Política de conservación de datos

INTRODUCCION

La Exposición de motivos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales –LOPDGDD– indica que “la mayor novedad que presenta el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) es la evolución del modelo fundado en el control del cumplimiento a otro que se basa en el principio de responsabilidad activa, lo que exige que el responsable del tratamiento o el encargado del tratamiento valoren el riesgo que puede generar el tratamiento de los datos personales y, a partir de esta valoración, adopten las medidas necesarias para garantizar la confidencialidad, disponibilidad, integridad y resiliencia, tal y como lo establece en el art. 5.2 RGPD: “el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo”.

FINALIDAD DE ESTA POLÍTICA Y ÁMBITO DE APLICACIÓN

La gestión de los documentos en los que se plasma la información de las empresas es de importancia capital. La divulgación de secretos comerciales u otros datos confidenciales que pertenecen a la empresa por una falta de cuidado con respecto al archivo o la destrucción de documentos empresariales puede perjudicar la percepción que se tiene de la misma como empresa honesta y comportar una pérdida permanente de reputación; debe ayudar a evitar los perjuicios legales que puedan surgir del hecho de que los documentos no sean (plenamente) consultables. Esto sirve para asegurar la situación jurídica de la empresa, por ejemplo, durante auditorías, investigaciones oficiales o procedimientos judiciales.

Los documentos cuyo plazo de conservación haya vencido deben ser destruidos en el momento adecuado y de modo correcto, mediante destructora de documentación y/o empresa externa de destrucción de papel certificada.

Además, los datos personales requieren medidas de seguridad especiales: deben estar protegidos en todo momento contra accesos o modificaciones no autorizados y pérdidas, incluso durante su archivo dentro de los plazos de conservación legales y su ulterior destrucción.

La presente política global se aplica a todos los directores administración (incluidos administradores, consejeros, apoderados, etc.), y a todos los empleados de la entidad, así como a todas las personas que trabajan para la misma sobre la base de un contrato de servicios (ya sea integrados en la organización u obligados por el contrato de servicios) (en lo sucesivo, «destinatarios de la presente política»). Si terceros archivan documentos de la entidad o participan en el proceso de archivo, el destinatario de la presente política responsable de la relación con estos terceros debe asegurarse de que los documentos sean tratados conforme a la presente política global.

LA LIMITACIÓN DEL PLAZO DE CONSERVACIÓN

Uno de los principios que se establecen es el de la “limitación del plazo de conservación”, en el Art. 5.1.e) RGPD, donde se indica que “los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado”.

La conservación de los datos de carácter personal se encuentra directamente vinculada con la finalidad para la que los datos fueron recogidos y tratados por el responsable (en virtud del art. 5.1 b) del RGPD, donde se establece que “los datos personales deben recogerse con fines determinados, explícitos y legítimos, y no deben ser tratados ulteriormente de manera incompatible con dichos fines –“principio de limitación de la finalidad”-). Asimismo, la finalidad debe vincularse con las bases jurídicas que permiten el tratamiento de datos personales (reguladas por el art. 6.1 del RGPD). Con carácter general, los datos se recaban y tratan para

  • realizar alguna actividad con en el consentimiento del interesado,
  • la ejecución de un contrato o precontrato en el que el interesado es parte, 
  • el cumplimiento de una obligación legal aplicable al responsable del tratamiento, 
  • necesidad de proteger intereses vitales del interesado
  • ejercicio de actividades públicas por parte de los poderes públicos
  • satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero;

Por todo ello, solamente será posible la conservación de los datos para los fines para la que los datos fueron recogidos y tratados por dicha entidad y en tanto concurran las bases jurídicas que justifican la realización de los correspondientes tratamientos. Finalizado dicho plazo, deberá procederse a la destrucción (borrado) de los datos, no pudiendo ser tratados los datos bloqueados para ninguna finalidad distinta de las señaladas (art. 32, apartados 2 y 3 RGPD).

Asimismo, y de acuerdo con los principios de minimización de datosy de exactitud, recogidos -respectivamente- en las letras c) y d) del citado art.  5.1 del RGPD, dichos datos serán “c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados” y d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan”. De acuerdo con ello, los datos personales serán suprimidos cuando hayan dejado de ser exactos y completos, pues si el responsable no es capaz de mantener los datos actualizados de forma que respondan con la situación real de las personas afectadas (aunque perdure la finalidad para la cual se realiza el tratamiento) el responsable estará obligado a suprimir esta información personal. 

Estas exigencias deben ser complementadas con las relativas a los derechos de los afectados, en especial con el derecho de supresión (art. 17 RGPD), que tiene por objeto la eliminación, sin dilación indebida, de los datos personales cuando concurra alguno de los supuestos que en dicho precepto se regulan, siendo la causa principal la desaparición de la finalidad que originó el tratamiento para el que los datos fueron recogidos.

EXCEPCIONES A LA LIMITACIÓN DEL PLAZO DE CONSERVACIÓN

El Considerando 65 RGPD dice así: “Los interesados deben tener derecho a que se rectifiquen los datos personales que le conciernen y un «derecho al olvido» si la retención de tales datos infringe el presente Reglamento o el Derecho de la Unión o de los Estados miembros aplicable al responsable del tratamiento. En particular, los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse

  • si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, 
  • si los interesados han retirado su consentimiento para el tratamiento o 
  • se oponen al tratamiento de datos personales que les conciernen, o 
  • si el tratamiento de sus datos personales incumple de otro modo el presente Reglamento. 

