AEPD | Resolución de 2026 — Derecho de acceso a datos biométricos policiales y ejercicio simultáneo de derechos de acceso y supresión
Identificación de la resolución
Agencia Española de Protección de Datos. Procedimiento de derechos PD/00042/2026, expediente EXP202515145. Presidente: Lorenzo Cotino Hueso. Resolución dictada al amparo de la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales.
Objeto del litigio
La parte reclamante ejerció ante la Dirección General de la Policía los derechos de acceso y supresión respecto de sus datos biométricos (ADN, huellas dactilares y fotografías) obrantes en ficheros policiales. La solicitud, presentada el 26 de mayo de 2025, requería que se confirmara la existencia de dichos datos, se informara sobre la finalidad del tratamiento y se identificara a los destinatarios que hubieran tenido acceso a ellos. La Dirección General de la Policía respondió el 20 de agosto de 2025 comunicando únicamente la cancelación total de datos personales y antecedentes policiales, sin dar respuesta alguna al derecho de acceso ejercitado simultáneamente.
Doctrina establecida
La AEPD estima parcialmente la reclamación al constatar que la Dirección General de la Policía atendió el derecho de supresión pero dejó sin respuesta el derecho de acceso, infringiendo el artículo 22 de la LO 7/2021. La resolución establece un criterio relevante: cuando un interesado ejercita simultáneamente varios derechos en materia de protección de datos, el responsable del tratamiento debe atender cada uno de ellos de forma individualizada. No resulta admisible que la ejecución de la supresión de los datos sirva como pretexto para eludir la obligación de responder al derecho de acceso.
La Agencia rechaza expresamente la alegación de la parte reclamada de que el acceso resultaba «imposible» por haberse procedido ya a la supresión. Se aclara que ambos derechos —acceso y supresión— deben ser atendidos de forma separada y sucesiva: primero debe facilitarse la información requerida en virtud del derecho de acceso y, a continuación, ejecutarse la supresión solicitada.
Asimismo, la resolución descarta la pretensión de la Dirección General de la Policía de derivar la responsabilidad al fichero PERPOL, señalando que la solicitud fue dirigida a dicho órgano y que corresponde a este darle respuesta conforme al artículo 22 de la LO 7/2021.
Fundamentos jurídicos relevantes
La resolución se fundamenta en la LO 7/2021, norma que transpone la Directiva (UE) 2016/680 y resulta aplicable al tratamiento de datos con fines de prevención e investigación de infracciones penales. En particular, el artículo 22 de dicha Ley Orgánica reconoce al interesado el derecho a obtener confirmación del tratamiento de sus datos, así como información sobre los fines, la base jurídica, las categorías de datos, los destinatarios, el plazo de conservación y el origen de los datos. El procedimiento se tramita al amparo del artículo 64.1 de la LOPDGDD, relativo a la falta de atención de solicitudes de ejercicio de derechos.
Esta resolución resulta significativa en el ámbito del tratamiento de datos personales por las Fuerzas y Cuerpos de Seguridad del Estado, donde la LO 7/2021 impone obligaciones específicas que van más allá del régimen general del RGPD. La AEPD sienta un criterio claro sobre la indivisibilidad del deber de respuesta cuando se ejercitan varios derechos de forma conjunta: el responsable no puede seleccionar cuáles atiende y cuáles ignora. El mandato de la resolución —remitir certificación atendiendo el derecho de acceso en el plazo de diez días hábiles, bajo advertencia de infracción del artículo 83.6 del RGPD calificada como muy grave conforme al artículo 72.1.m) de la LOPDGDD— refuerza la posición de la Agencia en la tutela efectiva de los derechos de los ciudadanos frente a tratamientos policiales de datos biométricos.
Referencias
- Texto completo: Resolución PD/00042/2026 (PDF)
- Normativa aplicada: LO 7/2021, de 26 de mayo (arts. 20, 21, 22, 23 y 24); LOPDGDD (arts. 47, 48.1, 63.2, 64.1 y 65); RGPD (arts. 58.2 y 83.6)