Todas las empresas deben eliminar datos personales regularmente de acuerdo con el RGPD, también conocido como la eliminación de datos personales. El RGPD se refiere al Reglamento general de protección de datos (UE) 2016/679. De acuerdo con la regla general del RGPD, una empresa eliminará los datos personales cuando ya no sean necesarios para procesarlos para el propósito para el que fueron recopilados. Sin embargo, hay excepciones a esta regla general. Por ejemplo, la empresa puede necesitar almacenar los datos personales durante un cierto período de tiempo bajo alguna otra legislación. En tal caso, el almacenamiento continuo está permitido y es legal.
Las empresas deben eliminar los datos personales no solo regularmente, sino también a petición del interesado
Un interesado tiene derecho a solicitar a una empresa que elimine sus datos personales. Este derecho también se denomina «derecho al olvido». Los interesados siempre tienen derecho a presentar una solicitud de supresión a las empresas que tratan sus datos personales.
La regla general de acuerdo con el RGPD es el siguiente. Una empresa eliminará los datos personales cuando ya no sean necesarios para cumplir con el propósito para el que fueron recopilados. Sin embargo, este no es el único caso en el que una empresa puede tener que eliminar datos personales. Esto también puede aplicarse cuando el interesado solicite la supresión. Pero, en ciertos casos, la empresa puede tener derecho a continuar el procesamiento. Esto se aplica incluso si el interesado solicita la supresión de los datos personales.
Retención y almacenamiento permitidos de datos personales bajo RGPD
La duración del tratamiento de los datos personales por parte de una empresa no se especifica en el RGPD. En cambio, la empresa que es el controlador de datos debe hacer esa evaluación por sí misma. La evaluación se basará en las circunstancias de cada caso concreto. Cuando expira el período de retención establecido, la empresa debe borrar los datos. Por lo tanto, las empresas deben anonimizar o eliminar datos personales regularmente para cumplir con el RGPD.
El punto de partida es que una empresa debe procesar datos personales durante el tiempo que sea necesario para cumplir con el propósito para el que fueron recopilados. Sin embargo, puede haber otras leyes, como las leyes contables o las leyes que cubren a los empleadores, que requieren que la empresa retenga ciertos datos personales durante un cierto número de años. En tales casos, la empresa debe almacenar los datos personales o la documentación en la que aparecen los datos personales. Por ejemplo, una empresa necesita almacenar facturas que contengan datos personales durante el tiempo requerido por la ley (a efectos contables).
Los datos personales anónimos no están cubiertos por el RGPD
La empresa no siempre tiene que eliminar los datos personales cuando ya no son necesarios para el propósito. En cambio, la empresa puede anonimizar los datos. Una vez que la empresa anonimiza los datos personales, ya no constituyen «datos personales». Por el contrario, solo se trata de «datos». Por lo tanto, el GDOR no cubre ningún dato personal anónimo.
Los datos personales se consideran anónimos cuando se hace imposible vincular los datos a un individuo vivo físico específico. Ya sea directa o indirectamente, solo o en combinación con otros datos.
Es importante tener en cuenta que la anonimización y la seudonimización de los datos personales no son lo mismo. Los datos personales seudonimizados siguen constituyendo datos personales en virtud del RGPD y, por lo tanto, siguen estando sujetos al Reglamento.
Las empresas pueden continuar procesando datos personales si lo hacen para:
- Archivar en aras del interés público.
- Un propósito de investigación que es histórico o científico.
- Fines estadísticos.
Tenga en cuenta que la empresa debe tomar las medidas de protección adecuadas con respecto a los datos personales procesados.
Establecer procedimientos internos para la eliminación correcta y regular de los datos personales
Con el fin de garantizar que la empresa elimine datos personales de forma regular y pueda satisfacer el derecho de supresión a petición de los interesados, la empresa debe establecer procedimientos internos. Por ejemplo, procedimientos que describen cómo debe proceder un empleado cuando un interesado solicita la eliminación de sus datos personales. Además, la empresa debe tener fechas o intervalos predeterminados durante el año en que los empleados eliminen datos personales de diferentes ubicaciones de almacenamiento. Ejemplos de ubicaciones de almacenamiento son la bandeja de entrada de correo electrónico, la bandeja de salida de correo electrónico, el papelera, los archivos de copia de seguridad, etc.
También es una ventaja revisar la configuración en los diversos sistemas que utiliza la empresa. Por ejemplo, para establecer tiempos automáticos para eliminar copias de archivos antiguos, cuentas de usuario inactivas y similares.
Para resumir este artículo, las empresas deben eliminar datos personales regularmente para cumplir con el RGPD. Una empresa también debe eliminar los datos personales que los interesados soliciten, siempre que no haya excepción a esta regla general. Hay algunos casos en los que una empresa puede seguir almacenando datos personales, incluso si los interesados invocan el derecho al olvido en virtud del RGPD. Un ejemplo común, si el almacenamiento de datos personales es necesario de conformidad con otras leyes o regulaciones.
