La normativa en materia de protección de datos personales establece que los datos deberán ser conservados durante un tiempo limitado sin fijar unos plazos específicos, pero vinculando dicho periodo a la vigencia de la finalidad perseguida con la operación de tratamiento.
Una vez agotada la finalidad perseguida con la operación de tratamiento, por regla general, los datos deberían ser eliminados de todos los sistemas . Pero la normativa española establece un paso previo a la supresión definitiva de los datos estamos hablando del bloqueo de los datos.
El bloqueo de los datos
El bloqueo de datos es paso previo a la supresión de los datos una vez agotada la finalidad, que no aparece en el RGPD sino que es propia de la normativa española.
El proceso de bloqueo consiste en la identificación y reserva de los mismos con el fin de impedir su tratamiento con ninguna finalidad, excepto para el caso de que fuera necesaria su disposición de las Administraciones públicas, Jueces y Tribunales, con el fin de atender a las posibles responsabilidades derivadas del propio tratamiento. Esta necesidad de bloqueo se aplicará hasta que termine el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo, deberá procederse a la supresión definitiva de los plazos.
Por todo ello, el bloqueo de datos se tiene que llevar a cabo siguiendo las siguientes acciones:
- Asegurando que no sea posible el acceso a los datos por parte del personal que habitualmente tuviera acceso a los mismos.
- Limitando el acceso, únicamente, a personas muy concretas, generalmente con máxima o alta responsabilidad en la organización, y sólo accederán a la misma en virtud de un requerimiento judicial o administrativo. El objetivo es que el acceso a los datos quede enteramente restringido para garantizar la mayor seguridad posible de los datos.
De manera orientativa, se indican aquí alguno de los plazos de prescripción de acciones que deberán tenerse en cuenta a la hora de aplicar el bloqueo a los datos de carácter personal una vez que ha terminado la finalidad de tratamiento sobre los mismos:
- Obligaciones personales sin plazo especial de prescripción en general (5 años)
- Obligaciones de custodia de libros y documentos del empresario (6 años)
- Deudas tributarias generales (4) años
- Situaciones tributarias especiales de arts. 66 bis, 259.3 a) y 262 (10 años)
- Infracciones penales (10 años)
- Infracciones en el orden social (3 años desde infracción)
- Infracciones en materia PRL (5 años desde infracción)
- Infracciones en materia de SS (4 años desde infracción)
- Infracciones a legislación de sociedades cooperativas (1 año desde infracción)
- Prescripción de acciones en el ámbito laboral (1 año)
- Situaciones especiales de PRL (agentes biológicos) (40 años)
- Obligaciones en materia de blanqueo de Capitales (10 años)
- Infracciones en materia de protección de datos (3 años)
- Videovigilancia (1 mes)
- Denuncias internas (3 meses)
Hay supuestos particulares en los que el bloqueo de datos no aplica y los datos deben ser eliminados directamente, sin dicho paso previo. Son casos como:
- Grabaciones de cámaras de videovigilancia, que deben ser directamente borradas en el plazo de un mes.
- Sistemas de información de denuncias internas, que deben ser borrados en el plazo de tres meses desde la introducción de los datos, deberá procederse a su supresión del sistema de denuncias, salvo que la finalidad de la conservación sea dejar evidencia del funcionamiento del modelo de prevención de la comisión de delitos por la persona jurídica
- Comunicaciones de datos en el contexto de operaciones mercantiles que supongan modificaciones estructurales de sociedades (fusiones, adquisiciones, etc) que no llegan a concluirse.
