PLAZOS DE CONSERVACIÓN RGPD: SANCIÓN DE 14,5 MILLONES DE EUROS

En Alemania, la Autoridad de Protección de Datos competente sancionó a finales de 2019 con 14,5 millones de € a una inmobiliaria. El caso es interesante por su temática: incumplimiento del Reglamento General de Protección de Datos (RGPD) por plazos excesivos de retención de datos personales, es decir, por conservar “para siempre” documentación que incluía datos personales.

Limitación del Plazo de Conservación

El RGPD, en su artículo 5.1 e), recoge el principio de “Limitación del Plazo de Conservación”. Podríamos resumirlo con que –salvo si concurren ciertas excepciones- el tratamiento de datos personales no debe durar más tiempo del necesario para el cumplimiento de las finalidades pertinentes.

Incumplimiento en el caso concreto

Las autoridades alemanas comprobaron que el sistema de conservación de la información (que incluía datos personales de inquilinos) sin ningún tipo de previsión sobre si era necesario conservar la información o de si estaba permitido hacerlo.

Analizando casos concretos se encontraron datos personales que dejaron de ser pertinentes años atrás y que aportaban información de aspectos como salarios, extractos de contratos de empleos, datos fiscales, extractos de cuentas bancarias, de seguros de salud, de seguridad social, etc.

Hay que remarcar que las autoridades de protección de datos en ningún momento indican ni que el tratamiento de datos personales no estuviera correctamente informado, ni que –en su momento- faltara algún consentimiento o base de legitimación conforme al RGPD ni que se hubieran incumplido otras obligaciones de privacidad. La infracción consiste únicamente en que los datos personales se traban “para siempre” porque se guardaba la información y la documentación sin ningún límite temporal.

Especificidad española, el “bloqueo”

Este riesgo legal –ser sancionado por tratar datos personales más tiempo del necesario- es plenamente aplicable en España.

No únicamente son aplicables las mismas obligaciones del RGPD previamente mencionadas, además en España hay que “bloquear” los datos personales. Simplificándolo mucho el bloqueo de los datos personales significaría que los datos personales (que antes eran tratados para sus finalidades habituales, por ejemplo, para cumplir con protocolos internos de prevención de blanqueo de capitales) pasan a ser tratados de manera mucho más restringida (casi nadie debe tener acceso a ellos) únicamente para que estén a disposición de las autoridades en caso de que se pueda responder a obligaciones legales o responsabilidades vinculadas a las mismas (siguiendo con el ejemplo, hasta que finalice el plazo de diez años durante el que la normativa de prevención de blanqueo de capitales obliga a muchas empresas a guardar documentación). 

Determinación del plazo y accountability

Huelga decir que no siempre es fácil saber ni (i) en qué momento tiene sentido “bloquear” la documentación con datos personales ni (ii) en qué momento el tratamiento de datos personales deja de ser pertinente y el dato ya no puede conservarse ni bloqueado.

Hay que ir caso por caso con especial atención a un conjunto de factores. A continuación menciono únicamente algunos de ellos:

  • La finalidad (por ejemplo, no es igual tratar datos personales para selección de personal para gestionar la relación contractual).
  • La normativa aplicable (por ejemplo, como ya se ha mencionado, por cumplimiento de la normativa de prevención de blanqueo de capitales en ocasiones hay que mantener cierta documentación, como mínimo, diez años).
  • El tipo de datos personales tratados (por ejemplo, no es idéntico tratar datos de contacto que tratar datos sobre salud).
  • Aspectos cuantitativos de la gestión del riesgo legal (por ejemplo, debemos ser más estrictos en determinar cómo limitamos temporalmente un tratamiento de datos personales que casi no implica personas u otro que afecte a miles de personas). 

Siendo una materia tan compleja, las autoridades de protección de datos difícilmente sancionarán solamente porque discrepen ligeramente de la determinación de un plazo de conservación o bloqueo que haya establecido una entidad. En cambio, es mucho más probable que sí sancionen –como ha ocurrido en este caso- el hecho de que la entidad no haya hecho esfuerzos razonables para establecer y aplicar plazos de conservación.

Asimismo, dado el principio de accountability que obliga a las entidades no únicamente a cumplir con las obligaciones comprendidas en el RGPD sino a demostrar que lo hace, las entidades deben de conservar evidencias de que han estudiado cómo cumplir con dicha obligación legal y que se han preocupado de que efectivamente se cumple en su día a día.

Consecuentemente, para disminuir este riesgo legal las entidades deberían contratar proyectos de asesoramiento legal en el que:

  • Con especial atención a la normativa aplicable a la misma, se establezcan plazos máximos de retención de la documentación empleada en la entidad.
  • Se establezca, dialogando con las áreas afectadas, en qué momento dentro dicho plazo máximo, pasará a ser información bloqueada.
  • Se establezcan mecanismos y protocolos (a) de bloqueo digital y documental de la información y (b) de borrado seguro digital y documental de la documentación.
  • Para implementar todo lo anterior, en atención al nivel de riesgo legal de los tratamientos de datos personales y los recursos disponibles, se establezcan las prioridades, los recursos y los responsables de cumplimiento de todo lo anterior tanto (a) en el día a día de la entidad como (b) en la documentación histórica que haya podido ir acumulándose antes de tener dicha.
  • Se debe generar evidencia/accountability de todos los puntos previos y establecer mecanismos de verificación o auditoría y, si es necesario, de mejora o de actualización.