ARTURO ACOSTA S.L. v. AEPD - Right to Erasure Enforcement Appeal Dismissed

 Expediente n.º: EXP202512014 (RR/01018/2025)

RESOLUCIÓN DE RECURSO DE REPOSICIÓN Examinado el recurso de reposición interpuesto por la entidad ARTURO ACOSTA, S.L. con NIF: B38094249 (en lo sucesivo, la parte recurrente) contra la resolución dictada por la Presidencia de la Agencia Española de Protección de Datos (en lo sucesivo, AEPD) de fecha 23 de noviembre de 2025 en base a los siguientes HECHOS PRIMERO: Con fecha 23 de noviembre de 2025, se dictó resolución por la Presidencia de la Agencia Española de Protección de Datos en el expediente EXP202512014 (PD/00238/2025), en la que se acordó estimar la reclamación del ejercicio de derechos formulada por A.A.A. contra ARTURO ACOSTA, S.L. SEGUNDO: La resolución ahora recurrida fue notificada fehacientemente a la parte recurrente el 25 de noviembre de 2025, según consta en el acuse de recibo que figura en el expediente. TERCERO: La parte recurrente ha presentado en fecha en esta Agencia Española de Protección de Datos, recurso de reposición, en el que, en síntesis, señala lo siguiente:

• Señala la parte recurrente que, al producirse la devolución técnica de los dispositivos por el propio reclamante, estos "se hallaban ya en un estado

restaurado de fábrica, sin que existieran datos personales accesibles".

• Asegura, por tanto, que no puede darse cumplimiento a lo previsto en el
  artículo 17 del RGPD, puesto que no puede suprimir datos que no existen y no se encuentran accesibles. Todo ello denota, en consecuencia, la mala fe con la que ha obrado la parte reclamante, en tanto que fue este quien devolvió los dispositivos habiendo suprimido previamente los datos.

• Asegura que la resolución de la AEPD atenta el principio de proporcionalidad
  puesto que impone una carga de imposible cumplimiento para el responsable, cuando este ha acreditado la inexistencia de datos a suprimir.

• Alega falta de motivación de la resolución impugnada, en tanto que "no
  fundamenta en concreto en qué medida la comunicación realizada por la empresa, debidamente justificada en el propio expediente, resulta insuficiente para tener por colmado el derecho de supresión, más allá de la exigencia formal de expedición de una certificación adicional, que resulta inoperante por razón de los hechos acreditados".

CUARTO: En fecha 12 de enero de 2026, se concedió al reclamante trámite de audiencia, para que en el plazo de quince días hábiles presentase las alegaciones que estimara convenientes sobre el contenido del recurso de reposición. QUINTO: En fecha 19 de enero de 2026, la parte reclamante presenta ante esta Agencia, escrito de alegaciones, en la que manifiesta, en síntesis:

• Insiste en que los dispositivos no fueron devueltos a la parte recurrente de
  forma voluntaria, sino que estos le fueron requeridos y retirados en horario laboral. Por ello, niega haber accedido y suprimido los datos.

• Señala que la actuación de la empresa respecto a su ejercicio del derecho de
  supresión se produce únicamente tras la actuación de la AEPD, sin que haya acreditado documentalmente la supresión de los datos ni respondido formalmente al ejercicio del derecho de supresión.

• Niega la existencia de mala fe por su parte, y reitera que se ha limitado a
  ejercitar un derecho respecto al que corresponde al responsable acreditar su atención.

• Señala que la correcta satisfacción del derecho de supresión exige que:
  "el responsable del tratamiento debe responder de forma expresa, dentro del plazo legal, e informando adecuadamente al interesado sobre las actuaciones realizadas. En el presente caso: no existió respuesta en plazo, no existió comunicación formal al reclamante, ni se aportó acreditación válida de la supresión hasta que la AEPD intervino".

• Duda sobre la validez del certificado técnico emitido por la empresa en
  la media en que ha sido expedido por un trabajador de la propia empresa.

