GDPR Resolution on Data Access Rights for VIMCORSA

 Expediente N.º: EXP202520781

RESOLUCIÓN DE PROCEDIMIENTO DE DERECHOS Vista la reclamación registrada en fecha 21 de octubre de 2025 ante esta Agencia y realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes

HECHOS PRIMERO: A.A.A. (en adelante, la parte reclamante) ejerció el derecho de Acceso frente a VIVIENDAS MUNICIPALES DE CÓRDOBA, S.A. (en adelante, la parte reclamada) sin que su solicitud haya recibido la contestación legalmente establecida. La parte reclamante manifiesta que adquirió una vivienda a la entidad reclamada y que ha planteado distintas reclamaciones y denuncias contra ésta por defectos que afectan a la vivienda. Señala que en fecha 25 de septiembre de 2025 remitió solicitud de acceso a sus datos a la parte reclamada, solicitando asimismo copia de partes de reparación de desperfectos vinculados con su vivienda y copia de comunicaciones, notificaciones, escritos y documentos relativos a éstos, recibiendo contestación en fecha 14 de octubre de 2025 que considera que obstruye su derecho de acceso, indicando que su petición excede el ámbito de lo amparado por el derecho de acceso y que no ha de facilitar el acceso a documentos técnicos referidos a la reparación de su vivienda, más aún cuando señala que no incluye en estos referencia a datos personales de los clientes afectados. Aporta copia de su solicitud y respuesta obtenida del DPD de la entidad de 14 de octubre de 2025, en la que se indica expresamente que “entendemos que dicha

solicitud excede el ámbito de lo determinado por la normativa vigente de protección de datos de carácter personal, al solicitar copia de documentos técnicos. VIMCORSA no proporciona datos de carácter personal a las empresas contratistas de obras, dado que las actuaciones sobre las viviendas se definen en base a la identificación propia de la vivienda, sin referencia a su titularidad, se indica número de vivienda afectada y los desperfectos advertidos”.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. En su escrito de respuesta a las actuaciones de traslado de 4 de diciembre de 2025, la parte reclamada señala:

“El interesado adquirió una vivienda bajo promoción de esta entidad, en base a las funciones municipales delgadas que VIMCORSA, ostenta. Proporcionando directamente todos los datos necesarios para la relación contractual establecida. Tras dicha transacción el interesado descubrió defectos en la vivienda, presentando las correspondientes reclamaciones al efecto, VIMCORSA dio traslado de las irregularidades al equipo de control de reparaciones, que establecieron contacto directamente con el interesado. No obstante, parece que el interesado tiene especial interés en la información técnica, no datos de carácter personal, manejados por el equipo de reformas, entendiendo por nuestra parte que dicha información no entra dentro del ámbito de la protección de datos de carácter personal, y abundando en ello, dicha información se corresponde con los defectos comunicados por él mismo. Siendo así, la información que se le ha sido proporcionada se ha redactado en base a las Directrices 01/2022 del Comité Europeo de Protección de Datos sobre el derecho de acceso de los interesados (adoptada en marzo de 2023). 25 (…) el concepto de copia debe interpretarse en sentido amplio e incluye los diferentes tipos de acceso a los datos personales siempre que sea completo (es decir, que incluya todos los datos personales solicitados) y que el interesado pueda conservarlo. Así pues, la exigencia de una copia implica que la información sobre los datos personales que conciernen a la persona que presenta la solicitud se facilite al interesado de manera que este pueda conservar toda la información y volver a ella. Entendemos salvo error por nuestra parte, que se ha proporcionado la información que exige la normativa, siguiendo las mismas directrices: 23 (…) el alcance de la información que debe figurar en la copia es el alcance del acceso a los datos con arreglo al artículo 15, apartado 1 (…) que incluya toda la información necesaria para que el interesado pueda comprender y verificar la licitud del tratamiento15”.

La parte reclamada acredita el envío de contestación de 14 de octubre de 2025 a la parte reclamante, remitiéndole los datos personales que obran en su poder (nombre y apellidos, DNI, dirección postal, dirección de correo electrónico, cuenta bancaria), pero deniega el acceso en lo relacionado con los partes de desperfectos y omite dar respuesta a la solicitud de acceso en relación con las comunicaciones mantenidas con la parte reclamante. TERCERO: El resultado del trámite de traslado indicado en el Hecho anterior no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 14 de enero de 2026, a los efectos previstos en el artículo 64.1 de la LOPDGDD, la Presidencia de la Agencia Española de Protección de Datos acordó admitir a trámite la reclamación presentada.

