Sentencia Contencioso-Administrativo Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera, Rec. 2255/2021 de 13 de febrero del 2025

PRIMERO.- La sociedad demandante impugna la resolución de 14 de diciembre de 2021 de la Directora de la Agencia Española de Protección de Datos, que confirma en reposición la resolución de 22 de julio de 2021, recaídas en TD/00129/2021, por la que se estima la reclamación formulada por don Roque, en materia de tutela de derechos.

El 20 de enero de 2021 don Roque presentó en la sociedad aquí recurrente, escrito por el cual solicitaba ejercitar su derecho de acceso a los datos incluidos en los ficheros de Equifax, pidiendo expresamente: Copia de los datos personales que son o habían sido objeto de tratamiento por ese responsable; los fines de tratamiento, así como las categorías de datos personales que se trataran; los destinatarios o categorías de destinatarios a los que se habían comunicado los datos personales, o fueran comunicados, incluyendo, en su caso, destinatarios en terceros u organizaciones internacionales; fecha en que se había producido la baja en su fichero y el origen de la solicitud de baja; información sobre las entidades que habían realizado consultas entre las fechas de marzo de 2018 y la actualidad y la información facilitada a cada consulta; el plazo previsto de conservación, o de no ser posible, los criterios para determinar dicho plazo; la existencia del derecho a solicitar la rectificación, supresión o limitación del tratamiento de los datos personales, o a oponerse a dicho tratamiento, y el derecho a presentar una reclamación ante una autoridad de control.

El 20 de enero de 2021 la parte actora contestó al solicitante informándole de que, en el momento de la solicitud, no existían datos inscritos asociados a su identificador registrados en el sistema ASNEF, aportándole, en cualquier caso, el histórico de consultas llevadas a cabo durante el periodo de los últimos seis meses, contados desde la fecha de la solicitud. La inexistencia de datos asociados a su Identificador se debía a que, en el momento en el que el titular se dirigió al fichero ejerciendo su derecho de acceso, no constaban datos registrados en el referido fichero. Los datos que previamente se habían encontrado incluidos ya habían sido cancelados por la entidad acreedora correspondiente en fecha 3 de marzo de 2019, por lo cual se encontraban en estado de bloqueo y, por tanto, no disponibles para su visualización, salvo los supuestos legalmente autorizados de acuerdo con el art. 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD) .

Don Roque el 22 de enero de 2021, interpuso una reclamación ante la Agencia Española de Protección de Datos manifestando su disconformidad con la atención del ejercicio del derecho de acceso a sus datos personales, en la medida en que entendía que no se le había aportado toda la información que solicitaba en su escrito, en concreto: La fecha en que se había producido la baja en su fichero y origen de la solicitud de baja, y la información sobre las entidades que habían realizado consultas entre las fechas de marzo de 2018 y la actualidad, y la información facilitada en cada consulta.

SEGUNDO.- La parte recurrente considera en primer término, que ha dado cumplimento al derecho de acceso recogido en el art. 15 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (en lo sucesivo RGPD) , pues se contesta al solicitante del derecho de acceso que en el momento de la solicitud, no existían datos inscritos asociados a su identificador registrados en el sistema ASNEF, aportándole en cualquier caso, el histórico de consultas llevadas a cabo durante el periodo de los últimos seis meses, contados desde la fecha de la solicitud. Ello fue debido a que los datos que previamente se habían encontrado incluidos ya habían sido cancelados por la entidad acreedora correspondiente en fecha 3 de marzo de 2019, por lo cual se encontraban en estado de bloqueo y, por tanto, no disponibles para su visualización, salvo los supuestos legalmente autorizados de acuerdo con el art. 32 de la LOPDGDD.

En segundo lugar, se alude a la obligación de supresión de los datos personales cuando ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo, contenida en los arts. 17 RGPD y 15 de la LOPDGDD. Y la citada obligación de supresión debe llevarse a cabo mediante el bloqueo, de acuerdo con el art. 32 de la LOPDGDD, que supone la identificación y reserva de datos de carácter personal, adoptando medidas técnicas y organizativas, con el fin de impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos. Y el dar los datos pretendidos al solicitante supone un tratamiento de los datos. Y se alude a las Sentencias de esta Sección de 25 de enero de 2006 y del 17 de marzo de 2011.

Se señala la indefensión en que ASNEF-Equifax se encuentra, al verse potencialmente expuesta a una grave sanción en caso de que se entendiera que existe un incumplimiento de la normativa por facilitar datos a sujetos distintos de los autorizados por el art. 32 de la LOPDGDD, vulnerando el deber de bloqueo de los mismos.

