Política de conservación de datos
Introducción.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante Reglamento general de protección de datos), es una norma que viene a evitar el peligro derivado de los problemas que surgen en torno a los flujos de datos. Mediante el presente Reglamento, se busca la protección de la privacidad de los ciudadanos europeos y establecer las condiciones para la existencia de un mercado común de datos.
De entre todos los principios recogidos en el artículo 5 del Reglamento de protección de datos, destaca el principio de limitación del plazo de conservación.
Según este principio, los datos deben ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales. Superado ese tiempo, sólo pueden conservarse durante períodos más largos con las finalidades de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, siendo en ocasiones preciso, en orden a salvaguardar el principio de minimización, proceder a la seudonimización de los datos, tal y como lo recoge el artículo 89 del Reglamento. Ello sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el Reglamento para proteger los derechos del interesado.
La Ley Orgánica de protección de datos de carácter personal impone el deber de cancelación cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Permite el mantenimiento de los datos siempre que se proceda a su anonimización, lo que conlleva ciertos riesgos, pues debe asegurarse que ésta se ha producido de forma efectiva y para siempre, y que ni siquiera el responsable puede volver a identificar a los titulares de los datos. Difiere a su Reglamento el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
Fundamentación jurídica.
Con el objetivo de evitar las anteriores dificultades e establece el deber de destruir o devolver los datos al responsable una vez cumplida la prestación contractual. En el caso de que exista una previsión legal que exija su conservación, no procederá la destrucción de los datos sino que deberá procederse a la devolución de os datos garantizando el Responsable del registro dicha conservación.
Diversos preceptos legales establecen un plazo de conservación de los datos por servir a otras finalidades compatibles con el tratamiento inicial. La propia Ley Orgánica de protección de datos de carácter personal señalaba que los datos deben ser conservados durante los plazos que se señalen en las disposiciones aplicables o si así está previsto en las relaciones contractuales entre el responsable y el interesado, siempre que sirva a finalidades legítimas derivadas del cumplimiento del contrato.
En el Informe de la Agencia Española de Protección de Datos 408/2010 se recoge la doctrina sentada en cuanto a esta cuestión. Según éste, es imposible determinar un plazo concreto derivado del principio de calidad de los datos y, por tanto:
- Deberá atenderse al plazo de prescripción de las acciones jurídicas que surjan de la relación jurídica que funde el tratamiento en virtud de la legislación civil o mercantil que la regule; o
- El plazo de prescripción de cuatro años de las deudas tributarias; o
- El de tres años del art. 47.1 de la LOPD; o
- Los establecidos en otras normas con rango de Ley que resulten de aplicación al caso.
Política de conservación de datos personales.
Mediante la presente Política de conservación de datos personales, se pretende establecer unas directrices de actuación relativas a determinar cuándo debe procederse a la conservación o a la destrucción de los datos, a los efectos de dar cumplimiento a las exigencias derivadas del deber de calidad.
La presente Política deberá ser observada por DELCOM DELIVERY SL (en adelante DELCOM), así como por las empresas que traten datos de carácter personal en calidad de Encargados del Tratamiento, siendo de aplicación respecto de datos que sean objeto tanto de tratamiento automatizado como de tratamiento en papel.
La presente Política deberá ser observada por todo el personal que maneje datos de carácter personal en el desarrollo de su actividad diaria.
Cuando DELCOM tenga la consideración de Responsable, de conformidad con el principio de calidad, la Ley Orgánica de protección de datos de carácter personal establecía en su art. 4 los requisitos que deberán ser observados. En este sentido los datos objeto de tratamiento deben:
- Adecuarse a la finalidad para la que fueron recabados.
- No utilizarse para finalidades distintas y/o incompatibles con las que justificaron su recogida y tratamiento.
- No ser mantenidos indefinidamente sin justificación.
- Ser cancelados cuando hayan dejado de ser necesarios para la finalidad que justificó su recogida y tratamiento.
Cuando DELCOM actúe en calidad de Responsable, deberán ser observadas las siguientes obligaciones:
No se mantendrán datos personales cuando los mismos ya no sean útiles ni necesarios para la finalidad que justificó su recogida y tratamiento, o una vez cumplida y agotada dicha finalidad.
