Mi Área Privada
Inicio Política de protección de datos Procedimientos Política de conservación de datos

Política de conservación de datos

1. OBJETO DEL PROCEDIMIENTO

El Reglamento 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, el “RGPD”) pretende garantizar y proteger todo lo concerniente al tratamiento de los datos personales, es decir, el uso de cualquier información de personas físicas.

Mediante la presente Política de conservación de datos personales, se pretende establecer unas directrices de actuación relativas a determinar cuándo debe procederse a la conservación o a la destrucción de los datos, a los efectos de dar cumplimiento a las exigencias derivadas del deber de calidad.

2. ÁMBITO

La presente Política deberá ser observada por ASISA SANITARIA INTERPROVINCIAL S.A.U., Compañía de Seguros y Reaseguros, (en adelante, ASISA o la Entidad), así como por las empresas que traten datos de carácter personal en calidad de Encargados del Tratamiento, siendo de aplicación respecto de datos que sean objeto tanto de tratamiento automatizado como de tratamiento no automatizado (soporte papel).

La presente Política deberá ser observada por todo el personal que maneje datos de carácter personal en el desarrollo de su actividad diaria.

3. OBLIGACIONES DE SUPRESIÓN DE DATOS PERSONALES

3.1. Consideraciones previas

Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Ello requiere, en particular, garantizar que se limite a un mínimo estricto su plazo de conservación. Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para garantizar que los datos personales no se conservan más tiempo del necesario, el Responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.

A tal efecto, la presente Política debe guiarse por Principio de limitación del plazo de conservación del apartado e) del artículo 5.1 del RGPD, en virtud del cual los datos personales deben ser “mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”.

Esta obligación resulta de aplicación para cuando ASISA actúe como responsable del tratamiento, pero a su vez, cuando actúe como encargado del tratamiento.

En particular, cuando la entidad tenga la consideración de Encargado del Tratamiento, de conformidad con el apartado g) del art. 28.3 del RGPD, una vez cumplida la prestación contractual que dio lugar al encargo del tratamiento, los datos personales deberán, a elección del responsable, ser suprimidos o devueltos al Responsable del tratamiento, debiendo suprimir asimismo las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.

3.2 Causas habilitantes de la supresión de los datos personales

3.2.1 Terminación de la condición legitimadora del tratamiento.

Cuando los mismos ya no sean útiles ni necesarios para la finalidad que justificó su recogida y tratamiento, o una vez cumplida y agotada dicha finalidad deberá procederse a la supresión de los datos personales, siempre y cuando no sea necesario proceder al bloqueo de los mismos para responder ante posibles responsabilidades derivadas del tratamiento de datos personales y por el plazo de prescripción de las mismas previstas en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, conforme se recoge en el apartado 4.

3.2.2 Ejercicio del derecho de supresión

Cuando el interesado ejerza el derecho de supresión de los datos personales, siempre que concurran alguna de las circunstancias siguientes:

a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21.1 del RGPD (derecho de oposición), y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento cuando éste tenga por objeto la mercadotécnica directa (artículo 21.2 del RGPD);

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información a niños, mencionados en el artículo 8.1 del RGPD.

En estos casos, deberá procederse a la eliminación de los datos personales, siempre y cuando no sea necesario proceder al bloqueo de los mismos para responder ante posibles responsabilidades derivadas del tratamiento de datos personales y por el plazo de prescripción de las mismas previstas en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, conforme se recoge en el apartado 4.

No obstante lo anterior, no se aplicará el derecho de supresión, y por tanto los datos podrán continuar siendo tratados por el responsable del tratamiento cuando el tratamiento sea necesario:

a) para ejercer el derecho a la libertad de expresión e información;

b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;

c) por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;

d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento, o

e) para la formulación, el ejercicio o la defensa de reclamaciones.