Este derecho es pertinente en particular si el interesado dio su consentimiento siendo niño y no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quiere suprimir tales datos personales, especialmente en internet. El interesado debe poder ejercer este derecho, aunque ya no sea un niño. Sin embargo, la retención ulterior de los datos personales debe ser lícita cuando

  •  sea necesaria para el ejercicio de la libertad de expresión e información, 
  • para el cumplimiento de una obligación legal, 
  • para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, 
  • por razones de interés público en el ámbito de la salud pública, 
  • con fines de archivo en interés público, 
  • fines de investigación científica o histórica o 
  • fines estadísticos, o 
  • para la formulación, el ejercicio o la defensa de reclamaciones”.

Así pues, como excepciones que permiten mantener y tratar los datos por más tiempo del necesario para la consecución de la finalidad originariamente perseguida se indica tanto en el Considerando 65 indicado como, explícitamente, en los arts. 5.1, letras b) y e), y el 17 del RGPD (que amplían el C. 65): 

  • 5.1 b) y e): los casos de tratamientos ulteriores con fines de
    • archivística en interés público, 
    • investigación científica e histórica y 
    • fines estadísticos, 

con las garantías recogidas en su artículo 89. 

  • 17.3 b) y e): cuando el tratamiento sea necesario
    • para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, 
    • para el cumplimiento de una misión realizada en interés público en el ejercicio de poderes públicos conferidos al responsable y/o
    • para la formulación, el ejercicio o la defensa de reclamaciones.
EL DEBER DE BLOQUEO

El art. 32 de la LOPDGDD regula la obligación de “bloqueo de los datos” de carácter personal. El deber de bloqueo es obligatorio tanto para el ejercicio de derechos (de rectificación y supresión) previstos en el RGPD, como en los casos en que se proceda, de oficio, a la supresión de los datos, una vez cumplido el plazo de conservación de éstos o por haber cumplido la finalidad para la que fueron recopilados y tratados). 

La obligación de bloqueo descarta el borrado material de los datos, si bien con una serie de limitaciones. Bloquear los datos significa que, aun debiendo conservar los datos, éstos no pueden tratarse; solamente se conservan a efectos de ponerlos a disposición de los jueces y tribunales, del Ministerio Fiscal o las Administraciones Públicas competentes y para la exigencia de posibles responsabilidades derivadas del tratamiento, y sólo por el plazo de prescripción de las mismas. El artículo 32.3, prohíbe cualquier otro tratamiento de los datos para fines distintos de los citados.

El art. 32.5 prevé la posibilidad de que las autoridades de protección de datos puedan establecer excepciones a la obligación de bloqueo en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera  conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.

Así pues, el bloqueo consiste en “la identificación y reserva de los datos personales, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización (…)”, y supone, en la práctica, la adopción de dichas medidas y la reducción al mínimo las personas que pueden acceder a la información, debiendo limitarse este acceso a personas con la   responsabilidad de contestar las reclamaciones que pudieran derivarse o del requerimiento judicial o administrativo correspondiente.

ENCARGADOS DEL TRATAMIENTO


En relación con el encargado del tratamiento, el art. 33.3 de la LOPDGDD establece que cuando finalice la prestación de los servicios del encargado al responsable, aquél tiene la obligación de no destruir los datos cuando exista una previsión legal que obligue a su conservación, en cuyo caso deberán ser devueltos al responsable, que garantizará su conservación mientras tal obligación persista. Y, el 33.4 incluso prevé la posibilidad de que el encargado del tratamiento conserve debidamente bloqueados los datos, en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento.

INFRACCIÓN AL PRINCIPIO DE LIMITACIÓN DEL PLAZO DE CONSERVACIÓN

El responsable del tratamiento debe atender, de una parte, a los plazos de prescripción de las acciones que pudieran derivarse de las relaciones jurídicas de toda índole -mercantil, civil, social, etcétera- que la vinculan con las personas afectadas por el tratamiento de sus datos, y, de otra parte, a las normas sectoriales que resulten aplicables a su actividad.

La infracción del principio de limitación del plazo de conservación se tipifica en el artículo 83.5.a) RGPD, que considera que la vulneración de los principios básicos para el tratamiento se sancionará con multa administrativa de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Por su parte, el artículo 72.1.a) LOPDGDD incluye entre las infracciones que se consideran muy graves y que prescribirán a los tres años: “El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679”, y, en el apartado n), “El incumplimiento de la obligación de bloqueo de los datos establecida en el artículo 32 de esta ley orgánica cuando la misma sea exigible”.

En cuanto a la determinación del día inicial del cómputo para la prescripción, conforme a lo dispuesto en el artículo 1969 del Código Civil, “El tiempo para la prescripción de toda clase de acciones, cuando no haya disposición especial que otra cosa determine, se contará desde el día en que pudieron ejercitarse”, quedando el plazo interrumpido en los supuestos previstos en el propio Código.

PLAZOS LEGALES DE CONSERVACIÓN Y PRESCRIPCIÓN DE ACCIONES SEGÚN NORMATIVA ESPAÑOLA

Este apartado incluye los plazos durante los cuales deben ser conservados los datos personales, en aquellos casos en que el periodo de conservación viene legalmente impuesto o bien cuando es necesario conservarlos bloqueados para atender posibles responsabilidades derivadas de su tratamiento. Finalizados los plazos legales de conservación o de bloqueo de los datos, éstos deben ser suprimidos. Asimismo, en el segundo apartado se muestran los plazos de prescripción de acciones.

Los plazos indicados son orientativos, pueden no ser exhaustivos en todos los casos y deberán ser completados y aplicados convenientemente por cada responsable para cada uno de los tratamientos de datos personales que lleve a cabo.

¿Alguna duda?
Tesorería general de la seguridad social
economistas colegio de castellón
puntos de atención al emprendimiento
agencia tributaria