La población cada vez está más concienciada en materia de privacidad, por lo que frases como “quiero que borren los datos de vuestros sistemas” son cada vez más frecuentes. Sin embargo, para poder eliminar esta información hay que tener en cuenta diferentes factores, ya que hacerlo es una obligación y no hacerlo en el momento correcto supone un grave incumplimiento de la norma.

El camino de los datos personales: sé cuándo los doy, no sé cuándo se borran

Detrás de una solicitud de datos siempre debe haber una finalidad. ¿Alguna vez te has parado a pensar por qué son necesario estos datos? Apelando al sentido común, si me voy a dar de alta en determinada plataforma o servicio es necesario que tengan información personal: la empresa de telefonía (o cualquier otra que te preste servicios de pago) tendrá que saber mi número de cuenta bancaria o tarjeta para poder domiciliar el recibo; si hago una compraventa de productos online que quiero que me envíen a casa, tendré que pasar mi domicilio; y si me inscribo en una newsletter de descuentos tendré que dar mi correo electrónico.

¿Cuánto tiempo se conservarán los datos? Se conservan incluso cuando termine mi relación contractual con la empresa, después de que hayan entregado el paquete en mi domicilio y cuándo me oponga a recibir estas comunicaciones.

Conforme “al principio de limitación del plazo de conservación1 , los datos no deberían ser conservados en el sistema más allá del tiempo necesario para los fines que han sido recabados, salvo si la finalidad es de interés público, con fines de investigación científica o histórica o con fines estadísticos y siempre que se cumplan con las medidas de seguridad apropiadas. Ahora bien, el fin de una relación contractual no supone que el dato deba ser eliminado de la empresa porque no supone en sí mismo la finalidad del tratamiento de los datos. ¿Y esto, a que se debe? Volviendo a los ejemplos que os hemos mencionado, imaginaos que me doy de baja en la compañía de móvil, y dos meses después de haberme dado de baja detecto que me han cobrado por un servicio adicional y me gustaría reclamarlo. Si la compañía hubiera eliminado mis datos de carácter personal del sistema, se vería afectado mi derecho de reclamar sobre esos recibos y por tanto, es necesario que la empresa conserve mis datos para poder gestionar la reclamación. Si hubiera eliminado la información indebidamente podría suponer una brecha de datos de carácter personal por indisponibilidad de la información.

Ciclo de vida del dato. Bloquear vs. borrar los datos

Cuando se tiene información de carácter personal, debe identificarse para qué se utiliza, lo que consecuentemente derivará en que se tomen medidas de seguridad para cada tipo de tratamiento. Es necesario que tus datos se encuentren activos en los sistemas mientras existe una relación contractual, de modo que se pueda hacer una gestión adecuada de la misma. Una vez finalizada la relación contractual, las razones por las que son necesarios los datos son de carácter administrativo o legal y, por tanto, los datos no deberían encontrarse en todos los sistemas.

La Comisión Nacional de Informática y de las Libertades (CNIL), en la publicación de su guía sobre plazos de conservación de los datos de carácter personal2 menciona que existen diferentes ciclos de vida, distinguiendo:

  1. Bases de datos activas, que corresponden a archivos que se utilizan diariamente en las empresas y son necesarios para el trabajo inmediato.

  2. Archivo de bases de datos intermedias, en las que los datos personales no son necesarios para el objetivo principal por el que se recabó el dato, sino que son necesarios para otras finalidades, por ejemplo, para un interés administrativo, como la resolución de una reclamación, o deben mantenerse por obligación legal.

  3. Archivo bases de datos final, en la que los datos podrían ser archivados sin límite de tiempo únicamente para procesarlos con fines de interés público, de investigación científica o histórica, o fines estadísticos, siguiendo lo que establece el principio de conservación de los datos que mencionamos más arriba.

Si ya no es necesaria la información, ¿la borramos de los sistemas?

Tras haberse cumplido los plazos de conservación de cada tratamiento, los datos personales deben eliminarse. Esto sucederá dependiendo del tipo de datos, obligaciones legales y los diferentes usos que se le haya dado a la información.

Para hacer este proceso, no es necesario que se eliminen todos los datos, sino que es posible se realice un proceso de anonimización, que consiste en eliminar cualquier dato de carácter personal por el que sea imposible volver a identificar a la persona.

¿Cómo podemos garantizar que se borran los datos? ¿Qué puede pasar si no se borran?

El no borrar esta información pasados los plazos legales, implicaría incumplir con la normativa de protección de datos, específicamente con el principio de limitación del plazo de conservación.

Asimismo, para poder garantizar el cumplimiento de la norma, se debe cumplir con la denominada “responsabilidad proactiva” (accountability), según la cual los responsables de tratar los datos aplicarán las medidas técnicas y organizativas apropiadas para garantizar que el tratamiento de datos personales se lleva a cabo de conformidad con la ley.

Para poder comprobar que se cumple con la norma, la oficina de privacidad de la Unión Europea puede iniciar inspecciones de oficio o, cualquier ciudadano que considere que no se ha cumplido con la norma, incluidos el principio de limitación de plazos de conservación, puede denunciar esto ante las agencias locales de protección de datos para que el regulador local analice cada caso. La sanción puede suponer una multa administrativa de hasta 20 millones de euros o, en el caso de una empresa, hasta el 4 % del total de las ventas anuales mundiales del año fiscal anterior.

Pero, ¿se van a borrar mis datos o no?

Para poder saberlo, tienes que:

  1. Leer la “Política de privacidad” de la empresa, uno de los requisitos que pide la norma es que se informe del plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.

  2. Si no quieres que tus datos puedan ser utilizados, puedes pedir el derecho de supresión de los mismos, pero recuerda, que es posible que siempre existan plazos de conservación ante posibles reclamaciones. Asimismo, ten en cuenta que si tienes una relación contractual, la supresión de los datos podría implicar que se extinga la misma.

  3. Si no encuentras el plazo de conservación o tienes dudas sobre el tratamiento, siempre puedes acudir al buzón de privacidad de cada empresa y preguntarles.

Por nuestra parte, si tienes alguna duda sobre este articulo o cualquier otro sobre privacidad puedes escribirnos a privacy@openbank.es. ¡Estamos aquí para escucharte y resolver cualquier duda que tengas!

Publicado el 29 de septiembre de 2020

1 Agencia Española de Protección de Datos (AEPD).
2 Commission Nationale de l'Informatique et des Libertés. “1.5 En particulier, quelle est la différence entre la « base active » et l’archivage intermédiaire?”