Por María Luisa González Tapia
El artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) señala que el responsable del tratamiento deberá bloquear los datos cuando proceda a su rectificación o supresión, en lugar de eliminarlos directamente.
Los apartados 2 y 3 del citado precepto indican lo siguiente respecto a las condiciones y efectos del bloqueo:
“2. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.
Transcurrido ese plazo deberá procederse a la destrucción de los datos.
3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior”.
Hasta el momento, y al tenor literal del apartado 32.2 de la LOPDGDD, muchos responsables del tratamiento que habían procedido al bloqueo de datos de un afectado después de que este solicitara la supresión, denegaban posteriormente el acceso si el afectado lo ejercía. Parecía claro que el bloqueo solamente podía levantarse para poner los datos a disposición de jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos. Sin embargo, la Agencia Española de Protección de Datos entiende que esto no es así.
En la R/00532/2020, explica lo siguiente:
“A este respecto, cabe señalar que, cuando se ejercitan el derecho de acceso, no cabe aceptar que, con la realización de la supresión de los datos personales, amparándose en la normativa, se pretenda dejar sin respuesta el derecho de acceso ejercitado.
A este respecto cabe señalar que, los datos personales sometidos a la modalidad del bloqueo no permite su tratamiento, pero no implica que no se puedan poner a disposición del afectado los datos que el responsable dispuso y trató mientras perduró la relación contractual, por si de ello, puedan surgir responsabilidades derivadas de su tratamiento o por considerar que es más garantista poder facilitar los datos personales que se encuentran bloqueados para conocimiento de los interesados”.
En la misma línea, en la R/00484/2020, se señala:
“Por otro lado, durante la tramitación del presente procedimiento, la entidad ha manifestado que, como procedieron a la supresión de los datos, no es posible atender el derecho de acceso, al no disponer de estos en el fichero.
A este respecto, cabe señalar que, cuando se ejercitan el derecho de acceso y supresión, procede atender ambos derechos, no cabe aceptar que, con la realización de la supresión de los datos personales, amparándose en la normativa, se pretenda dejar sin respuesta a otro derecho ejercitado.
Conforme a la normativa de protección de datos, la supresión de los datos según lo establecido en el artículo 32 de la LOPDGDD, debe llevarse a cabo mediante el bloqueo, por lo tanto, la supresión de los datos personales al haber dejado de ser necesarios para la finalidad que justificó su tratamiento no implicará automáticamente su borrado físico. Esta actuación está sometida a determinadas condiciones con las que se pretende asegurar y garantizar el derecho del afectado a la protección de sus datos de carácter personal.
Los datos bloqueados quedarán a disposición de los Tribunales, el Ministerio Fiscal u otras Administraciones públicas competentes, en particular las autoridades de protección de datos, para las exigencias de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de estas. Por ello, se debe atender la solicitud de acceso conforme a lo establecido en el artículo 15 del RGPD”.
Probablemente, algunos afectados no considerarán “garantista” que el responsable trate sus datos tras haber solicitado la supresión. Es más, lo lógico es que presenten una reclamación ante la Agencia Española de Protección de Datos alegando que la empresa X no ha borrado sus datos, aunque se lo han pedido repetidamente. En cualquier caso, a la vista de las resoluciones anteriores, parece que el criterio de nuestra autoridad de control es que atendamos el derecho de acceso en relación a datos bloqueados.