Se añade que la conducta llevada a cabo por ASNEF-Equifax puede provocar indefensión al afectado, puesto que, precisamente, las condiciones a las cuales está sometida la obligación de bloqueo de los datos que han sido suprimidos aseguran y garantizan de forma clara el derecho del afectado a la protección de sus datos de carácter personal. Al encontrarse estos datos bloqueados en los términos expuestos, los mismos no quedan a disposición de ASNEF-Equifax como la entidad responsable del tratamiento, ni siquiera del titular de los datos, sino que, en caso de necesitar el acceso a los mismos, podrá hacerlo a través de una solicitud expresa por parte de alguna de las autoridades competentes, en el marco de una investigación y para la exigencia de posibles responsabilidades derivadas del tratamiento.

Se alude por la parte actora que la interpretación de la Agencia Española de Protección de Datos, podría llevarnos a concluir que la misma contradice, de forma directa, el principio de limitación del plazo de conservación de los datos del art. 5 del RGPD. Se dice que la obligación de entregar la información relativa a las consultas realizadas por las entidades adheridas al Bureau a los datos registrados en el fichero a nombre del consumidor, parte del art. 44.1. 1º del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, por el cual se establece la obligación de facilitar la información que sobre el afectado se hubiera comunicado en los últimos seis meses y el nombre y dirección de los cesionarios. Y esta normativa no contradice ni lo dispuesto en el RGPD y ni en la LOPDGDD.

Por último, se añade que las resoluciones recurridas se limitan a indicar que la Agencia Española de Protección de Datos no ha cambiado de criterio en relación con los derechos y obligaciones regulados en el RGPD, sino que ha procedido a la aplicación de una nueva normativa que engloba el acceso a los datos bloqueados, pero todo ello sin entrar a valorar de forma efectiva la exacta redacción de los artículos objeto de controversia que, de forma sustancial y en lo que a efectos de este recurso conlleva, no han variado y siguen resultando plenamente aplicables. De este modo, la resolución recurrida supone un radical cambio de criterio en la interpretación de la obligación del bloqueo del art. 32 de la LOPDGDD, con el agravante de que éste cambio de criterio se desarrolla de forma sumaria y a lo largo de dos escasos párrafos. Se resalta una falta de congruencia externa omisiva clara, producida por una resolución en la que no se detallan las razones por las cuales se ha tomado cierta decisión o se ha aplicado un cambio de criterio con respecto a lo que expresamente se encuentra determinado por ley.

TERCERO.- La cuestión controvertida es si el titular de los datos de carácter personal puede tener derecho de acceso a los mimos, cuando ya se encuentran bloqueados, y, por tanto, no disponibles para su visualización, salvo los supuestos legalmente autorizados de acuerdo con el art. 32 de la LOPDGDD.

El art. 12 del RGPD, dispone que: "1. El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.

2. El responsable del tratamiento facilitará al interesado el ejercicio de sus derechos en virtud de los artículos 15 a 22. En los casos a que se refiere el artículo 11, apartado 2, el responsable no se negará a actuar a petición del interesado con el fin de ejercer sus derechos en virtud de los artículos 15 a 22, salvo que pueda demostrar que no está en condiciones de identificar al interesado.

3. El responsable del tratamiento facilitará al interesado información relativa a sus actuaciones sobre la base de una solicitud con arreglo a los artículos 15 a 22, y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.

4. Si el responsable del tratamiento no da curso a la solicitud del interesado, le informará sin dilación, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.

5. La información facilitada en virtud de los artículos 13 y 14 así como toda comunicación y cualquier actuación realizada en virtud de los artículos 15 a 22 y 34 serán a título gratuito.

Cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:

a) cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o

b) negarse a actuar respecto de la solicitud.

El responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

6. Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.

7. La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente.

8. La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados".

Por su parte, el art. 15 del RGPD establece que: "1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales y a la siguiente información:

a) los fines del tratamiento;

b) las categorías de datos personales de que se trate;

c) los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;

d) de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;

e) la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;

f) el derecho a presentar una reclamación ante una autoridad de control;

g) cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;

h) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

2. Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.

3. El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.

4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros".

Mientras que, en la LOPDGDD, en cuanto al derecho de acceso, en el art. 13 se dispone: "1. El derecho de acceso del afectado se ejercitará de acuerdo con lo establecido en el artículo 15 del Reglamento (UE) 2016/679 .

Cuando el responsable trate una gran cantidad de datos relativos al afectado y este ejercite su derecho de acceso sin especificar si se refiere a todos o a una parte de los datos, el responsable podrá solicitarle, antes de facilitar la información, que el afectado especifique los datos o actividades de tratamiento a los que se refiere la solicitud.