• Asegura que la empresa "utilizó perfiles personales de WhatsApp
  pertenecientes a este reclamante, respondiendo mensajes en su nombre y haciendo creer a clientes y terceros que era el propio A.A.A.".

FUNDAMENTOS DE DERECHO I Competencia Es competente para resolver el presente recurso la Presidencia de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP) y el artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD). II Contestación a las alegaciones presentadas Con carácter previo a la contestación de las alegaciones presentadas, debe recordarse que la resolución impugnada, de carácter estimatorio, se fundamentaba en que la entidad recurrente, aunque manifestara en sus alegaciones que el derecho de supresión había sido atendido, no acreditó haber comunicado al reclamante, de forma fehaciente y dentro del plazo legal, contestación a su solicitud de supresión. Así, la parte dispositiva de la resolución señalaba la necesidad de que, "en el plazo de

diez días hábiles desde que la presente resolución sea firme y ejecutiva, remita a la parte reclamante certificación por la que se atienda el derecho de supresión ejercido o

se deniegue motivadamente indicando las causas por las que no procede atender lapetición, de conformidad con lo establecido en el cuerpo de la presente resolución".

Asentado lo anterior, procede contestar las alegaciones presentadas: Primera.- Sobre la supuesta devolución de los dispositivos restaurados de fábrica, la alegada imposibilidad técnica de acceso y la diligencia de la entidad reclamada La entidad recurrente discrepa del contenido de la resolución impugnada al sostener que los dispositivos corporativos utilizados por el reclamante fueron devueltos por este ya restaurados de fábrica, sin datos personales accesibles y bloqueados mediante un código impuesto por el propio interesado, lo que habría generado una imposibilidad técnica de acceso imputable exclusivamente al reclamante. Afirma, asimismo, que dicha circunstancia fue puesta en conocimiento tanto de la AEPD como del propio reclamante en el curso del expediente administrativo, que se intentó atender la solicitud de supresión de manera inmediata y que, al haber sido los datos eliminados previamente por el interesado, la reclamación evidenciaría una actuación de mala fe. Con base en ello, concluye que actuó en todo momento con la debida diligencia y transparencia, sin causar perjuicio alguno ni desatender los derechos del reclamante, extremo que considera acreditado mediante el certificado técnico aportado. La alegación no puede ser estimada. Con independencia de la versión que la entidad sostiene acerca del estado en que se encontraban los dispositivos en el momento de su entrega, lo cierto es que dicha circunstancia no desvirtúa el contenido de la resolución recurrida, consistente en la falta de respuesta expresa, documentada y en plazo a la solicitud del derecho de supresión formulada por el reclamante el 14 de enero de 2025. En efecto, aun en el supuesto de que los dispositivos hubieran sido entregados sin datos personales accesibles o restaurados de fábrica, tal circunstancia no exime al responsable del tratamiento de la obligación legal de responder formalmente al interesado, dentro del plazo previsto en el artículo 12.3 del RGPD, informándole de manera clara y fehaciente sobre la decisión adoptada respecto de su solicitud, ya fuera confirmando la supresión de los datos, indicando su inexistencia o denegando motivadamente el ejercicio del derecho. La normativa aplicable no permite sustituir dicha obligación por una atención tácita o presunta, ni condicionarla a circunstancias técnicas alegadas unilateralmente por el responsable del tratamiento. El certificado técnico aportado por la entidad se limita a describir el estado en que, según su autor, se encontraban los dispositivos en un momento posterior, pero no acredita, en modo alguno, que se hubiera comunicado al reclamante, dentro del plazo legal, la resolución de su solicitud ni que se hubiera dado cumplimiento a las exigencias formales impuestas por los artículos 12 y 17 del RGPD. La carga de la prueba del cumplimiento de dichas obligaciones recae, conforme a la normativa vigente, sobre el responsable del tratamiento, sin que pueda trasladarse al interesado. Así se recogía en la resolución recurrida: "Las normas antes citadas no permiten que

pueda obviarse la solicitud como si no se hubiera planteado, dejándola sin la respuesta que obligatoriamente deberán emitir los responsables, aún en el supuesto de que no existan datos del interesado en los ficheros de la entidad o incluso en

aquellos supuestos en los que no reuniera los requisitos previstos, en cuyo caso el destinatario de dicha solicitud viene igualmente obligado a requerir la subsanación de las deficiencias observadas o, en su caso, denegar la solicitud motivadamente indicando las causas por las que no procede considerar el derecho de que se trate".

