Nueva LOPD – Art. 32. Bloqueo de datos

Art. 32. Bloqueo de datos

¿Qué pasa con el bloqueo de los datos en la nueva Ley Orgánica de Protección de Datos y de los derechos digitales?

Llevábamos tiempo preguntándonos qué iba a pasar con el bloqueo de los datos una vez aprobada la nueva ley, ya que sin hacerse mención expresa al mismo en el RGPD, en el Anteproyecto de Ley aparecía nuevamente este término. Pues bien, ya tenemos respuesta. Para hablar del bloqueo de datos nos tenemos que remontar a la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos (LOPD) y a su Reglamento de desarrollo el RD 1720/2007 de 21 de diciembre (RDLOPD), en los que aparece dicho término, de tal forma que:
En el artículo 16.3 de la LOPD se indica:

“La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas”.
En el artículo 5.1 del RDLOPD se indica en su definición b):

Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.”
Si bien, como se ha indicado anteriormente, no se hace mención expresa al bloqueo de datos en el RGPD, sí se considera la “retención” de los mismos. En particular, los interesados tendrán derecho a que sus datos personales se supriman y dejen de tratarse si la finalidad para la que se recabaron ha finalizado, si se ha retirado el consentimiento en el que se basa el tratamiento de los mismos, o si se oponen a dicho tratamiento, siempre que no sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones.
Con la entrada en aplicación de la nueva LOPD el bloqueo de datos será una obligación de los responsables de tratamiento.
La nueva ley española regula en su artículo 32 el Bloqueo de datos, por tanto, todos los responsables de tratamiento a los que les sea de aplicación la nueva LOPD tendrán la obligación de bloquear los datos conforme se venía haciendo con la LOPD y el RGPD. Además, se incluyen las siguientes novedades:

  • Si la configuración del sistema de información no permite el bloqueo definido como “identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y sólo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos”, o se requiere una actuación desproporcionada por parte del responsable, éste procederá con un copiado seguro de la información de modo que conste evidencia que permita acreditar la autenticidad de dicha copia, la fecha del bloqueo y la no manipulación de los datos durante el mismo.
  • La autoridad competente en materia de protección de datos podrá fijar excepciones a la obligación de bloqueo, cuando la conservación de los datos pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.