2. El derecho de acceso se entenderá otorgado si el responsable del tratamiento facilitara al afectado un sistema de acceso remoto, directo y seguro a los datos personales que garantice, de modo permanente, el acceso a su totalidad. A tales efectos, la comunicación por el responsable al afectado del modo en que este podrá acceder a dicho sistema bastará para tener por atendida la solicitud de ejercicio del derecho.

No obstante, el interesado podrá solicitar del responsable la información referida a los extremos previstos en el artículo 15.1 del Reglamento (UE) 2016/679 que no se incluyese en el sistema de acceso remoto.

3. A los efectos establecidos en el artículo 12.5 del Reglamento (UE) 2016/679 se podrá considerar repetitivo el ejercicio del derecho de acceso en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.

4. Cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, la solicitud será considerada excesiva, por lo que dicho afectado asumirá el exceso de costes que su elección comporte. En este caso, solo será exigible al responsable del tratamiento la satisfacción del derecho de acceso sin dilaciones indebidas".

Por su parte, el art. 32 de la LOPDGDD, en su apartado 2 dispone: "El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas".

CUARTO.- En el caso que nos ocupa, se produjo el bloqueo de los datos de carácter personal del reclamante el 3 de marzo de 2019, ejerciendo el derecho de acceso a los mismos el 20 de enero de 2021.

Pues bien, la Sala considera acertada la interpretación que se hace por parte de la Agencia Española de Protección de Datos, en el sentido de que los datos personales sometidos a la modalidad del bloqueo no permiten su tratamiento, pero no implica que no se puedan poner a disposición del afectado los datos que el responsable dispuso y trató mientras perduró la relación contractual, por si de ello, puedan surgir responsabilidades derivadas de su tratamiento o por considerar que es más garantista poder facilitar los datos personales que se encuentran bloqueados para conocimiento del interesado.

El titular de los datos de carácter personal debe tener derecho de acceso a los mismos, aunque se encuentren bloqueados, salvo las circunstancias que impliquen automáticamente su borrado físico, cosa que no es el caso, como lo demuestra el hecho de que la parte actora en las alegaciones de fecha 27 de mayo de 2021 que presentó en la Agencia Española de Protección de Datos, aportó los datos que solicitaba el reclamante (folios 117 y siguientes del expediente administrativo).

Hay que tener en cuenta que en los supuestos del art. 32 de la LOPDGDD, los datos bloqueados quedan a disposición de los Tribunales, el Ministerio Fiscal u otras Administraciones públicas competentes, en particular las autoridades de protección de datos, para las exigencias de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de estas. Pero, dicha situación no implica que dichas autoridades puedan llevar a cabo un tratamiento de datos, sino que en el caso de una controversia o cualquier acción que se necesite llevar a cabo por las autoridades competentes en la materia, puedan conocer que datos disponían y el tratamiento que se llevó a cabo. Lo mismo acontece cuando el titular de los datos tiene derecho a conocer el tratamiento que se llevó a cabo mientras perduro el mantenimiento de aquellos en el fichero del recurrente, no encontrándonos en un supuesto de tratamiento de datos, como aduce la parte actora. Hay que tener en cuenta que no se solicita que se desbloquen los datos, sino que se facilite al reclamante el derecho de acceso, no conllevando ello un tratamiento de los datos.

Por otro lado, las Sentencias invocadas por la parte actora de esta Sección, especialmente la de 25 de enero de 2006 -recurso nº.-243/2004-, hay que tener en cuenta que la normativa aplicada en las mismas, no es la vigente contenida en el RGPD ni en la LOPDGDD.

Además, el derecho de acceso reconocido al reclamante por parte de la Agencia Española de Protección de Datos, no implica como argumenta la parte recurrente, una vulneración del principio de limitación del plazo de conservación de los datos del art. 5 del RGPD, pues se olvida, la parte actora, de que estamos ante un supuesto de un bloqueo de los datos, y el plazo del art. 44.1. 1º del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, ha que interpretarlo de acuerdo con la nueva normativa en vigor, no siendo de aplicación en cuanto se oponga a la misma.

Finalmente, tenemos que reseñar que la interpretación dada por la Agencia Española de Protección de Datos es en aplicación de la nueva normativa existente en la materia que nos ocupa, no implica ninguna indefensión a la parte actora, y, al estar ante una normativa diferente, no puede considerar que se haya incurrido en una falta de congruencia externa omisiva como se denuncia por la parte actora, ni tampoco ante una vulneración del principio de seguridad jurídica.

QUINTO.- A tenor del art. 139.1 de la Ley de la Jurisdicción, procede imponer las costas procesales a la parte actora.

VISTOSlos artículos citados, y demás de general y pertinente aplicación.