Por cuánto tiempo se deben conservar los datos personales antes de eliminarlos, bloquearlos o recurrir a la anonimización, es una de las dudas recurrentes de muchas empresas y profesionales. En este artículo vamos a ver cuál es el plazo de conservación de datos personales según el RGPD, atendiendo también a otras normativas aplicables.

¿Qué dice el RGPD sobre el plazo de conservación de los datos personales?

El Reglamento General de Protección de Datos nos dice que los datos personales se deben conservar por un plazo de tiempo limitado, sin embargo, no especifica plazos de conservación concretos, sino que hace referencia a la proporcionalidad como principal limitación de los mismos.

Es decir, que los plazos de conservación según el RGPD deben contemplar el período de tiempo estrictamente necesario para cumplir con la finalidad para la que los datos personales fueron recabados.

Principios que rigen la conservación de los datos personales

Hay que tener en cuenta que la conservación de datos personales debe responder a una serie de principios de protección de datos, que nos pueden ayudar a determinar elementos a tener en cuenta a la hora de establecer una política de conservación de datos para nuestra organización.

Así, estos principios son:

  • La finalidad del dato nos dice que debemos cancelar los datos personales que hayamos recabado, una vez dejen de ser necesarios para la finalidad para la que fueron recogidos.
  • Los datos deben ser determinados, es decir, que solo se debe recoger los datos que necesitamos en función de su finalidad.
  • El fin para el que se recogen los datos deben ser explícitos y ser conocido por el interesado.
  • Su recogida y tratamiento debe estar legitimado.

Excepciones

El RGPD y la LOPDGDD establecen una serie de excepciones a la norma que permiten ampliar los plazos de conservación de los datos personales; estas excepciones se hacen cuando los datos puedan tener interés histórico, científico o informativo, es decir, que los datos se utilicen con fines de archivo en interés público, de investigación científica e histórica o con fines estadísticos.

En cualquier caso, siempre que sea posible, estos datos deberán anonimizarse para impedir la identificación de las personas a las que pertenecen.

¿Cuánto tiempo se pueden guardar los datos personales?

Si bien, como hemos dicho el RGPD no establece una limitación del plazo de conservación concreta para los datos personales, sí que podemos encontrarlos especificados en otras normativas para diferentes sectores, como vamos a ver a continuación.

plazo conservación datos personales rgpd

Según la LOPDGDD

La LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales) no establece un plazo para la cancelación de datos personales o su eliminación, sino que nos remite a las pautas del RGPD que hemos visto en los puntos anteriores.

Es decir, el plazo de conservación de los datos personales debe ser proporcional a la finalidad para la que fueron recogidos.

En ese sentido, en consultas hechas a la AEPD sobre el plazo de conservación de los datos personales, esta ha respondido que es el responsable del tratamiento quién debe determinar dicho plazo de conservación.

Según la Ley General de Telecomunicaciones

La Ley General de Telecomunicaciones establece un período de prescripción para sus sanciones, a partir de estos períodos podemos establecer un tiempo máximo de conservación para los datos personales relacionados con este sector (como por ejemplo, las operadoras telefónicas o los proveedores de Internet).

Así, esta ley establece un período de prescripción de:

  • 3 años para las sanciones muy graves
  • 2 años para las sanciones graves
  • 6 meses para las sanciones leves

En una empresa

Las empresas, por norma general, tienden a acumular gran cantidad de documentación que puede contener datos personales. Los períodos de conservación de dicha documentación nos sirven también para establecer los plazos de conservación de los datos personales que pueden contener. Sin embargo, dependiendo del tipo de documento, hay que atender a diferentes normativas (fiscales, contables, mercantiles, etc.).

Ley Tributaria y el Código de Comercio

La Ley Tributaria establece un plazo de conservación para los documentos fiscales o de información tributaria de 4 años. Esto obliga a las empresas a conservar dichos documentos durante ese período de tiempo, en que pueden ser requeridos por las autoridades competentes.

Por ejemplo, es el caso de declaraciones de la Renta.

En el caso de las facturas, estas deben conservarse por un período de 5 años.

Respecto al Código de Comercio, este establece un período de conservación de 6 años para los siguientes documentos mercantiles:

  • Libro diario
  • Registro de inventarios y balances
  • Facturas emitidas
  • Facturas recibidas

Seguridad Social

Los datos incluidos en documentos de afiliaciones, altas, bajas y cotizaciones en la Seguridad Social, así como aquellos relativos a nóminas y contratos deben conservarse durante un plazo de 4 años, que es el plazo de conservación de dichos documentos.

Los documentos referentes a prevención de riesgos laborales se deben conservar durante 5 años, en concreto:

  • Informes sobre prevención de riesgos laborales
  • Evaluaciones de riesgos
  • Expedientes de enfermedades profesionales o accidentes ocurridos en el lugar de trabajo
  • Contratos con servicios de prevención (si los hay)

Ley de prevención de blanqueo de capitales

La Ley de prevención de blanqueo de capitales establece un período mínimo de 10 años para la custodia de documentos relativos a la formalización de las obligaciones de dicha ley.

