El bloqueo de datos (art. 32 LOPDGDD)


Josep Aragonés Salvat     10/10/2019



El bloqueo de datos al que se refiere el art. 32 de la LOPDGDD consiste en la identificación y reserva de los datos para la exigencia de posibles responsabilidades derivadas del tratamiento, adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización.

El Responsable del Tratamiento (RT) o el Encargado del Tratamiento (ET) que realice el tratamiento por su cuenta, estarán obligados a bloquear los datos cuando procedan a su rectificación o supresión hasta finalizar el plazo de prescripción de sus responsabilidades. Transcurrido dicho plazo se deberá proceder a su destrucción.

Los datos bloqueados no podrán ser tratados para ninguna otra finalidad.
 
Métodos de bloqueo:
 
1) AUTOMATIZADO (digital): aplicable a los sistemas informáticos (software).
Crear un procedimiento automático de manera que en el momento de guardar o eliminar un registro con datos personales, el sistema realice lo siguiente:

a) Guardar: comprobar si existe algún cambio en los datos y

  • si existen cambios, guardar un registro oculto con los datos originales antes de ser modificados
  • si no existen cambios, no realizar ninguna acción
b) Eliminar: guardar un registro oculto con los datos originales antes de ser suprimidos.
El registro oculto debe contener, además de los datos originales, un campo con la Fecha original (día, hora), Momento bloqueo (día, hora), Fecha de prescripción (día) y Usuario (identificador del usuario que ha modificado o suprimido el registro).
Se deberán crear otro procedimiento para eliminar definitivamente los registros que sobrepasen la fecha de prescripción.   
 
2) SEMI-AUTOMATIZADO (digital/manual): cuando la configuración del sistema informático no permita un método automático o requiera una adaptación que implique un esfuerzo desproporcionado.
Crear un procedimiento semi-automático de manera que al guardar un registro se cree manual o automáticamente una copia segura de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de esta, la fecha del bloqueo y la no manipulación de los datos durante el mismo.
Se deberán crear carpetas con la fecha de prescripción para eliminarlos definitivamente al llegar al vencimiento. 
 
3) NO AUTOMATIZADO (manual): aplicable cuando no se usen procedimientos automatizados y los datos estén contenidos solo en documentos de papel.
Crear un procedimiento manual de manera que al rectificar o suprimir un documento se realice una copia de este, ya sea en formato fotocopia de papel o escaneo digital. ?Guardar las copias en un ?lugar protegido ?y con acceso restringido.
Se deberá disponer de un registro de documentos con la fecha de prescripción de cada uno para eliminarlos definitivamente al llegar al vencimiento.
 
 
NORMATIVA APLICABLE
 
Artículo 32 LOPDGDD. Bloqueo de los datos.

1. El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión.

2. El bloqueo de los datos consiste en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.

Transcurrido ese plazo deberá procederse a la destrucción de los datos.

3. Los datos bloqueados no podrán ser tratados para ninguna finalidad distinta de la señalada en el apartado anterior.

4. Cuando para el cumplimiento de esta obligación, la configuración del sistema de información no permita el bloqueo o se requiera una adaptación que implique un esfuerzo desproporcionado, se procederá a un copiado seguro de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo.

5. La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos, dentro del ámbito de sus respectivas competencias, podrán fijar excepciones a la obligación de bloqueo establecida en este artículo, en los supuestos en que, atendida la naturaleza de los datos o el hecho de que se refieran a un número particularmente elevado de afectados, su mera conservación, incluso bloqueados, pudiera generar un riesgo elevado para los derechos de los afectados, así como en aquellos casos en los que la conservación de los datos bloqueados pudiera implicar un coste desproporcionado para el responsable del tratamiento.