Es una pregunta que nos hacen con frecuencia, ¿cuánto tiempo se deben conservar los datos personales antes de destruirlos? Para aclarar esta duda tanto a profesionales como a ciudadanos hemos elaborado esta entrada, en la que vamos a ver cuál es el plazo de conservación de datos personales según el RGPD.

¿Cómo y hasta cuándo puedo guardar datos personales según el RGPD?

El Reglamento General de Protección de Datos, (RGPD), aunque nos dice cómo y hasta cuándo se pueden guardar datos personales, no es completamente específico en los plazos, aludiendo a la proporcionalidad como principal limitación del plazo de conversación de este tipo de datos. Por proporcionalidad se entiende que los datos personales se pueden guardar solo si los vamos a necesitar y durante el período de tiempo estrictamente necesario para realizar las funciones para las que han sido recabados.

Sin embargo, existen algunas excepciones a la norma que sí establecen unos plazos de conservación de los datos personales más largos. Hablamos de aquellos datos que puedan tener interés histórico, científico o informativo, cuyo plazo de conservación es mayor, dado su interés general.

Plazos

Ni la LOPD ni el RGPD establecen un plazo de conservación de datos de carácter personal concreto, más allá de que estos datos deben almacenarse solo durante el tiempo que sea necesario para cumplir la función para la que fueron recabados y una vez finalizado dicho plazo, durante los plazos legales de prescripción, que son aquellos que marca a la ley para que el interesado pueda ejercer acciones legales.

En cualquier caso, se debe informar a los interesados del plazo de conservación de los datos personales. Este plazo deberá establecerlo la propia empresa que recaba los datos, siempre con el principio de proporcionalidad y de manera que los interesados no puedan identificarse más tiempo del necesario.

Hay que tener en cuenta que conservar datos personales por tiempo indefinido va contra lo que establece el RGPD.

Límites

Los límites para la conservación de datos personales vienen determinados, como hemos visto, por los plazos de prescripción que marca la ley para que los interesados puedan ejercer acciones legales, así como las administraciones tributarias y de justicia. Superado estos límites, los datos podrían conservarse, si:

  • Se disocian previamente.
  • Se autoriza su conservación para fines históricos, estadísticos o científicos.

La disociación se define como el proceso a través del cual se impide que ciertos datos tratados por la empresa, puedan ser relacionados con los sujetos a los que pertenecen.

Cuando los datos personales no permiten la identificación de una persona concreta dejan de tener el carácter de personales, y por tanto, excluidos de la aplicación a la normativa sobre Protección de Datos.

Un ejemplo de disociación es el que se efectúa para el ejercicio de funciones de estadística.

El uso de esta técnica, con carácter previo al acceso y tratamiento de los datos, permite eximir al responsable del tratamiento de cumplir las obligaciones establecidas por la LOPD. Así, por ejemplo, no será preciso requerir el consentimiento del interesado para poder usar esos datos en el tratamiento previsto.

Es fundamental aclarar que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como se define en el artículo 5.1. b) del Reglamento:

Artículo 5.1. b) del Reglamento

Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

En cuanto al modo de llevar a cabo el bloqueo, deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.

Plazos de conservación y periodos de prescripción

De todo lo indicado podemos deducir que los datos deberán cancelarse una vez hayan dejado de ser necesarios para la finalidad para la que se recabaron, manteniéndose bloqueados, en los términos vistos, al menos durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con su cliente, así como los derivados de la normativa tributaria, el plazo de prescripción previsto en el artículo 47.1 de la LOPD, o los establecidos en otras normas con rango de Ley que resulten de aplicación al caso, debiendo suprimirse los datos una vez transcurridos dichos plazos.

cuales son los plazos de conservacion de los datos personales

Sin embargo, es preciso diferenciar esos plazos según el tipo de datos a que se refieran.

Código de Comercio

De acuerdo al Código de Comercio, el período de prescripción para libros contables, de gastos y de facturas es de 6 años, tiempo durante el cual deben conservarse.

Datos laborales o de Seguridad Social

Serían los datos incluidos en documentos de afiliaciones, altas, bajas y cotizaciones en la Seguridad Social así como los relativos a nóminas y contratos. En estos casos, el plazo de conservación es de 4 años.

Datos contables y fiscales

Aquí se incluyen los datos de los libros de contabilidad, facturas y documentos bancarios. En este caso cabe distinguir el plazo a efectos mercantiles, que será de 6 años según establece el Código de Comercio, y el plazo a efectos fiscales, establecido en 4 años por la Ley General Tributaria.

Datos médicos

Son los datos de salud de un paciente. Según la Ley de Autonomía del paciente, los centros sanitarios están obligados a conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, 5 años contados desde la fecha del alta de cada proceso asistencial. Se establece un plazo mínimo de conservación por lo que las CC.AA. establecen sus propios plazos.

Datos de Videovigilancia

Aquí se incluyen las grabaciones de imagen y/o sonido. Las grabaciones serán destruidas en el plazo máximo de un mes desde su captación, salvo que estén vinculadas con infracciones penales o administrativas graves o muy graves en materia de seguridad pública, con una investigación policial en curso o con un procedimiento judicial o administrativo abierto.

Servicios mercantiles

Respecto a los servicios mercantiles, pueden variar en función del sector empresarial del que se trate, pero el mínimo de conservación para esta documentación es de 4 meses, si bien hay que tener en cuenta que puede haber excepciones en las que el período de conservación sea más largo.

Conclusión

Como conclusión  podemos decir que mientras que la ley es bastante clara en lo que la conservación de documentación se refiere, contemplando diferentes plazos de prescripción, la LOPD y el RGPD son algo más ambiguos y dejan a juicio de la empresa que recabará los datos el establecer un plazo máximo para la conservación de datos de carácter personal, siempre de acuerdo al tipo de datos y el principio de proporcionalidad.

En cualquier caso, como ya dijimos, no se pueden los datos personales no se pueden almacenar indefinidamente. Si tienes alguna duda, puedes dejarla en los comentarios.

¿Necesitas cumplir la LOPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. La Documentación contable y fiscal de un cliente autónomo (con empleados a su cargo) que ha dado baja de los servicios de una gestoría, se tiene que guardar durante los años que establezca la ley, pero hay alguna forma de entregársela toda al cliente o enviarle un correo electrónico avisándole que retire la documentación dentro de un plazo de dos o tres meses por ejemplo, y en caso de que no lo haga poder destruirla?.. o es obligatorio guardarla todo ese tiempo?

    Gracias de antemano por vuestra ayuda.
    Saludos,

    1. Buenos días Yeniffer, la documentación por ley debe guardarse un mínimo de 5 años desde que finaliza la relación contractual por si existen acciones legales en las que sea necesaria.