Plazo de conservación de datos personales en el RGPD

El plazo de conservación de datos personales en el RGPD todavía sigue generando dudas entre responsables y encargados del tratamiento; ¿durante cuánto tiempo se puede mantener el almacenamiento de datos personales?, ¿cómo establecemos el plazo de conservación de datos personales?, ¿cuándo podemos suprimirlos de forma definitiva? En este artículo respondemos a estas cuestiones.

Plazos de conservación en protección de datos personales (Tabla resumen)

Tabla de plazos mínimos de conservación de documentos con datos personales en ellos:

¿Cuánto tiempo se pueden conservar los datos personales Según la LOPDGDD y RGPD?

Pese a los años que llevan en vigor el RGPD y la LOPDGDD, el plazo de conservación de datos personales todavía sigue generando dudas y creando situaciones que han terminado por derivar en infracciones, bien por no haber conservado determinada información de acuerdo a determinadas leyes, o bien, porque los datos personales se han seguido conservando indefinidamente, contraviniendo lo dispuesto en el RGPD.

Lo cierto es que en lo que al plazo de conservación de datos personales se refiere, el RGPD y la LOPDGDD son un tanto vagos y dejan en manos de los responsables del tratamiento fijar ese plazo en base a la finalidad del tratamiento y otras leyes y reglamentos que deban tenerse en cuenta.

Es el artículo 5.1.e del RGPD donde encontramos la regulación general del denominado «principio de limitación del plazo de conservación» (también reconocido en la LOPDGDD), que nos dice:

Deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales […] Los datos podrán conservarse durante periodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Por lo tanto, en cuanto al plazo de conservación de datos personales, el RGPD y la LOPDGDD establecen que este plazo será el estrictamente necesario para cumplir con la finalidad para la que los datos fueron recogidos, respetando, además del principio de limitación del plazo de conservación, los principios de finalidad y legitimidad del tratamiento.

De manera que la norma general sobre el plazo de conservación de datos personales del RGPD y la LOPDGDD es que estos deberán eliminarse una vez se haya cumplido la finalidad para la que fueron recabados y ya no exista ninguna relación entre interesado y responsable (como por ejemplo, contratos, facturas pendientes, etc.), en cuyo caso, se deberá recurrir al bloqueo de los datos (es decir, no se borran o suprimen, pero no pueden ser usados con ninguna otra finalidad).

En cuanto a la excepción que ambas normas establecen, investigación, fines estadísticos o archivo de interés público, los datos personales usados, siempre que sea posible, deberán ser anonimizados, de manera que la reidentificación sea imposible.

Cabe señalar que en su momento, y para aclarar las dudas planteadas por delegados de protección de datos, la AEPD publicó su informe 00148/2019, en el que da varias directrices sobre los plazos de conservación de datos personales.

En concreto, establece que será el responsable del tratamiento y, en su caso, el encargado del tratamiento quienes deban decidir por cuánto tiempo se conservan los datos personales recabados, siempre atendiendo a los principios que hemos citado más arriba, así como a aquellas leyes sectoriales que establezcan sus propios plazos de conservación para la documentación relacionada.

En este informe también se recogían algunos plazos de conservación de datos personales, que vamos a ver en los siguientes puntos.

Plazos de conservación de datos personales según el legislador

Tal y como recogen el RGPD y la LOPDGDD, el plazo de conservación de algunos documentos que pueden contener datos personales, depende también de lo establecido por el legislador en diferentes ámbitos. Estos plazos de conservación están, generalmente, relacionados con la responsabilidad civil y penal de empresas, profesionales y particulares, por lo que es necesario darles cumplimiento.

Debemos tener en cuenta que el plazo de conservación de datos es un aspecto importante del mantenimiento RGPD, ya que, como veremos a lo largo de los siguientes puntos, no podemos almacenar indefinidamente los datos personales que hemos recabado de clientes, empleados o proveedores, debiendo proceder con la supresión de aquellos datos que hayan cumplido su finalidad o cuyo plazo de conservación haya expirado.

