Los responsables o encargados del tratamiento no pueden conservar datos personales de manera indefinida; con carácter general, los datos deben eliminarse una vez cumplida la finalidad para la que fueron recabados o cuando los interesados solicitan su supresión. En este artículo explicamos cuándo y cómo eliminar datos según la Ley de Protección de Datos.
En este artículo hablamos de:
¿Cuándo hay que eliminar datos según la Ley de Protección de Datos en la empresa?
De acuerdo al principio de minimización del RGPD, los datos personales no pueden conservarse indefinidamente, sino que es necesario fijar un plazo de conservación, que será el mínimo necesario para cumplir con la finalidad para la que fueron recogidos, sin perder de vista los posibles plazos de conservación que pueden establecer otras normativas para determinada documentación que puede contener datos personales (como, por ejemplo, las facturas).
Por lo tanto, para responder a cuándo tiene una empresa que eliminar los datos según la Ley de Protección de Datos, deberemos fijarnos en si se ha cumplido la finalidad para la que fueron recabados, si existe una normativa concreta que determine un plazo de conservación determinado o si los interesados han solicitado la supresión de los datos y no existe una base legal que nos permita seguir tratándolos.
Por ejemplo, de acuerdo a la aplicación de la ley de protección de datos en centros educativos, estos deben eliminar la documentación de los procesos de admisión una vez finalizado el plazo para hacer reclamaciones. Lo mismo ocurre con los exámenes. Sin embargo, los expedientes académicos sí deben conservarse incluso tras la finalización de los estudios en el centro.
¿Cómo eliminar datos en la empresa aplicando la LOPD?
Para eliminar datos en la empresa aplicando la LOPD de manera adecuada, debemos tener en cuenta diferentes aspectos, como los ya mencionados plazos de conservación, si se ha cumplido o no la finalidad, el origen de los datos, así como las solicitudes del derecho de supresión.
Además, eliminar datos de acuerdo a Ley de Protección de Datos requiere que se haga de manera segura, especialmente cuando nos referimos al borrado de dispositivos o destrucción de soportes que pudieran contener datos personales.
Revisar los tratamientos, la finalidad y el origen de los datos
Para saber si podemos proceder a eliminar datos en la empresa o, por el contrario, lo que debemos hacer es bloquear dichos datos (es decir, conservarlos, pero sin realizar ningún otro tratamiento ulterior), debemos revisar los tratamientos de datos personales que llevamos a cabo, la finalidad de estos, para determinar si se ha alcanzado y, por tanto, debemos proceder a bloquear o eliminar los datos, y el origen de los datos.
Respecto al origen, se trata de comprobar que los datos personales que tratamos y que no hemos obtenido directamente de los interesados (por ejemplo, porque somos un encargado del tratamiento o porque nos los ha facilitado un socio comercial) tienen un origen lícito.
Si los datos que estamos tratando tuvieran un origen ilícito, por ejemplo, necesitamos el consentimiento explícito de los interesados para tratarlos y no lo tenemos, deberemos eliminar dichos datos de manera inmediata.
Como encargado del tratamiento, también debemos revisar los tratamientos que llevamos a cabo y su finalidad, además de comprobar las condiciones respecto a qué hacer con los datos una vez cumplida esa finalidad establecida por el responsable del tratamiento en el contrato suscrito entre ambos. Si las condiciones especifican que los datos deben ser eliminados, procederemos con su eliminación. Si, por el contrario, dicen que debemos devolver los datos al responsable, haremos eso y los suprimiremos de nuestros sistemas.
Una herramienta que nos ayudará en estas revisiones es el registro de actividades de tratamiento, ya que en él se documentan todos los tratamientos de datos que realizamos y se incluye el plazo de conservación fijado.
Revisar plazos de conservación
Cómo decíamos más arriba, muchas veces el plazo de conservación de datos personales viene también determinado por normativas específicas que establecen plazos de conservación para diferentes tipos de documentación. Por ello, antes de ponernos a eliminar datos personales, es decir, destruir documentación que los pueda contener, debemos revisar las normativas que son de aplicación.
Por ejemplo, la normativa fiscal establece que las facturas deben conservarse durante un periodo de cinco años. Por lo tanto, no deberemos destruir facturas hasta pasado ese período de tiempo, incluso si estas contienen datos personales.
Ahora bien, conservar estos datos no significa que puedan usarse con otra finalidad, más allá de reclamaciones o inspecciones, por lo que para cumplir con la LOPD, debemos proceder a bloquearlos, que no es más que evitar que los datos personales contenidos en esas facturas puedan usarse con nuevas finalidades, como podría ser, por ejemplo, enviar información comercial.
