Changeflow GovPing Data Privacy & Cybersecurity GDPR Rights Resolution: Access and Suppression ...
Priority review Enforcement Amended Final

GDPR Rights Resolution: Access and Suppression Claims

Favicon for www.aepd.es AEPD Resolutions (Spain DPA)
Filed February 9th, 2026
Detected March 24th, 2026
Email

Summary

The Spanish Data Protection Agency (AEPD) issued a resolution regarding a complaint about access and suppression rights under GDPR. The resolution addresses a claimant's assertion that the Directorate General of Police failed to fully respond to a request for information on biometric data processing and access.

View original document View source feed page

What changed

The Spanish Data Protection Agency (AEPD) has issued a resolution (EXP202515145) concerning a complaint filed on July 9, 2025, by an individual against the Directorate General of Police regarding the exercise of GDPR rights to access and suppression. The claimant alleged that the police failed to provide a complete response to their request concerning biometric data (ADN, fingerprints, photographs), its purpose, and recipients. While the police agency eventually communicated a cancellation of personal data and police records, the AEPD found this response did not fully address the claimant's specific questions.

This resolution implies that public sector entities must ensure comprehensive responses when individuals exercise their data protection rights under GDPR and LOPDGDD. The Directorate General of Police's defense, which questioned the specificity of the initial request and highlighted the subsequent data suppression, was not deemed sufficient by the AEPD to satisfy the claimant's rights. Compliance officers should ensure that all aspects of data access and suppression requests are addressed thoroughly, with clear documentation of the actions taken and the rationale behind them, to avoid potential enforcement actions or findings of non-compliance.

What to do next

  1. Review internal procedures for responding to data subject access and suppression requests.
  2. Ensure all aspects of data subject requests are addressed comprehensively, providing specific details where required by GDPR and LOPDGDD.
  3. Document all actions taken in response to data subject requests and the rationale for any limitations or denials.

Source document (simplified)

 Expediente N.º: EXP202515145

RESOLUCIÓN DE PROCEDIMIENTO DE DERECHOS Vista la reclamación registrada en fecha 9 de julio de 2025 ante esta Agencia y realizadas las actuaciones procedimentales previstas en el Título VIII de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD), se han constatado los siguientes HECHOS PRIMERO: A.A.A. (en adelante, la parte reclamante) ejerció el derecho de Acceso y Supresión frente a la DIRECCIÓN GENERAL DE LA POLICÍA (en adelante, la parte reclamada) sin que su solicitud haya recibido la contestación legalmente establecida. El 26/05/25 la parte reclamante ejercitó los derechos de acceso y supresión ante la parte reclamada. En el escrito presentado para ejercitar los derechos indicaba que quería saber si la parte reclamada disponía de sus datos biométricos (ADN, HUELLAS DACTILARES Y FOTOGRAFÍAS), en caso afirmativo la finalidad del tratamiento y los destinatarios o entidades que habían tenido acceso a ellos. El 20/08/25 la parte reclamada comunicó a la parte reclamante que "se ha resuelto cancelar los datos personales y los antecedentes policiales (CANCELACIÓN TOTAL) que figuran hasta el día de la fecha". Dicha contestación no resuelve todas las cuestiones planteadas en su solicitud, en la medida en la que solamente resuelve una de las cuestiones que planteó. Junto a la reclamación aporta copia del escrito registrado para ejercitar el derecho y el oficio emitido por la parte reclamada el 20/08/25. SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD), se dio traslado de dicha reclamación a la parte reclamada, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos. En su escrito de respuesta a las actuaciones de traslado de 25 de septiembre de 2025, la parte reclamada aludía a cuestiones internas relacionadas con la tramitación de las solicitudes de derechos en materia de protección de datos personales, sin aportar información alguna sobre los motivos por los que la solicitud realizada por el reclamante no había sido atendida en su totalidad. TERCERO: El resultado del trámite de traslado indicado en el Hecho anterior no permitió entender satisfechas las pretensiones de la parte reclamante. Con fecha 9 de octubre de 2025, se produjo la admisión a trámite de la reclamación presentada.

