¿Cuándo se deben borrar los datos?

Uno de los principios que inspira la legislación sobre tratamiento de datos personales es el de calidad de datos, regulado en el art. 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD. Este principio implica, entre otras cuestiones, que los datos deben ser necesarios y pertinentes para la finalidad para la cual hubieran sido recabados o registrados, así como exactos y completos. Es decir, una entidad no debe obtener más datos personales de los necesarios para el desarrollo de su legítima actividad.

Esto implica que cuando los datos personales dejen ser necesarios para los fines que se obtuvieron, se debe proceder a su cancelación, sin necesidad de solicitud del titular de los datos. Así lo establece explícitamente este mismo artículo en su punto 5 al establecer que los datos personales deben ser “cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”. Por tanto, el principio de calidad de datos impone a cualquier entidad, cuando proceda, cancelar los datos en su debido momento.

Pero, ¿cuando un dato personal deja de ser necesario para la finalidad para la que se obtuvo? No es posible hacer una generalización, este momento dependerá de la finalidad para la que se recabaron los datos. Por ejemplo, si una entidad solicita a través de medios de comunicación currículum para un puesto de trabajo, una vez otorgado éste a alguno de los candidatos, el resto de currículum ya no son necesarios, pues su finalidad era la de acceder a ese puesto de trabajo.

Establecido el momento de cancelación, maticemos que significa cancelar un dato. No significa eliminar un dato, más bien todo lo contrario, la obligación de conservarlo bloqueado durante un cierto tiempo. Así, cancelar un dato implica inicialmente su bloqueo, y posteriormente su eliminación física del soporte en el que esté almacenado.

Por tanto, inicialmente la cancelación da lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Tan solo cumplido este plazo debe procederse a la supresión de los datos.

Para la determinación del período de bloqueo de los datos debe tenerse en cuenta el principio de reserva de ley en cuanto a las limitaciones al derecho fundamental de protección de datos de carácter personal, de forma que cualquier limitación a ese derecho deberá constar en una disposición con rango de Ley para que el bloqueo de los datos pueda considerarse lícitamente efectuado. Resulta imposible establecer una enumeración taxativa de los mismos, debiendo, fundamentalmente, tenerse en cuenta, los plazos de prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula a la entidad con los afectados, así como los derivados de cualquier legislación que resulte de aplicación, como el plazo de cuatro años de prescripción de las deudas tributarias, si los datos tuvieran trascendencia desde el punto de vista tributario.

En cuanto al modo de llevar a cabo este bloqueo, debe efectuarse de forma que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. Esto se puede conseguir, para los ficheros automatizados, mediante su almacenamiento bajo cualquier tipo de dispositivo de seguridad que exija una clave de acceso para acceder a los datos, y para los ficheros en soporte papel, con su almacenamiento en un lugar al que sólo el responsable pueda tener acceso.

Moraleja, salvo si lo que se quiere es destruir pruebas, las entidades tienen la obligación de conservar bloqueados los datos personales mientras puedan nacer responsabilidades legales del tratamiento de los mismos, y sólo pasado este periodo han de eliminar físicamente la información.

Pedro Rodríguez López de Lemus

6 Comentarios | Leído 5160 veces

Tu puedes enviar una respuesta, or trackback desde tu propio site.

6 opiniones en “¿Cuándo se deben borrar los datos?”

  1. marcoscarola dice:

    Que opináis del grado de cumplimiento de la LOPD? creo sinceramente que la cumplimos pocos, yo desde hace bien poco que contraté a Safetydoc para la destrucción de documentos http://www.safetydoc.es/

  2. En definitiva, los guardas con la máxima responsabilidad, pero a ojos del cliente se supone que los eliminado??

    Gracias por la informacion y felicidades por el post.

  3. jordi dice:

    Pregunta para nota.

    Proveemos un servicio donde los usuarios pueden guardar datos de carácter personal (el fichero es del cliente, nosotros somos encargados de tratamiento). En el caso que eliminen un fichero debemos dejar la opción de que puedan recuperarlo o no? Estamos hablando de nivel alto de datos.

    Gracias

  4. Pero que pardillos somos, os creéis que si son datos muy importantes van a desaparecer, no y no, siempre habrá alguien que los saque de algún lado para que luego a su favor volverlos a la luz, pero claro si se confía en compañías que debería cumplir con su objetivo, adelante, pero todo lo que se sube, siempre esta ahí.

  5. Cristina dice:

    Entonce, si no he entendido mal una empresa con la que has extinguido la relación laboral no puede seguir manteniendo mis datos personales, no?. Solamente debe tenerlos bloqueados a efectos fiscales y durante cuatro años, no?.

  6. IE dice:

    Si el departamento de reclutamiento informa a todas las personas de las que decide conservar su CV de que lo van a guardar y de los derechos de LOPD, ¿es necesario informar cuando deciden eliminarlos por no ser necesarios?

    Gracias.

Deja un comentario

*