La LOPD tiene por objeto garantizar y proteger el derecho al honor a la intimidad personal y familiar y a la propia imagen en lo que se refiere al tratamiento de los datos personales. La aplicación confusa tanto de esta ley como de la LSSICE, hacen imprescindible el trabajo de una consultoría de protección de datos, en base a una interpretación del Derecho de Nuevas Tecnologías.
La seguridad de la protección de datos está directamente relacionada con la conservación de los mismos. El principio de calidad de dichos datos se recoge en el artículo 4.5 de la LOPD cuando se dice que «los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados».
No obstante, el artículo 8.6 del Reglamento que desarrolla la LOPD establece el derecho de cancelación del titular de esos datos. Dice textualmente dicho artículo que «los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados».
La cancelación de datos deberá solicitarla personalmente el interesado, dirigiéndose a la empresa u organismo público que los custodie. El responsable de los datos deberá resolver la solicitud de cancelación en un plazo máximo de diez días. Finalizado ese plazo sin que la cuestión se haya resuelto o la resolución sea insatisfactoria, el solicitante podrá interponer una reclamación de tutela ante la Agencia Española de Protección de Datos.
El procedimiento para la determinación de infracciones de derechos de acceso, rectificación, oposición y cancelación de datos se regulan en los artículos 117 y siguientes de Reglamento de desarrollo de la LOPD (RD 1720/2007). El plazo máximo del que dispone la Agencia para dictar y notificar la resolución será de seis meses. Este cómputo empieza a contar desde la fecha de presentación de la solicitud por el interesado. Si en ese plazo no se ha dictado resolución, el afectado puede considerar que su solicitud ha sido aceptada en virtud del silencio administrativo que se regula en el artículo 118 de dicho Reglamento.
No obstante, cuestión distinta es que se haya producido la utilización o cesión ilícita de los datos de carácter personal. En este caso, el requerimiento deberá ser atendido en el plazo improrrogable de tres días . Sin embargo, con anterioridad se podrán realizar las actuaciones previas reguladas en los artículos 122 y siguientes del Reglamento, tendentes a determinar si el procedimiento sancionador es procedente en ese caso concreto. La duración de esas actuaciones previas podrá ser de un máximo de doce meses desde el inicio de las mismas. Desde la entrada en la Agencia de la denuncia o petición o, en caso de no existir aquéllas, desde que la Directora de la Agencia acordase la realización de dichas actuaciones.
En resumen, la protección de datos de carácter personal requiere, dada su sensibilidad, un tratamiento perfectamente reglado. Esto supone que dichos datos no permanezcan indefinidamente almacenados en poder de terceros y que su titular tenga sobre ellos un derecho de cancelación. Dicha potestad, en caso de no ser atendida correctamente, dará lugar a un procedimiento ante la Agencia de Protección de Datos.