La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), en su artículo 5, establece que los datos de carácter personal sólo podrán ser recogidos para su tratamiento si se ajustan a las condiciones que se recogen a continuación:
En consecuencia, mientras no se cumplan las finalidades para las que fueron recogidos o no se solicite su supresión por el interesado, los datos de carácter personal sólo podrán ser conservados.
La protección de datos personales es un derecho fundamental reconocido en la Constitución Española y en el resto del ordenamiento jurídico español. Este derecho ampara la libertad y el secreto de las personas físicas en relación con la información que les concierne y que está siendo tratada por terceros. En España, el derecho a la protección de datos está regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), y por su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. La LOPD establece unos plazos máximos para el almacenamiento de datos personales, que son de cinco años a partir de la última confirmación del consentimiento del afectado, o en su defecto, desde la última relación contractual. No obstante, estos plazos pueden ser ampliados en función de una serie de supuestos que se recogen en la propia LOPD y en su Reglamento de desarrollo. Asimismo, la LOPD establece que el responsable del tratamiento de datos personales deberá adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos. En este sentido, el Reglamento de desarrollo de la LOPD establece una serie de obligaciones a las que deben someterse los responsables del tratamiento de datos personales, entre las que se encuentran la adopción de las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado, así como la obligación de mantener actualizados los datos personales.
No obstante lo anterior, el derecho a la protección de datos no es un derecho absoluto, sino que puede ser limitado por otros derechos y libertades reconocidos en la Constitución y en el resto del ordenamiento jurídico, como el derecho a la información, el derecho a la intimidad y el secreto profesional. Asimismo, la LOPD establece una serie de supuestos en los que el tratamiento de datos personales puede realizarse sin el consentimiento del afectado, como, por ejemplo, cuando el tratamiento de datos se realice para el cumplimiento de una obligación legal o contractual, para la protección de los intereses vitales del afectado o para el cumplimiento de una misión en interés público.
La conservación de datos es el proceso de almacenamiento de datos para su uso futuro. Se puede hacer de forma manual o electrónica. El objetivo de la conservación de datos es mantener la información para su uso futuro, ya sea para el análisis o la referencia.
Los datos se conservan en una variedad de formatos, incluyendo papel, microfilmación, discs compactos, cintas magnéticas y unidades de disco duro. La conservación de datos también se puede hacer en un formato digital, que se almacena en un servidor de disco duro o en la nube.
La conservación de datos es importante para mantener la integridad de la información y garantizar que esté disponible cuando se necesite. Los datos pueden ser conservados por un período de tiempo indefinido, o pueden ser borrados cuando ya no sean necesarios.
Hay tres niveles de certificación en materia de protección de datos: Básico, Medio y Alto. Cada nivel tiene una duración de vigencia de 2 años, a partir de la fecha de expedición de la certificación. No obstante, se realizará un seguimiento anual de las certificaciones para verificar el cumplimiento de las obligaciones y, en su caso, renovarlas.
Para mantener la certificación, el responsable de tratamiento de datos deberá acreditar que ha implantado las medidas correctivas y correctivas oportunas para subsanar las no conformidades detectadas en el seguimiento.