El mencionado acuerdo concedió a la parte reclamada trámite de audiencia, para que en el plazo de diez días hábiles presentase las alegaciones que estimara convenientes, formulando, en síntesis, las siguientes alegaciones:

“PRIMERO.- Que, en la contestación al ejercicio de derecho de acceso a datos de carácter personal, referenciado en el EXP202520781, esta entidad se atuvo a lo señalado por las Directrices 01/2022 sobre los derechos de los interesados —Derecho de acceso; Versión 2.1; Adoptada el 28 de marzo de 2023, de la Comisión Europea de Protección de Datos (https://www.edpb.europa.eu/system/files/2024- 04/edpbguidelines202201datasubjectrightsaccessv2es.pdf), en su apartado 2 “OBJETIVO DEL DERECHO DE ACCESO, ESTRUCTURA DEL ARTÍCULO 15 DEL RGPD Y PRINCIPIOS GENERALES”; 2.2 Estructura del artículo 15 del RGPD; 2.2.2 Disposiciones sobre modalidades. 2.2.2.1 Entrega de una copia Punto 23, que recoge expresamente: “(…) Al mismo tiempo, la obligación de facilitar una copia no tiene por objeto ampliar el alcance del derecho de acceso: se refiere (únicamente) a una copia de los datos personales objeto de tratamiento, no necesariamente a la reproducción de los documentos originales (véase la sección 5, apartado 152). En términos más generales, no hay información adicional que deba facilitarse al interesado al facilitar una copia: el alcance de la información que debe figurar en la copia es el alcance del acceso a los datos con arreglo al artículo 15, apartado 1 (segundo componente del derecho de acceso mencionado anteriormente, véase el apartado 19) que incluya toda la información necesaria para que el interesado pueda comprender y verificar la licitud del tratamiento15”. La sección 5, apartado 152, señala: “Es responsabilidad del responsable del tratamiento decidir la forma adecuada en la que se facilitarán los datos personales. El responsable del tratamiento puede proporcionar los documentos que contengan datos personales de los interesados que realicen la solicitud, en su forma original, aunque no está necesariamente obligado a ello. El responsable del tratamiento podría, por ejemplo, en cada caso concreto, facilitar el acceso a una copia del soporte como tal, dada la necesidad de transparencia (por ejemplo, para verificar la exactitud de los datos en poder del responsable del tratamiento en caso de solicitud de acceso al expediente médico o de grabación de audio cuya transcripción sea impugnada). Sin embargo, el TJUE, en su interpretación del derecho de acceso en virtud de la Directiva 95/46/CE, declaró que «[p]ara dar cumplimiento a este derecho [de acceso], basta con facilitar a dicho solicitante una idea completa de esos datos en forma inteligible, es decir, permitiéndole conocer dichos datos y comprobar que son exactos y son tratados de conformidad con esta Directiva para que pueda, en su caso, ejercer los derechos que dicha Directiva le confiere». A diferencia de la Directiva, el RGPD establece

expresamente la obligación de facilitar al interesado una copia de los datos personales objeto de tratamiento. Sin embargo, esto no significa que el interesado tenga siempre derecho a obtener una copia de los documentos que contengan los datos personales, sino una copia inalterada de los datos personales tratados en dichos documentos. Dicha copia de los datos personales podría facilitarse mediante una compilación que contenga todos los datos personales cubiertos por el derecho de acceso, siempre que la compilación permita informar al interesado y verificar la licitud del tratamiento. Por lo tanto, no existe contradicción entre la redacción del RGPD y la sentencia del TJUE sobre esta cuestión. El término «idea completa» de la sentencia no debe interpretarse erróneamente en el sentido de que la compilación no abarcaría todos los datos cubiertos por el derecho de acceso, sino que es simplemente una forma de presentar todos esos datos sin dar acceso a los documentos subyacentes que contienen los datos personales. Dado que la compilación debe contener una copia de los datos personales, cabe destacar que no puede hacerse de manera que altere o modifique de alguna manera el contenido de la información”.