Mediante acuerdo de la Presidencia de la Agencia Española de Protección de Datos de fecha 9 de febrero de 2026, se concedió a la parte reclamada trámite de audiencia, para que en el plazo de diez días hábiles presentase las alegaciones que estimara convenientes, formulando, en síntesis, las siguientes alegaciones: “(. …) En ninguna de las tres las solicitudes remitidas por el interesado, consta específicamente la petición de los datos biométricos como afirma ante la AEPD, como se puede observar en las mismas, las cual se adjuntan. En la actualidad es imposible ya que, tras la tercera petición, una vez comprobado documentalmente que reunía los requisitos, se resolvió suprimir datos personales y antecedentes policiales que figuraban hasta la fecha en el fichero de antecedentes policiales de la Dirección General de la Policía, hecho que le fue notificado, como consta en el acuse de recibo de correos, el cual se adjunta, así como la notificación efectuada.” FUNDAMENTOS DE DERECHO I Competencia De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada autoridad de control y según lo establecido en los artículos 47, 48.1 y 64.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), es competente para resolver este procedimiento la Presidencia de la Agencia Española de Protección de Datos. Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos." II Cuestiones previas Siguiendo el trámite previsto en el artículo 65.4 de la LOPDGDD, con carácter previo a la admisión a trámite de la reclamación, que da lugar al presente procedimiento, se dio traslado de la misma a la parte reclamada para que procediese a su análisis, diera respuesta a esta Agencia en el plazo de un mes y acreditara haber facilitado al reclamante la respuesta debida. El resultado de dicho traslado no permitió entender satisfechas las pretensiones de la parte reclamante. En consecuencia, con fecha 9 de octubre de 2025, a los efectos previstos en su artículo 64.1 y 65 de la LOPDGDD, se admitió a trámite la reclamación presentada. Dicha admisión a trámite determina la apertura del presente

procedimiento de falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 21, 22 y 23 de la LO 7/2021, regulado en el artículo 64.1 de la LOPDGDD, según el cual: “Cuando el procedimiento se refiera exclusivamente a la falta de atención de una solicitud de ejercicio de los derechos establecidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, se iniciará por acuerdo de admisión a trámite, que se adoptará conforme a lo establecido en el artículo 65 de esta ley orgánica. En este caso el plazo para resolver el procedimiento será de seis meses a contar desde la fecha en que hubiera sido notificado al reclamante el acuerdo de admisión a trámite. Transcurrido ese plazo, el interesado podrá considerar estimada su reclamación”. III Sobre las disposiciones de la LO 7/2021 La citada Ley Orgánica 7/2021 establece: “Artículo 20. Condiciones generales de ejercicio de los derechos de los interesados. “1. El responsable del tratamiento deberá facilitar al interesado, de forma concisa, inteligible, de fácil acceso y con lenguaje claro y sencillo para todas las personas, incluidas aquellas con discapacidad, toda la información contemplada en el artículo 21, así como la derivada de los artículos 14, 22 a 26 y 39. Además, el responsable del tratamiento deberá adoptar las medidas necesarias para garantizar al interesado el ejercicio de sus derechos a los que se refieren los artículos 14 y 22 a 26. (…).” Artículo 21. Información que debe ponerse a disposición del interesado. “1. El responsable del tratamiento de los datos pondrá a disposición del interesado, al menos, la siguiente información:

  1. La identificación del responsable del tratamiento y sus datos de contacto.
  2. Los datos de contacto del delegado de protección de datos, en su caso.
  3. Los fines del tratamiento a los que se destinen los datos personales.

  4. El derecho a presentar una reclamación ante la autoridad de protección de datos
    competente y los datos de contacto de la misma.

  5. El derecho a solicitar del responsable del tratamiento el acceso a los datos
    personales relativos al interesado y su rectificación, supresión o la limitación de su tratamiento.

  6. Además de la información a la que se refiere el apartado 1, atendiendo a las
    circunstancias del caso concreto, el responsable del tratamiento proporcionará al interesado la siguiente información adicional para permitir el ejercicio de sus derechos:

  7. La base jurídica del tratamiento.

  8. El plazo durante el cual se conservarán los datos personales o, cuando esto no sea
    posible, los criterios utilizados para determinar ese plazo.

  9. Las categorías de destinatarios de los datos personales, cuando corresponda, en
    particular, los establecidos en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.