En este supuesto se procederá a la cancelación de los datos:
- Opcionalmente, respecto de los datos contenidos en soporte papel, la cancelación podrá tener lugar mediante la entrega de dicha información a la persona o personas que sean titulares de la misma.
- Si los datos están contenidos en soporte informático, se procederá a la supresión de los datos, sin que sea suficiente el empleo de una marca lógica o el mantenimiento de otro fegistro alternativo en el que se registren las cancelaciones.
No será de aplicación lo dispuesto en el punto anterior cuando:
- Los datos vayan a ser utilizados con una finalidad histórica y/o estadística.
- Se pudiese causar un perjuicio a intereses legítimos del titular de los datos o de terceros.
- Una norma imponga la obligación de conservar los datos durante un periodo de tiempo determinado.
- Los datos y documentación sirvan como justificante de una actividad o servicio prestado, durante los plazos de prescripción de las acciones civiles, penales, administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio prestado.
Cuando DELCOM actúe en calidad de Encargado del Tratamiento, deberán ser observadas las siguientes obligaciones:
Cumplida la prestación contractual que dio lugar al encargo del tratamiento, deberá procederse a la destrucción o devolución, al Responsable del registro, de los datos, así como de cualquier soporte o documento en los que conste algún dato de carácter personal.
- A tal efecto, se observarán las instrucciones que expresamente hubieren sido dadas por el Responsable del registro y, en su defecto, se procederá a la devolución.
- En todo caso, se procederá a la devolución de toda la documentación original en soporte papel, facilitada por el Responsable del registro, que obre en poder del Encargado del Tratamiento.
No será de aplicación lo previsto en el punto anterior cuando el Responsable del registro expresamente hubiese solicitado al Encargado del Tratamiento que proceda al archivo y conservación de los datos y documentación, facilitados previamente para hacer posible la prestación del servicio, o en caso de existir una previsión legal que exija su conservación.
En este supuesto, deberá comprobarse que en el contrato de encargado del tratamiento suscrito se haya dejado constancia expresa de la obligación del Encargado del Tratamiento de proceder al archivo y conservación de los datos y documentación del Responsable del registro.
En caso contrario, se recomienda que se suscriba un nuevo contrato, haciendo uso de la CLÁUSULA DE ENCARGO DE TRATAMIENTO implantada en DELCOM, donde se especifique que el Encargado del Tratamiento va a proceder al archivo y conservación, por cuenta del Responsable del registro, de los datos y documentación previamente facilitados por éste.
Plazos normativos y legales de conservación y bloqueo de datos personales
Con fecha pasado 9 de diciembre de 2020, la Agencia Española de Protección de Datos publicó el Informe Jurídico 00148/2019 que resuelve una consulta con el objetivo de aclarar -de manera no exhaustiva– las obligaciones de conservación y bloqueo de los datos personales y su adecuación a la normativa de protección de datos personales aplicable, es decir, la LOPD y el RGPD. El Informe se refiere fundamentalmente a los plazos de retención en el contexto de documentación e información de recurso humanos, pero es de utilidad para entender cómo la AEPD está interpretando conceptos relevantes como el deber de bloqueo o cómo conservar la documentación cuando existen plazos de prescripción de acciones.
En virtud del principio de limitación del plazo de conservación, como regla general, los datos personales deben suprimirse cuando dejen de ser necesarios para cumplir con la finalidad para la que fueron recabados (e.g. finalización del contrato que vincula al responsable del tratamiento con el interesado). Sin perjuicio de ello, de manera excepcional, los datos personales pueden ser conservados durante un periodo de tiempo determinado conforme a las condiciones que se detallarán seguidamente.
Una particularidad de la normativa española (artículo 32 de la LOPD) es que prevé que el proceso de supresión del dato personal, en determinadas circunstancias, pueda estar precedido por el bloqueo del dato (i.e., acceso restringido) de manera previa al borrado definitivo y físico del dato.
Así, la normativa prevé limitaciones al derecho de supresión por medio de las cuales se habilita la conservación de los datos en los siguientes supuestos, que incluyen entre otras:
- Cumplimiento de una obligación legal: el tratamiento (conservación) es necesario para el cumplimiento de una obligación legal, conforme a lo previsto en el artículo 17.3. b) del RGPD.