Por otra parte, la imputación de una supuesta mala fe al reclamante carece de relevancia jurídica en el marco del presente procedimiento y no se sustenta en prueba objetiva obrante en el expediente. El ejercicio del derecho de supresión constituye un derecho reconocido por el artículo 17 del RGPD y no puede interpretarse, por sí mismo, como un comportamiento abusivo o fraudulento. En cualquier caso, la eventual conducta del interesado no exonera al responsable del tratamiento de su deber de responder formalmente a la solicitud presentada aun cuando fuera para comunicar la imposibilidad de atender el derecho ejercitado. Finalmente, la diligencia exigible a la entidad reclamada no se satisface con actuaciones reactivas ni con la aportación ex post de documentación técnica, sino con el cumplimiento efectivo y acreditado de las obligaciones legales en materia de atención de derechos. Tal como razona la resolución recurrida, no consta que la recurrente hubiera dado respuesta expresa y en plazo al reclamante, lo que constituye el núcleo del incumplimiento apreciado. Por todo lo expuesto, la alegación debe ser desestimada íntegramente. Segunda.- Sobre la pretendida satisfacción material del derecho de supresión por inexistencia de datos y la alegada imposibilidad técnica de actuación La entidad recurrente sostiene que el derecho de supresión reconocido en el artículo 17 del RGPD únicamente exige al responsable del tratamiento la adopción de medidas dirigidas a eliminar los datos personales del interesado cuando estos existan y sean accesibles. Afirma que, en el presente caso, ha quedado debidamente acreditada una imposibilidad técnica y una ausencia material de datos personales que impedirían cualquier actuación de supresión, toda vez que fue el propio reclamante quien habría restaurado los dispositivos, vaciándolos de contenido y estableciendo un nuevo código de acceso. Sobre esta base, considera materialmente satisfecho el derecho ejercitado y sostiene que la reclamación se interpuso de mala fe, al ser plenamente conocedor el reclamante del estado en que se encontraban los dispositivos en el momento de su entrega. Añade que dichas circunstancias fueron comunicadas a la Agencia en cuanto le fue concedido el trámite de alegaciones, negando la existencia de una negativa tácita, desatención u omisión dolosa, y concluye que la acreditación de la imposibilidad técnica y de la inexistencia de datos excluye la existencia de una vulneración sustantiva del derecho de supresión. La alegación no puede ser estimada. En primer término, debe recordarse que el derecho de supresión, tal como se configura en los artículos 12 y 17 del RGPD, no se agota en la eliminación material de los datos personales (previo bloqueo de los mismos, en su caso, de acuerdo con lo previsto en el artículo 32 de la LOPDGDD) sino que incorpora una obligación autónoma e ineludible de respuesta expresa por parte del responsable del tratamiento. Dicha obligación subsiste incluso en aquellos supuestos en los que el responsable considere que no dispone de datos personales

