| Informe | 2010-0408 |
| Enlace | 📋 |
El Informe 0408/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre el deber de conservación de los soportes físicos relativos a asuntos jurídicos y administrativos de los clientes, así como el plazo legalmente establecido para la destrucción de dicha documentación.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece en su artículo 4 que los datos de carácter personal deben ser cancelados cuando dejen de ser necesarios o pertinentes para la finalidad para la cual fueron recabados. Este principio se desarrolla en el artículo 8.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, que permite la conservación de los datos durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato.
El informe aclara que la cancelación de los datos no implica su eliminación automática, sino su bloqueo. Este bloqueo debe realizarse de manera que impida el acceso a los datos por parte del personal habitual, permitiendo únicamente el acceso a una persona con máxima responsabilidad en caso de requerimiento judicial o administrativo. Una vez transcurrido el plazo de prescripción de las posibles responsabilidades, los datos deben ser suprimidos.
El artículo 16.3 de la Ley Orgánica 15/1999 establece que la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, durante el plazo de prescripción de las responsabilidades. Cumplido este plazo, debe procederse a la supresión de los datos.
El informe también menciona que el plazo de cancelación se complementa con el artículo 16.5, que indica que los datos deben conservarse durante los plazos previstos en las disposiciones aplicables o en las relaciones contractuales entre la entidad responsable del tratamiento y el interesado.
En cuanto a los plazos específicos, el informe señala que no es posible establecer una enumeración taxativa de los períodos en que los datos deben permanecer bloqueados. Sin embargo, se mencionan varios criterios, como los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, el plazo de cuatro años de prescripción de las deudas tributarias, y el plazo de tres años previsto en el artículo 47.1 de la Ley Orgánica 15/1999 para las infracciones muy graves.
En conclusión, los datos deben cancelarse una vez dejen de ser necesarios para la finalidad para la que fueron recabados, manteniéndose bloqueados durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica, la normativa tributaria, o los plazos establecidos en otras normas con rango de Ley. Una vez transcurridos estos plazos, los datos deben ser suprimidos.