¿Qué sabes de la conservación de documentos para cumplir con la LOPD?

Desde que comenzó la aplicación obligatoria del RGPD, cumplir con la LOPD a la hora de aplicar correctamente el principio de gestión de documentos y compliance genera numerosas dudas en las empresas.

Conservación de datos para cumplir con la LOPD

Para hablar de la conservación de datos, en primer lugar tenemos que hacer alusión al artículo 5.1.e) RGPD. A partir del mismo, podemos sacar una serie de claves fundamentales. La primera, que los datos deberán conservarse el tiempo que sea estrictamente necesario para el tratamiento. La segunda clave es la posibilidad de una mayor conservación, pero únicamente en los casos de interés público.

Algunos de los plazos especificados en la LOPDGDD

La LOPDGDD determina algunos plazos de conservación, como los tres años para la documentación que tenga relación con obligaciones sobre protección de datos. Para otros supuestos, la AEPD alude a los plazos existentes en otras normativas, como los 5 años para las obligaciones sin plazo específico sin prescripción, regulado en el art. 1964.2º del Código Civil, o los cuatro años para los documentos relacionados con obligaciones tributarias, de los arts. 66-70 de la Ley General Tributaria.

A pesar de la concreción de este tipo de plazos, lo más resaltable del informe de la AEPD es que, en realidad, el propio RGPD no establece plazos específicos para la conservación. Por tanto, en cuanto a los documentos y la LOPD, lo que debes tener en cuenta es el principio básico de conservarlos el tiempo que se considere razonablemente aceptable, atendiendo a cuál sea el objeto del tratamiento de los datos personales.

Sin embargo, debemos señalar que a pesar de la flexibilidad que permite el RGPD para que el tratamiento de datos sea efectivo conforme a su finalidad, lo cierto es que, la misma, genera mucha incertidumbre sobre cómo deben cumplir la normativa de protección de datos las empresas.

conservacion de documentos para cumplir con la LPD

Niveles de seguridad y custodia documental

Con la entrada en vigor de la nueva LOPDGDD, los preceptos establecidos sustituyen a los que se establecían en la antigua LOPD de 1999, por lo que se deja atrás la división en niveles de seguridad en la protección de los datos personales. Ahora, el criterio que se sigue es una responsabilidad activa por parte del responsable del tratamiento, que es el que debe llevar a cabo un análisis más exhaustivo del tipo de información personal que se va a tratar.

En base a la categorización que realice el propio responsable del tratamiento en cuanto al tipo de datos personales como al perjuicio que puede generar el incumplimiento de las medidas de la normativa de protección de datos, se deben implantar unas medidas de seguridad suficientes y adecuadas para cada tipo de supuesto. Estas medidas, dependiendo de la gravedad, pueden ir desde un cambio periódico de contraseña si, por ejemplo, una empresa carece de un sistema de renovación de contraseñas, hasta una huella digital para ver quién accede a la información personal y si tenía autorización para ello, como podría ocurrir en los datos de salud. En última instancia, cuando ya no se necesiten los datos para el objetivo del tratamiento y tampoco sea de interés público, como te hemos comentado, la mejor de las medidas será la eliminación de dichos datos.

La limitación del plazo de conservación, en definitiva, solo permite que se mantengan el tiempo estrictamente necesario o, durante más tiempo, por razones de interés público. Este es un principio que genera mucha incertidumbre a la hora de cumplir con la normativa de protección de datos, al igual que ocurre al haberse enfocado la nueva LOPDGDD al deber del responsable de tratamiento de datos a la hora de determinar las medidas que se deben imponer para la custodia documental.

imagen