¿Hasta cuándo pueden conservarse datos personales de terceros? ¿Hasta cuándo DEBEN conservarse?  ¿Existen plazos legales obligatorios máximos y/o mínimos? ¿Aplican los mismos plazos para todo tipo de datos? Son estas consultas frecuentes, máxime considerando que la normativa sobre datos personales, por su naturaleza misma, impacta en prácticamente todas las industrias y áreas del derecho (laboral, societario, administrativo, etc.) y debe interpretarse armónicamente con la normativa de esas otras áreas. En muchos casos, como veremos, las respuestas bajo el derecho argentino generan más dudas que certezas.

Para ponerlo en términos prácticos, pensemos ejemplos sencillos del quehacer cotidiano de una empresa, todos los cuales involucran recolección, procesamiento y alojamiento de datos personas: ¿Durante cuánto tiempo una empresa tiene la obligación legal de conservar emails remitidos y/o recibidos por sus empleados, ex empleados, clientes y/o proveedores? ¿Durante cuánto tiempo una empresa puede o debe legalmente guardar las grabaciones de las llamadas de su ‘call center’? ¿Y las grabaciones de las cámaras de video vigilancia?

La Ley 25.326 de protección de datos personales –plenamente aplicable a los supuestos antes referidos- brinda principios genéricos, sin establecer plazos específicos. El art  4 inc. 7 señala que “los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados” (principio de minimización) el art. 16 inc. 7 dispone que “Los datos personales deben ser conservados durante los plazos previstos en las disposiciones aplicables o en su caso, en las contractuales entre el responsable o usuario del banco de datos y el titular de los datos”. El único plazo determinado por la Ley 25.326 es el del art 25 aplicable a los prestadores de servicios informatizados que -como excepción al principio de destrucción de datos luego de concluida la prestación contractual- los autoriza a conservar los datos personales remitidos por su cliente (responsable de la base de datos) “por un período hasta dos años” siempre que “medie autorización expresa de aquel por cuenta de quien se prestan tales servicios cuando razonablemente se presuma la posibilidad de ulteriores encargos”. Los principios antes mencionados deben armonizarse con otros afines, como el principio de finalidad (art 4 inc. 3 de la Ley 25.326, según el cual los datos deberán ser cancelados si ya terminó la finalidad con la que fueron recogidos), el de pertinencia (art. 4 inc. 1). Estos principios son comunes en casi todas las legislaciones comparadas de datos personales (por caso, art. 5 del Reglamento General de Protección de Datos de la Unión Europea).

Estos principios deben interpretarse en concordancia con otras leyes (tributarias, de telecomunicaciones, de lavado de dinero, aduaneras, bancarias, laborales, etc.) aplicables a cierto tipo de datos personales, algunas de las cuales sí establecen plazos concretos de conservación. Así, a modo de ejemplo, la ley de historia clínica determina que los establecimientos sanitarios tienen a su cargo la guarda y custodia de las mismas“durante el plazo mínimo de diez años de prescripción liberatoria de la responsabilidad contractual” (art 18 de la Ley 26.529);

Ahora bien: ¿Es razonable mantener los datos personales por todo el plazo de prescripción liberatoria de las acciones de algún modo vinculadas con tales datos (5 años, 3 Años, 2 años, etc.)? ¿Cumple ello con los mencionados principios de minimización, pertinencia, adecuación y finalidad establecidos por la Ley 25.326? La duda se intensifica considerando la amplitud del concepto de “datos personales”. Recordemos que la ley defines como tales a la “Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables” (la negrita es nuestra).

Por otra parte, el Código Civil y Comercial de la Nación, en su Sección 7ª “Contabilidad y estados contables” dispone textualmente en el art 328: “Conservación. Excepto que leyes especiales establezcan plazos superiores, deben conservarse por diez años: (a) los libros, contándose el plazo desde el último asiento; (b) los demás registros, desde la fecha de la última anotación practicada sobre los mismos; y (c) los instrumentos respaldatorios, desde su fecha” (la negrita es nuestra).

Este último inciso ha generado y continúa generando incertidumbre sobre este tema: ¿Qué debe entenderse por “instrumentos respaldatorios” (que el art. 328 del CCCN antes citado obliga a conservar por diez años)? Bajo una interpretación restrictiva podría propiciarse que deben reputarse tales solo aquellos instrumentos de carácter estrictamente contable (por ej facturas y recibos) vinculados con los libros y registros referidos en los incisos precedentes. En una interpretación amplia, en cambio, podrían considerase “instrumentos respaldatorios” a todos los documentos, de cualquier tipo (contratos, cartas, correspondencia, emails, bases de datos, etc.) que sustenten una operación registrada. Volviendo al ejemplo de los emails de empleados: Bajo la primera interpretación la empresa no tendría la obligación legal de guardar por diez años los emails de sus dependientes vinculados con una determinada transacción o negocio; bajo la segunda interpretación, sí.

Resulta a priori lógico inclinarsepor la primera interpretación. Cuesta pensar que un juez o un organismo estatalpuedan válidamente requerir a una empresa emails de -digamos- hace 7 años, bajo apercibimiento de sanciones por incumplimiento del citado art 328 del CCCN. Sin embargo, esto dista de resultar claro. Como está redactada la norma, dudaría en responder a un cliente que puede descartar esos emails sin que medien consecuencias; y bajo un enfoque muy conservador, sería incluso prudente aconsejarle que conserve todo por 10 años.

Las incertidumbres señaladas generan otras, tal vez más singulares, pero igualmente concretas. Supongamos que una persona (titular del dato), ejerciendo su “derecho de supresión”, requiere a una empresa (responsable de la base de datos) que elimine sus datos personales de su base de datos. Una situación bastante usual. El artículo 16 de la Ley 25.326, que prevé este derecho, dispone en su inciso 5 que “La supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos”. En este escenario ¿Podría la empresa negarse a suprimir el dato invocando este último inciso, alegando que necesita retener los datos del sujeto hasta tanto prescriban las eventuales acciones por hechos ilícitos o de responsabilidad contractual vinculadas a tal dato? ¿Qué debería prever al respecto la política de privacidad y retención de datos de la empresa? Más complejo aún resultaría el escenario si el titular pretendiese ejercer su “derecho al olvido”.

Como puede verse, para los ejemplos -simples, concretos, usuales- planteados al principio, las respuestas legales son inciertas o al menos poco claras.

El mandato de las leyes de privacidad es que la retención de los datos sea la mínima indispensable y ese mandato es el que debería guiar la interpretación de las normas aplicables. Considero en base a este principio rector que en todos los casos deberíamos tomar el menor tiempo posible como el supuesto aplicable. Esperemos entonces que la jurisprudencia y la autoridad administrativa (la Agencia de Acceso a la Información Pública, vía resoluciones o incluso dictámenes) vaya convalidando este criterio.