A continuación vemos los plazos de conservación de documentación más relevantes, relacionados a su vez con la protección de datos.

En la empresa

Las empresas, con independencia de cuál sea su área de actividad, tienden a generar una gran cantidad de documentación que puede contener datos personales (por ejemplo, nóminas, facturas a particulares, información fiscal, etc.), por este motivo se debe atender a diferentes leyes y reglamentos para saber con seguridad durante cuánto tiempo se pueden conservar los datos personales contenidos en esa documentación.

Las normas más importantes a tener en cuenta son:

• Código de comercio: El Código de Comercio señala que los libros de contabilidad, entre los que se incluye el Libro Diario o el Registro de balances o de facturas emitidas y recibidas, ha de conservarse por un período de 6 años. Existen casos en los que se recomienda mantener la documentación de forma indefinida. Por ejemplo, las cuentas anuales, los contratos a largo plazo, las copias de seguridad de los registros contables o las acciones adquiridas por la empresa (en previsión de una futura venta).
• Ley Tributaria: Como norma general, se debe guardar la documentación fiscal durante 4 años (5 años en el caso de autónomos), ya que es el plazo de prescripción de los impuestos, si bien, por posibles inspecciones o comprobaciones, es recomendable guardarla durante 6 años (como índica la normativa mercantil). Sin embargo, existen ciertas excepciones:
  • En caso de que la Agencia Tributaria intervenga para revisar los impuestos, el plazo se iniciará de nuevo, contando con otros 4 años desde que finalice la intervención
  • Si se han producido pérdidas durante un ejercicio, la documentación tributaria correspondiente se ha de guardar durante 10 años
  • Al comprar activos por valor superior a 3.005,06 euros para la empresa, el plazo de conservación es de 9 años para bienes
• Documentación laboral y Seguridad Social: Existen diferentes plazos de conservación para la documentación laboral y de la Seguridad Social. En concreto:
  • Se conservarán durante 4 años:
    • Contratos de trabajo
    • Datos sobre trabajadores temporales
    • Registros de jornada laboral
    • Recibos de salarios y cotizaciones a la Seguridad Social
    • Información sobre candidatos no seleccionados
    • Copia del NIE de ciudadanos extranjeros
  • Se conservarán durante 5 años:
    • Informes sobre prevención de riesgos laborales
    • Evaluaciones de riesgos
    • Expedientes de enfermedades profesionales o accidentes   ocurridos en el lugar de trabajo
    • Contratos con servicios de prevención (en caso de haberlos)
• Ley de Prevención de blanqueo de capitales: Los sujetos obligados conservarán durante un período mínimo de 10 años la custodia documental en que se formalice el cumplimiento de las obligaciones establecidas en dicha Ley.

Según la Ley General de Telecomunicaciones

La Ley General de Telecomunicaciones no establece períodos para la conservación de documentación, pero sí que regula los períodos de prescripción de sus sanciones, por lo que a partir de estos, es posible establecer el plazo de conservación de documentos que puedan contener datos personales.

De manera que esta Ley establece los siguientes períodos de prescripción de sanciones:

• Muy graves a los 3 años
• Las graves a los 2 años
• Leves a los 6 meses.

Documentación relativa a los expedientes generados por un abogado o procurador

Se deben conservar al menos durante 5 años los expedientes, ya que es el plazo en el cual se podrán ejercitar responsabilidades profesionales.

Para más información al respecto, podéis ver nuestra guía de protección de datos para abogados.

Ley de mediación en asuntos civiles y mercantiles

Como es lógico, un procedimiento de mediación puede concluir con acuerdo o no, y sobre el mismo pueden recaer futuras responsabilidades.

Por lo tanto, los expedientes de la mediación se almacenarán al menos durante 4 meses.

