Conservación de datos personales: incumplimiento en empresas
Habiendo transcurrido más de dos años desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), todavía existen muchos interrogantes sobre el principio de limitación del plazo de conservación establecido en el artículo 5.1.e) del RGPD, ya que multitud de empresas tienen dudas a la hora de definir protocolos de borrado de datos personales de clientes y/o empleados.
Así como muchas empresas han optado por el borrado inmediato de los datos una vez finalizada la relación con el interesado debido al miedo de las altas sanciones que impone la nueva normativa, otras muchas, bien por desconocimiento o bien por temor a quedarse sin uno de sus activos más importante como son, hoy en día, los datos personales, optan por conservar dicha información por tiempo indefinido.
Sin embargo, ninguno de los dos extremos es correcto. Tanto el RGPD como la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) establecen que los datos personales deben almacenarse de tal manera que los interesados no puedan identificarse por más tiempo del necesario, es decir, que únicamente pueden conservarse los datos durante el tiempo que se necesiten para la finalidad establecida y, finalizado ese plazo, durante los plazos legales de prescripción, es decir, los plazos que la ley marca durante los cuales el interesado pude ejercer acciones legales; debiendo, además, haber informado al interesado del plazo de conservación que la empresa haya fijado para el tratamiento en cuestión en la medida de lo posible.
Únicamente pueden conservarse los datos durante el tiempo que se necesiten para la finalidad establecida.
Por tanto, el borrado de datos de forma inmediata puede suponer el incumplimiento de otras obligaciones tributarias o societarias, ya que, en caso de requerimiento o inspección por parte de la autoridad las empresas deberán disponer de la información que se les solicite.
Asimismo, el hecho de conservar los datos personales por tiempo indefinido también supone un incumplimiento del RGPD. A modo de ejemplo, la Agencia Danesa de Protección de Datos ha impuesto una multa de 1,5 millones de coronas danesas (200.000 euros) a una empresa de muebles por no haber eliminado los datos de sus antiguos clientes, los cuales ya no tenía necesidad de mantener en sus sistemas.
Durante una inspección a la citada empresa, una de las preguntas versaba sobre si la empresa había establecido protocolos de conservación de datos que determinen cuando proceder con la eliminación de los datos de los clientes y si se cumplían efectivamente. No obstante, se detectó que en el servidor antiguo se seguían manteniendo dichos datos y que la empresa tampoco contaba con un protocolo de borrado de datos.
Igualmente, se ha producido también la primera sanción en Alemania a una inmobiliaria por conservar documentación con datos personales “para siempre” porque la empresa afectada guardaba la información y la documentación sin ningún límite temporal. La sanción impuesta asciende a una cuantía de 14,5 millones de euros, ya que se detectaron en la inmobiliaria datos personales que dejaron de ser pertinentes años atrás y que aportaban información de aspectos como salarios, extractos de contratos de empleos, datos fiscales, extractos de cuentas bancarias, de seguros de salud, de seguridad social, etc.
Aterrizando dicho principio a un supuesto concreto, nos encontramos, por ejemplo, con la determinación del plazo de conservación de los Currículums. Algunas empresas desconocen las obligaciones descritas anteriormente y optan o por eliminar los datos curriculares al finalizar el proceso de selección o por conservarlos durante gran cantidad de años, conservando al final infinidad de información personal que se vuelve obsoleta a corto plazo. Aunque a la hora de establecer el plazo de conservación de los datos curriculares no existen plazos legales de prescripción, la recomendación es conservar dicha información un máximo de 2 años desde la recepción del Currículum.
La solución que se deriva de lo dispuesto en el Reglamento General es el bloqueo y/o anonimización de los datos personales.
Si se opta por el bloqueo la consecuencia es que nadie podrá acceder a tratar dichos datos, mientras que si se opta por la anonimización de los datos supone que estos dejan de tener la consideración de dato personal, ya que a través de la anonimización lo que se pretende es eliminar las posibilidades de identificar a una persona. Asimismo, otra posible solución es la pseudonimización. Por medio de ella lo que se busca es tratar el dato personal sin el dato que identifica al interesado, pero sin suprimir la vinculación entre los datos, es decir, pudiendo revertir el proceso. Un ejemplo de pseudonimización sería sustituir el nombre y apellidos de un cliente por números o códigos.
En conclusión, las empresas podrán conservar los datos personales de clientes y empleados una vez finalizada la relación comercial o laboral, siempre que se garantice la confidencialidad de los datos personales a través de las medidas de seguridad necesarias, y hasta que la obligación legal de la que se pueda derivar una responsabilidad finalice.
En GlobalSuite Solutions, contamos con más de 15 años de experiencia en materia de Protección de Datos Personales y Seguridad de la Información. Nuestros equipos de consultoría especializada ofrecen el asesoramiento y el soporte necesarios para ayudar a las empresas a definir correctos protocolos de conservación de datos personales y poder así dar cumplimiento a los requisitos exigidos por el RGPD y la LOPDGDD
