Síguenos en: Facebook Twitter Linkedin Youtube GPlus

La Vanguardia

Jaume Cabecerans Cabecerans, Socio del Departamento Derecho Mercantil de ROCA JUNYENT ABOGADOS ASOCIADOS

Cancelación y supresión de datos de carácter personal

En un mundo en el que la información es poder, adquiere especial relevancia la protección de la información relativa a las personas, en especial de las personas físicas, de los ciudadanos. La Constitución Española, en su artículo 18.4, establece que “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

Este mandato constitucional de 1978, dirigido a preservar la intimidad del ciudadano frente al uso de la informática, se concretó, en el año 1992, en una Ley específica de tratamiento de datos de carácter personal, la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del tratamiento automatizado de datos de carácter personal (LORTAD), limitada, como resulta de su propio nombre, al tratamiento automatizado (que no manual) de los datos de carácter personal.

Dicha Ley (derogada posteriormente por la vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal -LOPD-, que extiende su protección a cualquier tratamiento, sea o no automatizado) fue desarrollada por el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, aprobado por el Real Decreto 994/1999, de 11 de junio.
A pesar de ser un Reglamento aprobado con anterioridad a la LOPD, y desarrollar una Ley anterior (la LORTAD), es el Reglamento que actualmente se encuentra vigente y por tanto el de aplicación. No obstante la vigencia del citado Reglamento, hemos de señalar que, actualmente, se encuentra en trámite de aprobación parlamentaria el Proyecto de Real Decreto por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal. En esta situación será interesante ver las distintas medidas previstas por la normativa actual, así como aquellas que es previsible vayan a ser de aplicación en un futuro inmediato.

Los datos de carácter personal deben ser preservados desde la fase de su recogida hasta el momento de su destrucción y eliminación definitiva. En todo ese proceso el dato de carácter personal puede verse afectado por distintos tipos de tratamiento, ocupándose la Ley y su Reglamento de indicar las medidas de control, prevención y reacción que el responsable o encargado del tratamiento deben seguir en cada uno de ellos. Por tratamiento de datos, la LOPD entiende “las operaciones y procedimientos técnicos de carácter automatizado, o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”.

El objeto de este artículo se limita a la parte final del proceso, es decir, a la cancelación, y más concretamente a la destrucción de los soportes en los que figuran incorporados datos de carácter personal. Esta cuestión afecta a muchísimas empresas que, desconocedoras de las obligaciones que en este sentido establece la legislación sobre protección de datos, incumplen sistemáticamente sus normas y asumen graves riesgos de ser sancionadas.

La cancelación de un dato de carácter personal y su eliminación de un fichero, sea automatizado o manual, no es algo que dependa de la voluntad del titular del fichero o, en términos más jurídicos, del responsable del tratamiento, sino del cumplimiento de la ley, pues, como señala el artículo 4.5 de la LOPD, “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”.

Dicho lo anterior, cumplida que sea la finalidad, el responsable del fichero debe proceder a la cancelación de los datos de carácter personal, lo cual, normalmente se producirá en dos fases: una inicial, consistente en el bloqueo de los datos, “conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento” (art. 16.3 de la LOPD), y otra final, consistente en la supresión de los datos, procediéndose a “la eliminación física de los datos de carácter personal bloqueados” (art. 5.1.r del Proyecto de Reglamento).

El Reglamento vigente no contiene mucha información respecto a este punto. No existe una definición de “bloqueo” ni tampoco de “supresión” y únicamente se define el concepto “soporte” como “objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar o recuperar datos”.

Concretamente, el artículo 15 establece que “El documento de seguridad deberá contener (…) las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado” y el artículo 20.3 dispone que “Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se produzca su baja en inventario”.

Estas obligaciones que el actual Reglamento establece para los ficheros de nivel medio (y en aplicación de lo dispuesto en el art. 4.3 a los ficheros de nivel alto) se hacen comunes para todos los ficheros (incluso los de nivel básico) en el nuevo Proyecto de Reglamento (art. 86.3.g). Dicho cuanto antecede, debemos concluir que las empresas que traten datos de carácter personal, cualquiera que sea el nivel de información de sus ficheros (básico, medio o alto) deberán regular en su Documento de Seguridad las medidas que deberán seguirse cuando deban suprimirse los datos de carácter personal contenidos en sus soportes, diferenciando los soportes automatizados (en los que se procederá a su borrado) de los soportes no automatizados (en los que se procederá a su destrucción), cumplir con la obligación legal de cancelar los datos, cuando se haya cumplido la finalidad que justificó su incorporación al fichero, seguir efectivamente las medidas establecidas en el Documento de Seguridad cuando deba procederse a la eliminación de los datos de carácter personal y, finalmente, eliminar los datos de forma que sea imposible su recuperación o reutilización.

Para facilitar el cumplimiento de estas obligaciones es preciso que las empresas atribuyan a la fase de eliminación de los datos de carácter personal y destrucción de sus soportes el mismo valor que atribuyen a la fase de recogida, donde es preciso informar al afectado y obtener su consentimiento.

Olvidarse de ello puede hacer inútil todo el esfuerzo que la empresa haya dedicado a dar cumplimiento a las obligaciones de información y obtención del consentimiento, si al final, por no haber eliminado correctamente los datos de carácter personal, una vez cumplida la finalidad de su recogida, es sancionada por dicho motivo.