Videovigilancia

Las grabaciones de imagen y/o sonido deben ser destruidas en el plazo máximo de un mes, salvo que estas imágenes estén vinculadas con la comisión de un delito de carácter penal o administrativo, con una investigación policial en curso o un procedimiento judicial o administrativo, en cuyos casos, deberán conservarse el tiempo que sea necesario.

De acuerdo a la Ley de Seguridad Privada

Los informes que se deriven de una investigación llevada a cabo por empresas de seguridad privada, deben conservarse durante un período de 3 años, incluyendo las imágenes de vídeo, si las hay.

Si bien, los datos personales que puedan contener deben estar debidamente bloqueados.

plazo conservación datos personales rgpd

De acuerdo a la Ley Reguladora de la Autonomía del paciente

Son los datos de salud de un paciente. Según la Ley de Autonomía del paciente, los centros sanitarios están obligados a conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, 5 años contados desde la fecha del alta de cada proceso asistencial.

Cabe señalar, además, que este es el plazo mínimo establecido por la Ley, pero cada CC. AA. Puede establecer sus propios plazos, siempre que respeten este mínimo. Así tenemos los siguientes casos especiales:

En Cantabria la conservación del historial clínico tiene un período de 15 años (Ley 7/2002 de ordenación sanitaria).

En Galia se conservan de forma indefinida los siguientes documentos (Ley 3/2001, de consentimiento informado e historia clínica de los pacientes):

  • Informes de alta
  • Hojas de consentimiento informado
  • Informes quirúrgicos y/o registros de parto
  • Documentos de anestesia
  • Informes de exploraciones complementarias. Documentación relativa a necropsias
  • Hoja de evolución y planificación de cuidados de enfermería
  • Otros informes médicos
  • Cualquier otra información que se considere relevante a efectos asistenciales, preventivos, epidemiológicos o de investigación
  • Información de aquellas historias clínicas cuya conservación sea procedente por razones judiciales

En Canarias el plazo de conservación es de 20 años para la siguiente documentación (Ley 178/2005 que regula la historia clínica en los centros y establecimientos hospitalarios):

  • Autorización de ingreso
  • Consentimiento informado
  • Hoja quirúrgica
  • Órdenes médicas
  • Informe de control de medicación
  • Hojas de recién nacido, de su propia historia clínica
  • Informes de anestesia
  • Listas de transfusión
  • Informes de exploraciones complementarias
  • Solicitud de alta voluntaria
  • Informes de anatomía patológica
  • Documentación de necropsias
  • Información de aquellas historias clínicas cuya conservación sea procedente por razones judiciales
  • De forma definitiva se conservan los siguientes documentos:
    • Informes clínicas de alta
    • Hojas de anamnesis y exploración física y las horas de evolución de los episodios asistenciales de los que no exista informe de alta.

En País Vasco se establece un período de 10 años desde el fallecimiento del paciente para la conservación de los documentos. Y de 15 años para las historias clínicas que en ese período no hayan tenido ninguna actualización (Decreto 38/2012 sobre historia clínica y derechos y obligaciones de pacientes y profesionales de la salud en materia de documentación clínica).

Documentación generada por abogados o procuradores

Los expedientes generados por abogados o procuradores en los procesos en los que son parte, deben conservarse como mínimo 5 años, puesto que es el período de tiempo disponible para poder ejercitar responsabilidades profesionales.

De acuerdo a la Ley de mediación en asuntos civiles y mercantiles

Respecto a los servicios mercantiles, pueden variar en función del sector empresarial del que se trate, pero el mínimo de conservación para esta documentación es de 4 meses, si bien hay que tener en cuenta que puede haber excepciones en las que el período de conservación sea más largo.

Hoteles

La ley establece un período de 3 años para la conservación de los libros de registro de entrada en los establecimientos hoteleros, período en que pueden ser requeridos por las autoridades competentes.

Prestadores de servicios de Internet

Los prestadores de servicios de Internet pueden conservar durante un año la siguiente documentación y datos:

  • Identificador de usuario
  • Dirección IP
  • Número de teléfono
  • IMSI e IMEI
  • Fecha y hora de la comunicación electrónica
  • Identificación del tipo de servicio utilizado

Centros de reconocimiento de aptitudes psicofísicas de conductores

Los centros que hacen test psicotécnicos para poder sacar el permiso de conducción, se establece un período de conservación de los informes emitidos de 10 años.

En resumen, puesto que no se especifica de forma concreta una limitación del plazo de conservación en el RGPD ni en la LOPDGDD, es necesario, por un lado, atender a la finalidad para la que se recaban los datos y el principio de proporcionalidad, y por otro lado, como hemos visto, acudir a otras normativas para determinar los estos plazos de conservación de los datos personales que contienen ciertos documentos.

Así mismo, tampoco podemos olvidarnos de que durante el período de conservación de dichos datos, los interesados podrán ejercer sus derechos ARCO, en los que se incluye la cancelación de sus datos.

En cualquier caso, los datos personales no pueden almacenarse indefinidamente.

Escribe aquí tu comentario

Deja un comentario

Este sitio está protegido por reCAPTCHA y se aplican la política de privacidad y los términos de servicio de Google.

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.