Cuando terminamos una actividad de tratamiento de datos personales, la información personal debe bloquearse para su custodia y conservación durante los plazos máximos estipulados.
El bloqueo de datos, según el artículo 32 apartado 2 de la LOPDGDD, consiste «en la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas».
El referido artículo dispone que, si la configuración del sistema de información no permite el bloqueo, o se requiere una adaptación que implique un esfuerzo desproporcionado para el responsable del tratamiento, se procederá a un copiado seguro de la información, de forma que «conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo».
¿Cómo bloquear los datos?
Si los datos personales se conservan en un soporte físico (papel, por ejemplo) el bloqueo es sencillo: se guardan los soportes en un archivador cerrado con llave para que nadie pueda acceder a ellos hasta que transcurran los plazos máximos de conservación, tras los cuales se destruirá el soporte.
La cuestión se complica un poco más si los datos personales están automatizados, es decir, se tratan a través de sistemas informáticos. Para bloquear un fichero automatizado, mediante su cifrado, se pueden emplear programas o herramientas como Gpg4win, Gnu Privacy Guard, AxCrypt, DiskCryptor, AES Crypt o BitLocker de Windows, entre otros.
También se pueden bloquear mediante una aplicación de compresión de archivos o poniendo una contraseñas al PDF, si bien la AEPD lanza una advertencia en su Informe 494/2009: «Los productos que generan archivos PDF o el realizado por WINZIP tienen vulnerabilidades conocidas y se disponen de herramientas de libre distribución que aprovechan dichas vulnerabilidades. Más concretamente, no sólo se pueden obtener en Internet fácilmente utilidades que rompen las protecciones de los archivos PDF o ZIP, sino que el propio algoritmo en el que descansa la cifra de documentos PDF, el algoritmo RC4, es manifiestamente vulnerable».
Destrucción de los datos
Transcurrido el plazo máximo de conservación de los datos se procederá a su destrucción, mediante su borrado en el caso de tratamiento automatizado o destruyendo el soporte físico si el tratamiento no está automatizado.
Si quieren saber más sobre la destrucción segura de la información hagan clic aquí.
