III Insight del Club del DPD – 2024
El pasado 23 de septiembre tuvo lugar el III Insight del Club del DPD de...
0Al integrar en nuestro sistema de Compliance el cumplimento de las obligaciones del RGPD y la LOPDGDD ¿cómo debemos interpretar la obligación de bloqueo que preceptúa el artículo 32 de la LOPDGDD? “El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. Más allá de las cuestiones relativas a como ejecutar materialmente el denominado “bloqueo” en nuestro sistema de información, otra de las cuestiones prácticas claves es bajo qué circunstancias y durante cuánto tiempo debemos bloquear dichos datos.
Las posibles responsabilidades
Cabe destacar ciertos detalles de la redacción del artículo 32.2 cuando se refiere a restringir el tratamiento y únicamente permitirlo para su puesta a disposición a las autoridades: “para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas”. La redacción puede ser problemática, en el sentido de que entendemos como “posibles responsabilidades”, ¿se trata de responsabilidades que ya han nacido a consecuencia de un determinado hecho y que, ya sea porque nuestra entidad lo ha detectado o porque se ha iniciado el correspondiente proceso judicial o administrativo, corresponde bloquear los datos personales vinculados al mismo?, o ¿se refiere a cualquier potencial responsabilidad, ocurra o no el hecho generador de la misma, sobre la que pueda responder la entidad?
Responsabilidades derivadas del tratamiento
Otro elemento de incertidumbre en la redacción del artículo 32, en concreto su apartado 2, es la relativa a que debemos entender por “responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.”
Aunque ello puede parecer a priori una forma de restricción que evite una hipertrofia del abanico de responsabilidades legales que pueden motivar el bloqueo de datos, dicha restricción nos obliga a llevar a cabo un segundo análisis causalista, no exento de complejidad e incertidumbre, sobre qué acciones dentro de la definición de tratamiento de datos personales, pueden ser susceptibles de producir responsabilidades de algún tipo y, una vez determinadas, establecer el plazo de bloqueo conforme su período de prescripción.
Distintos escenarios de prescripción de responsabilidades derivadas del tratamiento
Obviamente las responsabilidades derivadas del tratamiento quizás más evidentes serían las correspondientes al régimen sancionador de la LOPDGDD y sus correspondientes plazos de prescripción, siendo 3 años el más alto, para infracciones muy graves, tal como establece el artículo 72.1.
No obstante, ¿debemos detener el análisis en la prescripción de las sanciones de la LOPDGDD? Podemos encontrar en otros cuerpos legislativos, supuestos de hecho en los que, un tratamiento vulnerando alguna de las disposiciones del RGPD, puede generar una serie de consecuencias que den lugar a responsabilidad civil o incluso penal.
Si analizamos, por ejemplo, el marco del Real Decreto Legislativo 1/2007 por el que se aprueba el texto refundido de la Ley General para la Defensa de los consumidores y Usuarios y otras leyes complementarias (TRLGCU), una posible falta de conformidad en el producto recibido por un consumidor podría ser fruto de que el empresario llevó a cabo un tratamiento sin establecer medidas para garantizar el principio de exactitud del RGPD. Dicha falta negligente de exactitud, podría ser relativa a medidas corporales del cliente que se requieren para la personalización del producto o la confusión de direcciones de envío distintas, enviando productos a los destinatarios incorrectos, ¿estaríamos también en ese caso ante una responsabilidad derivada del tratamiento? Recordamos que las acciones por faltas de conformidad de los consumidores y usuarios prescriben a los 2 años, artículo 123.1 TRLGCU, y por ello, ¿deberíamos bloquear todos los datos de nuestros clientes, en condición de consumidores y usuarios, durante 2 años?
Continuando con el análisis, si nos fijamos en el marco penal, tenemos delitos como los de descubrimiento y revelación de secretos del artículo 197 y siguientes del Código Penal, que pueden ser cometidos por persona jurídica y versan muy directamente sobre datos de carácter personal, especialmente sobre la esfera de la confidencialidad, así como otros delitos como los daños informáticos del artículo 264 y siguientes que, aunque no se refieren expresamente a los datos de carácter personal, tampoco excluyen los mismos y se centran en aspectos relativos a la disponibilidad e integridad de los datos. ¿Encajarían entonces en la definición de “responsabilidades derivadas del tratamiento”?
Si la respuesta fuera afirmativa, sería necesario relacionar el plazo de prescripción de los delitos para la determinación de dicho período de bloqueo. Sin pretender entrar en una discusión doctrinal sobre la prescripción, dichos plazos podrían llegar a situarse en los 15 años, en interpretación conjunta del artículo 131 y 33.7 del Código Penal, junto a la doctrina del Tribunal Supremo sobre la valoración de la pena en abstracto del delito para la determinación del plazo de prescripción (STS 4264/2017 y Acuerdo del Pleno no jurisdiccional de la Sala 2 del TS de 16 diciembre de 2008 “la pena de la que hay que partir para la prescripción es la abstracta señalada al delito por el legislador y no la concreta resultante de aplicar la reglas sobre el grado de ejecución participación y circunstancias”). ¿Estaríamos entonces ante la obligación de que cualquier persona jurídica, por razón de sus “responsabilidades derivadas del tratamiento”, debería adoptar un sistema de bloqueo de datos personales de 15 años en cumplimiento del artículo 32.2 de la LOPDGDD y los eventuales plazos de prescripción penal aplicables?
Obligación de bloqueo y compatibilidad con el RGPD
La incertidumbre sobre la determinación del período de bloqueo, especialmente si tenemos en consideración los plazos de prescripción por responsabilidad penal, obligan a plantear la siguiente cuestión: ¿en qué medida una obligación de conservar o quizás, mejor dicho, una obligación de no destruir los datos de hasta 15 años, una vez se ha agotada la finalidad que motivó el inicial tratamiento, puede ser compatible con el principio de limitación del plazo de conservación del RGPD?
En conclusión, sería deseable mayores precisiones del legislador, teniendo en cuenta que tanto el incumplimiento de la obligación de bloqueo como la infracción de principios del artículo 5 del RGPD se tipifican en la LOPDGDD como sanciones muy graves, produciendo un escenario de riesgo complejo según como gestionemos la limitación del plazo de conservación junto con la obligación de bloqueo. Finalmente, cabe reflexionar sobre hasta qué punto el legislador nacional puede delimitar, modificar o matizar el alcance de un principio del Reglamento europeo e incluso generar incluso un concepto jurídico no previsto por este si tenemos en cuenta los conocidos principios de primacía y efecto directo.
Jordi Morera Torres
Equipo Govertis
Fuente de la imagen: https://pixabay.com/illustrations/security-secure-locked-technology-2168233/ Free for commercial use, No attribution required