Artículo 5, apartado 1, letra e), del RGPD
El principio de limitación del almacenamiento
El principio de limitación del almacenamiento es uno de los siete principios básicos de protección de datos del RGPD. Una empresa debe cumplir con los siete principios de protección de datos. El principio de limitación de almacenamiento significa que una empresa puede almacenar datos personales durante el tiempo que sea necesario para lograr el propósito del procesamiento.
El Principio de Limitación de Almacenamiento en RGPD
Es importante que el propósito sea específico y concreto. Además, la empresa eliminará los datos personales cuando ya no sean necesarios para el propósito. Alternativamente, la compañía puede anonimizar los datos personales en su lugar. El artículo 5, apartado 1, letra e), del RGPD regula este principio. Por lo tanto, es importante que la empresa implemente procedimientos internos para la eliminación de datos personales. Incluidas las comprobaciones periódicas de los datos personales almacenados.
Tenga en cuenta que la empresa también debe cumplir con los otros principios básicos de protección de datos, como el Principio de Protección de Datos de Minimización de Datos.
¿Qué significa el Principio de Limitación de Almacenamiento?
Es uno de los siete principios básicos de protección de datos del RGPD. Una empresa debe cumplir con los siete principios de protección de datos. El principio de limitación de almacenamiento significa que una empresa puede almacenar datos personales durante el tiempo que sea necesario para lograr el propósito del procesamiento. Es importante que el propósito sea específico y concreto. Además, la empresa eliminará los datos personales cuando ya no sean necesarios para el propósito. Alternativamente, la empresa puede anonimizar los datos personales en su lugar. El artículo 5, apartado 1, letra e), del RGPD regula este principio. Por lo tanto, es importante que la empresa implemente procedimientos internos para la eliminación de datos personales. Incluidas las comprobaciones periódicas de los datos personales almacenados.
Otras leyes pueden afectar el período de retención, no solo el principio de limitación del almacenamiento
Es importante tener en cuenta que puede haber otras leyes que regulen durante cuánto tiempo se conservarán ciertos datos personales. Por lo tanto, los períodos de retención no solo están regulados por el principio de limitación del almacenamiento. Hay situaciones en las que la empresa necesita continuar almacenando los datos personales, incluso si la empresa ya no necesita usarlos.
Contabilidad y contabilidad
Las empresas en la mayoría de los países deben almacenar facturas y recibos durante un cierto número de años en virtud de la Ley de Contabilidad nacional. Una empresa no puede eliminar dicho material que puede contener datos personales. En este caso, el almacenamiento se realiza sobre la base de una obligación legal. El artículo 6, apartado 1, letra c), del RGPD establecía esta base jurídica. La empresa almacenará los documentos de forma segura. Además, la documentación deberá estar separada de las operaciones cotidianas, de modo que no sea demasiado fácilmente accesible. Por ejemplo, la empresa puede archivar la documentación separada de otros documentos procesados en las operaciones diarias.
Derecho de reclamación del consumidor
Otro ejemplo de obligación legal, que puede afectar al período de retención, es el derecho de reclamación del consumidor. Dentro de la UE, los consumidores tienen al menos dos años de derecho de queja con respecto a los productos. Una empresa debe almacenar información sobre una compra completa del consumidor durante al menos dos años. De esta manera, la empresa puede manejar las quejas de los clientes realizadas dentro de este período. Cuando expira el derecho de reclamación, la empresa puede eliminar los datos personales. Esto se aplica siempre que los datos personales ya no sean necesarios para procesarlos con este fin.
Una empresa finlandesa tuvo que pagar una multa por no establecer un período de retención. Esto va en contra del principio de limitación del almacenamiento.
La autoridad finlandesa de protección de datos impuso una multa a una empresa. La empresa en cuestión no había fijado un plazo de conservación específico para los datos personales de sus clientes. Almacenaron los datos indefinidamente. Además, los clientes tenían que crear una cuenta en la tienda en línea de la compañía para comprar allí. Esto fue independientemente de si el cliente solo había realizado una sola compra. Por lo tanto, no era posible completar una compra a través del sitio web sin una cuenta registrada.
La compañía mantuvo los datos personales de los clientes durante el tiempo que mantuvieron su cuenta. Para que el cliente elimine sus datos personales, el cliente tuvo que eliminar su cuenta. La compañía dijo que dependía del cliente decidir cuándo quería eliminarlo. Por lo tanto, la empresa no había fijado un período de almacenamiento específico.
