Todos sabemos el impacto que está causando la nueva normativa en materia de protección de datos. Las exigencias que contiene el Reglamento, afectan de lleno a la infraestructura de su Compañía.
En una colaboración anterior explicábamos los pasos para adaptarse al nuevo Reglamento de Protección de Datos. Y en la siguiente proponemos resolver una de las cuestiones más prácticas, que seguro es de su interés. ¿Hasta cuando debo conservar los ficheros de datos de los clientes en mi compañía?
Introducción
Antes de entrar a resolver la cuestión principal, es conveniente explicar que se entiende por fichero de datos. Así pues, este concepto abarca lo siguiente:
"Todo conjunto organizado de datos de carácter personal, cualquier que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso"
En consecuencia, todo soporte en el que se encuentren almacenados datos personales se considerará fichero de datos.
A raíz de lo anterior, surge la siguiente duda. Si en una compañía se han creado ficheros con los datos personales de clientes, ¿Hasta cuando debo conservar estos datos?.
Plazo de conservación de datos personales
Los datos sólo deben conservarse durante el tiempo necesario para las finalidades del tratamiento para las que han sido recogidos.
Dicho de otro modo, una entidad no debe obtener más datos personales de los necesarios para el desarrollo de su legítima actividad.
No cabe olvidar que los datos deben ser necesarios y pertinentes para la finalidad para la cual hubieran sido recabados. Asimismo, deben ser exactos y completos.
Por lo tanto, cuando los datos ya no sean necesarios para la finalidad que han sido recopilados, deberán ser eliminados. Todo ello sin necesidad de solicitud del titular de los datos.
¿Cuándo un dato deja de ser necesario para la finalidad recopilada?
No obstante lo anterior ¿Cuando un dato personal deja de ser necesario para la finalidad para la que se obtuvo?
Si bien, aunque no caben generalizaciones, este momento dependerá de la finalidad para la que se recabaron los datos. A modo de ejemplo, proponemos el de una compañía que publica una oferta de trabajo y recibe currículums vitae. En el momento en que se haya seleccionado alguno de los candidatos, el resto de currículum ya no son necesarios. Todo ello en base a que la finalidad de recogida de datos era la de acceder a ese puesto de trabajo.
¿Qué se debe hacer si un cliente exige la cancelación de sus datos?
Ante este hecho, cabe tener en cuenta uno de los derechos consagrados en la Ley. El derecho de cancelación.
Cancelar un dato, no significa eliminar un dato. Su significado real conservarlo bloqueado durante un cierto tiempo. En consecuencia cancelar un dato implica inicialmente su bloqueo, Y posteriormente, su eliminación física del soporte en el que esté almacenado.
En cuanto al plazo de la cancelación, deberá atenderse en un plazo de diez días.
Es relevante hacer hincapié en que la sociedad titular de los datos, debe conservar hasta que termine la finalidad para la cual han sido recogidos.
Por lo tanto, ante una solicitud de cancelación por un cliente, la compañía deberá atenderla. Sin embargo, se le indicará al mismo que su cancelación procederá en el momento oportuno. Es decir, cuando finalice la finalidad para la cual hubieran sido recogidos. Todo lo anterior será de tal modo, siempre que tales datos hayan sido recopilados con el debido consentimiento.
Cancelación y bloqueo de los datos
Así pues, la cancelación dará lugar, en primer lugar al bloqueo de los datos. Esto será así siempre que sea preciso conservar éstos únicamente a disposición de las Administraciones Públicas. Además cuando haya que hacerlo para Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento. En todo caso durante el plazo de prescripción de éstas. Por último, cumplido el citado plazo deberá procederse a la supresión.
Por lo que respecta al modo de llevar a cabo este bloqueo, indicamos lo siguiente. El bloqueo debe ser de tal forma que sea imposible el acceso a los datos por parte del personal. El mismo personal que estado tratando los datos.
Un ejemplo de bloqueo de datos sería limitar el acceso a los mismos a una persona con la máxima responsabilidad. Siempre que exista un requerimiento judicial o administrativo que justifique este bloqueo.
CONCLUSIÓN
El principio de calidad de datos impone a cualquier entidad, cuando proceda, debe cancelar los datos. Esto es, cuando la finalidad para la que hubieran sido recogidos desaparezca, se deberán cancelar. En consecuencia, se deberán seguir las indicaciones correspondientes para efectuar tal cancelación.
Por lo tanto, las entidades tienen la obligación de conservar bloqueados los datos personales mientras puedan nacer responsabilidades legales del tratamiento de los mismos. Y únicamente, terminado este periodo pueden eliminar tal información.