Con frecuencia me preguntan sobre el tiempo que deben conservarse los datos personales antes de destruirlos. Por eso este post tiene la finalidad de aclarar tanto a los profesionales como a los ciudadanos en general los plazos previstos de conservación de datos personales.

La realidad con la que nos encontramos cada día es que las empresas guardan indefinidamente los datos “por si acaso”. Al final tienes que salir tú para guardar tanto papel.

Si quieres evitar esta situación, te interesa leer.

Principio de calidad de los datos

Según este principio, los datos personales deben recogerse y tratarse solo cuando sean adecuados, pertinentes y no excesivos para la finalidad para la que se han recabado. Por tanto, los requisitos que la LOPD establece sobre los datos personales que tratemos son:

  • Que sean exactos y estén actualizados
  • Que no se usen para finalidades incompatibles con aquellas para las que se solicitaron

Cancelación de los datos

La LOPD indica que los datos personales deben conservarse durante el tiempo en que sean necesarios para el fin para el que han sido recabados. Con esto podemos preguntarnos, ¿cómo sabemos si un dato personal ha dejado de ser indispensable para el propósito para el que lo hemos solicitado?

No existe una regla general para ello ya que dependerá del tipo de dato y de la finalidad concreta para la que se recabó.

Sin embargo, el Reglamento de desarrollo de la LOPD dispone:

Reglamento de desarrollo LOPD

Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado.

Una vez concluido ese plazo, los datos solo podrán mantenerse si:

  • Se disocian previamente
  • Se autoriza su conservación para fines históricos, estadísticos o científicos.

¿Qué es la disociación o anonimización de datos personales?

La disociación se define como el proceso a través del cual se impide que ciertos datos tratados por la empresa, puedan ser relacionados con los sujetos a los que pertenecen.

Cuando los datos personales no permiten la identificación de una persona concreta dejan de tener el carácter de personales, y por tanto, excluidos de la aplicación a la normativa sobre Protección de Datos.

Un ejemplo de disociación es el que se efectúa para el ejercicio de funciones de estadística.

El uso de esta técnica, con carácter previo al acceso y tratamiento de los datos, permite eximir al responsable del tratamiento de cumplir las obligaciones establecidas por la LOPD. Así, por ejemplo, no será preciso requerir el consentimiento del interesado para poder usar esos datos en el tratamiento previsto.

Bloqueo

Es fundamental aclarar que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como se define en el artículo 5.1. b) del Reglamento:

Artículo 5.1. b) del Reglamento

Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

En cuanto al modo de llevar a cabo el bloqueo, deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.

¿Cuánto tiempo puedo conservar esos datos personales?

En el Informe 0408/2010 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) se responde una consulta sobre el deber de conservación que establece la Ley Orgánica de Protección de Datos (LOPD), de los soportes físicos relativos a asuntos jurídicos y administrativos de sus clientes y qué plazo legalmente establecido existe para poder proceder a la destrucción de la documentación obrante en sus ficheros.

Respecto del plazo de cancelación, se indica que resulta imposible establecer una enumeración taxativa de los períodos en que el dato habrá de permanecer bloqueado, aunque no obstante, se señalan algunos criterios.

Así, a título de ejemplo, podría considerarse que el bloqueo habrá de efectuarse durante los plazos de prescripción de las acciones derivadas de la relación jurídica que funda el tratamiento, en los términos previstos por la legislación civil o mercantil que resulte de aplicación, así como el plazo de cuatro años de prescripción de las deudas tributarias, en cuanto los datos puedan revestir trascendencia desde el punto de vista tributario.

En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación.

A los períodos mencionados cabe añadir el plazo de prescripción de 3 años, previsto en el artículo 47.1 de la LOPD en relación con las conductas constitutivas de infracción muy grave, sin perjuicio de que otras normas con rango de Ley, en aquellos concretos sectores en los que actúe en representación o defensa de su cliente, puedan establecer otros plazos de conservación de los datos.

Plazos de conservación

cuales son los plazos de conservacion de los datos personales

De todo lo indicado podemos deducir que los datos deberán cancelarse una vez hayan dejado de ser necesarios para la finalidad para la que se recabaron, manteniéndose bloqueados, en los términos vistos, al menos durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con su cliente, así como los derivados de la normativa tributaria, el plazo de prescripción previsto en el artículo 47.1 de la LOPD, o los establecidos en otras normas con rango de Ley que resulten de aplicación al caso, debiendo suprimirse los datos una vez transcurridos dichos plazos.

Sin embargo, es preciso diferenciar esos plazos según el tipo de datos a que se refieran.

Datos laborales o de Seguridad Social

Serían los datos incluidos en documentos de afiliaciones, altas, bajas y cotizaciones en la Seguridad Social así como los relativos a nóminas y contratos. En estos casos, el plazo de conservación es de 4 años.

Datos contables y fiscales

Aquí se incluyen los datos de los libros de contabilidad, facturas y documentos bancarios. En este caso cabe distinguir el plazo a efectos mercantiles, que será de 6 años según establece el Código de Comercio, y el plazo a efectos fiscales, establecido en 4 años por la Ley General Tributaria.

Datos de la Historia clínica

Son los datos de salud de un paciente. Según la Ley de Autonomía del paciente, los centros sanitarios están obligados a conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial. Se establece un plazo mínimo de conservación por lo que las CC.AA. establecen sus propios plazos.

Datos de Videovigilancia

Aquí se incluyen las grabaciones de imágen y/o sonido. Las grabaciones serán destruidas en el plazo máximo de un mes desde su captación, salvo que estén vinculadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, con una investigación policial en curso o con un procedimiento judicial o administrativo abierto.

¿A que te ha sorprendido que los plazos de conservación de datos varíen según los tipos de datos?

Y ahora que sabes que no tienes que guardar todo indefinidamente, ¿tienes alguna duda?

Espero tus comentarios.

¿Necesitas cumplir la LOPD?

Cuánto tiempo puedo conservar los datos personales
4.9 (98.82%) 17 votos