¿Durante cuánto tiempo debemos conservar la documentación y datos personales de los usuarios?

Hola!!
Un aspecto que siempre tiene que seguir para guardar datos personales según el RGPD es la proporcionalidad. Esto significa que puedes guardar datos, pero solo si los necesitas y durante el periodo de tiempo estrictamente necesario para realizar tus funciones.
El reglamento NO establece un tiempo concreto por lo que te aconsejo que lo estipuleis vosotros antes de que la Administración os los pueda recabar
Por otro lado si que hay datos más sensibles en los que sí que el reglamento europeo de protección de datos establece una duración Por ejemplo sanidad: La legislación estatal obliga a conservar los datos de los pacientes durante 1 año como mínimo. Ahora bien, en algunas leyes autonómicas se amplía el plazo hasta el punto de que puede llegar a ser indefinido, en especial para documentos como las altas, bajas o el consentimiento informado.
Por tanto lo mejor es establecer un protocolo interno sobre la duración, el método a utilizar para su almacenaje, el procedimiento para la destrucción de esos datos ….
Hay tb datos que por motivos de interés cultural histórico o científico puedes guardarlos durante más tiempo
Un saludo
Teresa Ferraz

Buenos días, completando la información que os proporciona Teresa, recordáos, que si estáis aplicando algún sistema de gestión de calidad, debéis revisar la norma que os aplique, porque muchas de ellas, requieren al menos dos años de histórico.
Actas en las que hayan participado, organigramas, actividades firmadas por ellos….
Hace unos años, por motivos de espacio físico, esto resultaba un engorro; ahora, pudiendo escanear y guardarlos en disco duro, lo cierto es que no cuesta nada.

Un saludo y ánimo con le trabajo

Y completando a la información suministrada por Nieves y Teresa, con respecto a la ley de Prevención y Blanqueo (a la que estamos sometidos también las asociaciones y fundaciones), el período es de 10 años, con copia de la identificación (DNI), si el/la asociado/a ha aportado a la Fundación/asociación una cantidad mayor de 99 euros en un año

En relación con la consulta planteada, paso a informarle lo siguiente: con fecha 9 de diciembre de 2020 la Agencia Española de Protección de Datos (en adelante, AEPD), respondió a una consulta sobre plazos máximos de conservación de los datos personales.
Ante la consulta de un delegado de protección de datos, que preguntaba sobre la adecuación y validez de una guía de plazos máximos de conservación de datos personales, la AEPD recuerda que, con base en el principio de responsabilidad proactiva y las competencias de la AEPD, no corresponde a la AEPD realizar esa validación con alcance general, sino al responsable que es quien determinó la finalidad del tratamiento.
Dicho lo anterior, partiendo de la interpretación del principio de limitación del plazo de conservación previsto en el artículo 5.1.e) del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) y de la obligación de “bloqueo” prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales ( en adelante, LOPDGDD), la AEPD entiende que el bloqueo (entendido como obligación del responsable, no como derecho) excluye el borrado material de los datos, siempre y cuando ello sea de conformidad con las limitaciones previstas en el propio artículo 32 de la LOPDGDD.
Pues bien, estas limitaciones excluyen el borrado material de los datos personales solo en las siguientes circunstancias: (i) para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, y (ii) para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de estas. Este último punto debe interpretarse como el “plazo de prescripción de las acciones” encaminadas a la exigencia de tales responsabilidades.
Cuestión distinta se plantea cuando existe una normativa legal aplicable que exige la conservación de los datos por un plazo determinado. En estos casos, de conformidad con el artículo 17.3.b) del RGPD no procede el derecho de supresión, ni, por tanto, el bloqueo. Ello no obsta para que el responsable pueda aplicar medidas técnicas y organizativas previstas para la obligación de bloqueo.
En todo caso, como criterio fundamental, siempre deberá tenerse en cuenta el principio de reserva de Ley aplicable a cualquier limitación del derecho fundamental de protección de datos para que esta limitación pueda considerarse lícita.