La autoridad finlandesa de protección de datos concluyó que esta no era una justificación válida. Una empresa no asumirá la responsabilidad de determinar el período de conservación de los datos personales del interesado. La empresa no exigirá al cliente que registre una cuenta para realizar la compra en el sitio web. La creación de una cuenta será voluntaria, no obligatoria.
Anonimizar los datos personales en lugar de eliminarlos
Una empresa no necesariamente tiene que eliminar los datos personales cuando ya no son necesarios para el propósito para el que fueron recopilados. Incluso si esta regla principal se deriva del principio de limitación del almacenamiento. En cambio, la compañía puede anonimizarlos. Cuando los datos personales se anonimizan, ya no se consideran «datos personales», sino solo «datos». Los datos anónimos ya no pueden vincularse a un individuo vivo. Por lo tanto, los datos anónimos no están cubiertos por el RGPD.
Por ejemplo, puede ser útil anonimizar datos si una empresa desea guardar estadísticas que no dependen de datos personales. Puede ser que la empresa quiera ver cuántos de los que compran sus productos o servicios son hombres o mujeres. Luego, la empresa puede anonimizar los datos personales del comprador y solo mantener información sobre el género.
Tenga en cuenta que el proceso de anonimización en sí mismo constituye un procesamiento de datos personales. Se trata de un tratamiento que debe llevarse a cabo de conformidad con el RGPD.
Tratamiento de datos personales sin una nueva base jurídica para un fin distinto del original
De acuerdo con la regla general del RGPD, una empresa solo debe usar datos personales para el propósito para el que fueron recopilados. Sin embargo, hay algunas excepciones a esto. En algunos casos, los datos personales pueden ser procesados para un propósito diferente al original, sin la necesidad de una nueva base legal para el procesamiento. Sin embargo, esto solo es posible si el nuevo propósito es compatible con el propósito original.
Por ejemplo, una empresa puede recopilar información personal para entregar un producto o administrar sus relaciones con los clientes. Si la empresa posteriormente desea utilizar los mismos datos personales para otra cosa, como análisis o marketing, la empresa debe evaluar si el nuevo propósito es compatible con el propósito original.
Si el nuevo propósito es inesperado para los interesados o completamente no relacionado, la empresa debe tener una base legal separada para el procesamiento. Alternativamente, obtenga el nuevo consentimiento del interesado para el nuevo procesamiento.
Analizar el nuevo propósito y documentar la evaluación
La empresa necesita analizar si el nuevo propósito es compatible con el original, evaluando diferentes aspectos. Estos incluyen:
Conexión entre el propósito nuevo y original y qué tan estrechamente están relacionados entre sí.
Expectativas razonables del interesado con respecto al uso de sus datos personales para el nuevo propósito.
Naturaleza y sensibilidad de los datos personales.
Salvaguardias que la empresa implementa y si son suficientes para proteger los datos personales.
La empresa debe documentar esta evaluación y análisis por escrito. Además, la sociedad también deberá:
Presentar la documentación a la autoridad de control a petición de esta
Informar a los interesados sobre el tratamiento de sus datos personales.
Adoptar las medidas de seguridad técnicas y organizativas necesarias para proteger los datos personales.
Las excepciones en el RGPD permiten a las empresas procesar datos personales para fines distintos de los originalmente previstos, incluso si los fines no son compatibles.
En algunos casos, está permitido que una empresa procese datos personales para fines distintos de los previstos originalmente. Esto se aplica en algunos casos, incluso si los fines no son compatibles. La finalidad de estas excepciones es equilibrar, por una parte, la protección del interés público u otros intereses superiores y, por otra, los datos personales del interesado.
Entre las excepciones previstas en el considerando 50 del RGPD figuran las siguientes:
Archivo de datos personales en interés público;
Fines de investigación históricos o científicos;
Fines estadísticos; Sin embargo, esto solo puede hacerse con fines estadísticos, siempre que la empresa haya tomado suficientes medidas de seguridad organizativas y técnicas.
Si la empresa procesa los datos personales bajo una de las excepciones mencionadas anteriormente, la empresa puede continuar almacenando los datos personales.
Otros principios de protección de datos
El principio de integridad y confidencialidad
Una empresa debe tomar las medidas de seguridad organizativas y técnicas adecuadas para proteger los datos personales que procesa. Es importante tener en cuenta que la empresa solo «toma prestados» los datos personales de los interesados y debe cuidarlos adecuadamente. La empresa debe llevar a cabo todo el procesamiento de datos personales de manera segura y confidencial. Esto significa que la empresa debe analizar cualquier violación de datos personales y cómo pueden protegerse contra tales incidentes. Además, las empresas deben implementar procedimientos internos sobre cómo deben actuar si esto ocurre.