BANKIA, LA ÚLTIMA SANCIONADA
Imaginemos que hace 16 años dejamos de ser clientes de una entidad bancaria y que tenemos que volver a acudir a ella para solventar un tema personal, una herencia, por ejemplo.
Al llegar a la oficina, la persona que nos atiende nos pide que actualicemos nuestros datos, ya que los datos que constan no están actualizados. ¿Cómo? Si ya no soy cliente! ¿Qué datos míos tienen todavía?
Esto no lo ha tenido que imaginar el cliente de BANKIA que denunció a la entidad por mantener sus datos de cliente durante 16 años y que se percató de ello cuando acudió por otra cuestión a una de sus entidades bancarias.
Recientemente se ha dictado resolución por la que se sanciona a la empresa por este motivo, ya que no se pueden mantener los datos personales de un tercero de forma INDEFINIDA.
El procedimiento de la AEPD PS/00076/2020 finaliza con sanción de 40.000 euros a BANKIA, procediendo ésta al pago voluntario (para obtener una reducción).
(Ahora es cuando hacemos memoria y recordamos que tenemos en nuestros despachos y oficinas cantidad de archivadores en papel, algunos de ellos no albergan ni siquiera papel, sino más bien “papiros” de los primeros casos que llevamos, de nuestros clientes iniciales, nóminas de trabajadores que hace años que se jubilaron, etc).
Es posible que la mayoría de personas no lo sepa (y muchas empresas y profesionales tampoco) pero la normativa española y europea indica que, una vez la finalidad para la que hemos facilitado los datos ya se ha cumplido (finalización de un contrato, una compra, me doy de baja de una newsletter, etc) la empresa ha de cancelar/suprimir estos datos, salvo que sea necesario mantenerlos para el cumplimiento de obligaciones legales (obligaciones fiscales, laborales, etc) fines estadísticos o históricos.
El art 5.1.e del RGPD así lo indica claramente:
e) Los datos personales serán mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
La verdad es que este artículo no deja mucho margen a la imaginación:
La norma básica: En cuanto no es necesario para aquello por lo que nos facilitaron el dato, hay que cancelarlo.
Excepción: No lo eliminaremos mientras lo necesitemos para justificar documentalmente nuestras obligaciones fiscales, laborales, mercantiles, subvenciones, etc hasta el momento en que prescriba la obligación de mantenerlos o justificarlo (cada cual tiene su propio plazo de prescripción y es importante que nos asesoremos para conocer cuáles son estos plazos).
Existen otras excepciones, para aquellos casos en que los datos son necesarios por motivos históricos, estadísticos y que se regulan en el art 89 del RGPD.
Para terminar de “complicar” la situación, nuestra LOPDGDD entra a regular qué tenemos que hacer cuando el dato ya no debemos tratar el dato pero lo tenemos que mantenerlo para poder cumplir nuestras obligaciones: EL BLOQUEO DE DATOS
¿Qué supone?
El bloque de datos implica que hemos de tomar las medidas técnicas y/o organizativas necesarias para conseguir evitar que estos datos puedan ser tratados, siquiera visualizados, cuando ya no son necesarios pero hemos de mantenerlos hasta el plazo de prescripción de responsabilidades.
En el caso de BANKIA, es posible que tuvieran que mantener los datos, por cuestiones de transparencia, blanqueo de capitales, responsabilidad civil o alguna otra obligación legal que hiciera necesario mantener sus datos durante ese tiempo. Ahora bien, como ya no era cliente, estos datos no podían ser siquiera visibles para el personal de la entidad, sino que tendrían que estar BLOQUEADOS al tratamiento. Éste ha sido, sin duda, el fundamento legal que se ha infringido en el caso.
Si volvemos a hacer un repaso a lo que ocurre en nuestros despachos y oficinas……nos daremos cuenta de que TODOS SOMOS BANKIA…. (salvo honrosas excepciones).
Por ello, es muy importante que hagamos un trabajo interno en el que definamos bien:
- Qué datos personales necesitamos para llevar a cabo el propósito para el que nos lo facilitan.
- Definir bien ese propósito (o finalidad del tratamiento de los datos, como atender una petición de información de un cliente, por ejemplo).
- Definir por cuánto tiempo es necesario tratar ese dato.
- Contemplar cuánto tiempo es necesario mantener ese dato.
- Facilitar al interesado toda esta información de forma previa al tratamiento, para que, si ha de dar su consentimiento, éste sea libre, específico, inequívoco.
- Disponer de medidas que faciliten el bloqueo de los datos y su eliminación posterior.
Pongamos otro ejemplo: Un curriculum vitae:
Por mucho que pensemos que podemos tener el CV de un candidato “por siempre jamás” por el mero hecho de que el candidato nos lo ha facilitado por su propio interés, NO ES ASÍ.
En estos casos hemos de cumplir con los mismos puntos anteriores, definiendo cuánto tiempo puede resultar útil para nuestro objetivo disponer de ese CV y facilitando la eliminación del mismo una vez ya no es útil y no necesitamos mantenerlo por cualquier tipo de obligación legal.
¿Y el tema de la información previa? ¿Y cómo justifico que he informado al candidato? ¿Qué pasa si me facilitan el CV en mano?
Estas cuestiones también las debemos tener en cuenta, y establecer algún tipo de mecanismo que nos permita seguir cumpliendo con los puntos anteriores aún cuando pueda resultar un poco más complejo definir nuestra política de privacidad en estos casos.
Álvaro Orts Ferrer | Abogado | DPD externo