Plazo de conservación de datos personales en el RGPD

¿Por cuánto tiempo deben las empresas conservar los datos personales que han recabado y tratado? ¿Qué dice la normativa de protección de datos sobre la conservación de datos? ¿Cuándo podemos proceder a bloquear, suprimir o anonimizar los datos? En este artículo daremos respuesta a estas y otras preguntas relacionadas con el plazo de conservación de datos personales en el RGPD.

La normativa sobre protección de datos y conservación de documentos

Lo cierto es que, como veremos a continuación, la normativa sobre protección de datos y conservación de documentos no es muy exhaustiva a la hora de establecer periodos concretos y obligatorios para la conservación de datos personales y cuando hablamos de una ley de conservación de datos, debemos remitirnos, por un lado, a las condiciones generales que establecen sobre el plazo de conservación de datos el RGPD y la LOPDGDD, así como las recomendaciones de la AEPD, y, por otro lado, a diferentes leyes estatales y autonómicas que especifican por cuánto tiempo deben conservarse determinados documentos, que pueden contener información personal.

El plazo de conservación de datos personales en el RGPD y la LOPDGDD

El artículo 5.1.e del RGPD establece y regula el denominado «principio de limitación del plazo de conservación» (también reconocido en la LOPDGDD) y nos dice que los datos:

Deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales […] Los datos podrán conservarse durante periodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Por lo tanto, en cuanto al plazo de conservación de datos personales, el RGPD y la LOPDGDD establecen que este plazo será el estrictamente necesario para cumplir con la finalidad para la que los datos fueron recogidos, respetando, además del principio de limitación del plazo de conservación, los principios de finalidad y legitimidad del tratamiento.

De manera que la norma general sobre el plazo de conservación de datos personales del RGPD y la LOPDGDD es que estos deberán eliminarse una vez se haya cumplido la finalidad para la que fueron recabados y ya no exista ninguna relación entre interesado y responsable (como por ejemplo, contratos, facturas pendientes, etc.), en cuyo caso, se deberá recurrir al bloqueo de los datos (es decir, no se borran o suprimen, pero no pueden ser usados con ninguna otra finalidad).

En cuanto a la excepción que ambas normas establecen, investigación, fines estadísticos o archivo de interés público, los datos personales usados, siempre que sea posible, deberán ser anonimizados, de manera que la reidentificación sea imposible.

El informe de la AEPD sobre los plazos de conservación de datos personales

Dadas las dudas que el plazo de conservación de datos personales en el RGPD y la LOPDGDD suscitan entre responsables, encargados y delegados de protección de datos, la AEPD publicó su informe 00148/2019, en el que daba varias directrices sobre los plazos de conservación de datos.

De acuerdo a la AEPD, será el responsable del tratamiento y, en su caso, el encargado del tratamiento quienes deban decidir por cuánto tiempo se conservan los datos personales recabados, siempre atendiendo a los principios que hemos citado más arriba, así como a aquellas leyes sectoriales que establezcan sus propios plazos de conservación para la documentación relacionada.

En este informe también se recogían algunos plazos de conservación de datos personales, que vamos a ver en los siguientes puntos.

Los diferentes plazos de conservación de datos personales según el legislador

Tal y como recogen el RGPD y la LOPDGDD, el plazo de conservación de algunos documentos que pueden contener datos personales, depende también de lo establecido por el legislador en diferentes ámbitos. Estos plazos de conservación están, generalmente, relacionados con la responsabilidad civil y penal de empresas, profesionales y particulares, por lo que es necesario darles cumplimiento.

Debemos tener en cuenta que el plazo de conservación de datos es un aspecto importante del mantenimiento RGPD, ya que, como veremos a lo largo de los siguientes puntos, no podemos almacenar indefinidamente los datos personales que hemos recabado de clientes, empleados o proveedores, debiendo proceder con la supresión de aquellos datos que hayan cumplido su finalidad o cuyo plazo de conservación haya expirado.