4. MECANISMOS DE SUPRESIÓN DE LOS DATOS PERSONALES

En los supuestos en que, en atención a los criterios anteriores, se concluya el deber de suprimir los datos personales, se deberá proceder a la eliminación física de los mismos ya se encuentren éstos en soporte automatizado o no automatizados:

  • Si los datos están contenidos en soporte no automatizado, se deberá proceder a la destrucción física de los documentos. A tal efecto se recomienda:
    • La utilización de proveedores de servicio de destrucción documental.
    • La utilización de herramientas de destrucción física de papel, tal y como, destructoras de papel.
    • Opcionalmente, y en el caso en que la supresión tenga como origen el ejercicio de derecho de supresión, la supresión podrá tener lugar mediante la entrega de dicha información a la persona o personas que sean titulares de la misma.
  • Si los datos están contenidos en soporte informático, se procederá de igual forma a su eliminación física de la aplicación, sin que sea suficiente el empleo de una marca lógica o el mantenimiento de otro fichero alternativo en el que se registren los derechos de supresión.

Sin perjuicio de cualquier otro método de destrucción que pudiera valorarse, a continuación, se recogen los principales métodos de borrado identificados1, clasificados en función de la capacidad efectiva para la eliminación lógica de los datos personales así como sus ventajas e inconvenientes.

Métodos que no destruyen la información de forma segura Comandos de borrado Destrucción de la información mediante la utilización de comandos de borrado del sistema operativo Formateo Formateo de un dispositivo
Anonimización2 Su eficacia dependerá de la técnica de anonimización empleada en cada caso, que deberá garantizar de forma irreversible su identificación3
Métodos de destrucción de la información de forma segura Desmagnetización Exposición de los soportes de almacenamiento a un potente campo magnético.
Destrucción Podrá realizarse a través de diversos procedimientos mecánicos, en función de la naturaleza del soporte, en particular:
• Desintegración, pulverización, fusión e incineración.
• Trituración.
Sobre-escritura Escritura de un patrón de datos sobre los datos contenidos en los dispositivos de almacenamiento. Deberá asegurarse la sobre-escritura de la totalidad de la superficie de almacenamiento para asegurar la completa destrucción de los datos.
 

1 Fuente. Guía sobre borrado seguro de la información. Instituto Nacional de Ciberseguridad (INCIBE), 2016 / Elaboración propia
2 El Considerando 26 del RGPD concluye que “Por lo tanto los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.
3 Véase “Dictamen 05/2014 sobre técnicas de anonimización” del Grupo de Trabajo del artículo 29.

5. PLAZOS LEGALES DE CONSERVACIÓN DE DATOS

En los casos en los que exista obligación legal de conservar los datos durante un periodo de tiempo determinado y/o durante los plazos de prescripción de las acciones que pudieran derivarse de la actividad o servicio prestado, la empresa procederá al bloqueo de los datos durante los referidos plazos.

Los datos bloqueados quedarán, únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas y/o durante los plazos legales establecidos al efecto. Cumplidos los indicados plazos, deberá procederse a la supresión de los datos bloqueados de acuerdo con lo descrito en el apartado 4.

Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica, en cada caso, para cada actividad de tratamiento.

Para ello, y sin perjuicio de cualesquiera otros plazos que puedan estar previstos en otras normas o circulares que resulten igualmente de aplicación, se recoge en el Anexo I los plazos durante los cuales será necesario conservar los datos personales que hubiesen sido objeto de tratamiento en función de la actividad que tenga causa en el tratamiento de datos personales.

 

ANEXO I - PLAZOS CONSERVACIÓN DE LA DOCUMENTACIÓN

PROTECCIÓN DE DATOS
PLAZO DESCRIPCIÓN REF. LEGAL
3 AÑOS Prescribirán las infracciones:
- Muy graves, a los 3 años.
- Graves, a los 2 años.
- Leves, al año.
Artículos 72.1, 73.1 y 74.1 del Proyecto de Ley Orgánica de Protección de datos

 

