¿Hay que esperar 5 años para destruir documentación de un usuario? ¿Y tras su fallecimiento?

Hola,
En principio, pudiera parecer que existe una incompatibilidad entre la LOPD y leyes como la Tributaria o la de Prevención de Riesgos Laborales. En efecto: uno de los principios más básicos en materia de Protección de Datos es la obligación de cancelar la información que dispone el Responsable del Fichero cuando la finalidad para la cual fue recabada desaparezca. Es uno de los aspectos sobre los que se vertebra el llamado “Principio de Calidad de los Datos”, y también uno de los mas criticados de la LOPD, en cuanto impone unas obligaciones de control y de actualización de la información que en su tenor literal resulta casi imposible cumplir. También existen leyes que obligan a retener cierta información por distintas razones (obligaciones fiscales, prescripción de acciones civiles o mercantiles, etc). Así, de la lectura del art. 111 de la Ley General Tributaria se puede deducir que el empresario ha de conservar cierta información, en particular, la que posee “trascendencia tributaria”
De lo anterior se desprende que la obligación de cancelar los datos cuando la finalidad haya desaparecido, recogido en la LOPD, ha de entenderse en todo momento a salvo de las otras obligaciones que algunas leyes imponen al empresario.
Como sucede en la mayoría de los casos, será el supuesto concreto el que nos indicará durante cuánto tiempo ha de conservarse –o no- una determinada información. Siempre y cuando no exista ninguna obligación de retención, primará el Principio de Calidad de los Datos citado anteriormente, y será necesario su cancelación o borrado total de la base de datos del Responsable del Fichero. Si por el contrario nos encontramos disposiciones con rango de ley que obligan al mismo Responsable a retener la información, la solución será el bloqueo de la información de la base de datos originaria del fichero (ej., fichero “personal”) y la conservación en otro fichero a los efectos de una posible reclamación de la Administración o de la Justicia, y siempre durante el periodo de tiempo señalado en la Ley. Cumplido el mismo, se procederá a su borrado total.
En la mayoría de las ocasiones habrá que acudir al período de prescripción de las acciones recogidos en normas con rango de Ley. Así, a título de ejemplo, podría considerarse que el bloqueo del fichero “personal” de una determinada empresa habrá de efectuarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, en los términos previstos por la legislación civil o mercantil que resulte de aplicación, así como el plazo de cuatro años en el que prescriben las deudas tributarias en cuanto los datos puedan revestir esa “trascendencia fiscal”
Un saludo

Teresa Ferraz

Hola de nuevo,

Te adjunto un resumen general de plazos en función de lo dicho la consulta anterior De éste desarrollo inicial se extraen las siguientes conclusiones que debe tener en cuenta la Entidad:

-Cuando se recaban y tratan datos, debe haber necesariamente una finalidad detrás.
-Cuando haya acabado la finalidad del tratamiento, los datos serán cancelados (salvo que se trate de fines históricos, estadísticos o científicos).
No deben ser destruidos desde el momento en que finaliza el tratamiento para el que fueron recabados, pues hay plazos de conservación que prescribe la ley, que exige conservarlos para ponerlos a disposición de diferentes instancias judiciales y administrativas.
Finalizado éste plazo de prescripción legal de conservación, serán destruidos. En éste punto se hace necesario enumerar cuales son éstos plazos: Conservación.

La LOPD: Establece un plazo de conservación de 3 años a partir de haber finalizado su tratamiento. Este plazo deriva de las posibles reclamaciones que se puedan hacer por infracciones relativas al tratamiento de los datos, pues la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT), establece en su artículo 57 que las infracciones muy graves prescriben a los 3 años; las graves, a los 2 años, y las leves a los 6 meses. Por su parte, la LOPD, establece idénticos plazos de prescripción. Así, la razón de su conservación sería una eventual reclamación por parte de un afectado, que implicaría una puesta a disposición del Poder Judicial de los datos del reclamante, a efecto de juzgar la legalidad de su tratamiento.
Derecho societario: Se deberán conservar los siguientes documentos durante 6 años:
- Libro diario.

- Libro de inventarios y balances.

- Libro de facturas emitidas.

- Libro de facturas recibidas.

Reglamento de facturación: Las facturas en las que el emisor o receptor sea persona física, se deben conservar durante un período de cinco años a partir de su emisión.
Ley General Tributaria: Establece un plazo de cuatro años para el ejercicio de determinados derechos formales y económicos por parte de la Administración y del contribuyente.
Ley de la Seguridad Social: Establece un período de cinco años para la prescripción de la obligación del pago de cuotas a la Seguridad Social, a partir de la fecha en que preceptivamente debieran ser ingresadas.
La Ley reguladora de la Autonomía del Paciente: Establece un plazo de cinco años para la conservación de la documentación clínica, a partir de la fecha de alta de cada proceso asistencial.
Un saludo

Teresa Ferraz

Estimada Ester: en relación con la consulta planteada, paso a informarte lo siguiente: junto con la aportación que le traslada mi compañera Teresa, para el caso de que existan obligaciones legales seguridad social, tributarias, etc., que conlleve al encargado de tratamiento de datos personales a conservar los mismos, en mi opinión, la solución vendría dada por el bloque de la información tal como establece el artículo 8.6 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos Personales, aprobado por Real Decreto 1720/2007, de 21 de diciembre, a cuyo tenor: “Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.”
No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente reglamento.”
Así pues, debe señalarse que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como dispone el artículo 16.3 de la Ley Orgánica 15/1999, de Protección de Datos Personales, al establecer que: “La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones  públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.”
En este sentido, el Reglamento de desarrollo de la Ley Orgánica 15/1999, define en su artículo 5.1. b) la cancelación como “Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.”
En cuanto al modo de llevar a cabo el bloqueo, tal como menciona un Informe de la Agencia Española de Protección de Datos, de 5 de junio de 2007, el mismo “deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en la entidad asociativa, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a la persona a la que se ha hecho referencia.”
Espero haberte ayudado.
Un cordial saludo.
Rafael Pérez Castillo.
rperezcastillo@gmail.com