  10. Cualquier otra información necesaria, en especial, cuando los datos personales se
    hayan recogido sin conocimiento del interesado.” Artículo 22. Derecho de acceso del interesado a sus datos personales. “1. El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. En caso de que se confirme el tratamiento, el interesado tendrá derecho a acceder a dichos datos personales, así como a la siguiente información:

  11. Los fines y la base jurídica del tratamiento.

  12. Las categorías de datos personales de que se trate.

  13. Los destinatarios o las categorías de destinatarios a quienes hayan sido
    comunicados los datos personales, en particular, los destinatarios establecidos en Estados que no sean miembros de la Unión Europea u organizaciones internacionales.

  14. El plazo de conservación de los datos personales, cuando sea posible, o, en caso
    contrario, los criterios utilizados para determinar dicho plazo.

  15. La existencia del derecho a solicitar del responsable del tratamiento la rectificación
    o supresión de los datos personales relativos al interesado o la limitación de su tratamiento.

  16. El derecho a presentar una reclamación ante la autoridad de protección de datos
    competente y los datos de contacto de la misma.

  17. La comunicación de los datos personales objeto de tratamiento, así como cualquier
    información disponible sobre su origen, sin revelar la identidad de ninguna persona física, en especial en el caso de fuentes confidenciales.

  18. (…)

  19. Se entenderá concedido el derecho de acceso si el responsable del tratamiento
    facilita al interesado un sistema remoto, directo y seguro que garantice, de modo permanente, el acceso a la totalidad de sus datos personales. La notificación informando al interesado del procedimiento puesto en marcha a través de este sistema, permitirá denegar su solicitud de acceso efectuada por otras vías. Si el acceso remoto no facilita la totalidad de la información contenida en el apartado 1, el interesado tendrá derecho a solicitarla.

  20. (…)”
    Artículo 23. Derechos de rectificación, supresión de datos personales y limitación de su tratamiento. “1. El interesado tendrá derecho a obtener del responsable del tratamiento, sin dilación indebida, la rectificación de los datos personales que le conciernen, cuando tales datos resulten inexactos. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales cuando estos resulten incompletos.

El interesado deberá indicar en su solicitud a qué datos se refiere y la corrección que haya de realizarse. Deberá acompañar, cuando sea preciso, la documentación justificativa del carácter incompleto o inexacto de los datos objeto de tratamiento.

  1. El responsable del tratamiento, a iniciativa propia o como consecuencia del ejercicio
    del derecho de supresión del interesado, suprimirá los datos personales sin dilación indebida y, en todo caso, en el plazo máximo de un mes a contar desde que tenga conocimiento, cuando el tratamiento infrinja los artículos 6, 11 o 13, o cuando los datos personales deban ser suprimidos en virtud de una obligación legal a la que esté sujeto.

  2. En lugar de proceder a la supresión, el responsable del tratamiento limitará el
    tratamiento de los datos personales cuando se dé alguna de las siguientes circunstancias:

  3. El interesado ponga en duda la exactitud de los datos personales y no pueda
    determinarse su exactitud o inexactitud.

  4. Los datos personales hayan de conservarse a efectos probatorios.
    Cuando el tratamiento esté limitado en virtud de la letra a), el responsable del tratamiento informará al interesado antes de levantar la limitación del tratamiento.

  5. En caso de que el responsable del tratamiento rectifique unos datos personales
    inexactos que provengan de otra autoridad competente, se deberá comunicar a esta la rectificación.

  6. Cuando los datos personales hayan sido rectificados o suprimidos o el tratamiento
    haya sido limitado, el responsable del tratamiento lo notificará a los destinatarios, que deberán rectificar o suprimir los datos personales que estén bajo su responsabilidad o limitar su tratamiento.” Artículo 24. Restricciones a los derechos de información, acceso, rectificación, supresión de datos personales y a la limitación de su tratamiento. “1. El responsable del tratamiento podrá aplazar, limitar u omitir la información a la que se refiere el artículo 21.2, así como denegar, total o parcialmente, las solicitudes de ejercicio de los derechos contemplados en los artículos 22 y 23, siempre que, teniendo en cuenta los derechos fundamentales y los intereses legítimos de la persona afectada, resulte necesario y proporcional para la consecución de los siguientes fines:

  7. Impedir que se obstaculicen indagaciones, investigaciones o procedimientos
    judiciales.

  8. Evitar que se cause perjuicio a la prevención, detección, investigación y
    enjuiciamiento de infracciones penales o a la ejecución de sanciones penales.

