, por lo que la geografía no es una barrera para obtener sus datos.
Plan de cumplimiento para organizaciones
Un proceso de SAR ordenado comienza mucho antes de que llegue la primera solicitud. Implemente estos elementos esenciales y el 90 % de los problemas de acceso desaparecerán:
- Publique una política SAR breve y en un lenguaje claro e indique al personal cuál es la misma.
- Mantenga sus registros de actividades de procesamiento (RoPA) actualizados para que sepa dónde se encuentran los datos.
- Períodos de retención de mapas y desencadenantes de eliminación; los datos obsoletos son datos que nunca es necesario entregar.
- Mantenga un flujo de trabajo de redacción paso a paso con revisión de control dual.
- Registre cada solicitud, decisión y fecha límite para el Artículo 5 seguimiento semanal.
- Realice simulacros anuales para probar la velocidad, la claridad y la cadena de mando.
Capacite a la oficina principal, a Recursos Humanos y a TI para que detecten y clasifiquen las solicitudes verbales; una llamada telefónica perdida puede iniciar el reloj de penalizaciones.
Automatización y herramientas
Utilice software de descubrimiento de datos, API de verificación de identidad y portales de descarga seguros para encontrar, empaquetar y transmitir datos rápidamente, dejando siempre espacio para la verificación humana y el contexto.
Integración con otros derechos del interesado
Diseñe el flujo de trabajo SAR para que se ramifique en acciones de rectificación, borrado o portabilidad; una tubería coherente evita búsquedas duplicadas y respuestas inconsistentes.
Empoderamiento de los interesados: consejos prácticos para solicitudes eficaces
Un SAR claro y bien enfocado ahorra tiempo a todos y dificulta que el controlador entre en pérdida. Prueba estas tácticas:
- Determinar con precisión Lo que Quieres: “Todos los correos electrónicos entre el gerente Jansen y yo desde el 1 de enero hasta el 31 de marzo de 2024”.
- Menciona dónde Dice así: “Sistema de RRHH y tickets de soporte técnico”.
- Indicar su Formato preferido (CSV, PDF) y canal seguro.
- Señale la urgencia cuando sea relevante (“próximamente evaluación de desempeño el 15 de octubre”).
Una vez que los datos llegan, escanéelos para detectar errores o lagunas y envíe inmediatamente una solicitud de rectificación o eliminación (recorrer el mismo rastro de evidencia mantiene el impulso).
Estrategia de escalada en caso de ser ignorado
Día 31 y ¿sigue en silencio? Mantén la cortesía, pero firme:
Subject: Reminder – Article 15 GDPR/AVG request overdue
Dear [Controller],
On [date] I requested access to my personal data. The one-month term has passed without a response.
Please provide the information within seven days or explain the lawful basis for any refusal.
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.
Regards,
[Name]
Documente cada paso (fechas, correos electrónicos, registros telefónicos). Si la semana adicional vence, presente una queja en línea ante la AP y adjunte su paquete de pruebas; los tribunales y los organismos reguladores favorecen a los demandantes bien organizados.
Concluyendo su derecho de acceso
El Artículo 15 del RGPD/AVG otorga a las personas la última palabra: pueden preguntar, ver y cuestionar lo que una organización hace con sus datos. Para los responsables del tratamiento, los procedimientos claros, los registros ordenados y las redacciones sensatas no son opcionales; son la única manera de cumplir el plazo de un mes y eludir la mirada de la Autoridad de Protección de Datos.
Recuerde el manual básico:
- La solicitud puede ser informal,
- La respuesta debe ser gratuita, oportuna y completa,
- Los límites son estrechos y deben justificarse,
- La divulgación parcial es mejor que la negativa general.
Siga esas reglas y el derecho de acceso se convertirá en una tarea de cumplimiento rutinario en lugar de un dolor de cabeza en la sala del tribunal.
¿Necesita una plantilla de SAR a medida, ayuda para desentrañar datos de terceros o una estrategia para un responsable del tratamiento obstinado? Los abogados de privacidad de Law & More están listos para intervenir, ya sea un sujeto de datos que busca respuestas o una empresa que busca certeza.
