AD 56/2021
Resumen del artículo:
El presente artículo expone la necesidad de que toda organización cuente con un procedimiento de borrado de la información, ya que ese volumen de datos personales en su mayoría, se deberá gestionar siempre de forma segura, y no solamente durante su actividad de almacenamiento y tránsito, sino también al final de su vida útil. Por ello, definir una fecha límite es un proceso donde se asegura que la información no se almacenará durante un tiempo indeterminado, sino que se garantizará un plazo de retención prestando especial atención a los datos de carácter personal.
IMPLEMENTACIÓN DE LOS MECANISMOS DE BORRADO DE DATOS
INTRODUCCIÓN:
El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales – LOPDGDD; requieren que toda entidad jurídica implemente una serie de protocolos en el mantenimiento de los datos personales tratados, que garanticen que no se permita la identificación de los interesados durante más tiempo del necesario para los fines del tratamiento.
Para ello se utilizará el bloqueo, el borrado o la anonimización de los datos personales, según corresponda, cuando éstos ya no sean necesarios para la finalidad para la que se han estado recogiendo y tratando, o cuando el interesado haya ejercido el derecho de rectificación y supresión, siempre de acuerdo a lo estipulado en las mencionadas normativas.
Lo cual, se justifica en la evolución de un modelo basado, fundamentalmente, en el principio de responsabilidad activa, lo que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos de carácter personal para, y a partir de dicha valoración, adoptar las medidas que procedan. Entre estas medidas, procederse a la cancelación de los datos, al haber dejado de ser necesarios para la finalidad que justificó su tratamiento, como sucederá cuando se haya producido la completa consumación del contrato que vincula al responsable del tratamiento con los datos de los interesados.
REGULACIÓN:
A los efectos de poder implementar un modelo acorde a los principios de “minimización de datos” y de “exactitud”, recogidos -respectivamente- en las letras c) y d) del citado artículo 5 del RGPD; se establece que una de las exigencias conlleva la necesidad de cumplir con el derecho de supresión, recogido en el artículo 17 del RGPD, que tiene por objeto la eliminación, sin dilación indebida, de los datos personales cuando concurra alguno de los supuestos que en dicho precepto se regulan, constituyendo la causa principal la desaparición de la finalidad que motivó el tratamiento para el que los datos fueron recogidos.
Además, el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, configura el “bloqueo de los datos” como una obligación de responsabilidad activa; donde se establece así que el responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.
PROTOCOLO DE BORRADO:
Para todo proceso de borrado, se debe establecer un procedimiento que contemple los siguientes tiempos y formas de llevar a cabo el correcto borrado de los datos:
- Inicio del tratamiento: momento temporal en el que comienza el tratamiento.
En este momento se debe tener identificado el tratamiento, contemplado en un registro de actividad de tratamiento donde se exponga el tratamiento en sí y su finalidad. Además, se deberá establecer donde se conservará la información y si cumple con todas las medidas de seguridad.
- Finalización de la actividad/finalidad de tratamiento: instante en el cual la finalidad del tratamiento deja de existir.
Se establecerá en base a la necesidad para la que ese tratamiento de datos de carácter personal sea necesario, y serán suprimidos cuando hayan dejado de ser exactos y completos (art. 5.1 d. RGPD). Por tanto, corresponde al responsable del tratamiento que es el que ha determinado su finalidad, decidir cuándo los datos han dejado de ser necesarios para la finalidad para la cual fueron recabados, decayendo la posibilidad de su tratamiento.
- Establecimiento de las restricciones de acceso a los datos: momento en el que los datos dejan de ser accesibles para la operativa del tratamiento y por tanto únicamente quedan a disposición de jueces o tribunales, Administraciones Públicas o para la defensa de reclamaciones. Y es en este punto en el que se configura el “bloqueo de los datos” como una obligación de responsabilidad activa, de manera que el responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.
El bloqueo excluye el borrado material de los datos, si bien con las limitaciones que el propio artículo 32 establece. Se trata así de garantizar la adecuada aplicación y supervisión del cumplimiento de las normas de protección de datos, de forma que sea posible la comprobación de los tratamientos que no resulten conformes con el RGPD y la LOPDGDD, evitando una interpretación extensiva de los plazos de conservación de los datos personales, que no deberán ser objeto de tratamiento más allá de lo estrictamente necesario y de conformidad con las reglas de supresión previstas en estas normas.
Por otra parte, el plazo al que se refiere el artículo 32.2 de la LOPDGDD resulta también predicable en relación con cualquier eventual responsabilidad relacionada con el propio tratamiento de los datos personales; en consecuencia, el plazo máximo del bloqueo para este supuesto será el de tres años, establecido en el artículo 78 de la LOPDGDD como plazo máximo de prescripción de sus infracciones.
Además, hay que tener en cuenta que, si el encargado del tratamiento decide conservar los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento, podrá conservar dichos datos debidamente bloqueados. Pero todas estas obligaciones deberán reflejarse en el correspondiente acuerdo de protección de datos (DPA) entre el responsable y el encargado, donde se establecerán además las garantías y evidencias que acrediten las actuaciones llevadas a cabo para el cumplimiento de estas obligaciones.
- Borrado total de los datos: se realiza el borrado definitivo de los datos o los mismos son anonimizados/pseudoanonimizados.
Se deberá definir e implementar el mecanismo de borrado con diferente grado de automatización en función del tratamiento y los sistemas que lo soportan. Dicho mecanismo de borrado deberá incorporar medidas técnicas suficientes que permitan garantizar y controlar que se procede al bloqueo y borrado de los datos en los momentos correspondientes definidos para el tratamiento. También se podrá decidir, en función del tratamiento y la criticidad de los datos, proceder a un borrado automático o a un borrado supervisado.
Y en caso de que se opte por la anonimización se debe llevar a cabo un procedimiento donde los datos identificativos se disocian totalmente de los datos personales, es algo irreversible. O si en cambio se opta por la seudonimización, se deberán desvincular los datos identificativos, pero los datos seudonimizados mantienen datos adicionales que pueden reidentificar a los interesados, por tanto, en este caso si es un procedimiento reversible.
CONCLUSIÓN:
Debido a que las organizaciones crean, almacenan y envían constantemente datos, en su mayoría datos personales o datos corporativos de gran valor, los riesgos de que los mismos sean expuestos, ocasionándose una pérdida de la confidencialidad, es necesario contar con un correcto borrado de los mimos o con el establecimiento de mecanismos que proporcionen la seguridad de que ese gran volumen de datos.
Paula Rey
19 de abril de 2021
Reseña personal:
Jurista y actual Consultora de la Seguridad de la Información y Protección de datos en Viewnext SA (Proyecto Telefónica, Dirección General de Seguridad Digital).
Graduada en Derecho por la Universidad de Salamanca, y especializada en Derecho de las Nuevas Tecnologías gracias al Máster universitario en Derecho de las Telecomunicaciones, Protección de datos, Sector audiovisual y Sociedad de la información de la Universidad Carlos III (Madrid).
Respecto a la publicación en redes sociales, puede ser compartida en Linkedin, mi perfil es el siguiente: https://www.linkedin.com/in/paula-rey-amador-42449813a/