Y, aunque la primera conclusión de la AEPD es que es el responsable del tratamiento quien debe proceder al examen pormenorizado de todos y cada uno de los tratamientos para determinar para cada uno de ellos el plazo concreto de conservación de los datos, la propia AEPD repasa, sin ánimo exhaustivo, algunos de los principales plazos existentes, a saber:
-En relación con las obligaciones personales, el punto de partida se sitúa en el plazo de prescripción fijado en el artículo 1964, apartado 2, del Código Civil, al que la consultante deberá atenderse en relación con el bloqueo de datos personales relacionados con dichas obligaciones.
En los informes que con anterioridad a 2015, venía emitiendo la AEPD, se hacía referencia al plazo de quince años establecido por dicho precepto hasta su modificación, operada en virtud de la Disposición final primera de la Ley 42/2015, de 5 de octubre, de reforma de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, que vino a reducir dicho plazo de prescripción, fijándolo en cinco años, señalando que: “Las acciones personales que no tengan plazo especial prescriben a los cinco años desde que pueda exigirse el cumplimiento de la obligación. En las obligaciones continuadas de hacer o no hacer, el plazo comenzará cada vez que se incumplan.”
En consecuencia sin perjuicio del régimen transitorio aplicable, el plazo de prescripción para este tipo de acciones pasó de 15 a 5 años y, por tanto, durante este plazo de 5 años, los datos suprimidos deberán ser bloqueados en los términos previstos por el artículo 32 de la LOPDGDD.
En cuanto a la interpretación que deba darse a este precepto, ha de señalarse que no es competencia de esta Agencia la interpretación de cuestiones tales como el régimen transitorio para la aplicación a las acciones personales nacidas antes de la entrada en vigor de esta Ley, más allá de lo indicado en propia Disposición transitoria quinta de la Ley 42/2015, de 5 de octubre, sobre el Régimen de prescripción aplicable a las relaciones ya existentes en materia Civil, que establece expresamente que el tiempo de prescripción de las acciones personales que no tengan señalado término especial de prescripción, nacidas antes de la fecha de entrada en vigor de esta Ley, se regirá por lo dispuesto en el artículo 1939 del Código Civil.
En este sentido, el citado artículo 1939 del Código Civil, dispone que “La prescripción comenzada antes de la publicación de este código se regirá por las leyes anteriores al mismo; pero si desde que fuere puesto en observancia transcurriese todo el tiempo en él exigido para la prescripción, surtirá ésta su efecto, aunque por dichas leyes anteriores se requiriese mayor lapso de tiempo”.
Lo anterior, sin perjuicio de la obligación de conservación y custodia de libros y documentos que incumbe al empresario, que se fija en seis años en el artículo 30 del Código de Comercio, de acuerdo con el cual: “1. Los empresarios conservarán los libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, durante seis años, a partir del último asiento realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales. 2. El cese del empresario en el ejercicio de sus actividades no le exime del deber a que se refiere el párrafo anterior y si hubiese fallecido recaerá sobre sus herederos. En caso de disolución de sociedades, serán sus liquidadores los obligados a cumplir lo prevenido en dicho párrafo.”
En materia tributaria, los artículos 66 al 70 de la Ley 58/2003, de 17 de diciembre, General Tributaria, fijan en cuatro años el plazo de prescripción de las deudas tributarias, sin perjuicio de lo dispuesto en sus artículos 115 y 148, referidos respectivamente a las potestades y funciones de comprobación e investigación, y al alcance de las actuaciones del procedimiento de inspección. Asimismo, de acuerdo con sus artículos 66 bis, 259.3 a) y 262, en ocasiones, podría resultar justificado el bloqueo de la información con datos de carácter personal por un plazo de hasta diez (10) años.
Por su parte, el artículo 131 del Código Penal CP, aprobado por Ley Orgánica 10/1995, de 23 de noviembre, establece el plazo de prescripción de los delitos, disponiendo que prescriben (…) a los diez (10) años aquellos cuya pena máxima señalada por la ley sea prisión o inhabilitación por más de cinco años y que no exceda de diez, y a los cinco (5) años los demás delitos, excepto los delitos leves y los delitos de injurias y calumnias, que prescriben al año.