La parte reclamada aporta de nuevo la contestación de 14 de octubre de 2025 remitida a la parte reclamante. FUNDAMENTOS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1 y 64.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos

tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II Cuestiones previas De conformidad con lo establecido en el artículo 55 del RGPD, la Agencia Española de Protección de Datos es competente para desempeñar las funciones que se le asignan en su artículo 57, entre ellas, la de hacer aplicar el Reglamento y promover la sensibilización de los responsables y los encargados del tratamiento acerca de las

obligaciones que les incumben, así como tratar las reclamaciones presentadas por un interesado e investigar, en la medida oportuna, el motivo de las mismas. Correlativamente, el artículo 31 del RGPD establece la obligación de los responsables y encargados del tratamiento de cooperar con la autoridad de control que lo solicite en el desempeño de sus funciones. Para el caso de que éstos hayan designado un delegado de protección de datos, el artículo 39 del RGPD atribuye a éste la función de cooperar con dicha autoridad. De conformidad con esta normativa, siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con carácter previo a la admisión a trámite de la reclamación de ejercicio de los derechos regulados en los artículos 15 a 22 del RGPD, que da lugar al presente procedimiento, se dio traslado de la misma a la parte reclamada para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida. El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 14 de enero de 2026, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apertura del presente procedimiento de falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del RGPD, regulado en el artículo 64.1 de la LOPDGDD, según el cual:

“Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica. En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación”.

El artículo 58.2 del RGPD confiere a la Agencia Española de Protección de Datos una serie de poderes correctivos a los efectos de corregir cualquier infracción del RGPD, de entre los que se incluye ordenar al responsable o encargado del tratamiento que atiendan las solicitudes de ejercicio de los derechos del interesado en virtud del presente Reglamento. III Derechos de las personas en materia de protección de datos personales Los derechos de las personas en materia de protección de datos personales están regulados en los artículos 15 a 22 del RGPD y 13 a 18 de la LOPDGDD. Se contemplan los derechos de acceso, rectificación, supresión, oposición, derecho a la limitación del tratamiento y derecho a la portabilidad.

Los aspectos formales relativos al ejercicio de esos derechos se establecen en los artículos 12 del RGPD y 12 de la LOPDGDD. Se tiene en cuenta, además, lo expresado en los Considerandos 59 y siguientes del RGPD. De conformidad con lo dispuesto en estas normas, el responsable del tratamiento debe arbitrar fórmulas y mecanismos para facilitar al interesado el ejercicio de sus derechos, que serán gratuitas (sin perjuicio de lo dispuesto en los artículos 12.5 y 15.3 del RGPD), y viene obligado a responder las solicitudes formuladas a más tardar en un mes, salvo que pueda demostrar que no está en condiciones de identificar al interesado, y a expresar sus motivos en caso de que no fuera a atender dicha solicitud. Recae sobre el responsable la prueba del cumplimiento del deber de responder a la solicitud de ejercicio de sus derechos formulada por el afectado. La comunicación que se dirija al interesado con ocasión de su solicitud deberá expresarse en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. IV Derecho de acceso Conforme a lo establecido en el artículo 15 del RGPD y artículo 13 de la LOPDGDD,

"el interesado tiene derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a los datos personales".

Tratándose del derecho de acceso a los datos personales, de acuerdo con lo establecido en el artículo 13 de la LOPDGDD, cuando el ejercicio del derecho se refiera a una gran cantidad de datos, el responsable podrá solicitar al afectado que especifique los "datos o actividades de tratamiento a los que se refiere la solicitud". El derecho se entenderá otorgado si el responsable facilita un acceso remoto a los datos, teniéndose por atendida la solicitud (si bien el interesado podrá solicitar la información referida a los extremos previstos en el artículo 15 del RGPD). El ejercicio de este derecho se podrá considerar repetitivo si se ejerce en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello. Por otra parte, la solicitud será considerada excesiva cuando el afectado elija un medio distinto al que se le ofrece que suponga un coste desproporcionado, que deberá ser asumido por el afectado. Al igual que el resto de los derechos del interesado, el derecho de acceso es un derecho personalísimo. Permite al ciudadano obtener información sobre el tratamiento que se está haciendo de sus datos, la posibilidad de obtener una copia de los datos personales que le conciernan y que estén siendo objeto de tratamiento, así como información, en particular, sobre los fines del tratamiento, las categorías de datos personales de que se trate, los destinatarios o categorías de destinatarios a los que podrán comunicarse los datos, el plazo previsto o criterios de conservación, la posibilidad de ejercitar otros derechos, el derecho a presentar una reclamación ante la