del interesado o que estos ya han sido eliminados, debiendo comunicarlo de forma clara, motivada y fehaciente al solicitante dentro del plazo legalmente establecido. La supuesta inexistencia de datos personales o la alegada imposibilidad técnica de acceso a los dispositivos no exime, por sí sola, del deber de informar al interesado sobre la decisión adoptada respecto de su solicitud. La satisfacción material del derecho no puede entenderse producida de manera tácita o presunta, ni sustituir la exigencia de una respuesta formal conforme a las previsiones del artículo 12 del RGPD. En el presente caso, tal y como se señala en la resolución recurrida, no consta que la entidad hubiera comunicado al reclamante, dentro del plazo legal, la inexistencia de datos personales, la imposibilidad técnica alegada o la supuesta atención del derecho en contestación a su solicitud. Por otra parte, la alegación relativa a la mala fe del reclamante carece de eficacia jurídica en este procedimiento. El ejercicio del derecho de supresión no puede condicionarse a la valoración subjetiva de la conducta del interesado, ni puede utilizarse dicha imputación para eludir las obligaciones que el RGPD impone al responsable del tratamiento. En cualquier caso, la eventual imposibilidad técnica alegada no altera la carga probatoria que recae sobre la entidad reclamada, quien debe acreditar, de forma suficiente y en tiempo oportuno, el cumplimiento de sus deberes legales. Asimismo, el hecho de que la entidad pusiera en conocimiento de la AEPD, en el trámite de alegaciones, las circunstancias que ahora invoca no subsanan la omisión inicial ni convierte en tempestiva una actuación realizada con posterioridad al vencimiento del plazo legal para atender el derecho ejercitado. La normativa de protección de datos no ampara actuaciones extemporáneas ni permite que la reacción del responsable se produzca únicamente tras la intervención de la autoridad de control. En consecuencia, la aportación de un certificado técnico y la afirmación de una imposibilidad técnica sobrevenida no garantizan, por sí solas, la correcta atención del derecho de supresión ni excluyen la infracción apreciada, al no quedar acreditado el cumplimiento de la obligación de respuesta expresa, clara y en plazo al interesado. Por todo lo expuesto, la alegación debe ser desestimada. Tercera.- Sobre la invocación del principio de proporcionalidad. La entidad recurrente invoca el principio de proporcionalidad para sostener que no deben imponerse cargas adicionales al responsable del tratamiento cuando este ha acreditado una imposibilidad técnica sobrevenida y ha actuado con la diligencia debida. Argumenta que, al haberse acreditado la inexistencia de datos personales a suprimir y la imposibilidad de acceso a los dispositivos por causas imputables al propio reclamante, quien habría actuado de mala fe, carecería de fundamento la adopción de medidas sancionadoras o correctivas adicionales. La alegación no puede ser estimada. En primer término, debe precisarse que el procedimiento que da lugar a la resolución recurrida no tiene naturaleza sancionadora, sino que se encuadra en el procedimiento específico previsto en el artículo 64.1 de la

LOPDGDD para la tutela del ejercicio de los derechos reconocidos en los artículos 15 a 22 del RGPD. En este marco, la actuación de la Agencia no persigue la imposición de una sanción, sino la verificación del correcto cumplimiento de las obligaciones del responsable del tratamiento y, en su caso, la adopción de las medidas necesarias para garantizar la efectividad del derecho ejercitado. En consecuencia, la invocación del principio de proporcionalidad en términos propios del derecho administrativo sancionador resulta improcedente en este contexto, en la medida en que la resolución recurrida no impone sanción alguna, sino que se limita a estimar la reclamación y a instar a la entidad reclamada a que atienda el derecho de supresión ejercitado o lo deniegue motivadamente, de conformidad con las exigencias de los artículos 12 y 17 del RGPD. La medida adoptada constituye una consecuencia directa y necesaria del incumplimiento apreciado y resulta plenamente proporcionada al objeto del procedimiento. Por otra parte, como se ha venido señalando durante la contestación a las alegaciones efectuadas, la alegada inexistencia de datos personales o la supuesta imposibilidad técnica sobrevenida no desvirtúan la obligación esencial incumplida, consistente en la falta de respuesta expresa y en plazo a la solicitud del interesado. Por todo lo expuesto, la alegación debe ser desestimada íntegramente. Cuarta.- Sobre la suficiencia de la motivación de la resolución recurrida y la alegada inexistencia de incumplimiento del deber de respuesta La entidad recurrente sostiene que las resoluciones de la AEPD deben estar suficientemente motivadas en relación con la concurrencia de los elementos delimitadores de la infracción o, en su caso, del incumplimiento del deber de respuesta, y afirma que, en el presente caso, la resolución impugnada no concreta en qué medida la comunicación realizada por la empresa, que considera debidamente justificada en el expediente, resulta insuficiente para entender satisfecho el derecho de supresión. Añade que la exigencia de expedir una certificación adicional constituiría un formalismo inoperante, atendiendo a los hechos acreditados. La alegación no puede ser estimada. La resolución recurrida contiene una motivación suficiente, clara y congruente con el objeto del procedimiento, en la medida en que identifica de forma expresa el incumplimiento apreciado, lo fundamenta jurídicamente y explica las razones por las que procede estimar la reclamación formulada. En particular, la resolución expone de manera razonada que, pese a las manifestaciones de la entidad reclamada sobre la supuesta inexistencia de datos personales o la restauración de los dispositivos, no consta en el expediente que se hubiera dado respuesta expresa y fehaciente al reclamante, dentro del plazo legalmente establecido, a la solicitud de ejercicio del derecho de supresión. Como se ha venido señalando, la motivación no se limita a una exigencia meramente formal de expedición de una certificación, sino que se apoya en el incumplimiento de una obligación sustantiva impuesta por los artículos 12 y 17 del RGPD, consistente en informar al interesado, de forma clara y en plazo, sobre la decisión adoptada respecto de su solicitud. La resolución razona de manera explícita que la aportación de un certificado técnico interno o la alegación de una imposibilidad técnica no sustituyen ni

suplen la obligación de comunicar al interesado la resolución de su solicitud, ni acreditan que dicha comunicación se hubiera producido en tiempo y forma. Por otra parte, la afirmación de que existió una comunicación suficiente por parte de la entidad no se ve respaldada por prueba documental obrante en el expediente que permita tener por acreditada una respuesta formal al reclamante conforme a las exigencias legales. La resolución recurrida valora esta ausencia probatoria y concluye, de manera motivada, que no puede tenerse por cumplido el deber de respuesta, lo que constituye el elemento determinante de la estimación de la reclamación. Asimismo, la resolución insta a la entidad recurrente al cumplimiento de su obligación en materia de protección de datos y que, por tanto, remita al reclamante una certificación acreditativa de la atención del derecho de supresión o, en su caso, de su denegación motivada, no puede calificarse de inoperante, sino que constituye el instrumento adecuado y proporcionado para garantizar la efectividad del derecho ejercitado y para poner fin a la situación de indefinición generada por la falta de respuesta previa. En consecuencia, la resolución impugnada satisface plenamente las exigencias de motivación previstas en el ordenamiento jurídico, identifica con claridad el incumplimiento apreciado y fundamenta adecuadamente la medida adoptada, por lo que la alegación debe ser desestimada íntegramente. III Conclusión En consecuencia, en el presente recurso de reposición, la parte recurrente no ha aportado hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada. IV Obligación de dictar resolución expresa De acuerdo con lo establecido en el artículo 24 de la LPACAP, el sentido del silencio administrativo en los procedimientos de impugnación de actos y disposiciones es desestimatorio. No obstante, a pesar de que haya transcurrido el plazo legalmente establecido para resolver, la Administración mantiene la obligación de dictar resolución expresa y de notificarla en todos los procedimientos cualquiera que sea su forma de iniciación, incluidos los recursos administrativos que se hayan podido interponer, según dispone el artículo 21.1 de la citada LPACAP. En los casos de desestimación por silencio administrativo, la resolución expresa posterior al vencimiento del plazo se adoptará por la Administración sin vinculación alguna al sentido del silencio, según dispone el artículo 24.3 de la misma ley. Por tanto, aunque no se resuelva el recurso en plazo, procede emitir la resolución expresa que lo finalice. Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUELVE:

PRIMERO: DESESTIMAR el recurso de reposición interpuesto por la entidad ARTURO ACOSTA, S.L. con NIF: B38094249 contra la resolución dictada por la Presidencia de la Agencia Española de Protección de Datos de fecha 23 de noviembre de 2025 en el expediente EXP202512014 (RR/01018/2025). SEGUNDO: NOTIFICAR la presente resolución a la entidad ARTURO ACOSTA, S.L. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.

186-071125

Lorenzo Cotino Hueso Presidente de la Agencia Española de Protección de Datos