- Fines de archivo en interés público, investigación científica e histórica, fines estadísticos: cuando los datos se traten para estos fines podrán ser conservados en virtud de los artículos 17.3.c) y 89 del RGPD.
- Ejercicio o defensa de reclamaciones: Tal y como se establece en el artículo 17.3.e) del RGPD en relación con el artículo 24 CE (derecho a la tutela judicial efectiva), se podrán conservar los datos cuando resulten necesarios para el ejercicio de derechos o la defensa frente a reclamaciones.
Sin perjuicio de las excepciones anteriormente mencionadas (y, por tanto, la posibilidad de conservación con base en estas excepciones), la AEPD considera que el sujeto obligado a conservar los datos debe cumplir con el resto de principios en materia de protección de datos durante dicho plazo de conservación. Entre ellos, es necesario asegurar el cumplimiento del principio de limitación de la finalidad, y el principio de integridad y confidencialidad, con el objetivo de garantizar una seguridad adecuada en el tratamiento de los datos personales. En este sentido, el Informe menciona algunos plazos de conservación a modo ejemplificativo, a saber:
Tipo de obligación | Precepto legal | Plazo |
Obligación de conservación y custodia de libros y documentos del empresario. | 30.1 Código de Comercio | 6 años a partir del último asiento realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales. |
Seguridad Social: documentación, registros o soportes informáticos en que se hayan transmitido los datos que acrediten el cumplimiento de obligaciones en materia de filiación, altas, bajas, documentos de cotización, recibos justificativos de gastos. | 21.2. RD Legislativo 5/2000 | 4 años. |
Video vigilancia. | 22 LOPD | Plazo de conservación máximo 1 un mes, y después supresión física. |
Denuncias internas. | 24 LOPD | Plazo de conservación máximo de 3 meses, y después supresión física. |
Prevención de riesgos laborales. | 22 Ley 31/1995 | Plazo de conservación de datos de salud en los términos reglamentariamente expuestos (*1*). |
Prevención de blanqueo de capitales y financiación del terrorismo: obligación de que los sujetos conserven la documentación en la que se formalice el cumplimiento de las obligaciones establecidas en dicha ley. | 25 Ley 10/2010 | 10 años. |
(*1*) Es necesario identificar la norma reglamentaria aplicable. Por ejemplo, el artículo 9 del RD 664/1997 sobre protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo establece plazos de conservación de 10 años para situaciones de exposición a agentes biológicos, y de 40 años en caso de que la exposición de lugar a una infección con determinadas características.
Los datos de carácter personal en formato papel serán destruidos mediante destructora de papel, en el caso de no disponer de ella podrán dirigirse a la empresa contratada para ello.
En cuanto al bloqueo de datos, el artículo 32 de la LOPD indica que el bloqueo de datos consiste en la identificación y reserva de los datos, adoptando las medidas técnicas y organizativas para impedir su tratamiento (incluso su visualización) salvo para su puesta a disposición de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes (entre otras, la AEPD) para la exigencia de posibles responsabilidades derivadas del tratamiento de los datos y sólo por el plazo de prescripción de tales obligaciones.
El bloqueo de datos supone una excepción a la regla de supresión de los datos que no aparece en el RGPD sino que es propia de la normativa española.
El bloqueo se configura como un paso previo al borrado definitivo, si bien solo es aplicable en los casos permitidos por la ley, conforme se explica en el Informe. El bloqueo tiene efectos similares al borrado, pero no supone el borrado físico de los datos.
Únicamente se podrá proceder al bloqueo de los datos cuando se prevea en una norma con rango de ley, dado que el bloqueo de los datos supone una excepción al borrado físico, y por lo tanto, una limitación al derecho fundamental a la protección de datos personales.
De este modo, el bloqueo podrá efectuarse durante los plazos de prescripción establecidos en la normativa que resulte de aplicación y con la finalidad de exigencia de posibles responsabilidades derivadas del tratamiento. Además el acceso a los datos y en consecuencia, la puesta a disposición de los mismos, se encuentra limitada únicamente a jueces y tribunales, el Ministerio Fiscal, o Administraciones Públicas en virtud del artículo 32 de la LOPD.
