Conoce Atico34 - Solicita presupuesto
ConsejosLOPDGDD & RGPD

Plazo de conservación de datos personales en el RGPD

El plazo de conservación de datos personales en el RGPD todavía sigue generando dudas entre responsables y encargados del tratamiento; ¿por cuánto tiempo se pueden conservar los datos personales?, ¿cuándo podemos suprimirlos de manera definitiva? En este artículo responderemos a estas cuestiones relacionadas con la conservación de datos personales.

¿Qué es el plazo de conservación en protección de datos personales?

El plazo de conservación en protección de datos es el período de tiempo durante el cual se pueden conservar los datos personales que el responsable o encargado del tratamiento han recabado para llevar a cabo uno o diferentes tratamientos de datos.

Cabe señalar que la conservación de datos personales no significa que puedan seguir tratándose dichos datos indefinidamente o con otros fines; ya que una vez cumplida la finalidad para la que fueron recabados los datos y si fuera necesario conservarlos, se deberá proceder a su bloqueo, de manera que no se sigan utilizando con otros fines.

¿Cuánto tiempo se pueden conservar los datos personales?

Pese a los años que llevan en vigor el RGPD y la LOPDGDD, el plazo de conservación de datos personales todavía sigue generando dudas y creando situaciones que han terminado por derivar en infracciones, bien por no haber conservado determinada información de acuerdo a determinadas leyes, o bien, porque los datos personales se han seguido conservando indefinidamente, contraviniendo lo dispuesto en el RGPD.

El motivo de estas dudas, cómo veremos a continuación, es que el plazo de conservación de datos personales en el RGPD y la LOPDGDD es un tanto vago, dejando en manos de los responsables del tratamiento fijar ese plazo en base a la finalidad del tratamiento y otras leyes y reglamentos que deban tenerse en cuenta.

Plazo de conservación de datos personales RGPD y LOPDGDD

El artículo 5.1.e del RGPD establece y regula el denominado «principio de limitación del plazo de conservación» (también reconocido en la LOPDGDD) y nos dice que los datos:

Deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales […] Los datos podrán conservarse durante periodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Por lo tanto, en cuanto al plazo de conservación de datos personales, el RGPD y la LOPDGDD establecen que este plazo será el estrictamente necesario para cumplir con la finalidad para la que los datos fueron recogidos, respetando, además del principio de limitación del plazo de conservación, los principios de finalidad y legitimidad del tratamiento.

De manera que la norma general sobre el plazo de conservación de datos personales del RGPD y la LOPDGDD es que estos deberán eliminarse una vez se haya cumplido la finalidad para la que fueron recabados y ya no exista ninguna relación entre interesado y responsable (como por ejemplo, contratos, facturas pendientes, etc.), en cuyo caso, se deberá recurrir al bloqueo de los datos (es decir, no se borran o suprimen, pero no pueden ser usados con ninguna otra finalidad).

En cuanto a la excepción que ambas normas establecen, investigación, fines estadísticos o archivo de interés público, los datos personales usados, siempre que sea posible, deberán ser anonimizados, de manera que la reidentificación sea imposible.

Informe de la AEPD sobre los plazos de conservación de datos personales

Para aclarar aún más las dudas que el plazo de conservación de datos personales del RGPD y la LOPDGDD suscitaron en su momento entre responsables, encargados y delegados de protección de datos, la AEPD publicó el informe 00148/2019, en el que se dan varias directrices sobre los plazos de conservación de datos.

De acuerdo a la AEPD, será el responsable del tratamiento y, en su caso, el encargado del tratamiento quienes deban decidir por cuánto tiempo se conservan los datos personales recabados, siempre atendiendo a los principios que hemos citado más arriba, así como a aquellas leyes sectoriales que establezcan sus propios plazos de conservación para la documentación relacionada.

En este informe también se recogían algunos plazos de conservación de datos personales, que vamos a ver en los siguientes puntos.

tarifas proteccion datos

Plazos de conservación de datos personales según el legislador

Tal y como recogen el RGPD y la LOPDGDD, el plazo de conservación de algunos documentos que pueden contener datos personales, depende también de lo establecido por el legislador en diferentes ámbitos. Estos plazos de conservación están, generalmente, relacionados con la responsabilidad civil y penal de empresas, profesionales y particulares, por lo que es necesario darles cumplimiento.

Debemos tener en cuenta que el plazo de conservación de datos es un aspecto importante del mantenimiento RGPD, ya que, como veremos a lo largo de los siguientes puntos, no podemos almacenar indefinidamente los datos personales que hemos recabado de clientes, empleados o proveedores, debiendo proceder con la supresión de aquellos datos que hayan cumplido su finalidad o cuyo plazo de conservación haya expirado.

