El informe jurídico de la Agencia Española de Protección de Datos (AEPD) aborda la adecuación a la normativa de protección de datos de una guía de plazos máximos de conservación de datos personales elaborada por una entidad consultante. La guía se refiere a las diversas finalidades para las que los datos son recopilados por las entidades del grupo empresarial de la consultante.
El informe destaca la importancia del nuevo régimen instaurado por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Estos marcos legales introducen el principio de responsabilidad proactiva, que exige a los responsables del tratamiento de datos una valoración previa del riesgo y la adopción de medidas adecuadas para garantizar la protección de los datos personales.
El RGPD establece varios principios clave, entre ellos el de limitación del plazo de conservación, que obliga a los responsables del tratamiento a mantener los datos personales solo durante el tiempo necesario para los fines del tratamiento. Además, el RGPD y la LOPDGDD regulan el bloqueo de datos, que implica la identificación y reserva de los datos para impedir su tratamiento, salvo para su puesta a disposición de las autoridades competentes y para la exigencia de posibles responsabilidades derivadas del tratamiento.
El informe subraya que la conservación de datos debe estar directamente vinculada a la finalidad para la que fueron recogidos y tratados. Los datos deben ser adecuados, pertinentes y limitados a lo necesario para dichos fines, y deben ser exactos y actualizados. La supresión de datos es obligatoria cuando ya no son necesarios para la finalidad que justificó su tratamiento, salvo en casos excepcionales previstos por la normativa.
La AEPD señala que la entidad consultante debe realizar un examen pormenorizado de todos los tratamientos de datos incorporados a su registro de actividades de tratamiento, determinando para cada caso el plazo concreto durante el cual los datos deben conservarse o bloquearse. Este análisis debe considerar las finalidades del tratamiento, los tipos de datos tratados, los sujetos afectados y su relación con la entidad, así como la normativa aplicable.
El informe también menciona que la conservación de datos puede estar determinada por normativas específicas, como las relacionadas con la prevención de riesgos laborales, la seguridad social, y la prevención del blanqueo de capitales y financiación del terrorismo. En estos casos, la conservación de datos puede extenderse más allá del tiempo necesario para la finalidad original del tratamiento, pero siempre bajo las garantías y limitaciones establecidas por la normativa.
Finalmente, la AEPD advierte sobre las consecuencias sancionadoras derivadas del incumplimiento de las obligaciones en materia de conservación de datos. Las infracciones pueden ser sancionadas con multas significativas, conforme a lo establecido en el RGPD y la LOPDGDD. La entidad consultante debe, por tanto, asegurar el cumplimiento estricto de la normativa vigente en materia de protección de datos, adoptando las medidas necesarias para garantizar la adecuada conservación y bloqueo de los datos personales.