Preguntas y Respuestas ¿Durante cuánto tiempo hay que conservar bloqueados los ficheros? PREGUNTA: La normativa obliga a no suprimir ni destruir datos de ficheros (ni ficheros enteros), sino a bloquearlos, durante los plazos aplicables de cara a la exigibilidad de responsabilidades. ¿Qué plazo de tiempo es ese exactamente? RESPUESTA: Efectivamente, los datos de carácter personal deben ser cancelados cuando hayan dejado de ser necesarios para la finalidad para la cual hubiesen sido recabados o registrados (art. 4.5 de la LOPD) o cuando e! titular de! dato personal así lo solicite (art. 16 de la LOPD y arto 31 de! RLOPD); no obstante, deben conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Es lo que se conoce como "bloqueo" (art. 16.3 de la LOPD), pues la cancelación no comporta la supresión o destrucción inmediata. El bloqueo consiste en identificar y reservar los datos de forma que no sea posible su tratamiento excepto para poderlos poner a disposición de las administraciones públicas, jueces y tribunales para atender las posibles responsabilidades que hayan podido surgir y sólo durante el plazo de prescripción de esas responsabilidades. Es decir, que los datos se bloquean pero no se suprimen, y la información se conserva pero sin tratarla, cederla ni emplearla para nada, y sólo se accede a ella cuando lo exija la administración o por orden judicial. ¿Cuánto es este tiempo durante el que deben permanecer bloqueados? No hay un plazo fijo. El Tribunal Constitucional ha establecido lo que se denomina "reserva de ley" a efectos de plazos (sent. de! TC 292/2000), esto es, que cada normativa generala sectorial determinará los correspondientes plazos, por lo que no es posible establecer un único plazo. Así, como ejemplo, habría que considerar como plazo el de prescripción de las acciones que prevé la legislación civil (por ejemplo, 15 años para ejercitar acciones personales; cfr. arto 1964 Código Civil) o mercantil (por ejemplo, 6 años para la conservación de libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, durante seis años, a partir del último asiento realizado; cfr. arto 30 Código de Comercio), así como e! plazo de cuatro años de prescripción de las deudas tributarias o el de prescripción de la normativa laboral (por ejemplo, 5 años para ejercitar e! derecho al reconocimiento de las prestaciones; cfr. arto 43.1 LGSS), e incluso e! plazo de diez años de conservación de documentos previsto en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales (art. 25.1), según sea el caso. En definitiva, habrá que tener en cuenta los plazos que marquen las normativas específicas (incluidas las sectoriales) a las que se refiera cada dato concreto y dependiendo de su sector de actividad o las responsabilidades que presuma puede llegar a tener, de forma que deberá conservarlos "operativos" durante esos plazos. En cuanto al modo de llevar a cabo el bloqueo, una fórmula práctica sería que e! personal que tuviera habitualmente acceso a ese dato ya no lo tuviera, limitándose e! acceso (incluso e! digital) a una persona con la máxima responsabilidad dentro de la empresa y siempre por requerimiento judicial o administrativo. y una vez cumplidos esos plazos, los datos deben suprimirse definitivamente -O bien conservarse previa disociación, de forma que no sea identificada la información con e! titular de! Dato. Por lo tanto, estas serían las fases de la cancelación de un dato: Cancelación (por solicitud del titular del dato o por dejar de ser necesario o pertinente) Bloqueo (durante el plazo necesario según el caso) Supresión definitiva