En este sentido, tras las últimas modificaciones del Código Penal, operadas en virtud de la Ley Orgánica 7/2012, de 27 de diciembre, y de la Ley Orgánica 1/2019, de 20 de febrero, la regulación de los delitos contra la Hacienda Pública y contra la Seguridad Social artículos 305 a 310 del CP, contempla diversas posibilidades incardinadas en los distintos tipos penales contenidos en dichos preceptos, de los que deriva la imposición de penas de (i) prisión de uno a cinco años ex artículo 305.1, (ii) de prisión de tres meses a un año ex artículo 305.3, y (iii) de prisión de dos a seis años cuando el delito contra la Hacienda Pública se cometiere concurriendo alguna de las tres circunstancias tipificadas en el artículo 305 bis.
En consecuencia, con la introducción del nuevo tipo agravado del artículo 305 bis del CP para tipificar las conductas de cuantía superior a 600.000 euros que se sancionan con una pena máxima de seis años, y en aplicación del artículo 131 del propio CP, el plazo máximo de prescripción se fija en diez (10) años.
En materia de seguridad social, el artículo 21.1 del Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social, se refiere a la obligación que incumbe al empresario y a las entidades de formación en orden a la conservación durante cuatro años, de la documentación o los registros o soportes informáticos en que se hayan transmitido los correspondientes datos que acrediten el cumplimiento de las obligaciones en materia de afiliación, altas, bajas o variaciones que, en su caso, se produjeran en relación con dichas materias, así como los documentos de cotización y los recibos justificativos del pago de salarios y del pago delegado de prestaciones.
Dicho plazo se encuentra en consonancia con el fijado por el artículo 24 del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social, cuando dispone que: “1. Prescribirán a los cuatro años los siguientes derechos y acciones: a) El derecho de la Administración de la Seguridad Social para determinar las deudas por cuotas y por conceptos de recaudación conjunta mediante las oportunas liquidaciones. b) La acción para exigir el pago de las deudas por cuotas de la Seguridad Social y conceptos de recaudación conjunta. c) La acción para imponer sanciones por incumplimiento de las normas de Seguridad Social.
2. Respecto de las obligaciones con la Seguridad Social cuyo objeto sean recursos distintos a cuotas, el plazo de prescripción será el establecido en las normas que resulten aplicables en razón de la naturaleza jurídica de aquellas. (…)”
Por su parte, el artículo 4 del Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social, se refiere a la prescripción de las infracciones en el orden social, disponiendo con carácter general en su apartado 1 su prescripción en el plazo de tres años. A su vez, según se establece en los apartados 2, 3 y 4 de dicho precepto, prescribirán (i) a los cuatro años, las infracciones cometidas en materia de Seguridad Social; (ii) al año, a los tres años o a los cinco años, dependiendo de su gravedad, las infracciones cometidas en materia de prevención de riesgos laborales, y (iii) a los tres meses, los seis meses, y al año también en función de su gravedad, las infracciones a la legislación de sociedades cooperativas. Dichos plazos han de computarse en todos los casos desde la fecha de la infracción.
También en relación con la Seguridad Social, se impone en este punto una referencia a los plazos de prescripción de los delitos establecidos en el artículo 131 del Código Penal, aprobado por Ley Orgánica 10/1995, de 23 de noviembre, cuando dispone que “prescriben (…) a los diez (10) años aquellos cuya pena máxima señalada por la ley sea prisión o inhabilitación por más de cinco años y que no exceda de diez, (…)” y “a los cinco (años), los demás delitos, excepto los delitos leves y los delitos de injurias y calumnias, que prescriben al año”.
En este sentido, tras la reforma de operada por la Ley Orgánica 7/2012, de 27 de diciembre, los tipos penales agravados de los artículos 307 bis y 307 ter del CP fijaron en prisión de dos a seis años, la pena a imponer por la comisión de los injustos típicos de sus respectivos apartados 1 y 2.
En consecuencia, de acuerdo con la dicción literal de dichos preceptos, en consideración a la pena máxima prevista por estos tipos penales de seis años, y en aplicación del artículo 131 del propio CP, el plazo máximo de prescripción aplicable para estos supuestos es el de diez (10) años.
