La resolución de la AEPD del Procedimiento Sancionador contra BANKIA, por infracción del RGPD al conservar datos de cliente tras el cese de la relación.
Esta falta de supresión ha derivado finalmente en la imposición de una multa de 50.000€, reducida a 40.000€ por pago voluntario de la compañía.
Esto comienza tras la reclamación de un interesado que; al darse de alta como nuevo cliente de BANKIA, detectó que sus datos personales permanecían en el sistema pese a haber cesado su relación hace 16 años.
Entre sus alegaciones, BANKIA justificó la conservación de dichos datos sobre la base de la obligación de bloqueo emanada de la LOPDGDD. Sin embargo, el bloqueo debe siempre ir ligado a la adopción de medidas que impidan cualquier tipo de tratamiento sobre los datos, incluso su visualización.
En este caso, la AEPD consideró que dichas medidas no fueron internamente adoptadas, al haber sido posible el acceso y visualización de los datos por parte de un empleado. Ello ha provocado que la Autoridad entienda infringidos los principios de protección de datos contenidos en el art. 5 del RGPD. (“principio de limitación de la finalidad”) y sancione finalmente a la compañía por la conservación de datos una vez la finalidad perseguida había concluido.
Esta resolución sienta así, una vez más, la importancia de tratar y conservar de datos por los plazos estrictamente necesarios para cumplir las finalidades perseguidas. Procediendo, una vez alcanzadas las mismas y antes de su efectiva supresión, al bloqueo de los datos durante los plazos legales en que puedan derivarse responsabilidades. Solo entonces, una vez dichos plazos han prescrito, los datos deberán ser suprimidos de forma adecuada y efectiva.
Ahora bien, ¿qué pueden hacer las empresas para asegurar el respeto de estas obligaciones y evitar sanciones?
Entre estas medidas cabe citar la adopción de una Política interna de conservación de datos que establezca, en función de la actividad de tratamiento y categorías de datos tratados por la entidad, los plazos por los cuales deben mantenerse los datos de interesados. Dicha política debe reflejar, además, los plazos legales aplicables a cada tratamiento y que regirán el momento de su supresión.
De igual modo, es importante recordar la necesaria colaboración, entre los responsables del cumplimiento normativo en la entidad y el Departamento de Sistemas, que permita verificar e implementar medidas adecuadas y procesos de bloqueo efectivos que eviten accesos no autorizados a la información.
Es por ello que desde UBT Legal & Compliance hacemos hincapié en la necesidad de poner en conocimiento del personal las medidas adoptadas por la entidad. Los efectos y la importancia de revisar periódicamente su efectividad, no siendo suficiente su mera adopción para cumplir la normativa y ver mitigados los riesgos detectados.
Miriam Romano Esteban, Consultora legal Protección de Datos y Nuevas Tecnologías