A continuación vemos los plazos de conservación de documentación más relevantes, relacionados a su vez con la protección de datos.

plazo conservación datos personales rgpd

Conservación de datos personales en la empresa

Las empresas, con independencia de cuál sea su área de actividad, tienden a generar una gran cantidad de documentación que puede contener datos personales (por ejemplo, nóminas, facturas a particulares, información fiscal, etc.), por este motivo se debe atender a diferentes leyes y reglamentos para saber con seguridad durante cuánto tiempo se pueden conservar los datos personales contenidos en esa documentación.

Las normas más importantes a tener en cuenta son:

  • Código de comercio: El Código de Comercio señala que los libros de contabilidad, entre los que se incluye el Libro Diario o el Registro de balances o de facturas emitidas y recibidas, ha de conservarse por un período de 6 años. Existen casos en los que se recomienda mantener la documentación de forma indefinida. Por ejemplo, las cuentas anuales, los contratos a largo plazo, las copias de seguridad de los registros contables o las acciones adquiridas por la empresa (en previsión de una futura venta).
  • Ley Tributaria: Como norma general, se debe guardar la documentación fiscal durante 4 años (5 años en el caso de autónomos), ya que es el plazo de prescripción de los impuestos, si bien, por posibles inspecciones o comprobaciones, es recomendable guardarla durante 6 años (como índica la normativa mercantil). Sin embargo, existen ciertas excepciones:
    • En caso de que la Agencia Tributaria intervenga para revisar los impuestos, el plazo se iniciará de nuevo, contando con otros 4 años desde que finalice la intervención
    • Si se han producido pérdidas durante un ejercicio, la documentación tributaria correspondiente se ha de guardar durante 10 años
    • Al comprar activos por valor superior a 3.005,06 euros para la empresa, el plazo de conservación es de 9 años para bienes
  • Documentación laboral y Seguridad Social: Existen diferentes plazos de conservación para la documentación laboral y de la Seguridad Social. En concreto:
    • Se conservarán durante 4 años:
      • Contratos de trabajo
      • Datos sobre trabajadores temporales
      • Registros de jornada laboral
      • Recibos de salarios y cotizaciones a la Seguridad Social
      • Información sobre candidatos no seleccionados
      • Copia del NIE de ciudadanos extranjeros
    • Se conservarán durante 5 años:
      • Informes sobre prevención de riesgos laborales
      • Evaluaciones de riesgos
      • Expedientes de enfermedades profesionales o accidentes   ocurridos en el lugar de trabajo
      • Contratos con servicios de prevención (en caso de haberlos)

Ley de Prevención de blanqueo de capitales: Los sujetos obligados conservarán durante un período mínimo de 10 años la custodia documental en que se formalice el cumplimiento de las obligaciones establecidas en dicha Ley.

Ley General de Telecomunicaciones

La Ley General de Telecomunicaciones no establece períodos para la conservación de documentación, pero sí que regula los períodos de prescripción de sus sanciones, por lo que a partir de estos, es posible establecer el plazo de conservación de documentos que puedan contener datos personales.

De manera que esta Ley establece los siguientes períodos de prescripción de sanciones:

  • Muy graves a los 3 años
  • Las graves a los 2 años
  • Leves a los 6 meses.

Documentación relativa a los expedientes generados por un abogado o procurador

Se deben conservar al menos durante 5 años los expedientes, ya que es el plazo en el cual se podrán ejercitar responsabilidades profesionales.

Para más información al respecto, podéis ver nuestra guía de protección de datos para abogados.

Ley de mediación en asuntos civiles y mercantiles

Como es lógico, un procedimiento de mediación puede concluir con acuerdo o no, y sobre el mismo pueden recaer futuras responsabilidades.

Por lo tanto, los expedientes de la mediación se almacenarán al menos durante 4 meses.

plazo conservación datos personales rgpd

Videovigilancia

Las imágenes/sonidos captados por los sistemas de videovigilancia serán cancelados en el plazo máximo de 1 mes desde su captación.

Si bien, existe la siguiente excepción; en el caso de que en las grabaciones se aprecien infracciones penales o administrativas graves o muy graves, sobre las que haya una investigación policial en curso, dichas grabaciones no podrán ser eliminadas.

Ley de Seguridad Privada

Los informes de investigación deberán conservarse archivados, al menos, durante 3 años, incluidas las imágenes grabadas. No obstante, los datos estarán debidamente bloqueados.

Ley Reguladora de la Autonomía del Paciente

Como regla general, el plazo de conservación para documentación clínica es de 5 años, a contar desde la fecha en la que se da de alta al paciente.