Finalmente, en lo relativo a prescripción de acciones en el ámbito laboral, debe recordarse que, según dispone el artículo 59 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores, las acciones derivadas del contrato de trabajo que no tengan previsto plazo de prescripción específico están sometidas al plazo de prescripción de un año, de modo que: “1. Las acciones derivadas del contrato de trabajo que no tengan señalado plazo especial prescribirán al año de su terminación. A estos efectos, se considerará terminado el contrato: a) El día en que expire el tiempo de duración convenido o fijado por disposición legal o convenio colectivo. b) El día en que termine la prestación de servicios continuados, cuando se haya dado esta continuidad por virtud de prórroga expresa o tácita. 2. Si la acción se ejercita para exigir percepciones económicas o para el cumplimiento de obligaciones de tracto único, que no puedan tener lugar después de extinguido el contrato, el plazo de un año se computará desde el día en que la acción pudiera ejercitarse. 3. El ejercicio de la acción contra el despido o resolución de contratos temporales caducará a los veinte días siguientes de aquel en que se hubiera producido. Los días serán hábiles y el plazo de caducidad a todos los efectos. El plazo de caducidad quedará interrumpido por la presentación de la solicitud de conciliación ante el órgano público de mediación, arbitraje y conciliación competente. 4. Lo previsto en el apartado anterior será de aplicación a las acciones contra las decisiones empresariales en materia de movilidad geográfica y modificación sustancial de condiciones de trabajo. El plazo se computará desde el día siguiente a la fecha de notificación de la decisión empresarial, tras la finalización, en su caso, del periodo de consultas.”
Tal y como se observa, la distinción de diferentes tipos de infracciones y plazos de prescripción traídos hasta aquí, encajan sustancialmente con las diversas categorías anunciadas por la entidad consultante en su consulta, mas como se aprecia no se compadece con las consecuencias obtenidas en orden a la determinación del plazo que en cada caso haya de justificar dicho bloqueo de la información personal de los trabajadores y antiguos trabajadores de la empresa.
Además de la documentación relativa a seguridad y salud laboral, control y registro de absentismo, y gestión del bonus por siniestralidad, la mercantil consultante se refiere a la necesidad de bloquear los datos de salud manejados por el servicio médico de empresa para, en su caso, dar respuesta a las posibles acciones que pudieren plantearse por los trabajadores afectados una vez finalizada la relación laboral.
A este respecto, alude a las distintas acciones judiciales o requerimientos de información que, en materia laboral y administrativa, pudieren plantearse contra la empresa respecto de relaciones laborales ya extinguidas tanto por el propio extrabajador como por la autoridad laboral, así como a la actividad inspectora de la Inspección de Trabajo y Seguridad Social. En el presente caso la consultante, en cuanto empleador, debe estar al estricto cumplimiento de la normativa sobre “Prevención de Riesgos Laborales” tanto durante la vigencia del contrato de trabajo cuanto en su caso una vez concluido este.
De tal modo, el establecimiento de plazos más amplios para la conservación de los datos de carácter personal de los trabajadores obrante en determinados ficheros de la consultante viene determinado directamente por la normativa aplicable, de acuerdo con los fines, requisitos y garantías establecidos en la misma. A este respecto, el artículo 22 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales, dispone que: “En los supuestos en que la naturaleza de los riesgos inherentes al trabajo lo haga necesario, el derecho de los trabajadores a la vigilancia periódica de su estado de salud deber ser prolongado más allá de la finalización de la relación laboral, en los términos que reglamentariamente se determinen.” La transcrita habilitación legal en orden al desarrollo reglamentario del plazo de obligatoriedad de la vigilancia periódica de la salud de los trabajadores se ha concretado en diversas normas jurídicas, algunas de las cuales elevan el plazo de conservación de determinados datos concernientes a la salud de los trabajadores, hasta los cuarenta (40) años.
