Bloqueo de los datos personales


Manuel Castilleja Toscano     25/02/2025


BLOQUEO DE LOS DATOS PERSONALES (art. 32 LOPDGDD)

1. Definición

Es una medida de seguridad a través de la cual el responsable del tratamiento está obligado a bloquear los datos cuando proceda a su rectificación o supresión. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta para los que fueron recabados, garantizando que no serán utilizados indebidamente antes de su supresión definitiva.

2. Base jurídica que lo legitima

La obligación legal impuesta al responsable del tratamiento (art. 6.1.c RGPD) por el artículo 32 de la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

3. En qué consiste

En la identificación y reserva de los datos personales, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluso su visualización, excepto y exclusivamente para la puesta a disposición de los mismos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción su destrucción. (art. 32.2 LOPDGDD)

4. Cuándo es obligatorio

Un responsable del tratamiento en España deberá proceder al bloqueo de datos personales cuyo tratamiento esté llevando a cabo, cuando tenga que suprimirlos o rectificarlos.(art. 32.1 LOPDGDD)

4.1. Bloqueo cuando proceda la supresión

Porque concurra alguna de las circunstancias siguientes y que:

  • los datos personales:
    • ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
    • hayan sido tratados ilícitamente;
    • deban suprimirse para el cumplimiento de una obligación legal establecida en una ley que se aplique al responsable del tratamiento;
    • los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información en relación a la oferta directa a niños;
  • el interesado:
    • retire el consentimiento en que se basa el tratamiento, y este no se base en otra base jurídica;
    • se oponga al tratamiento, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento datos personales tenga por objeto la mercadotecnia directa (el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa).

4.2. Bloqueo cuando proceda la rectificación

Aunque generalmente el bloqueo se asocia a la supresión de datos también procede el bloqueo cuando el responsable del tratamiento tenga que rectificarlos porque los datos personales sean inexactos o incompletos.

El bloqueo de datos en caso de rectificación no significa que haya que bloquear los datos actualizados, completados o corregidos, los que se deben bloquear son los datos que estaban incompletos, inexactos o desactualizados, es decir la versión anterior a la rectificación para garantizar la trazabilidad de los mismos y permitir su acceso en caso de ser necesario para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas a jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos.

4.3. Derecho de acceso con datos bloqueados

El bloqueo de los datos no implica que no se puedan poner a disposición de los interesados si ejercen su derecho de acceso a los datos que el responsable dispuso y trató, por si de ello, puedieran surgir responsabilidades derivadas de su tratamiento o por considerar que es más garantista poder facilitar los datos personales que se encuentran bloqueados para conocimiento de los interesados.

Los interesados para poder valorar una posible acción ante una autoridad o institución administrativa, judicial o simplemente conocer si se hizo o no un tratamiento conforme a la normativa en materia de protección de datos, deben poder conocer y valorar el tratamiento que se llevó a cabo. Facilitar los datos al interesado, no conlleva un tratamiento de los mismos.

Por ello, se debe atender la solicitud de acceso conforme a lo establecido en el art. 15 RGPD. ( AEPD: R/00484/2020, R/00532/2020, TD/00129/2021; SAN 706/2025)

5. Excepciones

  • En los casos en que la configuración del sistema de información no permita el bloqueo de los datos personales o se requiera una adaptación que implique un esfuerzo desproporcionado; en este caso se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo (art. 32.4 LOPDGDD).
  • Cuando lo fije la Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera:
    • generar un riesgo elevado para los derechos de los afectados, o
    • implicar un coste desproporcionado para el responsable del tratamiento (art. 32.5 LOPDGDD).
  • Cuando lo establezca alguna normativa específica, por ejemplo:
    • En tratamientos relacionados con la realización de determinadas operaciones mercantiles, cuando estas no llegaran a concluirse (art. 21.2 LOPDGDD).
    • En tratamientos con fines de videovigilancia (art. 22.3 LOPDGDD)
    • En tratamientos para los sistemas internos de información (art. 32.4 Ley 2/2023, reguladora de la protección del informante)
    • Etc.

6. Incumplimiento

Conforme al artículo 72.1.n) de la LOPDGDD se considera una infracción muy grave y prescribirá a los tres años el incumplimiento de la obligación de bloqueo de los datos cuando la misma sea exigible, y conforme al artículo 83.5 del RGPD se sancionarán, en función de las circunstancias de cada caso individual, con multas administrativas de 20.000.000 € como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

7. Ejemplos

7.1. Bloqueo cuando proceda la supresión

Una trabajadora deja de prestar sus servicios en la empresa donde estaba contratada, la empresa deja de necesitar algunos de sus datos personales y por tanto, debería suprimirlos. Sin embargo si existe un plazo en el que la extrabajadora pudiera presentar reclamaciones, por ejemplo por responsabilidad contractual, los datos deberán bloquearse en lugar de suprimirse mientras no finalice el mismo, una vez que finalice se suprimirán definitivamente.

7.2. Bloqueo cuando proceda la rectificación

Un paciente detecta un error en su historial clínico y solicita su rectificación, el centro sanitario responsable del mismo atiende su solicitud y corrige la información errónea, sin embargo, la información incorrecta no puede suprimirse, ya que si en el futuro hay una reclamación basada en dicha información, el centro sanitario debe poder acreditar con qué información contaba en aquel momento, el bloqueo permite conservar un rastro de la actualización para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.