La LOPD establece que los datos de carácter personal deberán ser cancelados a propia iniciativa del responsable del fichero cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la que fueron recabados o registrados.
Los datos, en todo caso, no podrán ser conservados de forma que permitan la identificación al interesado durante un periodo superior al necesario para los fines para los que los mismos se registraron.
Estamos, por tanto, no ante una facultad del responsable del fichero sino ante una obligación. Tan pronto como los datos personales hayan dejado de servir para la finalidad para la que se recabaron y respecto de la cual el interesado prestó su consentimiento, deberá procederse a su cancelación.
La cancelación de los datos debe llevarse a cabo a través de su bloqueo, conservándose únicamente a disposición de las Administraciones Públicas, jueces y tribunales para la atención de posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción que la Ley prevea para éstas.
A su vez, puede ser el propio interesado el que pida su cancelación de datos. ejerciendo para ello uno de sus derechos recogido en la LOPD y que estudiaremos en la siguiente Unidad, si bien, este derecho tiene sus excepciones como podremos observar.
DOCTRINA DE LA AEPD SOBRE EL BLOQUEO DE DATOS
Se planteó el alcance de la excepción o suspensión de la obligación de cancelación de datos que implica el bloqueo de los mismos, así como Ia conciliación del artículo 16.3 de la LOPD con la normativa reglamentaria de desarrollo dictada al amparo de la LORTAD y que regulaba la cancelación, concluyéndose Ia subsistencia de éstas en una interpretación coordinada con aquella disposición, y entrándose a analizar el supuesto del bloqueo de datos.
Así, el artículo 16.1 del Real Decreto 1332/1994, de 20 de junio, hace también referencia al bloqueo de datos, disponiendo que "en los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización", con la excepción prevista en su párrafo segundo, según la cual "Se exceptúa, no obstante, el supuesto en el que se demuestre que los datos han sido recogidos o registrados por medios fraudulentos, desleales o ilícitos, en cuyo caso la cancelación de los mismos comportará siempre la destrucción del soporte en el que aquellos figuren".
Por otro lado, el apartado 8 de Ia Norma Tercera de la Instrucción 1/1998, de 19 de enero, de Ia Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación, dispone que "la cancelación exige el borrado físico de los datos, sin que sea suficiente a estos efectos una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren las bajas producidas", añadiendo el apartado 9 de la misma Norma que "En los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicas como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos, con el fin de impedir su ulterior proceso o utilización".
Las citadas previsiones fueron dictadas al amparo de lo establecido en Ia Ley Orgánica 5/1992, que no contenía previsión alguna en relación con el bloqueo de los datos de carácter personal, limitándose a refl ejar esta obligación de cancelar, sin delimitar en qué consistía, efectivamente, la obligación de cancelación. Así, el artículo 15.2 de la derogada Ley se limitaba a señalar que "los datos de carácter personal que resulten inexactos o incompletos serán rectificados y cancelados en su caso", añadiendo el artículo 15.4 que "la cancelación no procederá cuando pudiese causar un perjuicio a intereses legítimos del afectado o de terceros o cuando existiese una obligación de conservar los datos", y el artículo 15.5 que "los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del fichero y el afectado".
Sin embargo, la nueva Ley Orgánica 15/1999 sí viene a hacer una referencia expresa al bloqueo de los datos de carácter personal en su artículo 16.3, al establecer que "la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión".
Este precepto, a su vez, se complementa con Ia previsión contenida en el artículo 16.5 que siguiendo lo ya apuntado por la LORTAD, indica que "los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado".
Del análisis conjunto de las dos normas últimamente citadas se desprende claramente que existirán determinados supuestos en que la cancelación o bien no podrá tener lugar, dada la obligación de conservación impuesta por la Ley, o bien deberá suponer una fase previa de bloqueo de los datos que, produciendo unos efectos similares al borrado físico de los mismos, salvo en determinadas circunstancias, no implicará automáticamente ese borrado.
