El RGPD, cuatro años después: la clave ahora está en la conservación, supresión y anonimización de datos personales

Desde la entrada en vigor del Reglamento General de Protección de Datos Personales (en adelante RGPD), que cumple cuatro años desde su obligado cumplimiento en 2018,  numerosas organizaciones se han centrado en adecuar sus procesos de gestión de privacidad cumpliendo exhaustivamente los requerimientos que emanan de la normativa, pero con un éxito relativo si hablamos del nivel de madurez alcanzado respecto al diseño y efectividad en varios de estos controles.

Esto puede venir motivado, por ejemplo, en el caso de los procesos relativos a las últimas fases del ciclo de vida de los datos propios. Especialmente debido a la dificultad que supone la implementación práctica de ciertas medidas organizativas y técnicas que tienen que ver con el cumplimiento del principio de limitación del plazo de conservación, el derecho de supresión y el bloqueo de datos personales.

 ¿Qué implica el principio de limitación del plazo de conservación?

Se trata de un principio relativo al tratamiento de datos propios que implica conservar lestos datos durante el tiempo estrictamente necesario para los fines que persigue el tratamiento. En este punto, cabe destacar la complejidad de establecer plazos de conservación en las políticas de las organizaciones y, sobre todo, que los mismos sean ejecutados cuando corresponda.

En algunos casos los plazos antes mencionados vienen dados por la ley (RGPD) y su cumplimiento es obligatorio, mientras que en los casos en los que no existe un requerimiento legal, será la propia organización quien deberá formalizarlos.

En España, la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (en adelante LOPDGDD) establece la obligación de conservar los datos bloqueados cuando proceda la supresión o rectificación de estos. Este bloqueo consiste en la identificación y reserva de los datos propios adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización. La información personal solo podrá estar disponible para jueces, tribunales y otros casos indicados en la normativa.

Cuando expira el plazo de conservación establecido, ya tenga que ver con una obligación legal o ya haya sido considerado por la organización, se procede a la supresión de los datos propios.

El derecho de supresión y algunas técnicas para cumplir con el mismo

El derecho de supresión en muchas ocasiones es entendido como un derecho que se debe cumplir solo cuando un interesado lo solicite, como es el caso del derecho de acceso, por ejemplo. Sin embargo, el responsable del tratamiento se encuentra obligado a satisfacer este derecho también cuando se den ciertas circunstancias establecidas en el RGPD. Como por ejemplo “que los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo” o cuando el interesado retire el consentimiento anteriormente prestado, entre otras, localizadas en el RGPD.

Algunas medidas para cumplir de manera efectiva con el derecho de supresión son el borrado de los datos o la anonimización de los mismos. El borrado de estos datos consiste en la eliminación de estos de forma segura, adoptando medidas eficaces para evitar el acceso a la información que contenga el soporte. En función del mismo, será recomendable un tipo u otro de borrado. Algunas técnicas de borrado son la destrucción física, la sobreescritura o la desmagnetización, entre otras.

Por su parte, la anonimización de datos propios consiste en la desvinculación de los datos personales del resto de la información no personal. Se suele aplicar para fines estadísticos y analíticos, si bien será necesario cerciorarse de que no haya riesgo de re-identificación del interesado. Algunas técnicas eficaces de anonimización son el cifrado, la tokenización o los algoritmos de hash.

El incumplimiento del principio de limitación de la conservación, del derecho de supresión o del bloqueo de los datos, puede provocar una investigación por parte de las autoridades competentes, (en el caso de España por parte de la Agencia Española de Protección de Datos Personales, en adelante la AEPD) y, en consecuencia, una cuantiosa sanción.

En cualquier caso, no todo son malas noticias y es que la implementación de un proceso adecuado que permita cumplir con estas obligaciones que establece el RGPD y que venimos desarrollando a lo largo del artículo, supone numerosas ventajas que van desde la automatización y eficiencia de los procesos al ahorro en costes de almacenamiento, pasando por supuesto por el cumplimiento normativo. Algunos otros casos son:

RGPD

Así las cosas, resulta especialmente recomendable que las organizaciones pongan el foco en el entendimiento del escenario de partida, teniendo en cuenta la capacidad y obligaciones a las que se encuentran sujetas. Posteriormente, será necesario abordar la definición del alcance de este trabajo, determinando claramente los objetivos a cubrir, junto con las áreas interesadas. Un proceso que requiere definir un roadmap de acciones para la implementación de estas medidas. Todo ello para garantizar la adecuada conservación, supresión y anonimización de datos personales.