Cómo aplicar el bloqueo de datos del art. 33 LOPDGDD


Josep Aragonés Salvat     27/06/2019



El bloqueo de datos al que se refiere el art. 32 de la LOPDGDD consiste en la identificación y reserva de los datos para la exigencia de posibles responsabilidades derivadas del tratamiento, adoptando medidas técnicas y organizativas para impedir su tratamiento, incluyendo su visualización.

El RT o el ET que realice el tratamiento por su cuenta, estarán obligados a bloquear los datos cuando procedan a su rectificación o supresión hasta finalizar el plazo de prescripción de sus responsabilidades. Transcurrido dicho plazo deberán proceder a su destrucción.

Los datos bloqueados no podrán ser tratados para ninguna otra finalidad.

Métodos de bloqueo

1) AUTOMATIZADO (digital): aplicable a los sistemas informáticos (software).

Crear un procedimiento automático de manera que en el momento de guardar o eliminar un registro con datos personales, el sistema realice lo siguiente:

a) Guardar: comprobar si existe algún cambio en los datos y

  • si existen cambios, guardar un registro oculto con los datos originales antes de ser modificados

  • si no existen cambios, no realizar ninguna acción

b) Eliminar: guardar un registro oculto con los datos originales antes de ser suprimidos.

El registro oculto debe contener, además de los datos originales, un campo con la Fecha original (día, hora), Momento bloqueo (día, hora), Fecha de prescripción (día) y Usuario (identificador del usuario que ha modificado o suprimido el registro).

Se deberá crear otro procedimiento para eliminar definitivamente los registros que sobrepasen la fecha de prescripción.   

 
2) SEMI-AUTOMATIZADO (digital/manual): cuando la configuración del sistema informático no permita un método automático o requiera una adaptación que implique un esfuerzo desproporcionado.

Crear un procedimiento semi-automático de manera que al guardar un registro se cree manual o automáticamente una copia segura de la información de modo que conste evidencia digital, o de otra naturaleza, que permita acreditar la autenticidad de la misma, la fecha del bloqueo y la no manipulación de los datos durante el mismo.

Se deberán crear carpetas con la fecha de prescripción para eliminarlos definitivamente al llegar al vencimiento. 
 

3) NO AUTOMATIZADO (manual): aplicable cuando no se usen procedimientos automatizados y los datos estén contenidos solo en documentos de papel.

Crear un procedimiento manual de manera que al rectificar o suprimir un documento se realice una copia del mismo, ya sea en formato fotocopia de papel o escaneo digital. Guardar las copias en un lugar protegido y con acceso restringido.

Se deberá disponer de un registro de documentos con la fecha de prescripción de cada uno para eliminarlos definitivamente al llegar al vencimiento.