El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 064/2006 aborda las obligaciones de la administración concursal de una sociedad mercantil en relación con la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD). La consulta se centra en cómo la administración concursal debe gestionar los datos personales de la sociedad concursada, especialmente en el contexto de la liquidación y venta de activos que contienen dichos datos.
### Contexto y Obligaciones Previas
La sociedad mercantil concursada no ha cumplido con las obligaciones establecidas por la LOPD, lo que incluye la falta de notificación de ficheros al Registro General de Protección de Datos y la ausencia de medidas de seguridad adecuadas. La administración concursal, al asumir el control de los activos de la sociedad, debe asegurar el cumplimiento de estas obligaciones.
### Marco Legal y Responsabilidades
Según la Ley Concursal (Ley 22/2003), la administración concursal tiene la facultad de intervenir o sustituir las facultades patrimoniales del deudor. En este contexto, la administración concursal se convierte en el responsable del tratamiento de los datos personales, tal como define el artículo 3.d) de la LOPD. Esto implica que deben decidir sobre la finalidad, contenido y uso de los datos personales de la entidad concursada.
### Intervención y Gestión de Datos
La intervención judicial decretada no exime a la administración concursal de cumplir con las obligaciones de protección de datos. Deben adoptar medidas para evitar el acceso no deseado a los datos y asegurar que cualquier cesión de datos se realice conforme a la ley. En el caso de la venta de activos como ordenadores que contienen datos personales, es necesario proceder al borrado físico de estos datos antes de la enajenación.
### Cancelación y Bloqueo de Datos
La LOPD establece que los datos personales deben ser cancelados cuando dejen de ser necesarios para la finalidad para la que fueron recabados. La cancelación implica el borrado físico de los datos, no siendo suficiente una marca lógica o el mantenimiento de un fichero alternativo. Sin embargo, en ciertos casos, los datos pueden ser bloqueados en lugar de eliminados, especialmente cuando existen responsabilidades legales pendientes. Este bloqueo debe estar respaldado por una norma con rango de ley.
### Medidas de Seguridad y Cumplimiento
La administración concursal debe implementar las medidas de seguridad necesarias para proteger los datos personales, conforme a lo establecido en la LOPD y su normativa de desarrollo. Esto incluye asegurar que los datos sean adecuados, pertinentes y no excesivos en relación con las finalidades determinadas.
### Conclusión
En resumen, la administración concursal debe asumir las responsabilidades de protección de datos de la sociedad concursada, asegurando el cumplimiento de la LOPD en todas las acciones que realice. Esto incluye la gestión adecuada de los datos personales, la implementación de medidas de seguridad y la cancelación o bloqueo de datos conforme a la ley. La venta de activos que contienen datos personales debe realizarse solo después de haber eliminado físicamente estos datos, salvo que exista una normativa específica que permita su bloqueo.