Sin perjuicio de lo anterior, el Informe indica que la obligación de bloqueo no impide el ejercicio del derecho de defensa por parte del responsable, sin embargo, esta circunstancia sólo justifica el acceso a los datos bloqueados en los estrictos términos del artículo 32 de la LOPD dado que lo datos bloqueados no podrán ser tratados para ninguna finalidad distinta de las señaladas en dicho precepto.
El bloque deberá garantizar que (i) no es posible el acceso a los datos por parte del personal que habitualmente tuviera acceso a los mismos, (ii) limita el acceso únicamente a personas con la máxima responsabilidad, y en virtud de un requerimiento judicial o administrativo, (iii) el objetivo es que el acceso a los datos quede enteramente restringido.
Tal y como establece el Informe, el artículo 32 de la LOPD configura el “bloqueo de datos” como una obligación de responsabilidad proactiva, de forma que, por tanto, el responsable se encuentra obligado a bloquear los datos cuando proceda a su rectificación o supresión, siempre que el bloqueo se encuentre amparado por una norma con rango de ley.
En virtud de lo anterior, el bloqueo impide el tratamiento de datos para la finalidad que justificó su recogida. Además, de acuerdo con el principio de responsabilidad proactiva, el responsable del tratamiento debe incorporar en cada uno de los tratamientos del registro de actividades del tratamiento el plazo concreto durante el cual los datos deberán mantenerse bloqueados como estadio previo a su destrucción y borrado físico. En relación con lo anterior, la AEPD menciona que resulta imposible establecer una enumeración taxativa de la determinación de los periodos en los que el dato debe permanecer bloqueado. Sin embargo, la AEPD establece el siguiente listado ejemplificativo de plazos de bloqueo:
Tipo de obligación | Precepto legal | Plazo |
Obligaciones personales. | 1.964.2 Código Civil | 5 años de bloqueo desde que pueda exigirse el cumplimiento de la obligación (prescripción). |
Prescripción de las deudas tributarias. | 66 a 70 de la Ley General Tributaria | (i) 4 años de plazo de prescripción de deudas tributarias. (ii) En ocasiones (arts. 66 bis, 259.3.a LGT) podría estar justificado bloquear los datos durante un plazo hasta 10 años |
Prescripción de los delitos contra la Seguridad Social. | 131 Código Penal | (i) Plazo de prescripción de 10 años (pena de prisión o inhabilitación por más de 5 años y que no exceda de 10). (ii) Plazo de prescripción de 5 años para los demás delitos. (iii) Plazo de prescripción de 1 año para delitos de injurias y calumnias (*2*) |
Seguridad Social: prescripción de derechos y acciones. | 24 RD Legislativo 8/2015 | Plazo de prescripción de 4 años. |
Responsabilidad del tratamiento de los datos personales. | 78 LOPD | Plazo máximo de bloqueo de 3 años. |
Protección de datos: Derecho a indemnización y responsabilidad. | 82.1 RGPD 1968.2º CC | Se aplica el plazo de prescripción de 1 año previsto para la acción de responsabilidad extracontractual. |
Orden Social: sanciones. | Art. 4 del RD Legislativo 5/2000 | Plazo de prescripción de 3 años como regla general, desde la fecha de la infracción (*3*) |
Prescripción de acciones en el ámbito laboral. | 59 RD Legislativo 2/2015 | Plazo de prescripción de 1 año para las acciones derivadas del contrato de trabajo que no tengan plazo de prescripción específico. |
(*2*) En el caso de delitos contra la Hacienda Pública se prevén variaciones en el plazo de conservación, artículos 305-310 del Código Penal.
(*3*) En el caso de sanciones en el orden social, los apartados 2º, 3º y 4º del artículo 4 RD Legislativo 5/2000 establecen plazos de prescripción especiales.
El borrado físico se producirá generalmente al término del plazo de bloqueo de los datos; sin embargo, en aquellas circunstancias en las que no exista obligación de bloquear los datos personales, por ejemplo, porque no se establezca en ninguna norma la necesidad de mantener el dato bloqueado, se deberá proceder directamente al borrado definitivo o físico de los mismos.
Introducción.
