Uno de los temas clave en la protección de datos personales es la determinación de los plazos de conservación de datos personales antes de proceder a su eliminación, bloqueo o anonimización. Gestionar adecuadamente estos plazos es crucial para evitar riesgos legales y sanciones.
Plazo de conservación de datos personales: un principio clave del RGPD
El Reglamento General de Protección de Datos (RGPD), en su artículo 5.1.e), introduce el principio de limitación del plazo de conservación, que establece que los datos personales deben conservarse solo el tiempo necesario para las finalidades del tratamiento. Una vez cumplida la finalidad, es obligatorio proceder a su eliminación, anonimización o bloqueo, a menos que exista una justificación legal o interés legítimo para mantenerlos.
El reglamento permite la conservación de datos por más tiempo si se utilizan para fines de archivo en interés público, investigación científica o histórica, o fines estadísticos. En estos casos, es recomendable adoptar medidas de anonimización para proteger la identidad de los interesados.
Plazo adecuado de conservación de datos personales según el RGPD
El RGPD no especifica plazos concretos de conservación para los datos personales, dejando esta determinación a cargo del responsable del tratamiento. Este debe definir un periodo adecuado basándose en la finalidad del tratamiento, los principios de minimización y proporcionalidad, así como las normas legales o sectoriales que puedan imponer plazos específicos.
Ejemplos de plazos de conservación de datos personales en sectores clave
Aunque el RGPD no establece plazos concretos, la normativa sectorial sí lo hace. A continuación, algunos ejemplos comunes:
-
- Documentación de clientes de abogados: Los expedientes deben conservarse al menos 5 años tras la finalización de la relación contractual, para poder ejercer acciones de responsabilidad civil profesional.
-
- Documentación laboral y de seguridad social: Los contratos laborales, nóminas y documentos de afiliación a la Seguridad Social deben conservarse durante 4 años, conforme a la normativa vigente.
-
- Documentación fiscal: Las declaraciones de impuestos y facturas deben conservarse por 4 años para cumplir con la normativa tributaria.
-
- Prevención de riesgos laborales: Informes y evaluaciones deben conservarse por 5 años, según la Ley de Prevención de Riesgos Laborales.
-
- Prevención del blanqueo de capitales: La Ley de Prevención del Blanqueo de Capitales establece un periodo mínimo de 10 años para la conservación de documentos.
-
- Videovigilancia: Las grabaciones de videovigilancia deben eliminarse en un plazo máximo de 1 mes, salvo que estén relacionadas con delitos o infracciones administrativas.
-
- Documentación clínica: En el ámbito sanitario, la Ley 21/2000 de Cataluña establece un plazo mínimo de 15 años para la conservación de la documentación relevante del historial clínico.
Excepciones a los plazos de conservación de datos personales
Existen algunas excepciones que permiten ampliar los plazos de conservación de los datos personales. Entre ellas se incluyen:
-
- Obligaciones legales: Las autoridades judiciales o administrativas pueden requerir que los datos se conserven durante más tiempo del establecido inicialmente.
-
- Interés público, investigación científica o fines estadísticos: Los datos utilizados para estos fines pueden conservarse por periodos más largos, siempre que se adopten medidas como la anonimización para proteger la privacidad de los interesados.
¿Cómo determinar el plazo de conservación adecuado?
Para cumplir con el RGPD, las organizaciones deben adoptar un enfoque proactivo en la gestión de los plazos de conservación. Aquí algunos pasos recomendados:
Identificación de las categorías de datos personales: Realiza un inventario de los datos que se tratan en la organización y sus finalidades.
-
- Análisis de la normativa aplicable: Revisa las leyes sectoriales que impongan plazos mínimos o máximos de conservación, como las leyes fiscales, laborales o de prevención de riesgos laborales.
- Establecimiento de una política de conservación de datos: Crea una política interna que detalle los periodos de conservación y los mecanismos de eliminación, bloqueo o anonimización una vez cumplida la finalidad.
- Revisión y auditoría periódica: Evalúa regularmente la política de conservación para asegurar su cumplimiento con los cambios normativos.
- Documentación de las decisiones: Documenta las decisiones tomadas sobre los plazos de conservación y las justificaciones legales o comerciales que las respalden.
Conclusión
El principio de limitación del plazo de conservación es esencial para proteger los derechos de los interesados y evitar sanciones. Aunque el RGPD no establece plazos concretos, deja claro que los datos deben conservarse solo el tiempo necesario para cumplir con sus finalidades. Una adecuada gestión de estos plazos no solo es un requisito normativo, sino que también ayuda a optimizar la gestión de datos y reducir los riesgos asociados a la sobreconservación.
EnAUFERIL, ofrecemos asesoramiento especializado para ayudarte a gestionar los plazos de conservación de datos personales de manera eficiente y en cumplimiento con el RGPD. Si necesitas implementar una política de conservación o tienes dudas sobre cómo cumplir con la normativa, no dudes en contactarnos.