EUSKALTEL fined €100,000 for GDPR non-compliance

1/23

 Expediente n.º: EXP202410464

RESOLUCIÓN DE RECURSO DE REPOSICIÓN Examinado el recurso de reposición interpuesto por EUSKALTEL, S.A. (en lo sucesivo, EUSKALTEL/la parte recurrente) contra la resolución dictada por la Presidencia de la Agencia Española de Protección de Datos de fecha 25 de septiembre de 2025, y en base a los siguientes HECHOS PRIMERO: Con fecha 25 de septiembre de 2025, se dictó resolución por la Presidencia de la Agencia Española de Protección de Datos en el expediente EXP202410464, en virtud de la cual se imponía a EUSKALTEL por una infracción del Artículo 58.2 del RGPD, tipificada en el Artículo 83.6 del RGPD, una multa de 100.000,00 euros (cien mil euros), y ordenándole que, en virtud del artículo 58.2 del RGPD, en el plazo máximo de 3 meses desde que la citada resolución fuera firme y ejecutiva, acreditase haber procedido al cumplimiento de las medidas impuestas con el alcance indicado en su Fundamento de Derecho VII. Dicha resolución, que fue notificada a la parte recurrente en fecha 29 de septiembre de 2025, fue dictada previa la tramitación del correspondiente procedimiento sancionador, de conformidad con lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y supletoriamente en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en lo sucesivo, LPACAP), en materia de tramitación de procedimientos sancionadores. SEGUNDO: Como hechos probados del citado procedimiento sancionador, PS/00328/2024, quedó constancia de los siguientes: “PRIMERO. Con fecha 5 de enero de 2024, la Directora de la Agencia Española de Protección de Datos dictó resolución en el procedimiento de ejercicio de derechos EXP202201673) seguido contra EUSKALTEL, S.A., estimando la reclamación formulada por la parte reclamante en relación con el derecho de acceso a los datos personales, específicamente los relativos a la geolocalización de su número de teléfono. En dicha resolución se concedió a EUSKALTEL un plazo de 10 días hábiles para atender el derecho de acceso o denegarlo motivadamente, en atención a lo razonado en la propia resolución, esto es, garantizando que los datos personales que le conciernen se den al usuario de la línea telefónica, que puede ser o no el titular de la línea, debiendo comunicar a la Agencia las actuaciones realizadas. La resolución fue notificada fehacientemente el 11 de enero de 2024. En dicha resolución se concluía que el derecho de acceso a los datos de geolocalización del número de teléfono del usuario no está exceptuado en la Ley 25/2007, que la solicitud de acceso formulada por la parte reclamante no es excesiva ni infundada, por lo que EUSKALTEL no puede negarse a actuar, menos aún en base al coste económico que pudiera conllevar la atención del derecho. Asimismo, se

2/23

advirtió a EUSKALTEL que la información proporcionada a la parte reclamante sobre la itinerancia de su línea telefónica no se correspondía con la petición de acceso formulada por la misma. SEGUNDO. Con fecha 25 de enero de 2024, EUSKALTEL interpuso recurso de reposición contra la citada resolución, que fue desestimado por resolución de la Directora de la Agencia de fecha 23 de febrero de 2024, notificada fehacientemente el 1 de marzo de 2024. De lo declarado en esta resolución cabe destacar lo siguiente: . Se reiteran los argumentos valorados en la resolución impugnada para concluir nuevamente que los datos de ubicación de la línea telefónica pueden ser objeto de petición del derecho de acceso. . EUSKALTEL trata datos personales de geolocalización. La Ley 25/2007 obliga a los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones, como EUSKALTEL, a conservar los datos necesarios para identificar la localización del equipo de comunicación móvil: “1.° La etiqueta de localización (identificador de celda) al inicio de la comunicación. 2.° Los datos que permiten fijar la localización geográfica de la celda, mediante referencia a la etiqueta de localización, durante el período en el que se conservan los datos de las comunicaciones”. La citada resolución desestimatoria del recurso devino firme en vía administrativa. No consta interposición de recurso contencioso-administrativo por parte de EUSKALTEL. TERCERO. Con fecha 21 de marzo de 2024, la parte reclamante presentó escrito ante la Agencia en el que aportaba los datos recibidos de EUSKALTEL en respuesta a su solicitud de acceso. Dichos datos consistían en los identificadores de celdas con las que se conectó su línea móvil, sin incluir otros datos de geolocalización solicitados. En vista de ello, la Agencia remitió a EUSKALTEL nuevos requerimientos de cumplimiento con fechas 26 de marzo, 10 de mayo y 1 de julio de 2024, todos ellos notificados fehacientemente, recordándole la obligación de atender el derecho de acceso o denegarlo motivadamente conforme a los términos establecidos en la resolución, sin reiterar argumentos previamente desestimados. En estos requerimientos la AEPD informó a EUSKALTEL que la información facilitada a la parte reclamante en ejecución de las resoluciones reseñadas no permitía considerar atendido el derecho de acceso a los datos de geolocalización de la línea telefónica móvil de la parte reclamante, además de que los datos proporcionados son de un período inferior al solicitado. Y se advertía que el incumplimiento de lo acordado en aquellas resoluciones puede ser constitutivo de una infracción tipificada en el artículo 83.6 del RGPD. Contra el requerimiento que le fue remitido en fecha 26 de marzo de 2024, EUSKALTEL presentó recurso de reposición que fue inadmitido mediante resolución de 24 de junio de 2024, en la que se consideró que aquel requerimiento d cumplimiento de la resolución tiene naturaleza de acto de trámite, por cuanto no decide sobre el fondo del asunto ni determina la imposibilidad de continuar el

3/23

procedimiento ni produce indefensión o perjuicio irreparable a derechos e intereses legítimo. Asimismo, se reiteró a EUSKALTEL la obligación de cumplir una resolución firme y ejecutiva, de acuerdo con los fundamentos que en ella se motivan, contra la que ya se permitió al recurrente discrepar dentro de los plazos de recurso pertinentes, que se resolvieron motivadamente por medio de la resolución del recurso de reposición reflejada en el hecho segundo. CUARTO. EUSKALTEL respondió a los citados requerimientos mediante escritos presentados los días 10 de abril, 30 de mayo y 15 de julio de 2024, en los que reiteraba que no trata datos de geolocalización distintos a los identificadores de celdas ya facilitados, y que no dispone de la localización geográfica de dichas celdas al no ser operador con red propia. Dichos argumentos ya fueron señalados en la tramitación del procedimiento de derechos. Asimismo, solicitó que se tuviera por atendido el derecho de acceso y que se declarase nulo el último requerimiento. Las respuestas no incluían una denegación motivada del derecho en los términos exigidos por la resolución firme ni atendían el derecho de acceso ejercitado por la parte reclamante en el sentido acordado por la AEPD en las resoluciones que constan reseñadas en los Hechos Probados Primero y Segundo.” TERCERO: La parte recurrente ha presentado en fecha 29 de octubre de 2025, en esta Agencia Española de Protección de Datos, recurso de reposición, fundamentándolo, básicamente, en los siguientes argumentos:

• Se reitera en las alegaciones previamente presentada.

• Inexistencia de una infracción del artículo 58 del RGPD, la cual resulta nula de pleno
  derecho por transgredir el artículo 47.1.c) de la LPACAP, que establece la nulidad de pleno derecho de los actos administrativos cuyo contenido sea imposible.

• Imposibilidad de facilitar el dato de geolocalización: EUSKALTEL no trata el dato y no
  puede categorizarse como responsable del tratamiento.

• La resolución resulta nula de pleno derecho, al imponer a EUSKALTEL una
  obligación de imposible cumplimiento.

• Subsidiariamente, de la afectación de los derechos de terceros y los riesgos
  asociados.

• Falta de proporcionalidad de la sanción impuesta.
  FUNDAMENTOS DE DERECHO I Competencia Es competente para resolver el presente recurso la Presidencia de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 123 de la LPACAP y el artículo 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo, LOPDGDD).

4/23

II Contestación a las alegaciones presentadas Con relación a las alegaciones efectuadas por la parte recurrente en el recurso, se procede a dar respuesta a las mismas según orden en el que se exponen en su escrito: . PRELIMINAR. “Reiteración de las alegaciones previamente presentadas.” Con carácter previo, EUSKALTEL se ratifica y da por reproducidas íntegramente las alegaciones y argumentaciones jurídicas presentadas en sus anteriores escritos, durante la instrucción del procedimiento que dio lugar a la resolución impugnada. Debe señalarse que todas las alegaciones presentadas por EUSKALTEL ya fueron suficientemente analizadas y desestimadas en los Fundamentos de Derecho II a VII de la Resolución recurrida, de fecha 25/09/2025, en la que se considera que la citada entidad incumplió lo dispuesto en el artículo 58.2 del RGPD y se detalla suficientemente la valoración de las pruebas que han permitido determinar dicho incumplimiento y el alcance otorgado al mismo, así como las circunstancias tenidas en cuenta para la graduación de la sanción impuesta. Dichos Fundamentos de Derecho se declaran reproducidos en el presente acto. “PRIMERO. Del cumplimiento de la resolución: inexistencia de una infracción del artículo 58 del RGPD.” EUSKALTEL reproduce en este apartado, casi literalmente, sus alegaciones a la propuesta de resolución, con las que pretende justificar que dio cumplimiento en sus justos términos a la resolución dictada en el procedimiento de derechos PD/00197/2023, al haber proporcionado al interesado los datos personales que eran objeto de tratamiento. En su escrito de recurso se limita a añadir que no dispone del inventario de antenas de su Operador Móvil de Red (OMR) y su posicionamiento, dado que dicha información no es necesaria para la prestación del servicio de comunicaciones móviles por parte del OMV, de tal modo que para facilitar los datos de localización de las celdas es necesario llevar a cabo un tratamiento ulterior de datos personales que la propia AEPD excluye del derecho de acceso cuando declara en la resolución impugnada que: “Estos datos pueden suministrarse según se presentan, siempre que resulten comprensibles para el interesado, si bien no es necesario reelaborarlos o someterlos aproceso alguno dirigido a elaborar coordenadas o facilitar datos de geolocalización”. Conviene aclarar que esta última cuestión es la base de la alegación referida en el apartado segundo siguiente.

5/23

A continuación, se rebaten los argumentos de EUSKALTEL en esta alegación: El razonamiento de EUSKALTEL parte de una premisa errónea, esta es, considerar que cualquier tipo de respuesta satisface el derecho de acceso. Como ya se dijo en la resolución recurrida, la información que se facilite en respuesta a una solicitud de ejercicio de este derecho debe ser completa con relación al alcance de la solicitud formulada por el interesado y actualizada lo más posible al estado del tratamiento de los datos en el momento de recibir la solicitud, debiendo facilitarse en todo caso de forma que tenga sentido para el interesado. El derecho de acceso solo se considera atendido cuando el responsable del tratamiento entrega la totalidad de los datos personales solicitados que conciernen al interesado, en un formato comprensible y conforme a la resolución de la autoridad. Por ello, que EUSKALTEL hubiera contestado en “tiempo y forma” carece de relevancia debido a que los datos entregados a la parte reclamante no cumplían con las exigencias del art. 15 del RGPD, al no incluir todos los datos personales solicitados. Esta Agencia ya advirtió tres veces a EUSKALTEL de esta insuficiencia, lo que evidencia la falta de cumplimiento de lo ordenado en la resolución dictada en el procedimiento de derechos señalado con el número PD/00197/2023. Respecto a la opción de que el ejercicio al derecho de acceso pueda ser denegado de forma motivada, cabe señalar que la resolución PD/00197/2023 permitía entregar los datos, o denegar motivadamente, pero conforme a la resolución. Esto no significa que cualquier denegación motivada sea aceptable, sino que el responsable del tratamiento debe responder con una motivación razonada y ajustada a Derecho, lo que no se produjo en este caso, de lo cual EUSKALTEL fue adecuadamente advertida por esta Agencia, siendo requerida hasta en tres ocasiones. Por otra parte, respecto al argumento relativo a la disponibilidad de los datos de geolocalización, debe señalarse que entre EUSKALTEL, en su condición de OMV, y

****EMPRESA.1, en su condición de OMR, existe una relación de responsable y*

encargado del tratamiento que obliga a este último a asistir al responsable en el cumplimiento de la obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III (artículo 28.3.e) del RGPD). En este sentido, el Comité Europeo de Protección de Datos (en adelante, CEPD), en cumplimiento del objetivo de garantizar la aplicación coherente del Reglamento General de Protección de Datos (según le atribuye el artículo 70 del RGPD) en las Directrices 07/2020, sobre los conceptos de «responsable del tratamiento» y «encargado del tratamiento» en el RGPD (en adelante, Directrices 07/2020), adoptadas el 7 de julio de 2021, señala que el responsable debe atender el ejercicio de derechos incluso cuando los datos se encuentren en manos de encargados. En las citadas Directrices 07/2020” se declara que El encargado asistirá al responsable para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados[artículo 28, apartado 3, letra e), del RGPD]”. El CEPD señala que: “130. Aunque

6/23

corresponde al responsable asegurar que se dé respuesta a las solicitudes de los interesados, el contrato debe incluir la obligación de asistencia del encargado «a través de medidas técnicas y organizativas apropiadas, siempre que sea posible». El tipo de asistencia puede variar en gran medida «teniendo en cuenta la naturaleza del tratamiento» y dependiendo del tipo de actividad encomendada al encargado. Los detalles sobre la asistencia que debe prestar el encargado deben incluirse en elcontrato o en un anexo al mismo.”. La condición de responsable se atribuye incluso a quienes no tienen acceso directo a los datos, pero influyen en su tratamiento o determinan sus fines o medios. Esta es la interpretación más acorde al RGPD, ya que no puede eludirse la responsabilidad en la atención de los derechos de los ciudadanos fragmentando el tratamiento entre dos entidades. Si EUSKALTEL (OMV) ofrece el servicio al cliente final, es responsable del tratamiento, aunque técnicamente subcontrate funciones al OMV (EMPRESA.1). El hecho de que EUSKALTEL no tenga acceso directo a los datos no le exime de garantizar el derecho de acceso ejercido por sus clientes, y por tanto debe coordinarse con el OMR (EMPRESA.1) para atender las solicitudes de ejercicio de derechos. Continúa EUSKALTEL afirmando que “los datos de geoposicionamiento de celda no son objeto de tratamiento en el marco de la prestación del servicio porquetécnicamente no son necesarios con ninguna finalidad ". Contrariamente a la idea sostenida por EUSKALTEL, el Grupo de trabajo sobre protección de datos establecido por el artículo 29 (en adelante, Grupo de trabajo del art. 29), antecedente del CEPD, en el Dictamen 13/2011, sobre los servicios de geolocalización en los dispositivos móviles inteligentes, adoptado el 16 de mayo de 2011, cuyo ámbito material incluye tanto los servicios de geolocalización como los datos de localización generados automáticamente por el dispositivo en su funcionamiento normal, en cuanto a los datos de redes de comunicaciones electrónicas a través de estaciones base, estableció lo siguiente: “Introducción […] El objetivo del presente dictamen es aclarar el marco jurídico aplicable a los servicios de geolocalización disponibles en dispositivos móviles inteligentes (o que son generados por éstos) […] 2.1 Datos procedentes de estaciones de base El área cubierta por los diferentes operadores de telecomunicaciones está dividida en partes que se conocen generalmente como «casillas». Para poder utilizar un teléfono móvil o conectarse a Internet mediante un dispositivo de comunicación 3G, el dispositivo móvil ha de conectarse a la antena (en lo sucesivo denominada «estación de base») que cubre dicha casilla. Las casillas tienen distintos tamaños en función de las interferencias que se producen, por ejemplo, con montañas y edificios altos.

7/23

Durante todo el tiempo en que un dispositivo móvil permanece encendido, está en conexión permanente con una determinada estación de base y el operador de telecomunicaciones lleva un registro continuo de estas conexiones. Cada estación de base tiene un número de identificación único y está registrada con una ubicación específica. Tanto el operador de telecomunicaciones como muchos dispositivos móviles son capaces de utilizar las señales de casillas (estaciones de base) solapadas para estimar la posición del dispositivo móvil con mayor precisión. Esta técnica también se denomina «triangulación». La precisión puede incrementarse con la ayuda de parámetros como la intensidad de señal recibida, la diferencia en el tiempo de llegada de la señal y el ángulo de entrada de la señal. Los datos de la estación de base pueden utilizarse en formas innovadoras, por ejemplo para detectar atascos de tráfico, ya que cada carretera presenta una velocidad media para cada hora del día, pero cuando la conmutación a la siguiente estación de base lleva más tiempo del esperado suele estarse en presencia de un embotellamiento. En suma, este método de posicionamiento da una idea rápida y general de la ubicación, pero no es muy preciso en comparación con los datos GPS y WiFi. La precisión es de aproximadamente 50 metros en las zonas urbanas densamente pobladas y de hasta varios kilómetros en las zonas rurales. […]

1. Marco jurídico
   El marco jurídico pertinente es la Directiva sobre protección de datos (95/46/CE), que se aplica en todos los casos de tratamiento de datos personales como resultado del tratamiento de datos de localización. La Directiva sobre la protección de la intimidad y las comunicaciones electrónicas (2002/58/CE, modificada por la Directiva 2009/136/CE) solo se aplica al tratamiento de datos de las estaciones de base por servicios y redes públicos de comunicación electrónica (operadores de telecomunicaciones). 4.1 Datos de estaciones de base tratados por operadores de telecomunicaciones Los operadores de telecomunicaciones procesan continuamente datos de las estaciones de base en el marco de la prestación de servicios públicos de comunicaciones electrónicas (…)

2. Puesto que los datos sobre ubicación derivados de las estaciones de base se
   refieren a una persona física identificada o identificable, estarán sujetos a las disposiciones sobre protección de datos personales establecidas en la Directiva 95/46/CE, de 24 de octubre de 1995.

3. La Directiva 2002/58/CE, de 12 de julio de 2002 (revisada en noviembre de 2009
   mediante la Directiva 2009/136/CE) es también aplicable, en virtud de la definición establecida en el artículo 2, letra c), de la misma: «'Datos de localización': cualquier dato tratado en una red de comunicaciones electrónicas o por un servicio de

8/23

comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público». […] 5.5 Derechos de los interesados Los interesados tendrán derecho a obtener de los distintos responsables del tratamiento acceso a los datos de localización que hayan recogido de sus dispositivos móviles inteligentes, así como información sobre los fines del tratamiento y de los destinatarios o categorías de destinatarios a quienes se comuniquen los datos. La información deberá proporcionarse en un formato legible por personas, es decir, mediante puntos geográficos, en vez de mediante números abstractos como, porejemplo, los relativos a estaciones de base.” (el subrayado es nuestro) Por lo tanto, este dictamen en su punto 2 recoge exactamente el caso ante el que nos encontramos, reconoce expresamente que los datos de localización derivados de estaciones base forman parte del derecho de acceso y que la mera entrega de los identificadores de celda no satisface el derecho del usuario, pues este tiene derecho a conocer la localización geográfica asociada, desvirtuando la idea de EUSKALTEL de que la entrega del identificador de celda basta para atender el derecho de acceso, ya que este no es un formato legible o entendible por las personas. Además, el hecho de que la información de geolocalización del cliente de EUSKALTEL no esté, en su caso, en su poder con anterioridad a la solicitud de ejercicio del derecho de acceso, no significa que se trate de “nuevos datos”, ya que estos datos se generan con ocasión de la prestación del servicio de EUSKALTEL a la parte reclamante. La falta de tratamiento del dato de geolocalización en el proceso de la conexión del terminal de un usuario a una celda, no impide que el dato de geolocalización de las celdas sea utilizado por el OMR para la prestación del servicio y forme parte de su sistema, por lo que la determinación de la geolocalización del usuario, mediante la combinación de los identificadores de celda y la geolocalización de las antenas de red, no constituye ni la obtención ni la recopilación de datos nuevos por el responsable del tratamiento. Si el OMR (***EMPRESA.1) tiene asociada una identificación de celda a una ubicación geográfica de la celda, y esa información forma parte del tratamiento que conlleva la prestación del servicio, este dato ya generado para la prestación del servicio debe ser facilitado al interesado. No se trata de crear nueva información, sino de proporcionar los datos tratados en el contexto normal de la actividad. Cabe aclarar que este planteamiento no es contrario a lo indicado por esta AEPD en el párrafo de la resolución recurrida citado por EUSKALTEL “Estos datos pueden suministrarse según se presentan, siempre que resulten comprensibles para el interesado, si bien no es necesario reelaborar o someterlos a proceso alguno dirigidoa elaborar coordenadas o facilitar datos de geolocalización”. Según se ha indicado, en el presente caso no es necesario reelaborar los datos o someterlos a proceso alguno. La geolocalización de la celda no constituye un dato nuevo, ni un dato que haya que

9/23

crear “ad hoc”, sino un dato ya existente dentro del tratamiento y que, por ello, queda dentro del derecho de acceso a los datos personales. Un identificador de celda es un código técnico único que permite distinguir cada una de las celdas radioeléctricas que conforman la red móvil de un operador. Cada celda está asociada a un equipo físico de red, normalmente integrado dentro de una estación base (o eNodeB en 4G), que es el conjunto de antenas, unidades de banda base y enlaces que proporcionan cobertura en un área determinada. Así, el identificador de celda no contiene por sí mismo información geográfica, sino que actúa únicamente como una etiqueta lógica que referencia a una celda gestionada por una estación base concreta dentro de la red del operador. La asociación entre ese identificador y la ubicación física de la estación base, pese a no formar parte del proceso técnico de la conexión del dispositivo con la celda, sí es utilizado para la prestación del servicio y reside en bases de datos internas del inventario de la red del operador, en este caso el OMR. Conforme a las Directrices 01/2022 del CEPD, sobre los derechos de los interesados - Derecho de acceso (en adelante, Directrices 01/2022), adoptadas el 28 de marzo de 2023, lo determinante no es que el dato proceda de una actividad concreta, sino si dicho dato es tratado por el responsable porque forma parte de su sistema y permite obtener información significativa relativa a la persona física, lo cual se produce en el caso respecto de los datos derivados la localización del identificador de la celda. En el apartado 125 de las Directrices 01/2022 se dice lo siguiente: “Los interesados deben tener acceso a toda la información que el responsable del tratamiento trate sobre ellos. Esto significa, por ejemplo, que el responsable del tratamiento está obligado a buscar datos personales a través de sus sistemas informáticos y de sus ficheros no informáticos. Al llevar a cabo dicha búsqueda, el responsable del tratamiento debe utilizar la información disponible en la organización relativa al interesado que probablemente dará lugar a coincidencias en los sistemas, dependiendo de cómo esté estructurada la información. Por ejemplo, si la información está clasificada en archivos en función del nombre o de un número de referencia, la búsqueda podría limitarse a estos factores. Sin embargo, si la estructura de los datos depende de otros factores, como las relaciones familiares o los títulos profesionales o cualquier tipo de identificadores directos o indirectos (por ejemplo, número de cliente, nombre de usuario o direcciones IP), la búsqueda debe ampliarse para incluirlos, siempre que el responsable del tratamiento también conserve esta información relacionada con el interesado, o sea facilitada por el interesado. Lo mismo se aplica cuando es probable que los registros relativos a terceros contengan datos personales relativos al interesado. No obstante, el responsable del tratamiento no podrá exigir al interesado que facilite más información de la necesaria para su identificación. Si un responsable utiliza un encargado para sus actividades de tratamiento de datos, la búsqueda debe ampliarse naturalmente para incluir también los datos personalestratados por el encargado” (el subrayado es nuestro). El OMR dispone de la información relativa a la geolocalización del identificador de celda sin necesidad de adoptar medidas adicionales complejas, lo que encaja perfectamente en el alcance del derecho de acceso tal como se establece en las Directrices, y como estableció el Grupo de Trabajo del art. 29 en su Dictamen 13/2011. La localización geográfica del identificador de celda es una información contenida en

10/23

los sistemas internos de inventario del operador, la cual resulta necesaria para completar y hacer comprensible un dato personal ya tratado, como es el identificador de celda. Sobre la disponibilidad de los datos de geolocalización de las líneas móviles por parte de EUSKATEL, interesa destacar lo que esta entidad manifestó a la AEPD mediante escrito de 14/03/2022, con ocasión del trámite de traslado de la reclamación que dio lugar al procedimiento de derechos que está en el origen de las presentes actuaciones, el reiterado PD/00197/2023: “Euskaltel, como operadora móvil virtual, trata los datos de geolocalización de las líneas móviles a las que presta servicio para dos tratamientos, como se recoge tanto en el Registro de Actividades del Tratamiento como en la Política de Privacidad que se informa a todos nuestros clientes tanto en el contrato de servicios como en la información de Política de Privacidad de nuestra web:

• Para la realización de perfiles con fines de mercadotecnia directa en base al
  consentimiento.

• Para el cumplimiento de la Ley 25/2007 de conservación de datos por obligación
  legal. Don… (el reclamante) no ha prestado el consentimiento para el tratamiento de datos de geolocalización para la realización de perfiles con fines de mercadotecnia directa, por lo que Euskaltel no ha tratado estos datos y no puede darle acceso a unos datos que no tiene. Los únicos datos de geolocalización tratados por Euskaltel de D… (el reclamante) se refieren a las obligaciones de la ley 25/2007 de Conservación de Datos”. Ello confirma que EUSKALTEL tiene acceso y dispone de los datos de geolocalización de las líneas móviles. Como conclusión, EUSKALTEL no atendió el derecho de acceso porque:

1. No entregó todos los datos personales solicitados.

2. Negó indebidamente el acceso a datos personales de localización que sí son
   tratados en el marco de la prestación del servicio.

3. Invocó erróneamente que no dispone de la información para evitar su obligación de
   obtenerla del OMR. 4 Proporcionó una “denegación motivada” que no se ajusta al Derecho ni a la resolución dictada en el procedimiento PD/00197/2023.

4. Incumplió reiteradamente las órdenes de la AEPD, lo que justifica la sanción.

5. La localización del identificador de celda es una información existente en el sistema
   del OMR, la cual debe ser facilitada con objeto de atender el ejercicio del derecho de acceso conforme el art. 15 del RGPD y las Directrices 01/2002 del CEPD, y el Dictamen del 13/2011 del Grupo de Trabajo del Art. 29.

11/23

“SEGUNDA.- De la imposibilidad de facilitar el dato de geolocalización: EUSKALTEL no trata el dato y no puede categorizarse como responsable del tratamiento”. En esta alegación EUSKALTEL se propone aclarar varias cuestiones de la resolución recurrida que se han valorado de forma sesgada o son incorrectas. Además de reiterar sus alegaciones sobre la inexistencia de una relación de responsable-encargado respecto de los datos controvertidos y sobre única base legal que justifica la correlación entre el dato de la identificación de celda y su posicionamiento, establecida en la Ley 25/2007, EUSKALTEL articula esta alegación segunda en base a las dos afirmaciones siguientes: . El tratamiento de los datos de geoposicionamiento de celda no es necesario para prestar el servicio de telecomunicaciones. . La identificación de celda y su posicionamiento requiere un tratamiento ulterior por parte del OMR. Considera que la AEPD comete graves errores técnicos. A este respecto, explica el proceso de registro en red de un terminal móvil, el inicio de la comunicación y el proceso de handover para concluir que en ninguno de esos momentos se produce una consulta a una base de datos central de inventario de antenas y, mucho menos, un tratamiento del dato de localización de las mismas; ni consulta de datos de localización de eNodos de la red. Y añade que toda la información utilizada se obtiene de los datos capturados por el terminal móvil de los canales de señalización que las antenas emiten, sin que la celda se decida en ningún caso en base a los datos estáticos de localización. Entiende por ello EUSKALTEL que los datos de posicionamiento de las antenas no forman parte del tratamiento de datos necesario para la prestación del servicio de telecomunicaciones ni forman parte de la infraestructura, como se desprende de los estándares internacionales que regulan las especificaciones técnicas 4G y 3G. Por otra parte, según EUSKALTEL, la conciliación entre etiquetas y datos de posicionamiento de las antenas no se hace respecto de todas las comunicaciones ni en tiempo real, sino solo respecto de aquellas para las que exista un requerimiento de las Fuerzas y Cuerpos de Seguridad del Estado para la investigación de delitos graves, previo mandamiento judicial, conforme la Ley 25/2007; por ello la atención de cualquier derecho de acceso por un interesado cuyos datos no hubieran sido objeto de requerimiento como el indicado, implica un procesamiento de datos ad hoc, el cual, en palabras de esta Agencia en el Fundamento de Derecho II de la Resolución impugnada, no es necesario y además no contaría con base de legitimación. Lo que exige la AEPD, según EUSKALTE, es llevar a cabo un tratamiento ulterior de datos personales únicamente para atender un derecho de acceso mediante el cruce de los datos efectivamente objeto de tratamiento por el OMV (ya facilitados al interesado por orden de esta Agencia) con los datos de inventario del OMR; cruce que no se ha llevado a cabo en ningún momento, ni es necesario para prestar el servicio al cliente, sino que se tendría que llevar a cabo ad hoc. A continuación, se pasa a dar respuesta a esta alegación, tratando de no ser reiterativo en la respuesta ante los argumentos del apartado anterior repetidos aquí

12/23

por EUSKALTEL.

1. Sobre los errores técnicos en la resolución de la AEPD El dato de geolocalización existe objetivamente desde que se genera la comunicación, con independencia de quién lo procese o con qué finalidad. EUSKALTEL niega el carácter de dato personal al identificador de celda generado por la conexión del dispositivo de la parte reclamante. Sin embargo, el propio identificador de celda relacionado con el terminal de la parte reclamante constituye un dato personal, es decir, los datos de localización vinculados al inicio y al final de una comunicación se generan necesariamente como consecuencia directa del funcionamiento de las redes móviles. En la sentencia del TJUE Tele2 Sverige / Watson (C-203/15 y C-698/15) hay varios párrafos que permiten concluir que los datos de geolocalización, incluida la localización de la celda, existen desde el mismo momento en que se genera la comunicación, porque el operador está obligado a conservar los datos “generados o tratados” en relación con la comunicación, entre ellos los de localización al inicio y al final. De este modo, el apartado 17 de la citada sentencia dispone: “[…] La obligación de conservación de datos se refiere a los datos generados o tratados en relación con servicios telefónicos, servicios telefónicos a través de un punto de conexión móvil, sistemas de mensajería electrónica, servicios de acceso a Internet y servicios de prestación de capacidad de acceso a Internet (modo de conexión). Esta obligación incluye igualmente los datos relativos a las comunicacionesinfructuosas. No se refiere, en cambio, al contenido de las comunicaciones.” (el subrayado es nuestro) Esta referencia explícita confirma que, jurídicamente, la localización asociada a una celda, esto es, el vínculo entre el identificador técnico de la celda y su emplazamiento físico, existe desde el primer instante en que se produce la comunicación, y no como resultado de un tratamiento posterior. La afirmación de que no existe tratamiento alguno de dicha información a efectos del RGPD no solo contradice la doctrina del TJUE, sino que supone limitar artificialmente el alcance del derecho de acceso, que exige proporcionar todos los datos personales que conciernen al interesado y que resultan del tratamiento, incluidas las correlaciones internas necesarias para comprender el significado de los datos entregados. Por tanto, facilitar los datos de geolocalización de una celda no constituye un tratamiento “nuevo”, sino la puesta a disposición de un dato personal que ya forma parte del ecosistema técnico del tratamiento: la celda no puede existir sin una ubicación física concreta, y el operador de red no puede gestionar la comunicación sin conocer esa ubicación. Esta información no exige reelaboraciones adicionales, por lo que no cabe entender que este dato no existe mientras no se traduzca a coordenadas. Además, el responsable del tratamiento debe garantizar al interesado el acceso a

13/23

todos los datos personales que se generan en el marco del servicio, incluso si parte del tratamiento la ejecuta un encargado, conforme al art. artículo 28, apartado 3, letra e), del RGPD, las Directrices del CEPD (07/2020 y 01/2022). El hecho de que el OMR también realice la correlación “por obligación legal” no excluye su condición de encargado ni limita el derecho de acceso. No se puede confundir la finalidad por la que se conserva el dato con la existencia del mismo. Que el OMR solo utilice habitualmente la correlación celda y geolocalización para fines de la Ley 25/2007 no significa que el dato no exista y que esté siendo tratado, y aún menos que dicho dato no pueda ser solicitado al encargado por el responsable para atender el ejercicio del derecho de acceso por el interesado. El RGPD no exige que el dato sea tratado con la finalidad concreta del derecho de acceso; exige que sea un dato personal objeto de tratamiento, y la localización de la celda sí lo es, como se ha justificado. Que el OMR procese la correlación para fines legales distintos no elimina su condición de encargado en la prestación del servicio de telecomunicaciones ni la obligación del OMV de garantizar el acceso a los datos personales generados en ese servicio. Por todo lo expuesto, puede comprobarse que los reproches técnicos que EUSKALTEL realiza respecto a la resolución recurrida no desvirtúan la motivación principal de esta resolución. Además, cabe realizar las siguientes precisiones sobre la corrección a la que se refiere EUSKALTEL, en la que afirma que la geolocalización de antenas no se usa para prestar el servicio y que el sistema no consulta inventarios de antenas para registrar o cursar comunicaciones. EUSKALTEL combina el proceso técnico de conexión del terminal de la parte reclamante con la celda (estación base) con los datos que genera y conserva la red como parte de la prestación del servicio. Confunde el hecho de que no se usen coordenadas en tiempo real para seleccionar celdas con que la red no trata datos de geolocalización. EUSKALTEL intenta centrar el debate en la selección de celda por el terminal, pero eso es irrelevante, ya que el tratamiento de datos personales no se limita a este momento, sino a todos los sistemas implicados en la prestación del servicio. El identificador de celda sólo tiene sentido porque se asocia a una antena concreta del inventario. Cualquier operador mantiene un inventario de celdas con su latitud/longitud, siendo necesario para diversos aspectos de la prestación del servicio, por lo que es falso decir que “esa información no se trata”. Es irrelevante que no exista una consulta directa o dinámica a una base de datos central de inventario durante cada sesión o handover. El dato de inventario de antenas integradas en las estaciones base forma parte estructural del sistema de comunicaciones del OMR, y es imprescindible para el funcionamiento técnico del servicio debido a que:

1. El identificador de celda está configurado de forma estática en el eNode, tal como EUSKALTEL refiere en sus alegaciones, y su correspondencia con una antena física

14/23

concreta está determinada en el inventario técnico de red de la operadora. Por tanto, aunque el sistema no “consulte” cada vez el inventario, se apoya necesariamente en los datos previamente definidos en ese inventario para poder establecer la comunicación.

1. Sin ese inventario, el sistema no podría interpretar qué identificador de celda
   corresponde a qué celda ni cómo enrutar correctamente las comunicaciones ni coordinar handovers. En otras palabras: el inventario no tiene por qué ser consultado en tiempo real para formar parte del tratamiento de datos necesario. Basta con que los identificadores se generen, asignen y mantengan a partir de esa base de datos técnica, lo cual constituye tratamiento en el sentido del artículo 4.2 RGPD. Por tanto, a diferencia de lo sostenido por EUSKALTEL, la correlación entre el dato de la identificación de la celda y su posicionamiento existe en su sistema con ocasión del tratamiento originario que realiza el operador para prestar el servicio. EUSKALTEL confunde el tratamiento con fines de investigación penal (Ley 25/2007) con el tratamiento originario que realiza el OMR para prestar el servicio. Los datos (los identificadores de celda) se tratan inicialmente para la prestación del servicio (necesidad técnica), siendo la geolocalización un dato relacionado con el identificador de celda. Lo importante en este caso no es que el OMR, con anterioridad a la solicitud de ejercicio del derecho, haya almacenado en una base la vinculación del identificador de celda junto con su geolocalización, lo fundamental es que el identificador de celda relativo a las comunicaciones de la parte reclamante ya constituyen un dato personal, con independencia que esa misma información (identificador de celda y su geolocalización) puede posteriormente utilizarse para otras finalidades legítimas, como atender los requerimientos basados en la Ley 25/2007. El tratamiento para prestar el servicio y el tratamiento ulterior para fines legales son distintos en finalidad, pero comparten la misma base de datos técnica. Negar la existencia del primero es incompatible con el propio funcionamiento de la red móvil. Por todo lo anterior, se confirma que la motivación jurídica de la resolución recurrida por EUSKALTEL se dictó conforme al marco jurídico vigente y a la interpretación que tanto el TJUE como el CEPD han realizado sobre la materia, debiendo rechazarse la concurrencia de la causa de nulidad del art. 47.1.c) de la LAPACA a la que se refiere EUSKALTEL.

2. En cuanto a la relación entre OMV y OMR
   EUSKALTEL considera que esta Agencia ha concluido sin argumentos sólidos, que la relación OMV y OMR siempre es, y con carácter general y absoluto, una relación entre Responsable del tratamiento y Encargado del tratamiento, y que esta relación decae en lo relativo al tratamiento de datos personales derivado del cumplimiento de la Ley 25/2007, consistente en la atención de los requerimientos de agentes facultados. Para demostrarlo aporta un contrato firmado entre EUSKALTEL y el OMR, según el cual, a efectos del cumplimiento de las obligaciones de la Ley 25/2007 ambos operadores, OMV y OMR ejercen como responsables independientes.

15/23

Como respuesta a este argumento, en primer lugar, cabe traer a colación lo dispuesto en las Directrices 07/2020 del CEPD, en las que se afirma que “12. Los conceptos de «responsable del tratamiento» y «encargado del tratamiento» son conceptos funcionales: su objetivo es asignar responsabilidades en función del papel real de cada parte. Esto implica que la condición jurídica de «responsable del tratamiento» o «encargado del tratamiento» de los participantes debe establecerse en principio en virtud de sus actividades concretas en una situación determinada y no en función de la designación formal de un participante como «responsable del tratamiento» o«encargado del tratamiento» (p. ej., en un contrato)” (el subrayado es nuestro). Así, aunque el contrato entre EUSKALTEL y el OMR pretenda presentar el tratamiento de datos de localización como responsabilidad exclusiva de este último, ello no excluye que tales datos formen parte de la cadena de tratamiento generada en la prestación del servicio al cliente del OMV, ni libera al OMV de su obligación de garantizar el ejercicio del derecho de acceso respecto de los datos que conciernen a su abonado, según lo exige el art. 15 del RGPD. Como ya se motivó en la respuesta a la alegación anterior, la pretensión de EUSKALTEL de fundamentar la inexistencia de responsabilidad sobre los datos de geolocalización en la redacción de su contrato con el OMR carece de sustento jurídico. La calificación de responsable y encargado del tratamiento no depende de cómo las partes denominen contractualmente su relación, sino de la realidad efectiva del tratamiento y del control que cada entidad ejerce sobre los fines y medios. EUSKALTEL sí determina los fines del tratamiento del servicio móvil, para lo cual el OMR actúa ejecutando medios técnicos, lo que encaja exactamente con el modelo responsable–encargado. No puede confundirse lo que ocurre durante el proceso técnico radio con los metadatos que genera y conserva la red como parte de la operación del servicio. En cuanto al cumplimiento de lo dispuesto en la Ley 25/2007, a diferencia de la interpretación que hace EUSKALTEL, esta norma no prohíbe la comunicación OMV y OMR, y no convierte esa información en “ilegal” para un derecho de acceso. Lo que la Ley 25/2007 limita es la comunicación de datos personales de los ciudadanos a terceros, restringiendo el acceso a agentes facultados previa autorización judicial, no la comunicación interna entre OMV y OMR necesaria para cumplir otros deberes legales, incluidos los establecidos en el RGPD. El OMR debe entregar al OMV los datos personales del cliente si ello es necesario para cumplir el RGPD, siempre que, como en este caso, exista relación responsable–encargado, de acuerdo con lo previsto en el art. 28 del RGPD. No se trata de una cesión de datos, sino un tratamiento necesario en base al art. 6.1.b) del RGPD En cuanto a que esta Agencia exige un “tratamiento ulterior de datos personales únicamente para atender un derecho de acceso mediante el cruce de los datos”, de la jurisprudencia del TJUE y las directrices del CEPD anteriormente expuesta se determina que lo fundamental es que el dato personal (el identificador de celda), se genera con la comunicación y que, aunque la información de la geolocalización no se trate en el instante de la conexión entre el terminal de la parte reclamante y la celda de la estación base,esto no es obstáculo para que se facilite al interesado, en primer lugar, porque el dato de la geolocalización sí es existe en el sistema del operador y es

16/23

necesario para prestar el servicio, y, en segundo término, porque el dato facilitado al ciudadano debe ser en un formato legible, según el criterio establecido por el CEPD (en su formación del Grupo de Trabajo del Artículo 29): “(…) La información deberá proporcionarse en un formato legible por personas, es decir, mediante puntos geográficos, en vez de mediante números abstractos como, por ejemplo, los relativosa estaciones de base.” (el subrayado es nuestro). Este principio (“formato legible”) es aplicable a cualquier información que se facilite a los ciudadanos, conforme a lo dispuesto en el art. 12 del RGPD, cuando dispone que la información que se facilite al interesado debe ser “en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo” (el subrayado es nuestro). En conclusión:

1. El cumplimiento de los requerimientos basados en la Ley 25/2007 no es
   incompatible con atender el derecho de acceso recogido en el RGPD.

2. EUSKALTEL, como responsable de tratamiento, con objeto de atender una solicitud
   de ejercicio de derecho de acceso, tiene la obligación de obtener los datos del OMR, y este de facilitarlos, sin que los roles responsable-encargado puedan variarse por lo establecido en un contrato.

3. EUSKALTEL debe facilitar los datos a la parte reclamante en una forma que sea
   inteligible.

“TERCERA. La resolución de la agencia resulta nula de pleno derecho, al imponer a EUSKALTEL una obligación de imposible cumplimiento”. En este alegato, EUSKALTEL reproduce casi literalmente sus alegaciones a la propuesta de resolución, que fueron suficientemente respondidas en la resolución recurrida, a cuyos argumentos cabe remitirse nuevamente en el presente acto. No obstante, se estima oportuno reiterar lo siguiente: EUSKALTEL alude a la sentencia de 8 de abril de 2014 del TJUE, en la cual se establece la exigencia de que los datos se conserven en virtud de la Ley 25/2007 cuando puedan guardar relación con delitos graves, que no se puedan conservar datos que carezcan de relación con dicha finalidad y la necesidad de que se limiten estrictamente las competencias y potestades de las autoridades nacionales competentes para acceder a los datos y para tratarlos posteriormente con fines de prevención, detección o enjuiciamiento de delitos. Por todo ello considera EUSKALTEL que la resolución recurrida le impone una obligación de imposible cumplimiento. Pues bien, no existe contenido imposible: EUSKALTEL está obligado a obtener del OMR los datos necesarios para atender el derecho de acceso. La alegación de EUSKALTEL parte de una premisa incorrecta: que solo sería responsable de los datos de geolocalización si los tratara directamente o si la correlación celda-ubicación se generara con motivo de la prestación del servicio. Pero esta idea es contraria al art. 15 RGPD y las Directrices 1/2022 del CEPD, en cuyo apartado 125 se dice lo siguiente:

17/23

“(…) Si un responsable utiliza un encargado para sus actividades de tratamiento de datos, la búsqueda debe ampliarse naturalmente para incluir también los datos personales tratados por el encargado.” Así, un responsable no puede excusarse en que determinados datos se encuentren físicamente en manos de un encargado. Por tanto, aun cuando la correlación entre el identificador de celda y su ubicación se encuentre en el sistema del OMR, EUSKALTEL es responsable de atender el acceso a todos los datos que conciernen al interesado y que forman parte del tratamiento conjunto necesario para prestar el servicio. Por otro lado, la Ley 25/2007 no impide que el OMR proporcione los datos al OMV para atender un derecho de acceso. EUSKALTEL opone el régimen de conservación y acceso penal con el régimen establecido por el RGPD de acceso a datos personales. Sin embargo, la Ley 25/2007 regula únicamente la conservación y acceso por autoridades facultadas para la persecución de delitos graves. No regula ni limita el ejercicio de derechos en materia de protección de datos. Decir que la Ley 25/2007 “bloquea” la entrega de datos al OMV es erróneo por tres razones:

1. La Ley 25/2007 regula el acceso por las Fuerzas de Seguridad, no el acceso
   por el interesado a sus propios datos personales establecido en el art. 15 RGPD.

2. No se produce una cesión ilícita de datos personales del OMR al OMV,
   considerando la relación responsable-encargado que los vincula y el art. 28 RGPD.

3. La Directiva ePrivacy no prohíbe la comunicación entre responsables y
   encargados necesaria para cumplir el RGPD. Lo que esta Directiva prohíbe son las comunicaciones de los datos personales de las comunicaciones electrónicas de los clientes de las operadoras a terceros sin base jurídica, pero no la transferencia entre responsable y encargado para dar cumplimiento a un derecho fundamental del titular. En conclusión, el argumento de EUSKALTEL, según el cual la resolución sería nula por imponer una obligación imposible, carece de justificación. El derecho de acceso exige que el responsable proporcione todos los datos personales que conciernan al interesado, incluidos los tratados por el OMR en el marco de la prestación del servicio. Los datos existen, son personales, están incluidos en el tratamiento y su obtención no supone infringir la Ley 25/2007.

“CUARTA. - Subsidiariamente, de la afectación de los derechos de terceros y los riesgos asociados”. Nuevamente insiste EUSKALTEL en los mismos argumentos que ya planteó con ocasión de sus alegaciones a la propuesta de resolución, especialmente en relación

18/23

con los riesgos que la información controvertida puede suponer para terceros, ante la imposibilidad de discernimiento de quién es el usuario de la línea respecto de la que se ejercita el derecho de acceso. Y añade que entregar dicha información entrañaría graves riesgos para la seguridad nacional (al revelar ubicaciones de infraestructuras críticas) y para los derechos y libertades de terceros (por ejemplo, posibles usuarios distintos del titular, víctimas de violencia de género, menores, etc.). Argumenta que exigir el acceso implicaría romper el régimen de garantías de la Ley 25/2007 —que solo permite el acceso judicial para fines penales—, que la Agencia estaría asumiendo sin prueba que el solicitante es el único usuario de la línea, y que obligar a proporcionar la geolocalización colocaría a los operadores ante riesgos jurídicos inasumibles, vulneraría derechos de terceros y constituiría una obligación de imposible cumplimiento en los términos del artículo 47.1.c) LPACAP. Estas alegaciones fueron suficientemente respondidas en la resolución impugnada, cuyos argumentos se reproducen a continuación: <<

 Riesgos para infraestructuras críticas

EUSKALTEL plantea una situación que no se corresponde con el presente caso, ya queel derecho de acceso se concede a un único interesado. Este acceso individual no altera la seguridad de la red. La Ley 8/2011, que protege las infraestructuras críticas, no restringe los derechos fundamentales derivados del RGPD. Dicha norma está destinada a prevenir ataques deliberados y amenazas contra servicios esenciales, no a impedir a los ciudadanos el ejercicio de sus derechos sobre sus propios datos personales. De conformidad con el art. 23.1 RGPD, para restringir el derecho de acceso debe realizarse mediante una ley específica, con garantías adecuadas y proporcionadas, y no de forma genérica o preventiva. En España no existe actualmente una norma que restrinja expresamente el derecho de acceso a datos personales basándose en la protección de infraestructuras críticas en el sentido que plantea EUSKALTEL. Además, la localización de antenas no es secreta; algunos portales públicos muestran esta información (por ejemplo, https://geoportal.minetur.gob.es/VCTEL/vcne.do).

 Afectación de derechos y libertades de terceros

El artículo 15.4 del RGPD establece una limitación específica del derecho de acceso, que obliga a los responsables, al conceder dicho derecho, a tener en cuenta los posibles efectos negativos sobre los derechos y libertades de otros, incluidos los responsable o encargados del tratamiento. Establece este artículo lo siguiente: “4. El derecho a obtener copia mencionado en el apartado 3 no afectará negativamente a los derechos y libertades de otros”. En este sentido, el derecho a la protección de datos personales de otros interesados es un derecho que puede considerarse afectado por el artículo 15.4 del RGPD y que

19/23

obliga a delimitar esta limitación. En definitiva, esta limitación obliga al responsable a comprobar cuidadosamente a qué partes de la información se refiere esta limitación y facilitar toda la información que no esté afectada por ella, sin olvidar la previa y correcta identificación del titular de los datos de modo que permita asegurar plenamente que los datos personales objeto del derecho de acceso se facilitan a su verdadero titular. A este respecto, las Directrices 01/2022, sobre los derechos de los interesados - Derecho de acceso, adoptada el 28 de marzo de 2023, señalan: “58. Con el fin de garantizar la seguridad del tratamiento y minimizar el riesgo de divulgación no autorizada de datos personales, el responsable del tratamiento debe poder averiguar qué datos se refieren al interesado (identificación) y confirmar la identidad de dicha persona (autenticación).

1. Cabe recordar que, en situaciones en las que los fines para los que se tratan los
   datos personales no requieren o ya no requieren la identificación de un interesado, el responsable del tratamiento no necesita mantener la identificación con el único fin de respetar los derechos de los interesados, también a la luz del principio de minimización de los datos. Estas situaciones se abordan en el artículo 11, apartado 1, del RGPD.

2. El artículo 12, apartado 2, del RGPD establece que el responsable del tratamiento
   no se negará a actuar a petición del interesado con el fin de ejercer sus derechos, a menos que trate datos personales para un fin que no requiera la identificación del interesado y demuestre que no está en condiciones de identificarlo. En tales circunstancias, el interesado puede, no obstante, decidir facilitar información adicional que permita esta identificación (artículo 11, apartado 2, del RGPD)29.

3. El responsable del tratamiento no está obligado a obtener dicha información
   adicional para identificar al interesado con el único fin de satisfacer la solicitud del interesado, también a la luz del principio de minimización de los datos. Sin embargo, no debe negarse a recibir esa información adicional facilitada por el interesado a fin de respaldarle en el ejercicio de sus derechos (Considerando 57 del RGPD)”. Asimismo, según el CEPD, debe tenerse en cuenta que el derecho de acceso no debe considerarse de forma aislada, ya que está estrechamente relacionado con otras disposiciones del RGPD, en particular con los principios de la protección de datos, incluidos el de responsabilidad proactiva regulado en el artículo 5.2 del RGPD, que obliga al responsable a estar en condiciones de poder demostrar que ha respetado las normas aplicables, y la minimización de datos a la hora de identificar al interesado, que no puede conllevar un tratamiento de datos desproporcionado. Por otra parte, el CEPD ha interpretado que el respeto a os derechos y libertades de otros debe responder a riesgos reales y concretos. Sobre esta concreta cuestión, en las mencionadas Directrices 01/2022 se declara lo siguiente: “172. La preocupación general de que los derechos y libertades de terceros puedan verse afectados por el cumplimiento de la solicitud de acceso no basta para invocar el artículo 15, apartado 4, del RGPD. El responsable del tratamiento debe poder demostrar que, en la situación concreta, los derechos o libertades de terceros se verían afectados de hecho”.