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (en adelante Reglamento general de protección de datos), es una norma que viene a evitar el peligro derivado de los problemas que surgen en torno a los flujos de datos. Mediante el presente Reglamento, se busca la protección de la privacidad de los ciudadanos europeos y establecer las condiciones para la existencia de un mercado común de datos.
De entre todos los principios recogidos en el artículo 5 del Reglamento de protección de datos, destaca el principio de limitación del plazo de conservación.
Según este principio, los datos deben ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales. Superado ese tiempo, sólo pueden conservarse durante períodos más largos con las finalidades de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, siendo en ocasiones preciso, en orden a salvaguardar el principio de minimización, proceder a la seudonimización de los datos, tal y como lo recoge el artículo 89 del Reglamento. Ello sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el Reglamento para proteger los derechos del interesado.
La Ley Orgánica de protección de datos de carácter personal impone el deber de cancelación cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Permite el mantenimiento de los datos siempre que se proceda a su anonimización, lo que conlleva ciertos riesgos, pues debe asegurarse que ésta se ha producido de forma efectiva y para siempre, y que ni siquiera el responsable puede volver a identificar a los titulares de los datos. Difiere a su Reglamento el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
Fundamentación jurídica.
Con el objetivo de evitar las anteriores dificultades e establece el deber de destruir o devolver los datos al responsable una vez cumplida la prestación contractual. En el caso de que exista una previsión legal que exija su conservación, no procederá la destrucción de los datos sino que deberá procederse a la devolución de os datos garantizando el Responsable del registro dicha conservación.
Diversos preceptos legales establecen un plazo de conservación de los datos por servir a otras finalidades compatibles con el tratamiento inicial. La propia Ley Orgánica de protección de datos de carácter personal señalaba que los datos deben ser conservados durante los plazos que se señalen en las disposiciones aplicables o si así está previsto en las relaciones contractuales entre el responsable y el interesado, siempre que sirva a finalidades legítimas derivadas del cumplimiento del contrato.
En el Informe de la Agencia Española de Protección de Datos 408/2010 se recoge la doctrina sentada en cuanto a esta cuestión. Según éste, es imposible determinar un plazo concreto derivado del principio de calidad de los datos y, por tanto:
- Deberá atenderse al plazo de prescripción de las acciones jurídicas que surjan de la relación jurídica que funde el tratamiento en virtud de la legislación civil o mercantil que la regule; o
- El plazo de prescripción de cuatro años de las deudas tributarias; o
- El de tres años del art. 47.1 de la LOPD; o
- Los establecidos en otras normas con rango de Ley que resulten de aplicación al caso.
Política de conservación de datos personales.
Mediante la presente Política de conservación de datos personales, se pretende establecer unas directrices de actuación relativas a determinar cuándo debe procederse a la conservación o a la destrucción de los datos, a los efectos de dar cumplimiento a las exigencias derivadas del deber de calidad.
La presente Política deberá ser observada por DELCOM DELIVERY SL (en adelante DELCOM), así como por las empresas que traten datos de carácter personal en calidad de Encargados del Tratamiento, siendo de aplicación respecto de datos que sean objeto tanto de tratamiento automatizado como de tratamiento en papel.
La presente Política deberá ser observada por todo el personal que maneje datos de carácter personal en el desarrollo de su actividad diaria.
Cuando DELCOM tenga la consideración de Responsable, de conformidad con el principio de calidad, la Ley Orgánica de protección de datos de carácter personal establecía en su art. 4 los requisitos que deberán ser observados. En este sentido los datos objeto de tratamiento deben:
- Adecuarse a la finalidad para la que fueron recabados.
- No utilizarse para finalidades distintas y/o incompatibles con las que justificaron su recogida y tratamiento.
- No ser mantenidos indefinidamente sin justificación.
- Ser cancelados cuando hayan dejado de ser necesarios para la finalidad que justificó su recogida y tratamiento.
Cuando DELCOM actúe en calidad de Responsable, deberán ser observadas las siguientes obligaciones:
No se mantendrán datos personales cuando los mismos ya no sean útiles ni necesarios para la finalidad que justificó su recogida y tratamiento, o una vez cumplida y agotada dicha finalidad.