ACCIONES CIVILES PERSONALES
PLAZO DESCRIPCIÓN REF. LEGAL
5 AÑOS Acciones personales de todo tipo que no tengan plazo especial de prescripción fijado desde que pudiera exigirse la obligación, teniendo en cuenta que en las obligaciones continuadas de hacer o no hacer, el plazo comenzará cada vez que se incumplan.
Régimen transitorio:
– Acciones derivadas de relaciones jurídicas nacidas entre el 7/10/2000 y el 7/10/2005: plazo de prescripción de 15 años.
– Acciones derivadas de relaciones jurídicas nacidas entre el 7/10/2005 y el 7/10/2015: 5 años después de la entrada en vigor de la ley, es decir, 7/10/2020.
– Acciones derivadas de relaciones jurídicas nacidas a partir de 7/10/2015: plazo de prescripción de cinco (5) años.
Artículo 1962 del Código Civil
Artículo 1939 del Código Civil en lo que se refiere al régimen transitorio.

 

DOCUMENTACIÓN DE CARÁCTER LABORAL O RELACIONADA CON SEGURIDAD SOCIAL
PLAZO DESCRIPCIÓN REF. LEGAL
4 AÑOS Documentación o los registros o soportes informáticos en que se hayan transmitido los correspondientes datos que acrediten el cumplimiento de las obligaciones en materia de colocación y empleo, afiliación, altas, bajas o variaciones que, en su caso, se produjeran en relación con dichas materias, así como los documentos de cotización y los recibos justificativos del pago de salarios y del pago delegado de prestaciones. Añadir toda la documentación contractual: el RD 1424/2002, de 27 de diciembre, por el que se regula la comunicación del contenido de los contratos y de sus copias básicas, nada establece a este respecto, por lo que analógicamente aplicaremos el precepto anterior. Artículo 21.1 del Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social.

 

DOCUMENTACIÓN CONTABLE Y FISCAL
PLAZO DESCRIPCIÓN REF. LEGAL
6 AÑOS A efectos mercantiles: Libros, correspondencia, documentación y justificantes concernientes a su negocio, debidamente ordenados, a partir del último asiento realizado en los libros, salvo lo que se establezca por disposiciones generales o especiales.

Esta obligación mercantil se extiende tanto a los libros obligatorios (ingresos, gastos, bienes de inversión y provisiones, además de la documentación y justificantes en que se soporten las anotaciones registradas en los libros (facturas emitidas y recibidas, tickets, facturas rectificativas, documentos bancarios, etc.).
Art. 30 del Real Decreto de 22 de agosto de 1885, por el que se publica el Código de Comercio.
4 AÑOS A efectos fiscales: Los libros de contabilidad y otros libros registros obligatorios según la normativa tributaria que proceda (IRPF, IVA, IS, etc.), así como los soportes documentales que justifiquen las anotaciones registradas en los libros (incluidos los programas y archivos informáticos y cualquier otro justificante que tenga trascendencia fiscal), deben conservarse, al menos, durante el periodo en que la Administración tiene derecho a comprobar e investigar y en consecuencia, a liquidar deuda tributaria. Sección 3ª (La prescripción), Arts. 66 a 70 de la Ley 58/2003, de 17 de diciembre, General Tributaria.

 

AUDITORÍA DE CUENTAS
PLAZO DESCRIPCIÓN REF. LEGAL
5 AÑOS Los auditores de cuentas y las sociedades de auditoría de cuentas conservarán y custodiarán durante el plazo de cinco años, a contar desde la fecha del informe de auditoría, la documentación referente a cada auditoría de cuentas por ellos realizada, incluidos los papeles de trabajo del auditor que constituyan las pruebas y el soporte de las conclusiones que consten en el informe. Artículo 30 de 22/2015, de 20 de julio, de Auditoría de Cuentas.

 

VIDEOVIGILANCIA
PLAZO DESCRIPCIÓN REF. LEGAL
1 MES Las imágenes/sonidos captados por los sistemas de video vigilancia serán cancelados en el plazo máximo de un mes desde su captación. Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.
1 MES Las grabaciones serán destruidas en el plazo máximo de un mes desde su captación, salvo que estén relacionadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, con una investigación policial en curso o con un procedimiento judicial o administrativo abierto. Artículo 8 de la Ley Orgánica 4/1997, de 4 de agosto, de utilización de videocámaras por fuerzas y cuerpos de seguridad en lugares públicos.