No obstante, en algunas comunidades autónomas, para ciertos casos se prevé un período diferente de conservación:

  • La Ley 7/2002, de 10 diciembre, de Cantabria establece un plazo de conservación de la historia clínica de 15 años desde la muerte del paciente
  • La Ley 3/2001, de 28 mayo, de Galicia indica que se conservarán de forma indefinida:
    • Informes de alta
    • Hojas de consentimiento informado
    • Hojas de alta voluntaria
    • Informes quirúrgicos y/o registros de parto
    • Documentos de anestesia
    • Informes de exploraciones complementarias. Documentación relativa a necropsias
    • Hoja de evolución y de planificación de cuidados de enfermería
    • Otros informes médicos
    • Cualquier otra información que se considere relevante a efectos asistenciales, preventivos, epidemiológicos o de investigación
    • Información de aquellas historias clínicas cuya conservación sea procedente por razones judiciales
  • La Ley 178/2005, de 26 de julio, de Canarias establece la conservación indefinida para los informes clínicos de alta y las hojas de anamnesis y exploración física y las hojas de evolución de los episodios asistenciales de los que no exista informe de alta. Y un período de conservación de 20 años desde la última acción asistencial para la siguiente documentación:
    • Autorización de ingreso
    • Consentimiento informado
    • Hoja quirúrgica
    • Órdenes médicas
    • Informe de control de medicación
    • Hojas del recién nacido, de su propia historia clínica
    • Informes de anestesia
    • Listas de transfusión
    • Informes de exploraciones complementarias
    • Solicitud de alta voluntaria
    • Informes de Anatomía Patológica.
    • Documentación de necropsias.
    • Información de aquellas historias clínicas cuya conservación sea procedente por razones judiciales
  • El Decreto 38/2012, de 13 de marzo, del País Vasco dice que una vez transcurridos 10 años desde el fallecimiento de la persona, se podrá destruir la documentación. Así mismo, se podrá destruir la historia clínica que haya permanecido sin movimientos durante 15 años.

Reglamento de centros de reconocimiento destinados a verificar las aptitudes psicofísicas de los conductores

El centro conservará durante 10 años el contenido de los informes emitidos, así como los documentos que aportó, en su momento, el interesado.

En hoteles

Los libros registro de entrada en los establecimientos hoteleros deberán almacenarse durante 3 años, a disposición de las Fuerzas y Cuerpos de Seguridad del Estado.

Prestadores de servicios de Internet

Los prestadores de servicios de comunicaciones electrónicas podrán conservar al menos durante 1 año:

  • Identificador de usuario
  • Dirección IP
  • Número de teléfono
  • IMSI e IMEI
  • Fecha y hora de la comunicación electrónica
  • Identificación del tipo de servicio utilizado (voz, datos, SMS o MMS)

Tabla resumen plazos de conservación de datos personales

A continuación os dejamos una tabla resumen con los plazos de conservación de datos del RGPD y las diferentes normativas que hemos visto a lo largo de este artículo:

Documentos Plazo de conservación
Libros de contabilidad
  • 6 años
Documentación fiscal
  • 4 años
  • 10 años en caso de pérdidas durante un ejercicio
  • 9 años al comprar activos por valor superior a 3.005,06 €
  • 5 años para facturas
Documentación laboral y Seguridad Social
  • 4 años para:
    • Contratos de trabajo
    • Registros de jornada laboral
    • Recibos de salarios y cotizaciones a la SS
    • Información sobre candidatos no seleccionados
    • Copia del NIE de ciudadanos extranjeros
  • 5 años para:
    • Informes de prevención de riesgos laborales
    • Evaluación de riesgos
    • Expedientes de enfermedades profesionales o accidentes de trabajo
    • Contratos con servicios de prevención
Documentación para la prevención del blanqueo de capitales
  • 10 años
Expedientes de abogados y procuradores
  • 5 años
Expedientes de mediación
  • 4 meses
Videovigilancia
  • 1 mes
Informes de investigación (Ley de Seguridad privada)
  • 3 años
Documentación clínica
  • 5 años como norma general
  • 15 años en Cantabria
  • Indefinido en Galicia
  • Indefinido en Canarias
Reconocimientos de aptitudes psicofísicas de conductores
  • 10 años
Libros de registro en establecimientos hoteleros
  • 3 años
Información de usuario en prestadores de servicios de internet
  • 1 año

Esperamos haber aclarados vuestras dudas respecto al plazo de conservación de datos personales en el RGPD, la LOPDGDD y el resto de leyes relacionadas. Pero en caso de que necesitéis asesoramiento al respecto, no dudéis en poneros en contacto con nosotros.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.

10 Comments

Comments are closed.