  9. Proteger la seguridad pública.

  10. Proteger la Seguridad Nacional.

  11. Proteger los derechos y libertades de otras personas.

  12. En caso de restricción de los derechos contemplados en los artículos 22 y 23, el
    responsable del tratamiento informará por escrito al interesado sin dilación indebida, y en todo caso, en el plazo de un mes a contar desde que tenga conocimiento, de dicha restricción, de las razones de la misma, así como de las posibilidades de presentar

una reclamación ante la autoridad de protección de datos, sin perjuicio de las restantes acciones judiciales que pueda ejercer en virtud de lo dispuesto en esta Ley Orgánica. Las razones de la restricción podrán ser omitidas o ser sustituidas por una redacción neutra cuando la revelación de los motivos de la restricción pueda poner en riesgo los fines a los que se refiere el apartado anterior.

  1. El responsable del tratamiento documentará los fundamentos de hecho o de derecho en los que se sustente la decisión denegatoria del ejercicio del derecho de acceso. Dicha información estará a disposición de las autoridades de protección de datos.” (El subrayado es de la AEPD) IV Conclusión Durante la tramitación del presente procedimiento, la entidad reclamada ha contestado a esta Agencia, pero no acredita haber atendido completamente los derechos solicitados a la parte reclamante. La parte reclamada manifiesta que “En ninguna de las tres las solicitudes remitidas por el interesado, consta específicamente la petición de los datos biométricos como afirma ante la AEPD, como se puede observar en las mismas, las cual se adjuntan. En la actualidad es imposible ya que, tras la tercera petición, una vez comprobado documentalmente que reunía los requisitos, se resolvió suprimir datos personales y antecedentes policiales que figuraban hasta la fecha en el fichero de antecedentes policiales de la Dirección General de la Policía, hecho que le fue notificado, como consta en el acuse de recibo de correos, el cual se adjunta, así como la notificación efectuada.” Hay que aclarar, que la parte reclamante el 26/05/25 ejercitó los derechos de acceso y supresión ante la parte reclamada. En el escrito presentado para ejercitar los derechos indicaba que quería saber si la parte reclamada disponía de sus datos biométricos (ADN, HUELLAS DACTILARES Y FOTOGRAFÍAS), en caso afirmativo la finalidad del tratamiento y los destinatarios o entidades que habían tenido acceso a ellos. El 20/08/25 la parte reclamada le comunicó a la parte reclamante que "se ha resuelto cancelar los datos personales y los antecedentes policiales (CANCELACIÓN TOTAL) que figuran hasta el día de la fecha". Por lo que, dicha contestación no resuelve todas las cuestiones planteadas en su solicitud, en la medida en la que solamente resuelve una de las cuestiones que planteó. La parte reclamada en su último escrito de alegaciones manifiesta que ya se dio contestación el 20/10/2024 informándole de la cancelación de los datos tal y como acredita ante esta Agencia y que el nuevo requerimiento de la Agencia Española de Protección de Datos en cuanto a la notificación al interesado no es competencia de esta CGPC, sino del responsable del tratamiento PERPOL, al ser al que el interesado se dirigió ejercitando su derecho de acceso.

