Según el artículo 5.1.e) del RGPD, los datos personales deben “conservarse en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que se traten los datos personales”. Este requisito tiene una doble vertiente. Por un lado, se refiere a la identificación: los datos deben almacenarse de forma que permitan la identificación de los interesados durante un periodo no superior al necesario. En consecuencia, los responsables de la IA deben aplicar políticas destinadas a evitar la identificación en cuanto no sea necesaria para el tratamiento. Esto implica la adopción de medidas adecuadas para garantizar que, en cualquier momento, sólo se utilice el grado mínimo de identificación que sea necesario para cumplir los fines (véase la sección “Limitación del almacenamiento” en el capítulo “Principios”).
Por otro lado, el almacenamiento de datos implica que los datos sólo pueden almacenarse durante un periodo limitado: el tiempo estrictamente necesario para los fines para los que se tratan los datos. Sin embargo, el RGPD permite el “almacenamiento durante períodos más largos” si el único propósito es la investigación científica (o el archivo en interés público, la investigación histórica o los fines estadísticos) (véase la sección “Protección de datos e investigación científica” en el capítulo “Conceptos”).
En el caso del desarrollo de IA, esta excepción plantea el riesgo de que los desarrolladores decidan conservar los datos durante más tiempo del estrictamente necesario, con el fin de garantizar que estén disponibles por razones distintas a los fines originales para los que fueron recogidos. Los responsables del tratamiento deben ser conscientes de que, aunque la RGPD permita el almacenamiento durante períodos más largos, deben tener una buena razón para optar por ese período ampliado (véase la subsección “Aspecto temporal” en la sección “Limitación del almacenamiento” del capítulo “Principios”). Siempre que la falta de respeto del principio de limitación de la finalidad suponga un riesgo real, la prueba de compatibilidad debería formar parte de cualquier posible reutilización de los datos.
La intención del legislador parece haber sido disuadir del almacenamiento ilimitado incluso en este régimen especial, y previene contra la investigación científica como pretexto para el almacenamiento prolongado con otros fines privados. En caso de duda, el responsable del tratamiento debe considerar si es apropiado un nuevo fundamento jurídico. Por lo tanto, los períodos de almacenamiento deben ser proporcionales a los objetivos del tratamiento: “Para definir los períodos de almacenamiento (plazos), deben tenerse en cuenta criterios como la duración y la finalidad de la investigación. Hay que tener en cuenta que las disposiciones nacionales pueden estipular normas relativas al periodo de almacenamiento también.”
Por lo tanto, si los responsables del tratamiento no necesitan los datos y no hay razones legales obligatorias que les obliguen a conservarlos, es mejor que los anonimicen o los eliminen. Los investigadores deben consultar a sus DPD si están dispuestos a almacenar los datos durante un periodo prolongado y conocer la normativa nacional aplicable. Este podría ser también un excelente momento para prever plazos para la supresión de las diferentes categorías de datos y documentar estas decisiones (véase la sección “Responsabilidad proactiva” en el capítulo “Principios”).