Así, el artículo 9 del Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo, dispone: “Artículo 9 Documentación 1. El empresario está obligado a disponer de: a) La documentación sobre los resultados de la evaluación a que se refiere el artículo 4, así como los criterios y procedimientos de evaluación y los métodos de medición, análisis o ensayo utilizados. b) Una lista de los trabajadores expuestos en la empresa a agentes biológicos de los grupos 3 y 4, indicando el tipo de trabajo efectuado y el agente biológico al que hayan estado expuestos, así como un registro de las correspondientes exposiciones, accidentes e incidentes. 2. El empresario deberá adoptar las medidas necesarias para la conservación de un registro de los historiales médicos individuales previstos en el apartado 5 del artículo 8 del presente Real Decreto, sin perjuicio de lo dispuesto en el artículo 22 de la Ley de Prevención de Riesgos Laborales. 3. La lista de los trabajadores expuestos y los historiales médicos deberán conservarse durante un plazo mínimo de diez años después de finalizada la exposición; este plazo se ampliará hasta cuarenta años en caso de exposiciones que pudieran dar lugar a una infección en la que concurran alguna de las siguientes características: (la negrita es nuestra) a) Debida a agentes biológicos con capacidad conocida de provocar infecciones persistentes o latentes. b) Que no sea diagnosticable con los conocimientos actuales, hasta la manifestación de la enfermedad muchos años después. c) Cuyo período de incubación, previo a la manifestación de la enfermedad, sea especialmente prolongado. d) Que dé lugar a una enfermedad con fases de recurrencia durante un tiempo prolongado, a pesar del tratamiento. e) Que pueda tener secuelas importantes a largo plazo. 4. La documentación a que se refiere el párrafo b) del apartado 1 será adicional a la que el empresario deberá elaborar de acuerdo con el artículo 23 de la Ley de Prevención de Riesgos Laborales y estará sujeta al mismo régimen jurídico que ésta, en especial en lo que se refiere a su puesta a disposición de las autoridades laboral y sanitaria, y al acceso y confidencialidad de la información.
5. El tratamiento automatizado de datos personales sólo podrá realizarse en los términos previstos en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.” * *Nótese que, en el momento actual, este último apartado 5 ha de entenderse referido a la normativa vigente en materia de protección de datos. En similares términos, el artículo 9 del Real Decreto 665/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes cancerígenos durante el trabajo, establece que: Artículo 9. Documentación. 1. El empresario está obligado a disponer de: a) La documentación sobre los resultados de la evaluación a que se refiere el artículo 3, así como los criterios y procedimientos de evaluación y los métodos de medición, análisis o ensayo utilizados. b) Una lista actualizada de los trabajadores encargados de realizar las actividades respecto a las cuales los resultados de las evaluaciones mencionadas en el artículo 3 revelen algún riesgo para la seguridad o la salud de los trabajadores, indicando la exposición a la cual hayan estado sometidos en la empresa. 2. El empresario deberá adoptar las medidas necesarias para la conservación de los historiales médicos individuales previstos en el apartado 3 del artículo 8 del presente Real Decreto, sin perjuicio de lo dispuesto en el artículo 22 de la Ley de Prevención de Riesgos Laborales. 3. Tanto la lista mencionada en el apartado 1 anterior como los historiales médicos mencionados en el apartado 2 deberán conservarse durante cuarenta años después de terminada la exposición, remitiéndose a la autoridad laboral en caso de que la empresa cese en su actividad antes de dicho plazo. (la negrita es nuestra) Los historiales médicos serán remitidos por la autoridad laboral a la sanitaria, quien los conservará, garantizándose en todo caso la confidencialidad de la información en ellos contenida. En ningún caso la autoridad laboral conservará copia de los citados historiales. 4. El tratamiento automatizado de datos personales solo podrá realizarse en los términos previstos en la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.” * *Nótese que, en el momento actual, este último apartado 4 ha de entenderse referido a la normativa vigente en materia de protección de datos.
