El informe jurídico de la Agencia Española de Protección de Datos (AEPD) de 2001 aborda el alcance y la conciliación de la excepción o suspensión de la obligación de cancelación de datos personales, específicamente en relación con el bloqueo de estos datos. Este análisis se centra en la interpretación coordinada del artículo 16.3 de la Ley Orgánica de Protección de Datos (LOPD) con la normativa reglamentaria de desarrollo dictada al amparo de la Ley Orgánica del Régimen de Responsabilidad y Racionalización en la Utilización de los Medios de Comunicación Social (LORTAD).
El artículo 16.1 del Real Decreto 1332/1994 establece que, cuando sea procedente la cancelación de datos pero no sea posible su extinción física por razones técnicas o del soporte utilizado, el responsable del fichero debe bloquear los datos para impedir su ulterior procesamiento o utilización. Sin embargo, esta disposición exceptúa los casos en que los datos hayan sido recogidos o registrados por medios fraudulentos, desleales o ilícitos, en cuyo caso la cancelación debe comportar la destrucción del soporte.
La Instrucción 1/1998 de la AEPD, en su Norma Tercera, apartados 8 y 9, también regula el bloqueo de datos, indicando que la cancelación exige el borrado físico de los datos y que, en caso de no ser posible, se debe proceder al bloqueo de los mismos.
La Ley Orgánica 5/1992, que precedió a la LOPD, no contenía una previsión específica sobre el bloqueo de datos, limitándose a establecer la obligación de cancelación sin delimitar su alcance. En contraste, la LOPD de 1999 introduce una referencia expresa al bloqueo de datos en su artículo 16.3, estableciendo que la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas.
El artículo 16.5 de la LOPD complementa esta disposición, indicando que los datos deben conservarse durante los plazos previstos en las disposiciones aplicables o en las relaciones contractuales entre el responsable del tratamiento y el interesado.
El informe concluye que la cancelación no siempre implica un borrado físico de los datos, sino que puede determinar el bloqueo de los mismos cuando así lo establezca una norma con rango de ley o se desprenda de la relación jurídica que vincula al responsable del fichero con el afectado. Por lo tanto, las disposiciones del Real Decreto 1332/1994 y de la Instrucción 1/1998 deben interpretarse de forma armonizada con la LOPD, sin existir una obligación terminante de borrado físico en todos los casos.
Además, se destaca que cualquier limitación al derecho fundamental de protección de datos debe constar en una disposición con rango de ley, según lo establecido por la Sentencia del Tribunal Constitucional 292/2000. Esto implica que el bloqueo de datos debe realizarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, así como durante el plazo de prescripción de deudas tributarias, entre otros supuestos.
En resumen, el informe jurídico de la AEPD de 2001 clarifica que el bloqueo de datos personales es una medida que puede sustituir al borrado físico en ciertos casos, siempre que esté justificado por una norma con rango de ley o por la relación jurídica entre el responsable del fichero y el afectado. Esta interpretación armoniza las disposiciones reglamentarias con la LOPD, proporcionando un marco claro para la gestión de datos personales en situaciones de cancelación.