España: RGPD. ¿Deben las empresas borrar los datos personales una vez terminado el servicio?
Mónica García Rodríguez
Head of Legal & Compliance en Auxadi
Recursos Humanos
Uno de los grandes interrogantes que han surgido tras la entrada en vigor, en mayo de 2018, del Reglamento General de Protección de Datos (RGPD) es durante cuánto tiempo pueden o deben las empresas conservar los datos personales de clientes y/o empleados.
En este sentido, y en virtud del principio de limitación del plazo de conservación recogido en el artículo 5.1.e) del RGPD, los datos personales no podrán conservarse por más tiempo del necesario para llevar a cabo la finalidad para la que fueron solicitados.
Una interpretación restrictiva de este precepto, unida al temor a las enormes sanciones previstas en caso de incumplimiento, han hecho que muchas empresas, especialmente las extranjeras, hayan optado por exigir el borrado de los datos de forma inmediata una vez finalizada la relación comercial o laboral.
Pero ¿qué consecuencias puede tener el borrado de esa información de cara al cumplimiento de otras obligaciones tributarias o societarias?
Pues bien, la respuesta variará según el país de la Unión Europea en el que nos hallemos. En el caso de España, las empresas debemos tener especial cuidado con el borrado automático de datos, ya que en caso de requerimiento o inspección por parte de una autoridad estatal, deberemos tener disponible toda la información que nos solicite, entre la que se pueden hallar datos personales.
En nuestro país es necesario tener en cuenta que las acciones que puedan iniciar la Seguridad Social o Hacienda contra las empresas, no prescriben hasta pasados 5 y 4 años, respectivamente. Asimismo, nuestro Código de Comercio obliga a las compañías a conservar la información generada durante un periodo de 6 años. Por otro lado, si somos sujeto obligado al cumplimiento de la Ley de Prevención de Blanqueo de Capitales, la obligación de conservar la información prescribe al cabo de 10 años.
Por lo tanto, en caso de que se produzca un borrado de información -que incluya datos personales- y seamos objeto de una inspección, podemos vernos inmersos en una situación complicada, tanto por no contar con la información requerida, como por no disponer de los medios necesarios para nuestra defensa.
¿Qué opciones tenemos las empresas para poder cumplir con las diferentes normativas a la vez?
La solución está en el bloqueo de los datos personales para que nadie, excepto determinadas personas expresamente autorizadas, pueda acceder a los mismos.
El RGPD establece, en su Considerando 81 y en su artículo 28.1.g), que una vez finalizado el tratamiento por cuenta del responsable, el encargado debe, a elección de aquel, devolver o suprimir los datos personales, salvo que el Derecho de la Unión o de los Estados miembros aplicable al encargado del tratamiento obligue a conservar los datos.
En este sentido, la Ley 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD) establece en su artículo 33.3 que será el responsable del tratamiento quien "determinará si, cuando finalice la prestación de los servicios del encargado, los datos personales deben ser destruidos, devueltos al responsable o entregados, en su caso, a un nuevo encargado".
Asimismo, establece que "no procederá la destrucción de los datos cuando exista una previsión legal que obligue a su conservación […]".
Pero además (y aquí está la clave), el inciso 4 del artículo 33 otorga la posibilidad al encargado del tratamiento de conservar los datos debidamente bloqueados: "El encargado del tratamiento podrá conservar, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con el responsable del tratamiento".
En conclusión, las empresas podrán conservar los datos personales de clientes y empleados una vez finalizada la relación comercial o laboral, siempre que se garantice el efectivo bloqueo de los datos personales, y hasta que la obligación legal de la que se pueda derivar responsabilidad finalice.