Bloquear datos no es moverlos a una carpeta llamada «archivo». El artículo 32 de la LOPDGDD obliga a identificarlos y reservarlos cuando procede su rectificación o supresión, impidiendo su tratamiento y visualización salvo para ponerlos a disposición de jueces, tribunales, el Ministerio Fiscal o las Administraciones competentes durante los plazos de exigencia de responsabilidades. Una vez transcurridos esos plazos, deben destruirse.
Supresión, conservación y bloqueo
Antes de diseñar cualquier procedimiento conviene distinguir los cuatro estados por los que pasa un dato personal a lo largo de su ciclo de vida:
- Uso activo: el dato es necesario para la finalidad que justificó su tratamiento.
- Supresión: cesa el tratamiento ordinario del dato.
- Bloqueo: el dato queda reservado temporalmente por posibles responsabilidades derivadas del tratamiento.
- Destrucción: el dato se elimina al finalizar el plazo de prescripción correspondiente.
No todos los datos suprimidos deben permanecer bloqueados durante el mismo tiempo: el plazo depende de las responsabilidades aplicables en cada caso.
Cuándo opera el bloqueo
El bloqueo se activa al rectificar o suprimir un dato, ya sea por ejercicio de derechos del interesado o de oficio al finalizar la finalidad o el periodo de conservación, según el criterio de la AEPD. Algunos supuestos habituales son:
- la baja de un cliente;
- el fin de un contrato laboral;
- la rectificación de una factura o un expediente;
- la retirada de un consentimiento;
- la sustitución de un dato inexacto;
- la finalización de un servicio.
Antes de bloquear conviene analizar si existe una obligación legal de conservación activa: no se bloquea aquello que debe seguir utilizándose legalmente.
Qué permite el bloqueo
Mientras un dato permanece bloqueado, solo puede tratarse para atender posibles responsabilidades y ponerlo a disposición de las autoridades competentes. Queda excluido su uso para marketing, analítica, operaciones o «por si acaso». El acceso a datos bloqueados debe ser siempre excepcional, motivado y quedar registrado.
Tabla de conservación
| Categoría | Uso activo | Base | Bloqueo | Destrucción |
|---|---|---|---|---|
| Contrato | Relación contractual | Contrato | Responsabilidades | Fin de plazo |
| Factura | Obligación fiscal | Ley | Responsabilidades | Fin de plazo |
| RR. HH. | Relación laboral/ley | Contrato/ley | Laboral/fiscal | Fin de plazo |
| Marketing | Base aplicable | Consentimiento/interés legítimo | Reclamaciones | Fin de plazo |
| Incidente | Gestión del incidente | Obligación/interés legítimo | Responsabilidades | Fin de plazo |
Los plazos deben documentarse por norma y por caso concreto: no existe una tabla genérica que sirva como garantía universal.
Diseño del bloqueo
Estado lógico
El registro pasa a un estado bloqueado: queda fuera de las aplicaciones ordinarias y solo un rol excepcional puede acceder a él.
Repositorio separado
El dato se exporta cifrado a un archivo restringido con huella, fecha y metadatos, y se elimina del entorno de producción.
Copiado seguro
Si el sistema no permite el bloqueo, o adaptarlo exige un esfuerzo desproporcionado, el artículo 32.4 contempla la posibilidad de realizar una copia segura con evidencia de autenticidad, fecha y no manipulación. Esta opción debe justificarse.
Requisitos técnicos
Un procedimiento de bloqueo bien diseñado requiere:
- marca inequívoca del estado bloqueado;
- exclusión de las búsquedas internas;
- bloqueo del acceso vía API y de la exportación;
- permisos de acceso separados;
- cifrado;
- registro (logs) de accesos;
- fecha y motivo del bloqueo;
- plazo de conservación calculado;
- destrucción automática o controlada;
- preservación de la integridad del dato.
Un administrador técnico no debería poder acceder a estos datos por rutina.
Backups
Las copias de seguridad complican el borrado y el bloqueo. Debe existir una política específica que contemple:
- retención limitada;
- acceso restringido solo a fines de recuperación;
- no restaurar datos bloqueados como si estuvieran activos;
- reaplicación de los estados correspondientes tras cualquier restauración;
- expiración de las copias;
- documentación del proceso.
No es necesario alterar una copia de seguridad de forma que comprometa su integridad si existe aislamiento y un ciclo de vida definido, pero debe garantizarse que el dato no vuelve a estar en uso activo.
Sistemas SaaS
El contrato con el encargado del tratamiento debe permitir:
- marcar o exportar los datos bloqueados;
- restringir el acceso;
- aplicar los plazos definidos;
- borrar los datos;
- gestionar las copias de seguridad;
- aportar evidencia de cumplimiento;
- cerrar el acceso de los subencargados.