Informar a la parte reclamada que esta contestación fue anterior a la nueva solicitud presentada por la parte reclamante el 26/05/2025 y por lo tanto debe ser contestada de nuevo y, además, como hemos dicho anteriormente, solamente resuelve una de las cuestiones planteadas. En cuanto a la afirmación de la parte reclamada sobre el acceso a los datos que solicita la parte reclamante de que “en la actualidad es imposible ya que, tras la tercera petición, una vez comprobado documentalmente que reunía los requisitos, se resolvió suprimir datos personales y antecedentes policiales que figuraban hasta la fecha en el fichero de antecedentes policiales de la Dirección General de la Policía, hecho que le fue notificado, como consta en el acuse de recibo de correos, el cual se adjunta, así como la notificación efectuada.” Hay que aclarar a este respecto que, cuando se ejercitan el derecho de acceso y supresión, procede atender ambos derechos, no cabe aceptar que, con la realización de la supresión de los datos personales, amparándose en la normativa, se pretenda dejar sin respuesta a otro derecho ejercitado. Vistos los preceptos citados y demás de general aplicación, la Presidencia de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: ESTIMAR PARCIALMENTE la reclamación formulada por A.A.A. al considerar que se ha infringido lo dispuesto en el Artículo 22 de la Ley Orgánica 7/2021 e instar a DIRECCIÓN GENERAL DE LA POLICÍA con NIF S2816015H, para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la parte reclamante certificación en la que se atienda el derecho solicitado o se deniegue motivadamente indicando las causas por las que no procede atender la petición, de conformidad con lo establecido en el cuerpo de la presente resolución. Las actuaciones realizadas como consecuencia de la presente Resolución deberán ser comunicadas a esta Agencia en idéntico plazo. El incumplimiento de esta resolución podría comportar la comisión de una infracción del art. 83.6 del RGPD, calificada como muy grave a los efectos de prescripción en el artículo 72.1.m) de la LOPDGDD, que se sancionará de acuerdo con el art. 58.2 del RGPD. SEGUNDO: NOTIFICAR la presente resolución a A.A.A. y a la DIRECCIÓN GENERAL DE LA POLICÍA. De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública. La publicación se realizará una vez haya sido notificada a los interesados. Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Presidencia de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el

día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

1541-121125Lorenzo Cotino Hueso

Presidente de la Agencia Española de Protección de Datos

Named provisions

Right of Access Right of Suppression

Related changes

Favicon for www.aepd.es GDPR Resolution on Data Access Rights for VIMCORSA
Priority review Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for www.aepd.es AEPD Resolution: Closure of Employee Biometric Data Tracking Investigation
Routine Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for www.aepd.es GDPR Resolution on Right of Access and Sanction
Priority review Mar 24, 2026 AEPD Resolutions (Spain DPA) Data Privacy & Cybersecurity
Favicon for changeflow.com USPTO Patent Grant: Data Lifecycle Discovery and Management
Routine Mar 24, 2026 ChangeBridge: Patent Grants - AI & Computing (G06N) Telecom & Technology
Favicon for www.courtlistener.com Scranton v. Coyne - Injunction Affirmed on Personnel Files
Priority review Mar 24, 2026 PA Commonwealth Court Courts & Legal
Favicon for www.federalregister.gov Energy Department Privacy Act System of Records Notice Modification
Priority review Mar 24, 2026 FR: Energy Department Energy

Source

Favicon for www.aepd.es
AEPD Resolutions (Spain DPA) aepd.es/es/informes-y-resoluciones/resoluciones
Data Privacy & Cybersecurity
Analysis generated by AI. Source diff and links are from the original.

Classification

Agency
AEPD Spain
Filed
February 9th, 2026
Instrument
Enforcement
Legal weight
Binding
Stage
Final
Change scope
Substantive
Document ID
EXP202515145
Docket
EXP202515145

Who this affects

Applies to
Government agencies
Industry sector
9211 Government & Public Administration
Activity scope
Data Subject Rights Management Biometric Data Processing
Geographic scope
ES ES

Taxonomy

Primary area
Data Privacy
Operational domain
Compliance
Compliance frameworks
GDPR
Topics
Consumer Protection Government Operations

Browse Categories

Agriculture & Food Safety 61 Banking & Finance 236 Consumer Protection 40 Courts & Legal 323 Data Privacy & Cybersecurity 64 Defense & National Security 48 Education 20 Energy 104 Environment 83 Government & Legislation 261 Healthcare 131 Housing 16 Immigration 9 Insurance 56 Labor & Employment 111 Legal & Courts 1 Pharma & Drug Safety 99 Securities & Markets 79 Tax 64 Telecom & Technology 47 Trade & Sanctions 124 Transportation 56

Get Data Privacy & Cybersecurity alerts

Weekly digest. AI-summarized, no noise.

Free. Unsubscribe anytime.

Get alerts for this source

We'll email you when AEPD Resolutions (Spain DPA) publishes new changes.

Free. Unsubscribe anytime.