A continuación vemos los plazos de conservación de documentación más relevantes, relacionados a su vez con la protección de datos.

Conservación de datos personales en la empresa

Las empresas, con independencia de cuál sea su área de actividad, tienden a generar una gran cantidad de documentación que puede contener datos personales (por ejemplo, nóminas, facturas a particulares, información fiscal, etc.), por este motivo debe atender a diferentes leyes para saber por cuánto tiempo guardar la documentación de la empresa.

Código de Comercio

El Código de Comercio señala que los libros de contabilidad, entre los que se incluye el Libro Diario o el Registro de balances o de facturas emitidas y recibidas, ha de conservarse por un periodo de 6 años.

Existen casos en los que se recomienda mantener la documentación de forma indefinida. Por ejemplo, las cuentas anuales, los contratos a largo plazo, las copias de seguridad de los registros contables o las acciones adquiridas por la empresa (en previsión de una futura venta).

Ley Tributaria

¿Cuánto tiempo hay que guardar la información de una empresa, cuando se trata de información tributaria? Como norma general, se debe guardar la documentación fiscal durante 4 años, ya que es el plazo de prescripción de los impuestos. Sin embargo, existen ciertas excepciones:

• En caso de que la Agencia Tributaria intervenga para revisar los impuestos, el plazo se iniciará de nuevo, contando con otros 4 años desde que finalice la intervención
• Si se han producido pérdidas durante un ejercicio, la documentación tributaria correspondiente se ha de guardar durante 10 años
• Al comprar activos por valor superior a 3.005,06 euros para la empresa, el plazo de conservación es de 9 años para bienes

Aunque se hable de 4 años de plazo de prescripción, lo cierto es que hay casos en los que la Agencia Tributaria puede realizar acciones de comprobación que afectan a terceros y, por tanto, obligar a la empresa a suministrar información. Por ello, es recomendable guardar la información durante el periodo de 6 años indicado por la normativa mercantil.

En cuanto a las facturas emitidas o recibidas por persona física, estas deben conservarse por un periodo de 5 años.

Documentación laboral y Seguridad Social

Existen diferentes plazos de conservación para la documentación laboral y de la Seguridad Social. En concreto, se conservarán durante 4 años:

• Contratos de trabajo
• Datos sobre trabajadores temporales
• Registros de jornada laboral
• Recibos de salarios y cotizaciones a la Seguridad Social
• Información sobre candidatos no seleccionados
• Copia del NIE de ciudadanos extranjeros

Y se guardarán por un periodo de 5 años:

• Informes sobre prevención de riesgos laborales
• Evaluaciones de riesgos
• Expedientes de enfermedades profesionales o accidentes ocurridos en el lugar de trabajo
• Contratos con servicios de prevención (en caso de haberlos)

Ley de Prevención de blanqueo de capitales

Los sujetos obligados conservarán durante un periodo mínimo de 10 años la custodia documental en que se formalice el cumplimiento de las obligaciones establecidas en dicha Ley.

Ley General de Telecomunicaciones

La Ley General de Telecomunicaciones no establece periodos para la conservación de documentación, pero sí que regula los períodos de prescripción de sus sanciones, por lo que a partir de estos, es posible establecer el plazo de conservación de documentos que puedan contener datos personales.

De manera que esta Ley establece los siguientes periodos de prescripción de sanciones:

• Muy graves a los 3 años
• Las graves a los 2 años
• Leves a los 6 meses.

Documentación relativa a los expedientes generados por un abogado o procurador

Se deben conservar al menos durante 5 años los expedientes, ya que es el plazo en el cual se podrán ejercitar responsabilidades profesionales.

Para más información al respecto, podéis ver nuestra guía de protección de datos para abogados.

Ley de mediación en asuntos civiles y mercantiles

Como es lógico, un procedimiento de mediación puede concluir con acuerdo o no, y sobre el mismo pueden recaer futuras responsabilidades.