En este supuesto se procederá a la cancelación de los datos:
- Opcionalmente, respecto de los datos contenidos en soporte papel, la cancelación podrá tener lugar mediante la entrega de dicha información a la persona o personas que sean titulares de la misma.
- Si los datos están contenidos en soporte informático, se procederá a la supresión de los datos, sin que sea suficiente el empleo de una marca lógica o el mantenimiento de otro fegistro alternativo en el que se registren las cancelaciones.
No será de aplicación lo dispuesto en el punto anterior cuando:
- Los datos vayan a ser utilizados con una finalidad histórica y/o estadística.
- Se pudiese causar un perjuicio a intereses legítimos del titular de los datos o de terceros.
- Una norma imponga la obligación de conservar los datos durante un periodo de tiempo determinado.
- Los datos y documentación sirvan como justificante de una actividad o servicio prestado, durante los plazos de prescripción de las acciones civiles, penales, administrativas o de cualquier otro tipo que pudieran derivarse de la actividad o servicio prestado.
Cuando DELCOM actúe en calidad de Encargado del Tratamiento, deberán ser observadas las siguientes obligaciones:
Cumplida la prestación contractual que dio lugar al encargo del tratamiento, deberá procederse a la destrucción o devolución, al Responsable del registro, de los datos, así como de cualquier soporte o documento en los que conste algún dato de carácter personal.
- A tal efecto, se observarán las instrucciones que expresamente hubieren sido dadas por el Responsable del registro y, en su defecto, se procederá a la devolución.
- En todo caso, se procederá a la devolución de toda la documentación original en soporte papel, facilitada por el Responsable del registro, que obre en poder del Encargado del Tratamiento.
No será de aplicación lo previsto en el punto anterior cuando el Responsable del registro expresamente hubiese solicitado al Encargado del Tratamiento que proceda al archivo y conservación de los datos y documentación, facilitados previamente para hacer posible la prestación del servicio, o en caso de existir una previsión legal que exija su conservación.
En este supuesto, deberá comprobarse que en el contrato de encargado del tratamiento suscrito se haya dejado constancia expresa de la obligación del Encargado del Tratamiento de proceder al archivo y conservación de los datos y documentación del Responsable del registro.
En caso contrario, se recomienda que se suscriba un nuevo contrato, haciendo uso de la CLÁUSULA DE ENCARGO DE TRATAMIENTO implantada en DELCOM, donde se especifique que el Encargado del Tratamiento va a proceder al archivo y conservación, por cuenta del Responsable del registro, de los datos y documentación previamente facilitados por éste.
Plazos normativos y legales de conservación y bloqueo de datos personales
Con fecha pasado 9 de diciembre de 2020, la Agencia Española de Protección de Datos publicó el Informe Jurídico 00148/2019 que resuelve una consulta con el objetivo de aclarar -de manera no exhaustiva– las obligaciones de conservación y bloqueo de los datos personales y su adecuación a la normativa de protección de datos personales aplicable, es decir, la LOPD y el RGPD. El Informe se refiere fundamentalmente a los plazos de retención en el contexto de documentación e información de recurso humanos, pero es de utilidad para entender cómo la AEPD está interpretando conceptos relevantes como el deber de bloqueo o cómo conservar la documentación cuando existen plazos de prescripción de acciones.
En virtud del principio de limitación del plazo de conservación, como regla general, los datos personales deben suprimirse cuando dejen de ser necesarios para cumplir con la finalidad para la que fueron recabados (e.g. finalización del contrato que vincula al responsable del tratamiento con el interesado). Sin perjuicio de ello, de manera excepcional, los datos personales pueden ser conservados durante un periodo de tiempo determinado conforme a las condiciones que se detallarán seguidamente.
Una particularidad de la normativa española (artículo 32 de la LOPD) es que prevé que el proceso de supresión del dato personal, en determinadas circunstancias, pueda estar precedido por el bloqueo del dato (i.e., acceso restringido) de manera previa al borrado definitivo y físico del dato.
Así, la normativa prevé limitaciones al derecho de supresión por medio de las cuales se habilita la conservación de los datos en los siguientes supuestos, que incluyen entre otras:
- Cumplimiento de una obligación legal: el tratamiento (conservación) es necesario para el cumplimiento de una obligación legal, conforme a lo previsto en el artículo 17.3. b) del RGPD.
