A vueltas con el bloqueo de datos

A pocos meses vista del inicio de aplicación del Reglamento General de Protección de Datos (RGPD), se empieza a hacer tarde para poner en marcha el proceso necesario para adecuarse a sus numerosas novedades.

Entre otras áreas en las que el RGPD representa una evolución con respecto a la normativa estatal vigente, se encuentra la relativa a los derechos del interesado, en particular mediante el reconocimiento de nuevos derechos como el derecho a la transparencia, la portabilidad de los datos o el derecho a la limitación del tratamiento. Menos llamativa ha resultado la regulación por el RGPD del derecho de supresión, hasta ahora conocido como derecho de cancelación.

De acuerdo al artículo 17 del RGPD, mediante el derecho de supresión "el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando (...), entre otros casos, "los datos personales ya no sean necesarios en relación a los fines para los que fueron recogidos o tratados de otro modo".

Pues bien, en este post vamos a reflexionar sobre el contenido de este derecho desde el punto de vista de las obligaciones que supone para el responsable del tratamiento, en particular en cuanto a la existencia o no del deber de bloqueo de los datos previo a su supresión.

¿QUÉ ES EL BLOQUEO DE DATOS?

A falta de definición en el RGPD, debemos acudir a la LOPD 15/1999 cuyo artículo 16.3 establece:

"La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas."

De la misma forma, el artículo 5.1.b) del Reglamento de desarrollo de la LOPD 15/1999 (Real Decreto 1720/2007), define el concepto de cancelación en los siguientes términos:

"Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos."

Por otra parte, la Agencia Española de Protección de Datos se ha pronunciado en diversas ocasiones en relación al binomio cancelación/bloqueo de datos (como en su Informe 0184/2013), en el que afirma que "debe señalarse que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como dispone el artículo 16.3 de la Ley Orgánica 15/1999".

En cuanto al modo de llevar a cabo el citado bloqueo, en su informe de 5 de junio de 2007 la AEPD indicaba que “deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.” Más adelante, concluía la Agencia indicado que "en todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación".

En suma, por tanto, a tenor de la LOPD 15/1999 y su Reglamento de desarrollo, la cancelación de los datos es un procedimiento divido en 2 fases: la primera de marcado y bloqueo del dato, y la segunda consistente en su borrado o eliminación física.

¿QUÉ DICE EL RGPD SOBRE LA OBLIGACIÓN DE BLOQUEO?

Decir, no dice absolutamente nada, como tampoco lo hacía la Directiva 95/46/CE.

De hecho, cuando el RGPD regula el derecho de supresión utiliza por 2 veces la expresión "sin dilación indebida", la primera para referirse al derecho del interesado a obtener la supresión de los datos y la segunda en relación al deber del responsable del tratamiento de llevar a cabo dicha supresión.

Pues bien, si el RGPD no impone el bloqueo de los datos como fase previa a su eliminación y si, además, subraya la necesidad de hacer efectivo el derecho del interesado sin demora, ¿dónde está el problema?

El problema, o la aparente contradicción, surge cuando observamos que el Proyecto de nueva LOPD aprobado por el Consejo de Ministros el pasado 10 de noviembre, regula expresamente el bloqueo de datos, al igual que hacía el Anteproyecto elevado al mismo.

EL PROYECTO DE LOPD Y EL BLOQUEO DE DATOS

El artículo 32 del Proyecto de nueva LOPD lleva por título "Bloqueo de los datos" y dice así:

"1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.

2. Los datos bloqueados quedarán a disposición exclusiva de los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y por el plazo de prescripción de las mismas.

3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.

4. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento."

Sabido es que uno de los objetivos declarados por el RGPD (considerandos 9 y 10), es garantizar un nivel uniforme del derecho a la protección de datos dentro de la UE, evitando la aplicación fragmentada que ha caracterizado la transposición dispar de la Directiva 95/46/CE. Cuesta por ello entender los motivos por los que el legislador español añade una obligación adicional al responsable del tratamiento, más aún cuando el referido bloqueo de los datos parece interferir en la aplicación del derecho a la limitación del tratamiento que sí regula el nuevo Reglamento.

Lo cierto es que en el trámite de información pública del Anteproyecto de nueva LOPD, ya se formularon numerosas objeciones a la regulación del bloqueo de los datos, solicitando la eliminación del mismo, por cuanto supone imponer a las empresas españolas cargas adicionales respecto a sus competidoras europeas, dado que de hecho podría conllevar tener que duplicar los sistemas de información (uno con los datos bloqueados y otro sin los datos bloqueados).

Baste como muestra la observación formulada por APEP (Asociación Profesional Española de Privacidad), respecto de la obligación de bloqueo:

"El bloqueo no figura en el Reglamento (UE) 2016/679 y colisiona en muchos aspectos con el derecho a la limitación del tratamiento. El bloqueo es una “invención” española que trae causa de la LORTAD y de la LOPD y que no tiene ningún sentido"

¿Y AHORA QUÉ?

El proyecto de LOPD se encuentra en fase de tramitación parlamentaria y, en teoría, debería aprobarse en los próximos meses para que fuese de aplicación a partir del 25 de mayo de 2018.

Por tanto, habrá que esperar al texto definitivo de la nueva LOPD, para salir de dudas en cuanto a la existencia o no del deber legal de bloquear los datos. Ahora bien, todo parece indicar que el deber de bloqueo se mantendrá en España (con alguna excepción), a la vista de la regulación del Anteproyecto y del Proyecto de LOPD.

Por si fuera poco, el artículo 72. n) del Proyecto de LOPD tipifica el incumplimiento de la obligación de bloqueo de los datos como infracción muy grave, por lo que en el peor de los casos una empresa española podría llegar a ser sancionada con multa de hasta 20.000.000 de euros o una cuantía equivalente al 4% del volumen de negocio anual del infractor.

Ante este panorama cabe preguntarse qué sentido tiene penalizar de esta forma el incumplimiento de una obligación que ni siquiera prevé el RGPD, representando un claro agravio comparativo con el resto de países comunitarios. Abogamos, por ello, por la eliminación de dicha obligación en el texto final de la nueva LOPD.