Por su parte, el artículo 18 del Real Decreto 396/2006, de 31 de marzo, por el que se establecen las disposiciones mínimas de seguridad y salud aplicables a los trabajos con riesgo de exposición al amianto, prevé también en este caso la conservación de los datos de exposición de los trabajadores y los datos referidos a la vigilancia sanitaria específica de los trabajadores por un plazo mínimo de cuarenta (40) años después de finalizada la exposición. En concreto, el apartado 4 de dicho artículo dispone que: “Artículo 18.4 Los datos relativos a la evaluación y control ambiental, los datos de exposición de los trabajadores y los datos referidos a la vigilancia sanitaria específica de los trabajadores se conservarán durante un mínimo de cuarenta años después de finalizada la exposición, remitiéndose a la autoridad laboral en caso de que la empresa cese en su actividad antes de dicho plazo. (la negrita es nuestra) Los historiales médicos serán remitidos por la autoridad laboral a la sanitaria, quien los conservará, garantizándose en todo caso la confidencialidad de la información en ellos contenida. En ningún caso la autoridad laboral conservará copia de los citados historiales.”
En otros casos, como el previsto el artículo 38 del Real Decreto 783/2001, de 6 de julio, por el que se aprueba el Reglamento sobre protección sanitaria contra radiaciones ionizantes, se fija en un mínimo de treinta (30) años el plazo de conservación de los datos de los afectados, debiendo archivarse y conservarse hasta que el trabajador alcance la edad de setenta y cinco años, y nunca por un periodo inferior a treinta años, contados a partir de la fecha de cese del trabajador en aquellas actividades que supusieran su clasificación como trabajador expuesto.
En consecuencia, en lo relativo a los trabajadores afectados por este tipo de tratamientos, los diferentes plazos a los que la consultante refiere la conservación de los datos personales resultarían conformes con lo dispuesto en la normativa de protección de datos, si bien únicamente en lo atinente al cumplimiento de sus obligaciones en materia de prevención de riesgos laborales, y en relación con las finalidades previstas por la misma, lo que excluye su posible conservación para cualquier otro fin.
En cualquier caso como queda expuesto, la conservación de estos datos de carácter personal deberá producirse únicamente en relación con los estrictamente necesarios para la finalidad pretendida -protección de la salud de los trabajadores - y en atención a lo dispuesto por la normativa de prevención de riesgos laborales, debiendo darse el debido cumplimento a lo dispuesto en el artículo 5 –“Principios relativos al tratamiento”- del RGPD.
Muy especialmente, a los efectos que aquí interesan, deberá estarse a lo dispuesto en las letras b), c) y f) del artículo 5.1, referidos a los principios de limitación de la finalidad, minimización, e integridad y confidencialidad, que resultan plenamente predicables en relación con la información que haya de incorporarse a uno o varios ficheros concretos destinados al pretendido fin. “5.1 Los datos personales serán: (…) b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; («limitación de finalidad»); c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»); (…) f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
Además de los supuestos previamente analizados, otros casos a tener en cuenta en relación con la conservación de los datos personales de los afectados serían los propios previstos en la LOPDGDD. Así, el plazo de un mes en relación con los tratamientos de datos en materia de videovigilancia al que se refiere su artículo 22, o el de tres meses para las denuncias internas reguladas en su artículo 24, teniendo en cuenta que, en estos casos, así como en el de las operaciones del artículo 21, referido a los tratamientos relacionados con la realización de determinadas operaciones mercantiles, no procede el bloqueo de los datos personales, sino pura y simplemente su supresión física.
Por otra parte, el plazo al que se refiere el artículo 32.2 de la LOPDGDD resulta también predicable en relación con cualquier eventual responsabilidad relacionada con el propio tratamiento de los datos personales; en consecuencia, el plazo máximo del bloqueo para este supuesto será el de tres años, establecido en el artículo 78 de la LOPDGDD como plazo máximo de prescripción de sus infracciones.
A su vez, el artículo 82.1 RGPD, bajo el título “Derecho a indemnización y responsabilidad”, dispone que “Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.” Dada la naturaleza jurídico-privada de la consultante, la acción reconocida en el artículo 82.1 tendrá naturaleza civil, pudiendo resultar del perjuicio causado como consecuencia del hecho mismo del tratamiento.
De este modo, con carácter general, el plazo de prescripción de dicha acción será el establecido en el Código Civil para la acción de responsabilidad extracontractual, siendo dicho plazo el de un año, previsto en el artículo 1968.2º del citado Código.
Espero haberle ayudado.
Cordialmente.
Rafael Pérez Castillo.
rperezcastillo@gmail.com