- Fines de archivo en interés público, investigación científica e histórica, fines estadísticos: cuando los datos se traten para estos fines podrán ser conservados en virtud de los artículos 17.3.c) y 89 del RGPD.
- Ejercicio o defensa de reclamaciones: Tal y como se establece en el artículo 17.3.e) del RGPD en relación con el artículo 24 CE (derecho a la tutela judicial efectiva), se podrán conservar los datos cuando resulten necesarios para el ejercicio de derechos o la defensa frente a reclamaciones.
Sin perjuicio de las excepciones anteriormente mencionadas (y, por tanto, la posibilidad de conservación con base en estas excepciones), la AEPD considera que el sujeto obligado a conservar los datos debe cumplir con el resto de principios en materia de protección de datos durante dicho plazo de conservación. Entre ellos, es necesario asegurar el cumplimiento del principio de limitación de la finalidad, y el principio de integridad y confidencialidad, con el objetivo de garantizar una seguridad adecuada en el tratamiento de los datos personales. En este sentido, el Informe menciona algunos plazos de conservación a modo ejemplificativo, a saber:
Tipo de obligación | Precepto legal | Plazo |
Obligación de conservación y custodia de libros y documentos del empresario. | 30.1 Código de Comercio | 6 años a partir del último asiento realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales. |
Seguridad Social: documentación, registros o soportes informáticos en que se hayan transmitido los datos que acrediten el cumplimiento de obligaciones en materia de filiación, altas, bajas, documentos de cotización, recibos justificativos de gastos. | 21.2. RD Legislativo 5/2000 | 4 años. |
Video vigilancia. | 22 LOPD | Plazo de conservación máximo 1 un mes, y después supresión física. |
Denuncias internas. | 24 LOPD | Plazo de conservación máximo de 3 meses, y después supresión física. |
Prevención de riesgos laborales. | 22 Ley 31/1995 | Plazo de conservación de datos de salud en los términos reglamentariamente expuestos (*1*). |
Prevención de blanqueo de capitales y financiación del terrorismo: obligación de que los sujetos conserven la documentación en la que se formalice el cumplimiento de las obligaciones establecidas en dicha ley. | 25 Ley 10/2010 | 10 años. |
(*1*) Es necesario identificar la norma reglamentaria aplicable. Por ejemplo, el artículo 9 del RD 664/1997 sobre protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo establece plazos de conservación de 10 años para situaciones de exposición a agentes biológicos, y de 40 años en caso de que la exposición de lugar a una infección con determinadas características.
Los datos de carácter personal en formato papel serán destruidos mediante destructora de papel, en el caso de no disponer de ella podrán dirigirse a la empresa contratada para ello.
En cuanto al bloqueo de datos, el artículo 32 de la LOPD indica que el bloqueo de datos consiste en la identificación y reserva de los datos, adoptando las medidas técnicas y organizativas para impedir su tratamiento (incluso su visualización) salvo para su puesta a disposición de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes (entre otras, la AEPD) para la exigencia de posibles responsabilidades derivadas del tratamiento de los datos y sólo por el plazo de prescripción de tales obligaciones.
El bloqueo de datos supone una excepción a la regla de supresión de los datos que no aparece en el RGPD sino que es propia de la normativa española.
El bloqueo se configura como un paso previo al borrado definitivo, si bien solo es aplicable en los casos permitidos por la ley, conforme se explica en el Informe. El bloqueo tiene efectos similares al borrado, pero no supone el borrado físico de los datos.
Únicamente se podrá proceder al bloqueo de los datos cuando se prevea en una norma con rango de ley, dado que el bloqueo de los datos supone una excepción al borrado físico, y por lo tanto, una limitación al derecho fundamental a la protección de datos personales.
De este modo, el bloqueo podrá efectuarse durante los plazos de prescripción establecidos en la normativa que resulte de aplicación y con la finalidad de exigencia de posibles responsabilidades derivadas del tratamiento. Además el acceso a los datos y en consecuencia, la puesta a disposición de los mismos, se encuentra limitada únicamente a jueces y tribunales, el Ministerio Fiscal, o Administraciones Públicas en virtud del artículo 32 de la LOPD.