Videovigilancia

Las imágenes/sonidos captados por los sistemas de videovigilancia serán cancelados en el plazo máximo de 1 mes desde su captación.

Si bien, existe la siguiente excepción; en el caso de que en las grabaciones se aprecien infracciones penales o administrativas graves o muy graves, sobre las que haya una investigación policial en curso, dichas grabaciones no podrán ser eliminadas. Estas grabaciones deberán ser debidamente bloqueadas, hasta su entrega a la policía o el juzgado.

Ley de Seguridad Privada

Los informes de investigación deberán conservarse archivados, al menos, durante 3 años, incluidas las imágenes grabadas. No obstante, los datos estarán debidamente bloqueados.

Ley Reguladora de la Autonomía del Paciente

Como regla general, el plazo de conservación para documentación clínica es de 5 años, a contar desde la fecha en la que se da de alta al paciente.

No obstante, en algunas comunidades autónomas, para ciertos casos se prevé un período diferente de conservación:

• La Ley 7/2002, de 10 diciembre, de Cantabria establece un plazo de conservación de la historia clínica de 15 años desde la muerte del paciente
• La Ley 3/2001, de 28 mayo, de Galicia indica que se conservarán de forma indefinida:
  • Informes de alta
  • Hojas de consentimiento informado
  • Hojas de alta voluntaria
  • Informes quirúrgicos y/o registros de parto
  • Documentos de anestesia
  • Informes de exploraciones complementarias. Documentación relativa a necropsias
  • Hoja de evolución y de planificación de cuidados de enfermería
  • Otros informes médicos
  • Cualquier otra información que se considere relevante a efectos asistenciales, preventivos, epidemiológicos o de investigación
  • Información de aquellas historias clínicas cuya conservación sea procedente por razones judiciales
• La Ley 178/2005, de 26 de julio, de Canarias establece la conservación indefinida para los informes clínicos de alta y las hojas de anamnesis y exploración física y las hojas de evolución de los episodios asistenciales de los que no exista informe de alta. Y un período de conservación de 20 años desde la última acción asistencial para la siguiente documentación:
  • Autorización de ingreso
  • Consentimiento informado
  • Hoja quirúrgica
  • Órdenes médicas
  • Informe de control de medicación
  • Hojas del recién nacido, de su propia historia clínica
  • Informes de anestesia
  • Listas de transfusión
  • Informes de exploraciones complementarias
  • Solicitud de alta voluntaria
  • Informes de Anatomía Patológica.
  • Documentación de necropsias.
  • Información de aquellas historias clínicas cuya conservación sea procedente por razones judiciales
• El Decreto 38/2012, de 13 de marzo, del País Vasco dice que una vez transcurridos 10 años desde el fallecimiento de la persona, se podrá destruir la documentación. Así mismo, se podrá destruir la historia clínica que haya permanecido sin movimientos durante 15 años.

Reglamento de centros de reconocimiento destinados a verificar las aptitudes psicofísicas de los conductores

El centro conservará durante 10 años el contenido de los informes emitidos, así como los documentos que aportó, en su momento, el interesado.

En hoteles

Los libros registro de entrada en los establecimientos hoteleros deberán almacenarse durante 3 años, a disposición de las Fuerzas y Cuerpos de Seguridad del Estado.

Prestadores de servicios de Internet

Los prestadores de servicios de comunicaciones electrónicas podrán conservar al menos durante 1 año:

• Identificador de usuario
• Dirección IP
• Número de teléfono
• IMSI e IMEI
• Fecha y hora de la comunicación electrónica
• Identificación del tipo de servicio utilizado (voz, datos, SMS o MMS)

Esperamos haber aclarados vuestras dudas respecto al plazo de conservación de datos personales en el RGPD, la LOPDGDD y el resto de leyes relacionadas. Pero en caso de que necesitéis asesoramiento al respecto, no dudéis en poneros en contacto con nosotros.