390 - ¿En qué consiste y dónde se regula el bloqueo de datos personales?

Artículo 32 de la LOPDGDD

Encontramos la respuesta a esta cuestión en el apartado segundo del artículo 32 de la LOPDGDD, de manera que el bloqueo de los datos:

«(...) consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.

Transcurrido ese plazo deberá procederse a la destrucción de los datos».

Así, el responsable del tratamiento tendrá la obligación de bloquear los datos cuando proceda a su rectificación o supresión. No obstante, los datos bloqueados no podrán ser tratados para ninguna finalidad diferente a la señalada en el apartado segundo del artículo 32 de la LOPDGDD.

Además, tanto la AEPD como las autoridades autonómicas con competencias en materia de protección de datos podrán establecer las excepciones a la referida obligación de bloqueo, en los casos en que «(...) atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento».

A TENER EN CUENTA. Véanse los siguientes artículos de la LOPDGDD:

- Tratamientos relacionados con la realización de determinadas operaciones mercantiles (artículo 21 de la LOPDGDD).

- Tratamientos con fines de videovigilancia (artículo 22 de la LOPDGDD).

- Medidas provisionales y garantía de los derechos (artículo 69 de la LOPDGDD).

A tenor de lo anterior, la sentencia del Tribunal Supremo n.º 1624/2020, de 27 de noviembre, ECLI:ES:TS:2020:4016, declara que: 

«En relación con el artículo 12, letra b), de la Directiva 95/46, éste dispone que los Estados miembros garantizarán a todos los interesados el derecho de obtener del responsable del tratamiento, en su caso, la rectificación, la supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos. Esta última aclaración, relativa al supuesto del incumplimiento de algunos requisitos recogidos en el artículo 6, apartado 1, letra d), de la Directiva 95/46, tiene carácter de ejemplo y no es taxativa, de lo que se desprende que la falta de conformidad del tratamiento, que puede ofrecer al interesado el derecho garantizado por el artículo 12, letra b), de dicha Directiva, puede también derivarse del incumplimiento de otros requisitos de legalidad impuestos por ésta al tratamiento de datos personales».

CUESTIÓN

¿Qué sucede cuando la configuración del sistema de información no permita el bloqueo?

Se procederá a «un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo».

Lo anterior también será de aplicación a los casos en que el cumplimiento de la referida obligación implique un esfuerzo desproporcionado.