Asi, el artículo 16.3 viene a reconocer, en consonancia con lo ya previsto en el artículo 15.5 de Ia LORTAD y 16.5 de Ia nueva Ley, que existirán determinados supuestos en los que la propia relación jurídica que vincula al afectado con el responsable del fichero y que determina, en definitiva, el tratamiento del dato de carácter personal cuya cancelación se pretende, así como las obligaciones de cada índole que pudieran derivarse de la citada relación jurídica y que aparecen impuestas por la Ley impedirá que Ia cancelación se materialice de forma inmediata en un borrado físico de los datos.
Por el contrario, el responsable del fichero estará obligado, bien por el contenido de aquella relación jurídica, bien por lo establecido en una norma imperativa, al mantenimiento del dato, si bien sometido a determinadas condiciones que aseguren y garanticen el derecho del afectado a la protección de sus datos de carácter personal, no pudiendo disponer de tales datos en Ia misma medida en que podría hacerlo en caso de que no procediera (de oficio -por haber dejado de ser necesarios para el cumplimiento de Ia finalidad del fichero- o a solicitud del afectado) la cancelación de los mismos.
En cuanto a las causas que podrán motivar Ia conservación del dato, sujeto a su previo bloqueo, y al margen de la relación jurídica con el afectado, a la que se refiere el artículo 16.5 de la Ley Orgánica 15/1999, éstas deberán fundarse en lo dispuesto "en las disposiciones aplicables" o a la "atención de las posibles responsabilidades nacidas del tratamiento", tal y como prevé la meritada Ley.
En este sentido, debe recordarse en relación con el mantenimiento del dato bloqueado, en cuanto supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación (tal y como prevé el propio artículo 16.3, al indicar que "cumplido el citado plazo deberá procederse a la supresión"), que ha de tenerse en cuenta que la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, viene a imponer, expresamente, el principio de reserva de Ley en cuanto a las limitaciones al derecho fundamental de protección de datos de carácter personal, de forma que cualquier limitación a ese derecho (como sería la derivada del artículo 16.3 de la Ley) deberá constar en una disposición con rango de Ley para que el bloqueo de los datos pueda considerarse lícitamente efectuado. Así, a título de ejemplo, podría considerarse que el bloqueo habrá de efectuarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, en los términos previstos por la legislación civil o mercantil que resulte de aplicación, así como el plazo de cuatro años de prescripción de las deudas tributarias, en cuanto los datos puedan revestir trascendencia fiscal (habida cuenta de la obligación de conservación que impone el artículo 111 de la Ley General Tributarias y el plazo legal de prescripción de cuatro años previsto en el artículo 24 de Ia Ley de Derechos y Garantías de los Contribuyentes).
En consecuencia, cabe entender que la cancelación no supone automáticamente, en todo caso, un borrado o supresión físico de los datos, sino que puede determinar, en caso de que así lo establezca una norma con rango de Ley o se desprenda de la propia relación jurídica, que vincula al responsable del fichero con el afectado (y que motiva el propio tratamiento), el bloqueo de los datos sometidos a tratamiento. Por este motivo, y con las peculiaridades que se han venido indicando, ha de considerarse que lo establecido en el Real Decreto 1332/1994 y en el apartado 8 de la Norma Tercera de la Instrucción 1/1998, debe interpretarse de forma armonizada con la citada disposición, no existiendo una obligación terminante de borrado físico en todos los casos.
Centro de Servicios Empresariales de Andalucía
C/ Arquímedes, 2 Isla de la Cartuja,
41092, Sevilla
Federación Andaluza de Autónomos
CEAT-Andalucía
C/ Arquímedes, 2. Isla de la Cartuja,
41092, Sevilla
Servicio Andaluz de Empleo
Consejería de Empleo
Junta de Andalucía
Confederación de Empresarios de Andalucía
C/ Arquimedes, 2.Isla de la Cartuja 41092
Sevilla ESPAÑA
http://www.cea.es
Teléfono: 954 48 89 00
Fax: 954 48 89 11