El principio de limitación del almacenamiento obliga a los responsables del tratamiento a no almacenar datos personales durante “más tiempo del necesario para los fines para los que se tratan los datos personales” y a introducir medidas de seudonimización y anonimización que reduzcan o eliminen la identificabilidad de los interesados cuando la identificación no sea más que necesaria para dichos fines. El problema en este caso es que los responsables del tratamiento pueden estar interesados en almacenar más datos de los necesarios y durante más tiempo del necesario para, en última instancia, utilizar los datos almacenados para diferentes fines. Además, como se ha mencionado, a veces se recogen y almacenan “por si acaso” pudieran servir para usos imprevistos.
Por lo tanto, los períodos de almacenamiento deben ser proporcionales a los objetivos del tratamiento: “Para definir los períodos de almacenamiento (plazos), deben tenerse en cuenta criterios como la duración y la finalidad de la investigación. Hay que tener en cuenta que las disposiciones nacionales pueden estipular también normas relativas al periodo de almacenamiento”.[1]
Los responsables del tratamiento deben ser conscientes de que, aunque el RGPD permite el almacenamiento durante períodos más largos, debe haber una razón buena y real para optar por dicho período ampliado, por ejemplo, cuando el único propósito es la investigación científica posterior (o las otras circunstancias mencionadas en la estrecha lista contenida en el art. 5.1(c) del RGPD, como el archivo en interés público, la investigación histórica o los fines estadísticos) (véase la sección “Protección de datos e investigación científica” en los “Conceptos principales” y la subsección “Aspecto temporal” en la sección “Limitación del almacenamiento” de los “Principios”, Parte II de estas Directrices).
Para evitar el almacenamiento ilegal, la “prueba de necesidad” debe ser llevada a cabo por todas y cada una de las partes interesadas en la prestación de un servicio específico en la IO, ya que los fines de sus respectivos tratamientos pueden ser de hecho diferentes. Por ejemplo, los datos personales comunicados por los usuarios cuando se suscriben a un servicio específico en la IdCdeben eliminarse tan pronto como los usuarios pongan fin a su suscripción. Del mismo modo, la información eliminada por los usuarios en su cuenta no debería conservarse. Cuando un usuario no utilice el servicio o la aplicación durante un periodo definido, el perfil del usuario debería establecerse como inactivo. Después de otro periodo de tiempo, los datos deberían ser borrados. El usuario debe ser notificado antes de que se tomen estas medidas, con cualquier medio que el interesado tenga a su disposición”.[2]
En resumen, si los responsables del tratamiento no necesitan los datos, y no hay razones legales obligatorias que les obliguen a conservarlos, deben anonimizarlos completamente o eliminarlos. Los investigadores deben consultar a sus RPD si desean almacenar los datos durante un periodo prolongado y conocer la normativa nacional aplicable. Este podría ser también un excelente momento para prever plazos para la supresión de las diferentes categorías de datos y documentar estas decisiones o aplicarlas de forma automatizada (véase la sección “Rendición de cuentas” dentro de “Principios”, Parte II de estas Directrices).
Lista de comprobación: gobierno de los datos
Minimización ☐ Los sistemas de IdC utilizan datos anónimos, especialmente si esos datos se comparten con otros dispositivos, siempre que sea posible. ☐ Si la anonimización no es posible, los sistemas de IdCoptan por la agregación de datos en un formato estandarizado. ☐ Los responsables del tratamiento se han asegurado de que nadie más que el interesado acceda a los datos brutos, salvo que una base legal legitime dicho tratamiento (y siempre que sea necesario para los fines buscados). ☐ Los controladores han garantizado que la materia prima que sale del aparato sigue siendo la mínima estrictamente necesaria. Limitación de la finalidad ☐ Los responsables del tratamiento sólo utilizan los datos para los fines que fueron recogidos, salvo que una base legal permita su tratamiento ilícito por parte de terceros. ☐ El responsable del tratamiento informa de forma transparente sobre dichos fines y sobre qué base jurídica sustentará cada uno de ellos. Limitación de almacenamiento ☐ Los responsables del tratamiento no almacenan los datos personales durante “más tiempo del necesario para los fines para los que se tratan los datos personales”, según el conjunto de herramientas de necesidad del SEPD[3]. ☐ Los controladores comprueban la utilidad de los datos almacenados para la finalidad prevista de un determinado producto o servicio deberán reevaluarse periódicamente. ☐ Los datos personales comunicados por los usuarios cuando se suscriben a un servicio específico en el IdC se eliminan tan pronto como los usuarios ponen fin a su suscripción. ☐ La información eliminada por los usuarios en su cuenta no es conservada por el sistema IdC. ☐ Si un usuario sujeto de los datos no utiliza el sistema IdC durante un periodo de tiempo definido, su perfil se establece como inactivo y tras otro periodo de tiempo los datos se eliminan. ☐ Se avisa al usuario antes de realizar estos pasos. ☐ Los controladores han documentado toda la información relativa a estas cuestiones. |
- SEPD (2020) Directrices 03/2020 sobre el tratamiento de datos relativos a la salud con fines de investigación científica en el contexto del brote COVID-19 Adoptadas el 21 de abril de 2020. Supervisor Europeo de Protección de Datos, Bruselas, p.10. Disponible en https://edps.europa.eu/sites/edp/files/publication/20-01-06_opinion_research_en.pdf (consultado el 23 de abril de 2020). ↑
- Dictamen 8/2014 del Grupo de Trabajo del Artículo 29 de Protección de Datos sobre la evolución reciente de la Internet de los objetos (16 de septiembre de 2014) https://www.dataprotection.ro/servlet/ViewDocument?id=1088 ↑
- https://edps.europa.eu/data-protection/our-work/publications/papers/necessity-toolkit_en ↑