20/23

“174. Si los responsables del tratamiento se niegan a responder a una solicitud de derecho de acceso total o parcial con arreglo al artículo 15, apartado 4, del RGPD, deben informar al interesado de los motivos sin dilación y, a más tardar, en el plazo de un mes (artículo 12, apartado 4, del RGPD). La exposición de motivos debe hacer referencia a las circunstancias concretas para que los interesados puedan evaluar si desean tomar medidas contra la denegación. Debe incluir información sobre la posibilidad de presentar una reclamación ante una autoridad de control (artículo 77 del RGPD) y de obtener tutela judicial efectiva (artículo 79 del RGPD)”. EUSKALTEL considera que existe un sustancial y considerable riesgo para los derechos y libertades de terceros. Sin embargo, EUSKALTEL no ha demostrado en ningún momento que los derechos o libertades de otros queden afectados por proporcionar a la parte reclamante los datos de localización solicitados. La parte reclamante sostiene que es el usuario de la línea telefónica y ha ejercido el derecho sobre su propia información, no habiendo constancia de que la parte reclamante no sea efectivamente el usuario exclusivo de la línea, ni se ha demostrado algún riesgo concreto para otros. Si EUKALTEL hubiese tenido dudas razonables sobre la identidad del solicitante como usuario efectivo, pudo solicitar aclaraciones o pruebas, conforme a lo previsto en el artículo 12.6 RGPD: “Sin perjuicio de lo dispuesto en el artículo 11, cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud a que se refieren los artículos 15 a 21, podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado”, pero no puede negar el derecho con carácter general. A este respecto, en razón al principio de minimización del artículo 5.1.c) del RGPD, si EUSKALTEL considerara que, para asegurar la condición de interesado y usuario efectivo por el solicitante del acceso, se debe realizar una investigación o tratamiento de datos que juzgue desproporcionado, así habría de justificarlo al denegar el acceso solicitado, siempre de manera motivada y a partir de la información de la que dispone en el caso concreto. Tampoco las respuestas efectuadas por dicha entidad para atender lo acordado por esta Agencia en la resolución del procedimiento de derechos que ordenó la atención del derecho de acceso del reclamante, o para atender los diversos requerimientos cursados instando la ejecución de aquel acuerdo, han planteado ninguna cuestión respecto de la posibilidad o imposibilidad de identificar al titular de los datospersonales objeto del derecho de acceso>>. Cabe añadir, respecto de la especial protección sobre los datos de localización y su valor probatorio, lo siguiente: EUSKALTEL señala que existe un conjunto de riesgos y aspectos que deben ser valorados por esta Agencia, como el hecho de que un titular de la línea con finalidades espurias podría tener acceso a datos sobre sus usuarios al mismo nivel que los Agentes Facultados en el transcurso una investigación criminal, conforme a la Ley 25/2007. Asimismo, entiende que el artículo 23 del RGPD establece unos límites al derecho de acceso por diversos motivos, entre otros, de seguridad pública. Además,

21/23

cita la Ley 11/2022, de 28 de junio, General de Telecomunicaciones, en que se establece que la regla general es que los datos de tráfico se hagan anónimos o se cancelen cuando ya no sean necesarios a los efectos de la transmisión de una comunicación En respuesta a estos argumentos, en primer lugar, debe distinguirse entre el acceso a los datos personales al amparo de lo previsto en la Ley 25/2007 (acceso por agentes facultados, previa autorización judicial y solo para delitos graves), y el derecho del interesado a acceder a los datos personales generados por su propia comunicación, que se rige por lo dispuesto en el artículo 15 RGPD. De este modo, el régimen establecido en la Ley 25/2007 no excluye su acceso por el propio interesado. Por tanto, la alegación de que un usuario estaría accediendo a "los mismos datos que un juez en una investigación penal" es insostenible y parte de un error: el derecho de acceso no es un acceso “externo”, sino el acceso directo del propio titular a su información. El artículo 23.1 RGPD no es aplicable porque no existe una ley específica que limite el derecho de acceso en estos supuestos. Ninguna de las normas citadas por EUSKALTEL (Ley 25/2007, Ley 9/2014 o Ley 11/2022) contiene una prohibición de entregar al interesado sus datos de localización o limita el derecho de acceso del RGPD. En consecuencia, no existe base legal para restringir el derecho de acceso. Por su parte, la Directiva ePrivacy tampoco limita el derecho de acceso, al contrario, refuerza la protección de los datos personales. Los Considerandos citados por EUSKALTEL reconocen la necesidad de proteger la intimidad y el elevado riesgo que comporta un tratamiento inadecuado, pero en la Directiva no se dice que el titular no pueda acceder a sus propios datos, ni que una operadora pueda denegar el acceso alegando los posibles riesgos de facilitar del dato de geolocalización. EUSKALTEL invoca el art. 48.2 de la Ley 9/2014, la norma vigente cuando se produjeron los hechos, y el art. 66 de la Ley 11/2022, General de Telecomunicaciones (en adelante, LGT), en vigor. Ambos regulan el derecho a la protección de datos y la privacidad con relación a los datos de tráfico y de localización. En el presente caso, los datos de localización no son datos distintos de los de tráfico, sino parte de los datos de tráfico generados por la propia comunicación. La LGT no limita el derecho de los usuarios a acceder a sus propios datos de tráfico y de localización, ya que esta norma regula la relación del operador con sus usuarios, en especial, protege la privacidad de las comunicaciones electrónicas de los ciudadanos de un uso comercial por parte del operador, mientras que el RGPD dispone cuáles son los derechos de los interesados respecto al responsable de tratamiento.

“QUINTO. De la falta de proporcionalidad de la sanción propuesta” Las alegaciones planteadas en este apartado por EUSKALTEL son idénticas a las formuladas en su escrito de respuesta a la propuesta de resolución, que ya fueron desvirtuadas en la resolución recurrida, a cuyos Fundamentos de Derecho cabe

22/23

remitirse.

III Conclusión En consecuencia, en el presente recurso de reposición, la parte recurrente no ha aportado hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada. IV Obligación de dictar resolución expresa De acuerdo con lo establecido en el artículo 24 de la LPACAP, el sentido del silencio administrativo en los procedimientos de impugnación de actos y disposiciones es desestimatorio. No obstante, a pesar de que haya transcurrido el plazo legalmente establecido para resolver, la Administración mantiene la obligación de dictar resolución expresa y de notificarla en todos los procedimientos cualquiera que sea su forma de iniciación, incluidos los recursos administrativos que se hayan podido interponer, según dispone el artículo 21.1 de la citada LPACAP. En los casos de desestimación por silencio administrativo, la resolución expresa posterior al vencimiento del plazo se adoptará por la Administración sin vinculación alguna al sentido del silencio, según dispone el artículo 24.3 de la misma ley. Por tanto, aunque no se resuelva el recurso en plazo, procede emitir la resolución expresa que lo finalice. Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DESESTIMAR el recurso de reposición interpuesto por EUSKALTEL, S.A. contra la resolución de esta Agencia Española de Protección de Datos dictada con fecha 25 de septiembre de 2025, en el expediente EXP202410464. SEGUNDO: ORDENAR a EUSKALTEL, S.A. que, en virtud del artículo 58.2 del RGPD, en el plazo máximo de 3 meses desde que la presente resolución sea notificada, acredite haber procedido al cumplimiento de las medidas impuestas con el alcance indicado en el Fundamento de Derecho VII de la resolución recurrida:

• Adopte las medidas adecuadas y establezca los protocolos precisos para poder atender los derechos de acceso a los datos de geolocalización de las líneas de telefonía móvil que puedan formular los titulares de dichos datos personales. TERCERO: NOTIFICAR la presente resolución a EUSKALTEL, S.A.

23/23

CUARTO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva una vez sea notificada la presente resolución, de conformidad con lo dispuesto en el artículo 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº ES00 0000 0000 0000 0000

0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco

CAIXABANK, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si la fecha de la notificación se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LPACAP), los interesados podrán interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley. Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeaepd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada LPACAP. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.

180-071125Lorenzo Cotino Hueso

Presidente de la Agencia Española de Protección de Datos