En virtud de la normativa europea, el «Derecho de los Estados Miembros» puede complementar determinadas disposiciones de las normas directamente aplicables por la normativa de la Unión, siempre que no las contradigan. En el caso de la normativa relativa a la protección de datos, es la «Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales» (LOPDGDD) la encargada de adaptar y complementar el «Reglamento General de Protección de Datos» al ordenamiento jurídico español. Un ejemplo de ello es la obligación de bloqueo de datos en la LOPDGDD.

✓ El artículo 32 de la LOPDGDD señala que el responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión. Estas dos situaciones sucederán cuando:

  • El interesado solicite al responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional (artículo 16 RGPD).

  • El interesado solicite al responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando los datos no sean necesarios para cumplir con las finalidades por los que fueron recogidos; en los siguientes casos: 1) El interesado retire su consentimiento. 2) El interesado se oponga al tratamiento y no prevalezcan otros motivos legítimos para el tratamiento. 3) Los datos son tratados ilícitamente. 4) Los datos deben suprimirse debido a una obligación legal o los datos se hayan obtenido en relación con la oferta de servicios de la sociedad de la información (artículo 17 RGPD).

  1. ✓ El bloqueo de los datos en la LOPDGDD consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos. En otras palabras, se trata de la obligación de mantener los datos cifrados cuya única función es desencriptarlos para poder usarlos para determinadas reclamaciones ante las administraciones competentes o los tribunales, cuyo acceso para ello, únicamente, será mediante una persona autorizada.Cuando la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar:
    • La autenticidad de la evidencia.

    • La fecha del bloqueo.

    • La no manipulación de los datos.

¿Aún dudas cual es el cumplimiento normativo legal que afecta a tu empresa?

☑ ¡No se preocupe!, el «GRUPO ADAPTALIA» le resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía.

☛ Nuestra «CONSULTORÍA EN PROTECCIÓN DE DATOS» es la solución perfecta para que nada le inquiete. Nuestras soluciones están personalizadas para cada tipo de aspecto a tratar y sector empresarial.

¿Compatibilidad con el derecho a la limitación del tratamiento?

✓ El artículo 18 del «Reglamento General de Protección de Datos» establece que el interesado tendrá derecho a obtener del responsable del tratamiento la limitación del tratamiento de los datos cuando:

  • El interesado impugne la exactitud de los datos personales (rectificación).

  • El tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales.

  • El responsable ya no necesite los datos personales para los fines del tratamiento, pero el interesado los necesite para la formulación, el ejercicio o la defensa de reclamaciones (supresión).

  • El interesado se haya opuesto al tratamiento mientras se verifica si los motivos legítimos del responsable prevalecen sobre los del interesado.

Cuando el tratamiento de datos personales se haya limitado, dichos datos solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones.

Aunque el derecho a la limitación del tratamiento del RGPD y el bloqueo de datos en la LOPDGDD puedan tener un ámbito de aplicación objetiva muy similar, el primero está configurado como un derecho del interesado autónomo mientras que el bloqueo es una obligación que debe cumplir el responsable del tratamiento. Así las cosas, para garantizar mayor control de los datos a los interesados, la limitación deberá considerase como un derecho en sí mismo.

Conservación de los datos

✓ Para la conservación adecuada de los datos personales, deberá tenerse en cuenta la obligación de bloqueo de datos en la LOPDGDD. La vida de los datos quedará configurada mientras estos sean necesarios para cumplir con la finalidad para los que se recabaron.  Una vez estos dejan de ser útiles para tales finalidades, empezará a contabilizar el plazo de conservación previsto legalmente. Para ello se deberán tener en cuenta los plazos previstos en diferentes normas con rango de Ley, como:

  • Datos fiscales: 10 años.

  • Datos contables: 6 años.

  • Historial clínico: mínimo 5 años, dependiendo de la comunidad autónoma.

  • Responsabilidad contractual: 5 años.

  • Datos laborales: 4 años.

  • Datos de videovigilancia: 1 mes.

Ejemplo

Una empresa mantiene un contrato de prestación de servicios con un cliente. El contrato fue firmado en octubre de 2016, por un tiempo indefinido. En octubre de 2019 el contrato se rescinde y los datos que trataba el responsable dejan de ser útiles para las finalidades que fueron recabadas. El responsable deberá mantener los datos bloqueados hasta octubre de 2024 (5 años debido a la prescripción de la responsabilidad, establecida por el Código Civil), no pudiendo acceder a ellos, mas que para llevarlos ante administraciones o tribunales competentes para el ejercicio de reclamaciones oportunas.

Conclusión

El bloqueo de datos en la LOPDGDD es una obligación que el responsable del tratamiento debe tener muy en cuenta. La normativa establece que su incumplimiento, cuando el mismo sea exigible, será considerado una infracción muy grave, en virtud del artículo 72.1.n/LOPDGDD. Recordamos que ❝las infracciones muy graves podrían llegar a sancionarse con multas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global❞ del ejercicio financiero anterior.

Estimado lector, ¡gracias por su tiempo!.

Si te gustó este contenido quizás te interese…

RGPD y comercio electrónico
La LOPDGDD y el derecho al testamento digital
Los nuevos derechos digitales