El comienzo del año suele traer consigo organización, orden y limpieza de nuestras pertenencias o de documentos, en este sentido es conveniente recordar la importancia de revisar la información disponible en nuestra entidad y, en consecuencia, los plazos de conservación de los datos de carácter personal que tenemos implantados.
Como ejemplo de la importancia de llevar a cabo estos procedimientos, os recordamos la sanción que el año pasado la Agencia Española de Protección de Datos (en adelante, AEPD) impuso a BANKIA, S.A por conservar los datos personales de uno de sus antiguos clientes durante 16 años.
Esta sanción fue impuesta por la vulneración del principio de conservación de los datos personales actualmente regulado en el art. 5.1.e) del Reglamento General de Protección de Datos (en adelante, RGPD). Hasta día de hoy las sanciones por incumplimiento de este principio han sido puntuales, pero como podemos observar, es un tema relevante que abordar teniendo en cuenta la cuantía de la sanción, que, al tratarse de una infracción grave, se sancionó inicialmente a la entidad con 50.000 euros que finalmente, al acogerse ésta al pronto pago, se obtuvo una reducción y “solo” tuvo que abonar 40.000 euros.
No es un hecho aislado que las empresas decidan guardar la información obsoleta sin una causa que lo justifique. Por lo que, queremos recordaros la importancia de revisar vuestros plazos de supresión y los datos que se conservan en la entidad, así como de las medidas técnicas y organizativas relacionadas.
Adicionalmente, la AEPD publicó el pasado diciembre un informe en el que se examina la justificación de plazos de conservación de la información, en concreto, del área de Recursos Humanos. En este informe se establecen algunos plazos de retención en relación con denuncias internas, prevención de riesgos laborales, entre otros.
Cabe destacar la mención a la Sentencia del tribunal Constitucional 292/2000, de 30 de noviembre, en la que se enfatiza la necesidad de que conste una disposición con rango de Ley para que el bloqueo de los datos pueda considerarse lícitamente efectuado.
Desde el Departamento Legal de Áudea, os recordamos que para elaborar e implementar un procedimiento de retención y supresión de datos, debemos de tener un registro donde identifiquemos los plazos de conservación, teniendo en cuenta el tratamiento activo y de bloqueo de los datos que a continuación detallamos:
1.- Plazo del tratamiento activo: Periodo durante el cual los datos son pertinentes y necesarios para su tratamiento (activos) de acuerdo con la finalidad con la que fueron recogidos, hasta que ésta se extinga o el interesado ejerza sus derechos de supresión, rectificación u oposición al tratamiento de sus datos.
2.- Plazo de bloqueo – Conservación de los datos: Este plazo viene regulado en el art. 32 de la Ley Orgánica de Protección de Datos, conforme al cual, el responsable del tratamiento estará obligado a bloquear los datos cuando haya finalizado el plazo activo, adoptando medidas técnicas y organizativas, para impedir su tratamiento, conservándolos bloqueados únicamente para ponerlos a disposición de jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes. En todo caso el plazo de bloqueo estará acotado a lo que establezca la normativa aplicable como plazo de prescripción.
3.- Eliminación – Una vez haya trascurrido el plazo anterior se deben destruir los datos. En todos los casos, la destrucción se realizará mediante procedimientos seguros que impidan la recuperación posterior de los Datos.
Hay que considerar que este procedimiento contendrá determinadas particularidades cuando nuestra entidad actúe como Encargado del Tratamiento.
En Áudea estamos a vuestra disposición para ayudaros a elaborar las pertinentes políticas de conservación de datos y definir los plazos del tratamiento, previniendo así la comisión de infracciones en materia de protección de datos y sus posibles sanciones, teniendo en cuenta que la infracción del principio de limitación del plazo de conservación tipificado en el artículo 83.5 a) del RGPD que considera que la vulneración de los principios básicos para el tratamiento se puede sancionar con multas administrativas de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Equipo Legal
Áudea Seguridad de la Información