España es un país de costumbres y tradiciones, algunas tan arraigadas como a veces inexplicables. Una de ellas tiene que ver con nuestro cuarto trastero, y con la generalizada costumbre que tenemos de guardar en él infinidad de cosas que ya no necesitamos. Sólo por si acaso. Algo tan habitual como en ocasiones muy poco útil e ilógico. Pues bien, algo parecido sucede con las empresas que tratan y almacenan nuestros datos personales.
Tanto la antigua LOPD (la dichosa Ley Orgánica de Protección de Datos) y la que se está tramitando en su sustitución, como el Reglamento General Europeo 2016/679 de Protección de Datos, que comenzará a aplicarse el próximo mes de mayo, imponen a las empresas una importante obligación. Sólo pueden conservar y utilizar los datos personales que obren en su poder, durante el tiempo necesario para cumplir la finalidad para la cual los recogieron. Hay que poner fin, por tanto, a esa práctica generalizada de guardar y utilizar datos personales de un modo indefinido y por si acaso.
Esto implica que las empresas que utilizan datos personales deberían hacerse una doble pregunta: cuando una persona les facilita sus datos, ¿para qué se los han pedido?, ¿para que se los ha dado? Por regla general la respuesta es algo tan sencillo como, por ejemplo, para gestionar la compra on line de un producto, para enviarle publicidad a un cliente o para gestionar un CV en un proceso de selección. Pues bien, una vez que esta finalidad ya se ha cumplido, la empresa deja de estar legitimada para seguir utilizando esos datos. Es decir, cuando el contrato ha terminado y ya está facturado y pagado; cuando el cliente nos ha retirado su permiso y ya no quiere recibir más publicidad, o cuando la vacante ya ha sido cubierta por otro candidato, la empresa ya no necesita esos datos, y debería dejar de utilizarlos.
Al fin y al cabo, la normativa en materia de protección de datos establece que las empresas deben garantizar la calidad de los datos que tratan y, por ello, conservarlos y utilizarlos el menor tiempo posible y sólo mientras sigan siendo estrictamente necesarios.
De hecho, el nuevo Reglamento Europeo impone a las empresas una doble –y nueva- obligación: por un lado, cuando recaben datos de una persona deben informarle del plazo durante el cual los van a conservar y utilizar. Por otro lado, deben articular los procedimientos internos necesarios para poder revisar periódicamente qué datos conservan y, cuando proceda, eliminarlos y suprimirlos.
Incumplir todo lo anterior podría constituir una infracción grave, que podría llevar aparejada una importante sanción económica, especialmente alta con el régimen del nuevo Reglamento Europeo.
Sin embargo, es necesario no confundir conceptos. No poder seguir usando los datos personales no supone, sin más, que directamente deban borrarse. Cuando la empresa ya no esté legitimada para utilizarlos, estará obligada a seguir conservándolos, pero debidamente bloqueados, a disposición de los Juzgados, Tribunales y Administraciones Públicas, para atender posibles reclamaciones por el uso que haya hecho de ellos y durante todo el tiempo en el que se le puedan pedir responsabilidades. Hasta que éstas prescriban.
Es decir, cuando los datos ya no sean necesarios, la empresa no podrá seguir utilizándolos. Pero sí deberá conservarlos debidamente bloqueados, y únicamente para el supuesto de que alguna Autoridad se los reclame para depurar posibles responsabilidades. Única y exclusivamente para eso. Y una vez transcurridos los plazos legales durante los cuales se le puede reclamar alguna responsabilidad, entonces sí, proceder a su borrado y destrucción.
Lógicamente estos plazos legales dependerán de una serie de factores: principalmente de para qué se han utilizado esos datos, y de qué norma legal le era de aplicación. Así, por ejemplo, la normativa fiscal prevé unos plazos legales diferentes de los de carácter laboral, inmobiliario o, por ejemplo, contractual. O en materia de Prevención de Blanqueo de Capitales, cuya normativa obliga en determinados casos a pedir y conservar una serie de documentación durante un plazo de, por regla general, 10 años.
Es cierto que no es una obligación sencilla de cumplir, pero principalmente por la inercia de las empresas, que están más que acostumbradas a guardar toda la información de un modo casi indefinido y simplemente por si acaso. Aunque no la necesiten. De hecho, pocas empresas acostumbran a bloquear y eliminar los datos personales que han utilizado. Entre sus procesos internos no suele haber ningún procedimiento que busque comprobar cuándo un dato ya no es necesario y debe ser bloqueado y destruido. Por tal motivo, animemos a las empresas a asumir la importancia y la necesidad de no conservar datos simplemente “por si acaso”. La calidad de sus datos sin duda mejorará.
Los comentarios están cerrados.