Todos sabemos que nada es para siempre y precisamente el concepto, de que ”nada es para siempre”, podemos extrapolarlo al ámbito de la protección de datos
Estaréis pensando que a dónde quiero llegar con todo esto. Pues bien, no es ni más ni menos que al plazo de conservación de los datos y al borrado de los mismos.
Efectivamente, los datos no deben conservarse más allá del tiempo estrictamente necesario para llevar a cabo la finalidad. ¡Pero ojo!, debemos tener cuidado, ya que hay casos en los que sí estamos obligados a conservar los datos.
¿Cuáles son estos casos? la normativa establece 3 excepciones al borrado de datos cuando dichos datos han cumplido su finalidad. Estas excepciones son:
- Con fines de archivo en interés público.
- Finalidad de investigación científica e histórica.
- Fines estadísticos.
Quizás estas excepciones puestas así no arrojen mucha luz, por ello voy a poner algunos ejemplos para que os situéis.
Por ejemplo, el código de comercio, establece que hay una serie de documentación que debe guardar durante al menos 6 años, como las facturas, libro diario, balances, inventarios, etc. La Ley de prevención de blanqueo de capitales, dice que la documentación que va a permitir demostrar el cumplimiento se debe conservar durante 10 años. Otro ejemplo es la Ley reguladora de la autonomía del paciente que obliga a mantener la documentación clínica durante 5 años.
Como podemos observar, y como mencioné al principio, “nada es para siempre”, la única diferencia es que en algunos casos tenemos la obligación de conservar los datos durante más tiempo.
El que guarda haya
Llegados a este punto, pensaréis, bueno ¿y si para mí lo más cómodo es borrar o destruir los datos conforme hayan cumplido su finalidad? pues bien, puedes verte en la situación de que seas objeto de una inspección o requerimiento, por ejemplo, por parte de hacienda y, como consecuencia del borrado de datos, no puedas hacer frente a ese requerimiento.
Por ello, debemos poner especial cuidado en cumplir con los plazos y equilibrar la balanza, en el sentido de que no debemos conservar los datos durante más tiempo del necesario, pero tampoco debemos de proceder a su borrado prematuro, para que en el futuro, cuando necesitemos estos datos, los tengamos a mano y podamos acreditar los actos jurídicos propios derivados del normal funcionamiento del negocio. En cada caso debemos de atender a la normativa nacional para ser conscientes del plazo de conservación correspondiente.
Cuando le llega su hora
Pero, transcurrido el plazo de conservación ¿cómo puedo proceder al borrado de datos? La destrucción o borrado de datos, no debe ser entendida como el que arruga un papel y lo tira a la papelera, o clicar sobre un archivo y darle a eliminar.
Esto es así, porque se podría recuperar la información, por ejemplo, una empresa que procede a destruir datos de trabajadores y simplemente los introduce en bolsas y los lleva al contenedor corre el riesgo de que cualquier persona pueda visualizar la información, pudiendo conocer nombre y apellidos de trabajadores, tipo de contrato, etc.
Por ello, debemos aplicar métodos seguros para destruir la información además de seguir una pautas. ¿Cuáles son las pautas que debemos seguir?
En primer lugar, tenemos que clasificar la información almacenada, así como el seguimiento de los mismos. En segundo lugar, debemos identificar la información que queremos eliminar. Por último, una vez eliminados, debemos verificar que efectivamente la destrucción o eliminado de los datos, haya sido correcta.
La importancia de un buen borrado
En el borrado de datos, tan importante es el procedimiento a seguir como los medios empleados. La pregunta del millón es: ¿cómo puedo proceder a borrar los datos de forma segura? Las mejores formas de borrar los datos, y no es porque lo diga yo, sino porque lo dice el Incibe (Instituto Nacional de Ciberseguridad), son:
- La destrucción física ya sea mediante la incineración o destrucción del soporte, ya sea digital (disco duro, pendrive, etc.) o analógico (papel).
- La sobrescritura es un método de destrucción de información mediante el cual volcamos nueva información en un dispositivo de almacenamiento con la finalidad se sobreescribir la ya existente.
- La desmagnetización como su propio nombre indica consiste en la exposición del soporte de almacenamiento ya sea discos duros, disquetes, etc., a un potente campo magnético siendo el resultado, el borrado de datos.
En definitiva, “nada es para siempre”, por lo que debéis de tener cuidado y proceder a eliminar, con el objetivo de actuar conforme a las exigencias legales, toda aquella información que no tenga ningún tipo de utilidad.