Plazos máximos de conservación de los datos personales, en atención al último informe de la AEPD

2020-12-22T15:42:00

El pasado 9 de diciembre de 2020, la Agencia Española de Protección de Datos (“AEPD”) respondió a una consulta sobre plazos máximos de conservación de los datos personales.

Plazos máximos de conservación de los datos personales, en atención al último informe de la AEPD
22 de diciembre de 2020

El pasado 9 de diciembre de 2020, la Agencia Española de Protección de Datos (“AEPD”) respondió a una consulta sobre plazos máximos de conservación de los datos personales.

Ante la consulta de un delegado de protección de datos, que preguntaba sobre la adecuación y validez de una guía de plazos máximos de conservación de datos personales, la AEPD recuerda que, con base en el principio de responsabilidad proactiva y las competencias de la AEPD, no corresponde a la AEPD realizar esa validación con alcance general, sino al responsable que es quien determinó la finalidad del tratamiento.

Dicho lo anterior, partiendo de la interpretación del principio de limitación del plazo de conservación previsto en el artículo 5.1.e) del Reglamento General de Protección de Datos (“RGPD”) y de la obligación de “bloqueo” prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (“LOPDGDD”), la AEPD entiende que el bloqueo (entendido como obligación del responsable, no como derecho) excluye el borrado material de los datos, siempre y cuando ello sea de conformidad con las limitaciones previstas en el propio artículo 32.

Estas limitaciones excluyen el borrado material de los datos personales solo en las siguientes circunstancias: (i) para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, y (ii) para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de estas. Este último punto debe interpretarse como el “plazo de prescripción de las acciones” encaminadas a la exigencia de tales responsabilidades.

Cuestión distinta se plantea cuando existe una normativa legal aplicable que exige la conservación de los datos por un plazo determinado. En estos casos, de conformidad con el artículo 17.3.b) del RGPD no procede el derecho de supresión, ni, por tanto, el bloqueo. Ello no obsta para que el responsable pueda aplicar medidas técnicas y organizativas previstas para la obligación de bloqueo.

En todo caso, como criterio fundamental, siempre deberá tenerse en cuenta el principio de reserva de Ley aplicable a cualquier limitación del derecho fundamental de protección de datos para que esta limitación pueda considerarse lícita.

Y, aunque la primera conclusión de la AEPD es que es el responsable del tratamiento quien debe proceder al examen pormenorizado de todos y cada uno de los tratamientos para determinar para cada uno de ellos el plazo concreto de conservación de los datos, la propia AEPD repasa, sin ánimo exhaustivo, algunos de los principales plazos existentes:

Estos plazos son, en todo caso, no exhaustivos y deberán ser completados y aplicados convenientemente por cada empresa para cada uno de los tratamientos de datos personales que efectúe.

Finalizado dicho plazo, en todo caso, deberá procederse a la destrucción (borrado) de los datos, no pudiendo ser tratados para ninguna finalidad distinta de las señaladas.

Autores: Alejandro Negro y Adaya Esteban

22 de diciembre de 2020