autoridad de control, la información disponible sobre el origen de los datos (si estos no se han obtenido directamente de titular), la existencia de decisiones automatizadas, incluida la elaboración de perfiles, e información sobre transferencias de datos personales a un tercer país o a una organización internacional. La posibilidad de obtener copia de los datos personales objeto de tratamiento no afectará negativamente a los derechos y libertades de otros. V Conclusión La entidad reclamada dio respuesta a la solicitud de acceso de la parte reclamante, pero no acredita haber atendido en su totalidad lo solicitado por la parte reclamante. Hay que aclarar que, la parte reclamante como propietario de vivienda nueva ejerció el derecho de acceso para pedir copias de determina documentación: los partes de desperfectos y las comunicaciones mantenidas con la parte reclamante. La parte reclamada acredita el envío de contestación de 14 de octubre de 2025 a la parte reclamante, remitiéndole los datos personales que obran en su poder (nombre y apellidos, DNI, dirección postal, dirección de correo electrónico, cuenta bancaria), pero deniega el acceso en lo relacionado con los partes de desperfectos, y omite dar respuesta a la solicitud de acceso en relación con las comunicaciones mantenidas con la parte reclamante. En particular respecto de los partes de desperfectos indica que “entendemos que dicha solicitud excede el ámbito de lo determinado por la normativa vigente de protección de datos de carácter personal, al solicitar copia de documentos técnicos. VIMCORSA no proporciona datos de carácter personal a las empresas contratistas de obras, dado que las actuaciones sobre las viviendas se definen en base a la identificación propia de la vivienda, sin referencia a su titularidad, se indica número de vivienda afectada y los desperfectos advertidos”. Pues bien, el derecho de acceso es el derecho que permite al interesado conocer los datos que le conciernan tratados por el responsable. En este sentido el considerando 63 del RGPD establece que “Los interesados deben tener derecho a acceder a los

datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento…”

Por tanto, la información tratada por la parte reclamada identificada por el número de vivienda propiedad de la parte reclamante son datos que conciernen a la parte reclamante y que quedan amparados por el derecho de acceso. Dicho lo anterior y en relación con si procede, en este caso, que la parte reclamada facilite una copia a la parte reclamante de la documentación solicitada, cabe señalar que según el artículo 15 del RGPD el interesado puede obtener el derecho de acceso mediante el acceso a una copia de los datos personales tratados, lo que significa, como aclaran las Directrices 01/2022 que el responsable del tratamiento debe decidir la forma adecuada en la que se facilitarán los datos personales. El responsable del tratamiento puede proporcionar los documentos que contengan datos personales de los interesados que realicen la solicitud, en su forma original, aunque no está

necesariamente obligado a ello, pudiendo facilitar al solicitante, como refiere el TJUE, una idea completa de esos datos en forma inteligible, es decir, permitiéndole conocer dichos datos y comprobar que son exactos y son tratados de conformidad con la normativa de protección de datos para que pueda, en su caso, ejercer los derechos que dicha normativa le confiere. La sentencia del TJUE de 4 de mayo de 2023 (asunto C-487/21) concluye que el artículo 15 del RGPD no atribuye al interesado un derecho general a obtener una copia parcial o integral del documento que contiene sus datos personales, si bien esta disposición no excluye que puedan facilitarse al interesado partes de documentos o documentos enteros o extractos de bases de datos, cuando ello sea indispensable para garantizar la plena inteligibilidad de los datos personales objeto de tratamiento a los que se solicita acceder. Por lo tanto, la parte reclamada está obligada en los términos expuestos a dar respuesta a la solicitud de acceso de la parte reclamante relativa a la solicitud de las copias de partes de desperfectos, emails y todo lo dicho anteriormente Las normas antes citadas no permiten que pueda obviarse la solicitud como si no se hubiera planteado, dejándola sin la respuesta que obligatoriamente deberán emitir los responsables, aún en el supuesto de que no existan datos en los ficheros o incluso en aquellos supuestos en los que no reuniera los requisitos previstos, en cuyo caso el destinatario de dicha solicitud viene igualmente obligado a requerir la subsanación de las deficiencias observadas o, en su caso, denegar la solicitud motivadamente indicando las causas por las que no procede considerar el derecho de que se trate. Por tanto, la solicitud que se formule obliga al responsable a dar respuesta expresa en todo caso, empleando para ello cualquier medio que justifique la recepción de la contestación. Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ESTIMAR la reclamación formulada por A.A.A. al considerar que se ha infringido lo dispuesto en el Artículo 15 del RGPD e instar a VIVIENDAS MUNICIPALES DE CÓRDOBA, S.A. con NIF A14038509, para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la parte reclamante certificación en la que se atienda el derecho solicitado o se deniegue motivadamente indicando las causas por las que no procede atender la petición, de conformidad con lo establecido en el cuerpo de la presente resolución. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de una infracción del art. 83.6 del RGPD, calificada como muy grave a los efectos de prescripción en el artículo 72.1.m) de la LOPDGDD, que se sancionará de acuerdo con el art. 58.2 del RGPD. SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a VIVIENDAS MUNICIPALES DE CÓRDOBA, S.A.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

1381-101025Lorenzo Cotino Hueso

Presidente de la Agencia Española de Protección de Datos