Ya hemos hablado con anterioridad en nuestros blogs del concepto de bloqueo de datos. En esta ocasión vamos a centrarnos en qué aspectos deben contemplar un procedimiento de bloqueo y supresión de datos.
Empecemos con una justificación legal de dicho procedimiento, (que os podéis saltar e ir directamente al punto 2, si ya os la sabéis), y en el apartado 2 vamos con los elementos clave de un procedimiento de este tipo.
1. Justificación legal del bloqueo y supresión de los datos cuando termina la finalidad del tratamiento
La legislación en materia de protección de datos establece que los datos de carácter personal sólo pueden conservarse durante el tiempo que sea necesario para la finalidad del tratamiento.
En artículo 5 del RGPD, se establece el “principio de limitación del plazo de conservación” de los datos que indica lo siguiente:
Los datos serán:
- Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales;
- Los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1.
- Sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado.
Por su parte, el artículo 17 del RGPD establece el derecho de supresión de los titulares de los datos de sus datos de carácter personal respecto de los cuales, el Responsable del Tratamiento (la organización que trata los datos), estará obligado a suprimir sin dilación indebida cuando concurra alguna de las circunstancias siguientes:
- Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
- El interesado retire el consentimiento en que se basa el tratamiento.
- El interesado se oponga al tratamiento con arreglo al artículo 21.1 y 21.2 (relativo al derecho de oposición del titular de los datos)
- Los datos personales hayan sido tratados ilícitamente
- Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento
- Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1 (relativo a al consentimiento de las personas menores de edad en el contexto de los servicios de la sociedad de la información).
Sin que aplique dicho derecho de supresión cuando:
- Se trate del ejercicio del derecho a la libertad de expresión y de información.
- Cuando los datos deban tratarse por cumplimiento de una obligación legal que aplique al responsable del tratamiento.
- Cuando los datos deban tratarse por cumplimiento de una misión realizada en interés público.
- Cuando los datos deban tratarse en el ejercicio de poderes públicos conferidos al responsable.
- Por razones de interés público en el ámbito de la salud pública.
- Con fines de archivo en interés público para fines de investigación científica o histórica o fines estadísticos conforme al 89.1
A su vez, la LOPDGDD, introduce en su artículo 32 el concepto del bloqueo de datos de la siguiente manera:
- El responsable del tratamiento está obligado a bloquear datos cuando proceda a su rectificación o supresión.
- El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.
- Transcurrido ese plazo deberá procederse a la destrucción de los datos.
- Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior
- Cuando para el cumplimiento de esta obligación, la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo.
- La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.
Entre dichas excepciones al bloqueo del último punto, se encuentran las siguientes:
- Supuestos de videovigilancia (art. 22 de la LOPDGDD)
- Sistemas de buzones internos de denuncias.
- Tratamientos relacionados con determinadas operaciones mercantiles (art.21 de la LOPDGDD)
2. Elementos que debe contemplar un procedimiento de bloqueo y supresión
Teniendo en cuenta los requisitos legales comentados en el anterior apartado, las organizaciones deben documentar, desarrollar e implementar procedimientos que garanticen, conforme a dichos requisitos, sus obligaciones de bloqueo y supresión de datos.
El procedimiento de supresión debe contemplar, en primer lugar el periodo de bloqueo, por lo tanto, implica:
El procedimiento de supresión debe contemplar, en primer lugar el periodo de bloqueo, por lo tanto, implica:
1. Definir el periodo de uso de los datos y el momento en el que termina la finalidad que justificaba su tratamiento.
Por ejemplo, el final de la relación laboral entre la persona trabajadora y la organización que la emplea, conlleva la desaparición de la base jurídica que justificaba el tratamiento de datos por parte de dicha organización.
2. Verificar y establecer una previsión sobre el periodo de conservación de los datos, una vez que desaparecida la base jurídica que legitimaba el tratamiento previo y en el caso de que alguna obligación legal exija dicha conservación.
En el caso de obligación legal y plazo no exista o cuando este sea inferior a un año, deberán tenerse en cuenta, igualmente, los plazos de prescripción de las infracciones a la LOPDGDD, que en el caso de las muy graves es de tres años (art. 78 LOPDGDD), sin perjuicio de que pudieran derivarse otras obligaciones o responsabilidades, por ejemplo, en el marco de procedimientos administrativos o judiciales.
3. Establecer el periodo de bloqueo, cuya duración está directamente relacionado con la prescripción de las acciones que exijan responsabilidades derivadas del tratamiento.
Por ejemplo, las obligaciones tributarias prescriben a los cuatro años. Por tanto, los datos relativos a las retenciones practicadas a las personas trabajadoras deben bloquearse por un periodo de cuatro años a contar desde la fecha límite para presentar la declaración en cada ejercicio.
4. Los datos no pueden manipularse ni alterarse durante el periodo de bloqueo. En ese período no se admite el tratamiento de datos, sino únicamente su puesta a disposición de las autoridades competentes, cuando proceda.
Por tanto, la organización deberá valorar qué medidas técnicas y organizativas implementar para garantizar el bloqueo de los datos.
3. Los plazos de bloqueo y conservación de los datos
Los plazos de conservación, bloqueo y supresión dependerán, en primer lugar, de la duración de la finalidad del tratamiento y, en segundo lugar, de las distintas legislaciones aplicables que requieran la conservación de dichos datos, una vez terminada la finalidad del tratamiento.
En definitiva, cada organización deberá definir en sus procedimientos dichos plazos de retención, bloqueo y supresión, de acuerdo a las finalidades de tratamiento, la terminación de dichas finalidades y los plazos de prescripción que aplica a cada tratamiento, teniendo en cuenta que una organización tiene diferentes tratamientos, como los relacionados con aspectos tributarios, de seguridad social, laboral o prevención de riesgos laborales, generalmente comunes a todas las organizaciones. Así como los propios de la actividad de negocio de la organización, generalmente derivados de obligaciones mercantiles o con consumidor final.
