Art. 32. Bloqueo de datos
Bloqueo de datos en la nueva Ley Orgánica de Protección de Datos
Para hablar del bloqueo de datos nos debemos remontar a la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos (LOPD) y su Reglamento de desarrollo el RD 1720/2007 de 21 de diciembre (RDLOPD), en los que aparece dicho término, de tal forma que en el artículo 16.3 de la LOPD se indica:
“La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de mayores”.
En el artículo 5.1 del RDLOPD se indica en su definición b):
“ Cancelación : Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de responsabilidades. Transcurrido ese plazo deberá procederrse a la supresión de los datos ”.
Si bien, como se ha indicado anteriormente, no se hace mención expresa al bloqueo de datos en el RGPD, sí se considera la «retención» de los mismos. En particular, los tendrán derecho a que sus datos personales se supriman y dejen de tratarse si la finalidad para la que se recabaron ha finalizado, si se ha retirado el consentimiento en el que se basa el tratamiento de los mismos, o si se oponen a dicho tratamiento, siempre que no sea necesario para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público,
Con la entrada en la aplicación de la nueva LOPD el bloqueo de datos es una obligación de los responsables de tratamiento.
La Ley 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD) regula en su artículo 32 el Bloqueo de datos , por tanto, todos los responsables de tratamiento a los que les sea de aplicación deberán bloquear lo s datos cuando proceda a su rectificación o supresión. Estas dos situaciones sucederán cuando:
- El interesado solicite al responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.
- El interesado solicite al responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando los datos no sean necesarios para cumplir con las finalidades por los que fueron recogidos.
¿En qué consiste El bloqueo de los datos en la LOPDGDD?
Consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas. Transcurrido ese plazo deberá procederse a la destrucción de los datos.
Es decir, consiste en la obligación de conservar los datos datos cifrados cuya única función es desencriptarlos para poder utilizarlos para determinadas reclamaciones de las administraciones competentes, cuyo acceso será mediante una persona autorizada.
Cuando la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, deberá procederse a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita evidenciar:
- La autenticidad de la evidencia.
- La fecha del bloqueo.
- La no manipulación de los datos.