Por lo tanto, los expedientes de la mediación se almacenarán al menos durante 4 meses.

Videovigilancia

Las imágenes/sonidos captados por los sistemas de videovigilancia serán cancelados en el plazo máximo de 1 mes desde su captación.

Si bien, existe la siguiente excepción; en el caso de que en las grabaciones se aprecien infracciones penales o administrativas graves o muy graves, sobre las que haya una investigación policial en curso, dichas grabaciones no podrán ser eliminadas.

Ley de Seguridad Privada

Los informes de investigación deberán conservarse archivados, al menos, durante 3 años, incluidas las imágenes grabadas. No obstante, los datos estarán debidamente bloqueados.

Ley Reguladora de la Autonomía del Paciente

Como regla general, el plazo de conservación para documentación clínica es de 5 años, a contar desde la fecha en la que se da de alta al paciente.

No obstante, en algunas comunidades autónomas, para ciertos casos se prevé un periodo diferente de conservación:

• La Ley 7/2002, de 10 diciembre, de Cantabria establece un plazo de conservación de la historia clínica de 15 años desde la muerte del paciente
• La Ley 3/2001, de 28 mayo, de Galicia indica que se conservarán de forma indefinida:
  • Informes de alta
  • Hojas de consentimiento informado
  • Hojas de alta voluntaria
  • Informes quirúrgicos y/o registros de parto
  • Documentos de anestesia
  • Informes de exploraciones complementarias. Documentación relativa a necropsias
  • Hoja de evolución y de planificación de cuidados de enfermería
  • Otros informes médicos
  • Cualquier otra información que se considere relevante a efectos asistenciales, preventivos, epidemiológicos o de investigación
  • Información de aquellas historias clínicas cuya conservación sea procedente por razones judiciales
• La Ley 178/2005, de 26 de julio, de Canarias establece la conservación indefinida para los informes clínicos de alta y las hojas de anamnesis y exploración física y las hojas de evolución de los episodios asistenciales de los que no exista informe de alta. Y un periodo de conservación de 20 años desde la última acción asistencial para la siguiente documentación:
  • Autorización de ingreso
  • Consentimiento informado
  • Hoja quirúrgica
  • Órdenes médicas
  • Informe de control de medicación
  • Hojas del recién nacido, de su propia historia clínica
  • Informes de anestesia
  • Listas transfusión
  • Informes de exploraciones complementarias
  • Solicitud de alta voluntaria
  • Informes de Anatomía Patológica.
  • Documentación de necropsias.
  • Información de aquellas historias clínicas cuya conservación sea procedente por razones judiciales
• El Decreto 38/2012, de 13 de marzo, del País Vasco dice que una vez transcurridos 10 años desde el fallecimiento de la persona, se podrá destruir la documentación. Así mismo, se podrá destruir la historia clínica que haya permanecido sin movimientos durante 15 años.

Reglamento de centros de reconocimiento destinados a verificar las aptitudes psicofísicas de los conductores

El centro conservará durante 10 años el contenido de los informes emitidos, así como los documentos que aportó, en su momento, el interesado.

En hoteles

Los libros registro de entrada en los establecimientos hoteleros deberán almacenarse durante 3 años, a disposición de los Cuerpos y Fuerzas de Seguridad del Estado.

Prestadores de servicios de Internet

Los prestadores de servicios de comunicaciones electrónicas podrán conservar al menos durante 1 año:

• Identificador de usuario
• Dirección IP
• Número de teléfono
• IMSI e IMEI
• Fecha y hora de la comunicación electrónica
• Identificación del tipo de servicio utilizado (voz, datos, SMS o MMS)

Esperamos haber aclarados vuestras dudas respecto al plazo de conservación de datos personales en el RGPD, la LOPDGDD y el resto de leyes relacionadas. Pero en caso de que necesitéis asesoramiento al respecto, no dudéis en poneros en contacto con nosotros.