El bloqueig de dades (art. 32 LOPDGDD)


Josep Aragonés Salvat     10/10/2019



El bloqueig de dades a què es refereix l'art. 32 de la LOPDGDD consisteix en la identificació i reserva de les dades per a l'exigència de possibles responsabilitats derivades del tractament, adoptant mesures tècniques i organitzatives per a impedir el seu tractament, incloent la seva visualització.

El Responsable del Tractament (RT) o l'Encarregat del Tractament (ET) que realitzi el tractament pel seu compte, estaran obligats a bloquejar les dades quan procedeixin a la seva rectificació o supressió fins a finalitzar el termini de prescripció de les seves responsabilitats. Transcorregut aquest termini s'haurà de procedir a la seva destrucció.

Les dades bloquejats no poden ser tractats per a cap altra finalitat.

Mètodes de bloqueig:
 
1) AUTOMATITZAT (digital): aplicable als sistemes informàtics (programari).
Crear un procediment automàtic de manera que en el moment de guardar o suprimir un registre amb dades personals, el sistema feu el següent:

a) Guardar: comprovar si hi ha algun canvi en les dades i

  • si hi ha canvis, guardar un registre ocult amb les dades originals abans de ser modificats
  • si no hi ha canvis, no realitzar cap acció

b) Eliminar: guardar un registre ocult amb les dades originals abans de ser suprimits.
El registre ocult ha de contenir, a més de les dades originals, un camp amb la data original (dia, hora), Moment bloqueig (dia, hora), Data de prescripció (dia) i Usuari (identificador de l'usuari que ha modificat o suprimit el registre).
S'hauran crear un altre procediment per eliminar definitivament els registres que sobrepassin la data de prescripció.

2) SEMI-AUTOMATITZAT (digital/manual): quan la configuració del sistema informàtic no permeti un mètode automàtic o requereixi una adaptació que impliqui un esforç desproporcionat.
Crear un procediment semiautomàtic de manera que en desar un registre es creu manual o automàticament una còpia segura de la informació de manera que consti evidència digital, o d'una altra naturalesa, que permeti acreditar l'autenticitat d'aquesta, la data del bloqueig i la no manipulació de les dades durant el mateix.
S'hauran crear carpetes amb la data de prescripció per eliminar definitivament en arribar al venciment.

3) NO AUTOMATITZAT (manual): aplicable quan no es facin servir procediments automatitzats i les dades estiguin contingudes només en documents de paper.
Crear un procediment manual de manera que en rectificar o suprimir un document es realitzi una còpia d'aquest, ja sigui en format fotocòpia de paper o escaneig digital. Desar les còpies en un lloc protegit i amb accés restringit.
S'ha de disposar d'un registre de documents amb la data de prescripció de cada un per eliminar-los definitivament en arribar al venciment.


NORMATIVA APLICABLE
 
Article 32 LOPDGDD. Bloqueig de les dades.

1. El responsable del tractament està obligat a bloquejar les dades quan procedeixi a la seva rectificació o supressió.

2. El bloqueig de les dades consisteix en la identificació i reserva dels mateixos, adoptant mesures tècniques i organitzatives, per a impedir el seu tractament, incloent la seva visualització, excepte per a la posada a disposició de les dades als jutges i tribunals, el Ministeri Fiscal o les administracions públiques competents, en particular de les autoritats de protecció de dades, per a l'exigència de possibles responsabilitats derivades del tractament i només pel termini de prescripció de les mateixes.

Transcorregut aquest termini s'ha de procedir a la destrucció de les dades.

3. Les dades bloquejats no podran ser tractades per a cap finalitat diferent de l'assenyalada en l'apartat anterior.

4. Quan per al compliment d'aquesta obligació, la configuració del sistema d'informació no permeti el bloqueig o es requereixi una adaptació que impliqui un esforç desproporcionat, es procedirà a un copiat segur de la informació de manera que consti evidència digital, o d'una altra naturalesa, que permeti acreditar l'autenticitat de la mateixa, la data del bloqueig i la no manipulació de les dades durant el mateix.

5. L'Agència Espanyola de Protecció de Dades i les autoritats autonòmiques de protecció de dades, dins l'àmbit de les seves respectives competències, poden fixar excepcions a l'obligació de bloqueig establerta en aquest article, en els supòsits en què, atesa la naturalesa dels dades o el fet que es refereixin a un nombre particularment elevat d'afectats, la seva mera conservació, fins i tot bloquejats, pogués generar un risc elevat per als drets dels afectats, així com en aquells casos en què la conservació de les dades bloquejats pogués implicar un cost desproporcionat per al responsable del tractament.