Una vez comprobados los plazos de conservación, cuando estos hayan finalizado, podremos proceder a eliminar toda esa documentación que contiene datos personales de los sistemas y archivos de la empresa.
Atender las solicitudes de derecho de supresión
Las solicitudes de derecho de supresión son el mecanismo que tienen los interesados para pedir a las empresas que eliminen sus datos. Estas solicitudes siempre deben ser atendidas y respondidas, tanto si se procede a la eliminación como si se deniega.
Con carácter general, los responsables del tratamiento tienen la obligación de eliminar los datos objeto de la reclamación, salvo que concurra alguno de los límites que veremos más adelante.
Así mismo, también deberán eliminar los datos de manera inmediata, cuando quien ejerce el derecho de supresión es una persona adulta cuyos datos se recopilaron cuando todavía era menor de edad.
Puedes encontrar más información sobre cómo ejercer el derecho de supresión, leyendo nuestro artículo sobre cómo solicitar que borren mis datos personales.
El derecho de supresión de la Ley de Protección de Datos también contempla el derecho al olvido, aunque este solo es aplicable para buscadores de internet, por ejemplo, se pone en práctica si lo que quiero es eliminar mi nombre y apellidos de Google. Sin embargo, Google, ni ningún otro buscador, eliminará los datos de las webs en las que aparecen, sino que lo que hará será dejar de indexar esas páginas web y, por tanto, no aparecerán en los resultados de búsqueda.
Como el derecho de supresión, el derecho al olvido también está limitado.
Para responder las solicitudes de derecho de supresión u olvido, se dispone de un plazo de 30 días.
Borrado seguro de dispositivos
La Ley de Protección de Datos también se aplica cuando se procede a tirar o deshacerse de documentación que contenga datos personales, tanto en soportes físicos como digitales. Antes de desechar los soportes que albergan esta documentación o información, como responsables o encargados del tratamiento, debemos asegurarnos que los datos personales que contienen son eliminados de manera adecuada, para evitar que puedan quedar expuestos y al alcance de terceros no autorizados.
Esto pasa tanto por destruir los soportes físicos correctamente (como, por ejemplo, usando trituradoras de papel que los destruyan de manera que sea irrecuperable), como por destruir cualquier dispositivo digital que pudiera contenerlos, sean ordenadores o unidades externas de almacenamiento.
En caso de que a esos dispositivos se les fuera a dar una segunda vida y se opte por borrar la información de ellos, por ejemplo, al borrar datos del ordenador de empresa, deberemos recurrir al borrado seguro, que es el único método que hará irrecuperable la información que alguna vez contuvieron dichos dispositivos.
Límites a la eliminación de datos en la LOPD
A la hora de eliminar datos aplicando a la LOPD, también debemos tener en cuenta los límites que esta misma ley establece, especialmente cuando se trata de responder ante el ejercicio del derecho de supresión o el derecho al olvido.
Así, la ley establece que no se deberán eliminar los datos personales cuando:
- Están relacionados con el derecho a la libertad de expresión y el derecho a la información. Por ejemplo, si los datos personales que se piden eliminar están en una noticia, si la información es veraz y pertinente, como responsables podremos negarnos a eliminar dichos datos.
- Existe una obligación legal para la conservación de esos datos, como los plazos para la conservación de determinada documentación que contemplan otras normativas.
- Existen razones de interés público, como aquellas relacionadas con la salud pública, los fines de investigación o el archivo.
En el caso de datos debidamente anonimizados, podremos conservarlos tanto tiempo como queramos.
No eliminar los datos personales aplicando la LOPD es motivo de sanción
No eliminar datos personales cuando debemos hacerlo según la LOPD y/o hacerlo de manera inadecuada, es motivo de sanción; por ejemplo, ya se han impuesto sanciones por tirar documentación que contenía datos personales a la basura o dejarla junto a un contenedor (como fue el caso de un despacho de abogados apercibido por la AEPD).
Las sanciones de la Ley de Protección de Datos contemplan multas de hasta 20 millones de euros (o el 4% de la facturación anual, la cuantía que resulte superior) para las infracciones más graves. En el caso de la eliminación de datos, no hay una infracción específica, pero puede sí que puede ser parte de las que contempla la normativa (por ejemplo, no atender las solicitudes del derecho de supresión o tratar datos de origen ilícito).