Ver también artículos 18 y 19 del RD 596/1999 de 16 de abril.
10 DÍAS Colocación en zonas comunes centro escolar para protección de los menores:

“También contribuiría a la ponderación que estamos realizando la implantación de unos periodos de conservación muy reducidos para la conservación de las imágenes guardadas. La Instrucción 1/2006 establece en su artículo 6 un plazo de un mes desde su captación. Pero podría incluso reducirse ese plazo, teniendo en cuenta que si hubiera acaecido un suceso que afectara a los menores debería ser apreciado en un lapso de tiempo mucho más breve. Así, entendemos que podría establecerse un plazo de diez días, que por un lado es inferior a un mes, pero suficientemente extenso para que el centro docente haya podido percatarse de la existencia de un perjuicio concreto y específico para el menor que pudiera tener consecuencias jurídicas, coincidiendo así con el plazo para el ejercicio del derecho de cancelación de los datos, y conciliado con la protección de los datos personales. Transcurrido dicho plazo de diez días sólo podría conservarse las imágenes que revelaran algún tipo de hecho trascendente en relación con el interés superior del menor”
Informe Jurídico AEPD 475/2014

 

CONTROL ACCESOS A EDIFICIOS
PLAZO DESCRIPCIÓN REF. LEGAL
1 MES Los datos incluidos en ficheros automatizados creados para controlar el acceso a edificios, deben cancelarse transcurrido 1 mes a partir de su obtención. Norma quinta de la Instrucción 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios.

 

CONSUMIDORES Y USUARIOS
PLAZO DESCRIPCIÓN REF. LEGAL
3 AÑOS La acción para reclamar el cumplimiento de la reparación y sustitución del producto por cualquier disconformidad con el contrato, prescribe a los tres años desde la entrega del producto. Artículo 123.4 del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
6 MESES La acción para reclamar el cumplimiento de lo dispuesto en la garantía comercial adicional prescribe a los seis meses desde la finalización del plazo de garantía. Artículo 125.3 del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
3 AÑOS La acción o derecho de recuperación de los productos entregados por el consumidor y usuario al empresario para su reparación prescribe a los tres años a partir del momento de la entrega. Artículo 127 del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.
3 AÑOS La acción de reparación de los daños y perjuicios causados por productos fabricados o importados prescribirá a los tres años, a contar desde la fecha en que el perjudicado sufrió el perjuicio, ya sea por defecto del producto o por el daño que dicho defecto le ocasionó, siempre que se conozca al responsable de dicho perjuicio. Artículo 143 del Real Decreto Legislativo 1/2007, de 16 de noviembre, por el que se aprueba el texto refundido de la Ley General para la Defensa de los Consumidores y Usuarios y otras leyes complementarias.

 

SERVICIOS DE SOCIEDAD DE LA INFORMACIÓN Y COMERCIO ELECTRÓNICO
PLAZO DESCRIPCIÓN REF. LEGAL
3 AÑOS Prescribirán las infracciones:
- Muy graves, a los 3 años.
- Graves, a los 2 años.
- Leves, a los 6 meses.
Artículo 45 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

 

BLANQUEO DE CAPITALES
PLAZO DESCRIPCIÓN REF. LEGAL
10 AÑOS Documentación en que se formalice el cumplimiento de las obligaciones establecidas en la Ley. En todo caso, el sistema de archivo de los sujetos obligados deberá asegurar la adecuada gestión y disponibilidad de la documentación, tanto a efectos de control interno, como de atención en tiempo y forma a los requerimientos de las autoridades. Artículo 25 de la Ley 10/2010 de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.

 

SEGUROS
PLAZO DESCRIPCIÓN REF. LEGAL
10 DIAS Datos que les hubieran sido facilitados con anterioridad a la celebración de un contrato si el mismo no llegara a celebrarse, a menos que contasen con el consentimiento específico del interesado que deberá ser expreso si se tratase de datos relacionados con la salud. Artículo 99.9 de la Ley 20/2015, de 14 de julio, de ordenación, supervisión y solvencia de las entidades aseguradoras y reaseguradoras.