El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 0277/2008 aborda la cancelación de datos personales cuando la relación jurídica entre el interesado y el responsable del fichero sigue vigente. Según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, los datos deben ser cancelados cuando dejen de ser necesarios o pertinentes para la finalidad para la que fueron recogidos. Sin embargo, esta cancelación no implica necesariamente la supresión física de los datos, sino que puede conllevar su bloqueo.
El artículo 16.3 de la Ley Orgánica 15/1999 establece que la cancelación de datos debe dar lugar a su bloqueo, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Una vez cumplido este plazo, los datos deben ser suprimidos.
El informe destaca que, en ciertos casos, la relación jurídica vigente entre el interesado y el responsable del fichero puede exigir la conservación de los datos, aunque estos ya no sean necesarios para la finalidad inicial. Esto se aplica especialmente en situaciones donde existen obligaciones legales o contractuales que impiden la supresión inmediata de los datos. Por ejemplo, en el ámbito tributario, los datos deben conservarse durante el plazo de prescripción de las deudas tributarias.
El bloqueo de los datos debe realizarse de manera que no sea posible el acceso a los mismos por parte del personal habitual, limitándose el acceso a personas con la máxima responsabilidad y solo en virtud de requerimientos judiciales o administrativos. Esto asegura que, aunque los datos permanezcan tratados, el acceso a ellos esté restringido.
El informe también aborda la figura del encargado del tratamiento, que actúa por cuenta del responsable del fichero. En este contexto, una empresa de recobro que actúa por cuenta de una entidad acreedora no puede proceder a la cancelación de los datos, ya que la relación jurídica entre el deudor y la entidad acreedora sigue vigente. La conservación de los datos debe ajustarse a las disposiciones aplicables y a las relaciones contractuales entre el responsable del tratamiento y el interesado.
Además, el informe trata la cesión de carteras de deudores a entidades extranjeras. En el caso de una cesión a una entidad en Luxemburgo, esta se convierte en el nuevo responsable del fichero, y la legislación aplicable será la de Luxemburgo, salvo que el tratamiento se lleve a cabo por un establecimiento del responsable ubicado en España.
En conclusión, el informe subraya que la cancelación de datos no siempre implica su supresión física, y que la conservación y bloqueo de los datos deben ajustarse a las disposiciones legales y contractuales vigentes. La AEPD enfatiza la importancia de garantizar la protección de los datos personales, incluso en situaciones donde la relación jurídica sigue activa.