El tratamiento de los datos personales tiene tres fases diferenciadas, la etapa de recabo de datos, la de tratamiento propiamente dicho y por ultimo la de cancelación o finalización del tratamiento. Esta última etapa tiene gran importancia ya que debemos conocer qué significa este final y como actuar con los datos.
Normalmente cuando hablamos de final de algo, lo primero que nos viene a la cabeza es que ya se puede eliminar o destruir, pero este no es necesariamente el caso cuando tratamos datos personales por lo que vamos a analizar de forma resumida como finaliza el tratamiento y las acciones a tomar.
El final del tratamiento del dato puede venir por dos causas, que desaparezca la finalidad por la que fueron recabados o por petición expresa del afectado en el ejercicio de sus derechos. De esta manera el artículo 4 donde se establece uno de los principios fundamentales de la LOPD dice que
«los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.»
De la lectura del texto nos queda la idea de que el factor fundamental que tenemos que tener en cuenta es la finalidad para la que se recabo el dato, una vez desaparezca la finalidad, el dato también. En principio parece sencillo pero como todo tiene sus excepciones y términos que no son lo que en principio una persona que no conoce en profundidad la Ley podría interpretar.
Cuando se nos habla de cancelar un dato personal, no se debe entender con ello la propia destrucción, sino que es un término más amplio al que podemos atribuir varios conceptos. Por un lado se puede entender como un mantenimiento del dato pero ‘sin uso’ y por otro la propia eliminación o destrucción.
La legislación en protección de datos no es ajena a las obligaciones, necesidades y responsabilidades impuestas por el ordenamiento jurídico a las empresas o autónomos como responsables del tratamiento, es por ello que en respuesta a estas necesidades ya sean fiscales, laborales, administrativas o a la rama que correspondan, la legislación en protección de datos prevé la posibilidad de mantener datos cuya finalidad ya ha desaparecido o cuya cancelación ha sido solicitada por el afectado. Este caso podríamos definirlo como una cancelación ‘de uso’, es decir, se me permite mantener los datos durante el tiempo que la legislación correspondiente me obliga para atender los posibles requerimientos de información de la Administración, pero no me permite utilizarlos para nada más, se podría decir que están apartados de la actividad esperando a agotar el plazo al que están sometidos por otra ley, para posteriormente ser destruidos.
Es importante resaltar que esto no supone un cheque en blanco para mantener datos, se deberá estar a lo dispuesto, y por los plazos establecidos, en las leyes que sean de aplicación al caso.
Finalmente, y ahora sí, una vez se hayan agotado los plazos los datos deberán ser destruidos. Recordar que la destrucción debe realizarse siempre utilizando medios que garanticen que la información no puede volver a ser recuperada por ningún medio, es decir, se deben utilizar siempre destructoras de papel, formateo de equipos o soportes, empresas de destrucción certificada, etc.
Áudea Seguridad de la Información, S.L.
Álvaro Aritio
Departamento Derecho TIC
www.audea.com