El principio de limitación del plazo de conservación es uno de los pilares fundamentales en los que se asienta el RGPD y la LOPD y que, a su vez, constituye una de las materializaciones del principio de minimización de los datos. Este principio implica que la conservación de esos datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados, bloqueados o, en su defecto, anonimizados, es decir, desprovistos de todo elemento que permita identificar a los interesados.
En suma, los plazos de conservación según el RGPD deben contemplar el período de tiempo estrictamente necesario para cumplir con la finalidad para la que los datos personales fueron recabados.
Por otro lado, en la normativa española interviene el concepto de “Bloqueo de datos” prevista en el artículo 32 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de Derechos Digitales (“LOPDGDD”) que excluye el borrado definitivo de los datos, siempre y cuando ello sea de conformidad con las limitaciones previstas en el propio artículo 32, consistiendo estas en la reserva de los mismos (los datos personales), adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, así como para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.
Esto supone que el proceso de supresión de los datos personales, en determinadas circunstancias pueda estar precedido por el bloqueo del dato (acceso restringido) de manera previa al borrado definitivo y físico del dato.
Esto se traduce, en la práctica, en que cuando un cliente deja de serlo, el fin que persigue el tratamiento deja de existir, por lo que, los datos personales ya no son necesarios para cumplir con la finalidad que persigue el responsable del tratamiento, debiendo este bloquear dichos datos (manteniéndolo inaccesibles para cualquier usuario excepto para la puesta a disposición, como ya se ha indicado, del Ministerio Fiscal o las Administraciones Públicas competentes…) una vez superado el plazo de las responsabilidades derivadas del tratamiento o plazo de prescripción de las mismas, los datos personales deben de suprimirse definitivamente de los sistemas de información del responsable del tratamiento.
No obstante, el Bloqueo de datos únicamente aplicará cuando se prevea en una norma con rango de ley que obligue a la conservación de los mismos durante los plazos de prescripción establecidos en la normativa que resulte de aplicación y con la finalidad de exigencia de posibles responsabilidades derivadas del tratamiento.
Generalmente, el borrado físico se producirá al término del plazo de bloqueo de los datos. Sin embargo, en aquellas circunstancias en las que no exista obligación de bloquear los datos personales, por ejemplo, porque no exista ninguna norma que indique la necesidad de mantener o conservar los datos bloqueados, se deberá proceder directamente al borrado definitivo o físico de los mismos.
Por ejemplo, los abonados de un centro deportivo cuando proceden a la baja de los servicios estos automáticamente deben ser bloqueados en los sistemas de información del responsable del tratamiento durante los plazos de prescripción de las obligaciones legales o durante los plazos de prescripción de las acciones legales o judiciales que resulten de aplicación al responsable del tratamiento, siguiendo con el ejemplo, hasta que finalice el plazo de 6 años durante el que el Código de Comercio señala que los libros de contabilidad, entre los que se incluye el Libro Diario o el Registro de balances o de facturas emitidas y recibidas, ha de conservarse por un periodo de 6 años y, por otro lado, 4 años a efectos de las responsabilidades fiscales. En este caso, el periodo de bloqueo por extensión seria 6 años, y luego se procedería a su borrado definitivo.
Finalmente, no cumplir con los periodos de conservación deriva en un incumplimiento del RGPD que puede ser sancionable por la AEPD, teniendo como referente la multa a Bankia con 40.000 euros por conservar los datos de un excliente durante 16 años (PS-00076-2020)
https://www.aepd.es/es/documento/ps-00076-2020.pdf.