El Informe 0451/2013 de la Agencia Española de Protección de Datos (AEPD) aborda la consulta sobre la obligación de suprimir un fichero de datos personales que ha dejado de utilizarse debido al cese de la actividad del negocio, así como el nivel de seguridad que debe mantenerse en dicho fichero.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) define un fichero como «todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso». En este caso, el fichero en cuestión es de titularidad privada, creado por una persona física o jurídica para el ejercicio de una actividad inmobiliaria, por lo que se aplica el Capítulo II del Título IV de la LOPD.
El artículo 25 de la LOPD establece que los ficheros de titularidad privada pueden crearse cuando sea necesario para el logro de una actividad u objeto legítimo, siempre que se respeten las garantías establecidas por la ley. Además, el artículo 26 indica que la creación de estos ficheros debe ser notificada e inscrita en el Registro General de Protección de Datos de la AEPD, proporcionando detalles como el responsable del fichero, la finalidad, ubicación, tipo de datos, medidas de seguridad y posibles cesiones de datos.
El Reglamento de desarrollo de la LOPD, aprobado por el Real Decreto 1720/2007, regula el procedimiento de inscripción de la creación, modificación o supresión de ficheros. Si el fichero ya está inscrito, debe comunicarse su supresión al Registro General, haciendo constar la cancelación y bloqueo de los datos. Si no se declaró la creación del fichero, no tiene sentido comunicar su supresión.
En cuanto a la cancelación de los datos, el artículo 4.5 de la LOPD establece que los datos de carácter personal deben ser cancelados cuando dejen de ser necesarios para las finalidades para las que fueron recabados. Sin embargo, los datos deben ser bloqueados para que puedan ser utilizados en caso de exigirse algún tipo de responsabilidad. El artículo 8.6 del RDLOPD desarrolla este punto, indicando que los datos pueden conservarse durante el tiempo en que pueda exigirse responsabilidad derivada de una relación u obligación jurídica.
Una vez cancelados y bloqueados los datos, deben mantenerse las medidas de seguridad necesarias para asegurar la adecuada custodia de los datos, garantizando que solo sean accesibles por la persona designada y que la información sea legible para quien esté legitimado a solicitarla. Aunque el fichero original tenía medidas de seguridad de nivel alto, no será necesario adoptar sistemas de gestión de soportes y documentos, copias de respaldo, auditorías bianuales o determinar funciones y obligaciones de usuarios, ya que estos no existen. Sin embargo, se deben mantener otras obligaciones, como asegurar que solo la persona designada (en este caso, el director financiero) pueda acceder a los datos y que la información esté debidamente custodiada, con restricciones de acceso físico o limitaciones en los sistemas informáticos.
En resumen, el informe concluye que es necesario comunicar la supresión del fichero al Registro General de Protección de Datos y mantener las medidas de seguridad adecuadas para asegurar la custodia de los datos bloqueados, garantizando que solo la persona designada pueda acceder a ellos y que la información esté debidamente custodiada.