Es recurrente que en respuesta a la exigencia legal que plantea el cumplimiento del Principio de Calidad consagrado por el Artículo 4 de la Ley Orgánica de Protección de Datos, las empresas se pregunten por cuánto tiempo deben conservar los datos de carácter personal una vez ha finalizado el tratamiento de los mismos.
Sin duda los datos personales que más incertidumbre suscitan son los que tratan el departamento de Recursos Humanos. Su conservación, debe llevar aparejado una utilidad o vigencia del contrato que los origina, de manera que sean adecuados, pertinentes y no excesivos para las finalidades para las que fueron recabados. Por tanto, en la medida en que la relación entre el empleado y la empresa está vigente, se entiende justificado el mantenimiento de todos los datos que pudieran recabarse durante dicha relación contractual.
Esto se traduce, en que cuando concluye el fin para el que obtuvieron datos personales, se deben cancelar (salvo que el tratamiento sea para fines históricos, estadísticos o científicos), es decir, deben bloquearse salvo que sea necesario tenerlos a disposición de las Administraciones Públicas, Jueces y Tribunales. (art.16.3.)
Existe otra salvedad al Principio de Calidad, que surge cuando se produce una cobertura legal para la conservación de datos de carácter personal.
Sin embargo, es conveniente hacer una lectura complementaria de ambas excepciones (por un lado la puesta a disposición de las Administraciones Públicas, Jueces y Tribunales, y por otro, la cobertura legal de conservación de datos personales), puesto que habitualmente el fundamento normativo que tipifica la conservación de datos personales, es su puesta a disposición de las instancias administrativas y judiciales.
De éste desarrollo inicial se extraen las siguientes conclusiones que debe tener en cuenta la Entidad:
- Cuando se recaban y tratan datos, debe haber necesariamente una finalidad detrás.
- Cuando haya acabado la finalidad del tratamiento, los datos serán cancelados (salvo que se trate de fines históricos, estadísticos o científicos).
- No deben ser destruidos desde el momento en que finaliza el tratamiento para el que fueron recabados, pues hay plazos de conservación que prescribe la ley, que exige conservarlos para ponerlos a disposición de diferentes instancias judiciales y administrativas.
- Finalizado éste plazo de prescripción legal de conservación, serán destruidos. En éste punto se hace necesario enumerar cuales son éstos plazos:
Conservación.
- La LOPD: Establece un plazo de conservación de 3 años a partir de haber finalizado su tratamiento. Este plazo deriva de las posibles reclamaciones que se puedan hacer por infracciones relativas al tratamiento de los datos, pues la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT), establece en su artículo 57 que las infracciones muy graves prescriben a los 3 años; las graves, a los 2 años, y las leves a los 6 meses. Por su parte, la LOPD, establece idénticos plazos de prescripción. Así, la razón de su conservación sería una eventual reclamación por parte de un afectado, que implicaría una puesta a disposición del Poder Judicial de los datos del reclamante, a efecto de juzgar la legalidad de su tratamiento.
- Derecho societario: Se deberán conservar los siguientes documentos durante 6 años:
– Libro diario.
– Libro de inventarios y balances.
– Libro de facturas emitidas.
– Libro de facturas recibidas.
- Reglamento de facturación: Las facturas en las que el emisor o receptor sea persona física, se deben conservar durante un período de cinco años a partir de su emisión.
- Ley General Tributaria: Establece un plazo de cuatro años para el ejercicio de determinados derechos formales y económicos por parte de la Administración y del contribuyente.
- Ley de la Seguridad Social: Establece un período de cinco años para la prescripción de la obligación del pago de cuotas a la Seguridad Social, a partir de la fecha en que preceptivamente debieran ser ingresadas.
- La Ley reguladora de la Autonomía del Paciente: Establece un plazo de cinco años para la conservación de la documentación clínica, a partir de la fecha de alta de cada proceso asistencial.
Cancelación y destrucción: Control de acceso
- Instrucción 1/1996: Los datos incluidos en ficheros automatizados creados para controlar el acceso a edificios, deben ser destruidos transcurrido el plazo de un mes a partir de su obtención, sin embargo aquí debe hacerse mención a la Instrucción video vigilancia 1/1996 que se refiere a la cancelación de los datos en el plazo máximo de un mes desde su captación.
- Instrucción 2/1996: Los datos de control de acceso a casinos, bingos y salas de juego deben ser destruidos a los seis meses a partir de su obtención.
Áudea Seguridad de la Información
Departamento de Comunicación