Si el proveedor no soporta el bloqueo, debe analizarse una alternativa o un procedimiento seguro equivalente.
Rectificación
Cuando se rectifica un dato, el valor anterior debe conservarse bloqueado únicamente si resulta necesario para atender responsabilidades, mientras el nuevo dato permanece activo. La aplicación no debe mostrar ambos valores como vigentes al mismo tiempo: la trazabilidad tiene que indicar cuál es el dato correcto y desde cuándo lo es.
Derechos
Ante una solicitud de supresión, el procedimiento debe seguir estos pasos:
- verificar la identidad del solicitante;
- analizar la aplicación del artículo 17 RGPD;
- identificar las obligaciones de conservación existentes;
- cesar el uso ordinario del dato;
- bloquear el dato si procede;
- responder al interesado;
- destruir el dato al finalizar el plazo.
La respuesta al interesado puede explicar la limitación aplicada sin necesidad de revelar controles internos sensibles.
Acceso excepcional
Toda solicitud de una autoridad debe validarse y registrarse, dejando constancia de:
- el solicitante;
- su competencia;
- la base que legitima la solicitud;
- el alcance;
- los datos entregados;
- la fecha;
- el responsable que autoriza el acceso.
No debe desbloquearse el conjunto completo de datos si basta con entregar una parte.
Plazos
El plazo de bloqueo se vincula a la prescripción de las responsabilidades derivadas del tratamiento y de las obligaciones aplicables. Cuando concurren varios plazos, debe documentarse el criterio seguido, y la suspensión o interrupción del plazo se gestiona cuando legalmente corresponda. El sistema nunca debe emplear la etiqueta «indefinido».
Destrucción
Al vencer el plazo de bloqueo:
- se borra el repositorio;
- se destruyen los soportes según el ciclo definido;
- se cierran las copias cuando expiran;
- se registra la ejecución;
- se verifica una muestra;
- se conserva solo la evidencia no personal necesaria de que la destrucción se produjo.
Gobierno
| Rol | Responsabilidad |
|---|---|
| Legal / DPO | Criterio jurídico y supervisión |
| Data owner | Definición de categoría y finalidad |
| IT | Implementación técnica |
| Seguridad | Acceso e integridad |
| Proveedor | Ejecución conforme a instrucciones |
| Dirección | Recursos y gestión del riesgo |
Pruebas
Antes de dar por validado un procedimiento de bloqueo conviene comprobar que:
- un usuario ordinario no puede acceder a los datos bloqueados;
- las búsquedas internas no los devuelven;
- la API no los expone;
- la exportación no los incluye;
- una autoridad competente puede acceder mediante el flujo previsto;
- la restauración de copias conserva el estado bloqueado;
- la destrucción se ejecuta correctamente;
- los logs se mantienen íntegros.
Errores frecuentes
- Confundir el bloqueo con un simple archivado.
- Seguir utilizando datos bloqueados para marketing.
- Mantener un acceso administrativo general a los datos bloqueados.
- Aplicar un plazo único para todas las categorías.
- No fijar una fecha de destrucción.
- Permitir que los backups reactiven datos bloqueados.
- Contratar sistemas SaaS sin capacidad de bloqueo.
- Mostrar el dato antiguo tras una rectificación.
- Entregar más datos de los necesarios a una autoridad.
- Destruir datos sin dejar evidencia del proceso.
Checklist
- Categorías de datos y plazos definidos.
- Base de conservación identificada.
- Estado bloqueado implementado.
- Exclusión de uso y visualización garantizada.
- Procedimiento de acceso excepcional.
- Logs e integridad verificados.
- Política de backups actualizada.
- Proveedores revisados.
- Pruebas de restauración realizadas.
- Proceso de destrucción documentado.
Preguntas frecuentes
¿Bloquear es lo mismo que borrar?
No. Bloquear consiste en reservar temporalmente el dato, sin uso ordinario, para atender posibles responsabilidades.
¿Puede la empresa consultar datos bloqueados?
Solo en los supuestos y para las finalidades limitadas que establece el artículo 32.
¿Cuánto dura el bloqueo?
Hasta que finalicen los plazos de prescripción aplicables, definidos según la categoría del dato y la responsabilidad correspondiente.
¿Y si el sistema no permite el bloqueo?
Puede aplicarse una copia segura en las condiciones del artículo 32.4, justificando la decisión y garantizando la integridad del dato.
Fuentes oficiales consultadas
En Summum Consultoría podemos elaborar la tabla de conservación de tu organización y diseñar el procedimiento de bloqueo junto con tu equipo de IT y tus proveedores.