Sin perjuicio de lo anterior, el Informe indica que la obligación de bloqueo no impide el ejercicio del derecho de defensa por parte del responsable, sin embargo, esta circunstancia sólo justifica el acceso a los datos bloqueados en los estrictos términos del artículo 32 de la LOPD dado que lo datos bloqueados no podrán ser tratados para ninguna finalidad distinta de las señaladas en dicho precepto.
El bloque deberá garantizar que (i) no es posible el acceso a los datos por parte del personal que habitualmente tuviera acceso a los mismos, (ii) limita el acceso únicamente a personas con la máxima responsabilidad, y en virtud de un requerimiento judicial o administrativo, (iii) el objetivo es que el acceso a los datos quede enteramente restringido.
Tal y como establece el Informe, el artículo 32 de la LOPD configura el “bloqueo de datos” como una obligación de responsabilidad proactiva, de forma que, por tanto, el responsable se encuentra obligado a bloquear los datos cuando proceda a su rectificación o supresión, siempre que el bloqueo se encuentre amparado por una norma con rango de ley.
En virtud de lo anterior, el bloqueo impide el tratamiento de datos para la finalidad que justificó su recogida. Además, de acuerdo con el principio de responsabilidad proactiva, el responsable del tratamiento debe incorporar en cada uno de los tratamientos del registro de actividades del tratamiento el plazo concreto durante el cual los datos deberán mantenerse bloqueados como estadio previo a su destrucción y borrado físico. En relación con lo anterior, la AEPD menciona que resulta imposible establecer una enumeración taxativa de la determinación de los periodos en los que el dato debe permanecer bloqueado. Sin embargo, la AEPD establece el siguiente listado ejemplificativo de plazos de bloqueo:
Tipo de obligación | Precepto legal | Plazo |
Obligaciones personales. | 1.964.2 Código Civil | 5 años de bloqueo desde que pueda exigirse el cumplimiento de la obligación (prescripción). |
Prescripción de las deudas tributarias. | 66 a 70 de la Ley General Tributaria | (i) 4 años de plazo de prescripción de deudas tributarias. (ii) En ocasiones (arts. 66 bis, 259.3.a LGT) podría estar justificado bloquear los datos durante un plazo hasta 10 años |
Prescripción de los delitos contra la Seguridad Social. | 131 Código Penal | (i) Plazo de prescripción de 10 años (pena de prisión o inhabilitación por más de 5 años y que no exceda de 10). (ii) Plazo de prescripción de 5 años para los demás delitos. (iii) Plazo de prescripción de 1 año para delitos de injurias y calumnias (*2*) |
Seguridad Social: prescripción de derechos y acciones. | 24 RD Legislativo 8/2015 | Plazo de prescripción de 4 años. |
Responsabilidad del tratamiento de los datos personales. | 78 LOPD | Plazo máximo de bloqueo de 3 años. |
Protección de datos: Derecho a indemnización y responsabilidad. | 82.1 RGPD 1968.2º CC | Se aplica el plazo de prescripción de 1 año previsto para la acción de responsabilidad extracontractual. |
Orden Social: sanciones. | Art. 4 del RD Legislativo 5/2000 | Plazo de prescripción de 3 años como regla general, desde la fecha de la infracción (*3*) |
Prescripción de acciones en el ámbito laboral. | 59 RD Legislativo 2/2015 | Plazo de prescripción de 1 año para las acciones derivadas del contrato de trabajo que no tengan plazo de prescripción específico. |
(*2*) En el caso de delitos contra la Hacienda Pública se prevén variaciones en el plazo de conservación, artículos 305-310 del Código Penal.
(*3*) En el caso de sanciones en el orden social, los apartados 2º, 3º y 4º del artículo 4 RD Legislativo 5/2000 establecen plazos de prescripción especiales.
El borrado físico se producirá generalmente al término del plazo de bloqueo de los datos; sin embargo, en aquellas circunstancias en las que no exista obligación de bloquear los datos personales, por ejemplo, porque no se establezca en ninguna norma la necesidad de mantener el dato bloqueado, se deberá proceder directamente al borrado definitivo o físico de los mismos.
