Plazos de conservación de los Datos Personales

Lide Ibarra
Abogada

“¿Por cuánto tiempo se deben conservar los datos personales antes de ser suprimidos? Siendo una de las dudas recurrentes de muchas empresas y profesionales, indicaremos, de manera orientativa, cuándo, cómo y en qué circunstancias conservar y, en su caso bloquear, datos personales según lo dispuesto por la Agencia Española de Protección de Datos (“AEPD”) ¹ “

1. REGLA GENERAL: LIMITACIÓN DEL PLAZO DE CONSERVACIÓN

Con carácter general, los datos personales deben suprimirse (i) cuando dejen de ser necesarios para cumplir con la finalidad para la que fueron recabados, por ejemplo, tras la finalización del servicio o la actividad que vincula al responsable del tratamiento con la persona interesada o (ii) cuando la persona interesada ejerza el derecho de supresión de sus datos personales.

Sin embargo, excepcionalmente, los datos deben ser conservados y, en su caso bloqueados en los términos previstos en el art. 32 LOPDGDD, antes de su supresión y borrado definitivos, tal y como se muestra a continuación.

2. CONSERVACIÓN DE LOS DATOS PERSONALES

 Se debe estudiar y analizar cada uno de los datos personales sobre los que se ejerza el tratamiento y determinar el periodo máximo de conservación.

¿En qué casos no aplica el derecho de supresión de la persona interesada y pueden continuar tratándose datos personales?

Excepciones al deber de supresión de datos personales:

  1. Para ejercer el derecho a la libertad de expresión e información, art. 17.3. a) del RGPD.
  2. Para el cumplimiento de una obligación legal, de una misión en interés público o en el ejercicio de poderes públicos conferidos al responsable, art. 17.3. b) del RGPD.
  3. Por razones de interés público en el ámbito de la salud pública, art. 17.3. c) del RGPD.
  4. Para fines de archivo en interés público, investigación científica e histórica y fines estadísticos, arts. 17.3.d) y 89 del RGPD.
  5. Para el ejercicio o defensa frente a reclamaciones, art. 17.3.e) del RGPD en relación con el art. 24 CE (derecho a la tutela judicial efectiva).

Siempre que sea posible, los datos personales conservados deberán ser anonimizados, para impedir la reidentificación.

¿En qué otros casos y durante cuánto tiempo deben conservarse los datos?

En atención a la prescripción de las acciones que pudieran derivarse de la actividad o servicio prestado o si existiera obligación legal de conservar documentación, estos son los plazos de conservación sugeridos por la AEPD (enumeración no taxativa):

Tipo de obligación Precepto Plazo de conservación
Obligación de conservar y custodiar libros y documentos del empresario. Art. 30.1 del Código de Comercio 6 AÑOS salvo lo previsto en disposiciones generales o especiales.
Seguridad Social: obligación de conservar la documentación relativa al cumplimiento de obligaciones en la materia. Art. 21.2 del RD Legislativo 5/2000 4 AÑOS
Obligación de conservar documentación a efectos fiscales. Art. 66 de la Ley General Tributaria 4 AÑOS

10 AÑOS (arts. 66 bis, 259.3.a LGT)

Obligaciones personales (civiles). Art. 1964.2 CC 5 AÑOS
Obligación de auditores de cuentas y sociedades de auditorías de conservar documentación. Art. 30 de la Ley 22/2015 5 AÑOS
Videovigilancia: imágenes. Art. 22.3 de la LOPDGDD 1 MES. Transcurrido dicho plazo debe suprimirse física y definitivamente.
Reclamaciones de consumidores y usuarios sobre reparación, sustitución, garantía adicional o daños por productos defectuosos. RD 1/2007 por el que se aprueba el texto refundido de Ley General para la Defensa de los Consumidores y Usuarios Hasta 3 AÑOS
  • Prevención de riesgos laborales: datos de salud.
  • Protección de los trabajadores contra riesgos relacionados con la exposición a agentes biológicos durante el trabajo: datos de salud.
Art. 22.5 de la Ley 31/1995

Art. 9.3 del RD 664/1997

Los plazos de conservación que reglamentariamente se prevean en cada caso.

10 AÑOS para situaciones de exposición a agentes biológicos.

40 AÑOS para situaciones de exposición que den lugar a una infección con determinadas características.

Prevención de blanqueo de capitales y financiación del terrorismo: documentación de las operaciones. Art. 25 de la Ley 10/2010 10 AÑOS
Historia clínica. Art. 17 de la Ley 41/2002

Decreto 38/2012, de 13 de marzo, del País Vasco

Como mínimo, 5 AÑOS salvo excepciones.

Como mínimo 10 AÑOS, salvo excepciones.

Documentación relativa al reconocimiento para verificar aptitudes psicofísicas de los conductores. Art. 23 del RD 170/2010 10 AÑOS

3. SUPRESIÓN DEFINITIVA DE LOS DATOS PERSONALES

Una vez que los datos deban suprimirse, de acuerdo a los criterios anteriores, se procederá a la eliminación física de los mismos, ya se encuentren éstos en soporte informático (a través de la eliminación física de la aplicación) o no automatizados (mediante la destrucción física de los documentos).

Para terminar, advertimos que no hay regla sin excepción. Si quiere más información, asesoramiento jurídico o necesita ayuda para cumplir con las obligaciones establecidas por el RGPD y la LOPDGDD, no dude en contactar con nosotros.


¹ En virtud de la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (“LOPDGDD”) y el Reglamento (UE) 2016/679 de protección de los datos personales (“RGPD”). También se ha tenido en cuenta lo señalado en los Informes Jurídicos de la AEPD de 30 de julio de 2004 y 00148/2019 de 9 de diciembre de 2020 así como la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre.