Protección de datos: La importancia de los plazos de conservación

2020-09-08T06:32:00
España

Una de las obligaciones de la normativa de protección de datos personales que más quebraderos de cabeza crea a los responsables de su implantación es la limitación de los plazos de conservación de los datos personales y su posterior bloqueo y eliminación. La obligación de conservar datos personales de forma limitada tiene como objetivo que

Protección de datos: La importancia de los plazos de conservación
8 de septiembre de 2020

Una de las obligaciones de la normativa de protección de datos personales que más quebraderos de cabeza crea a los responsables de su implantación es la limitación de los plazos de conservación de los datos personales y su posterior bloqueo y eliminación. La obligación de conservar datos personales de forma limitada tiene como objetivo que no se traten datos personales por más tiempo del estrictamente necesario para la finalidad para la que fueron recabados. Una vez que los datos personales dejen de ser necesarios para esta finalidad, deben ser eliminados o bloqueados, siendo igualmente eliminados posteriormente, una vez que ya no sean necesarios para el fin para el que fueron bloqueados.

Se trata de una obligación que ha pasado a ser de gran importancia desde la entrada en vigor y plena aplicación del Reglamento General de Protección de Datos (“RGPD”). Anteriormente, la normativa española consideraba el incumplimiento de los plazos de conservación establecidos para, una vez transcurrido el plazo, eliminar los documentos en cuestión que contuvieran datos personales o directamente la inexistencia de una política de plazos de conservación, como una infracción grave, sancionable con hasta 300.000 euros.

El RGPD, sin embargo, incluye entre sus principios, que forman la piedra angular de la protección de los datos personales, la limitación del plazo de conservación (artículo 5.1.e RGPD). Por ello, ahora las infracciones de los plazos de conservación han pasado a ser calificados como muy graves, pudiendo ascender su sanción al máximo establecido, es decir, hasta 20 millones de euros o, una cuantía equivalente hasta al 4 % del volumen de negocio total anual global del ejercicio financiero anterior.

Este cambio en la percepción de la gravedad del incumplimiento conlleva que tanto los responsables del tratamiento, como las autoridades de protección de datos personales, presten mayor atención a los plazos de conservación. Tanto es así que, mientras que antes del RGPD no se trataba de uno de incumplimientos más sancionados, ahora empieza a ser una de las cuestiones que primero identifican las autoridades al inspeccionar a un responsable.

En este sentido, la Agencia Española de Protección de Datos (“AEPD”) sancionó recientemente a una empresa por conservar los datos de un antiguo cliente por un tiempo mayor del habitual, pese a disponer de una política de plazos de conservación, que en este caso no había aplicado. La AEPD no es la única autoridad que ha detectado y sancionado recientemente incumplimientos de esta índole.

La autoridad de protección de datos francesa impuso en mayo de 2019 una sanción de 400.000 euros por conservar los CV de candidatos a puestos de trabajo por más tiempo del requerido. Poco después, la autoridad de protección de datos de Berlín impuso una sanción de más de 14 millones de euros por una serie de incumplimientos entre los que se encontraba la conservación de datos de salud por más tiempo del requerido. Siguiendo esta línea, la autoridad de protección de datos húngara impuso en junio de 2020 una sanción de 288.000 euros. Esta vez, la empresa sancionada conservaba datos personales sin haber limitado en ningún momento el plazo de conservación, y, por ello, sin haber eliminado datos personales que ya no eran tratados para la finalidad para la que inicialmente fueron recabados.

Visto lo anterior, debe cobrar mayor relevancia para la empresa -y de hecho, nos consta que así está haciendo en mucho casos- el establecimiento de política de conservación de datos y procedimientos para su bloqueo y posterior eliminación convenientemente adaptados a los principios del RGPD.

Autores: Pedro Méndez de Vigo y Jorge Monclús

8 de septiembre de 2020