✔ Desde la aplicación obligatoria del RGPD el 25 de mayo de 2018, han existido muchas dudas sobre cómo aplicar el principio de “limitación del plazo de conservación”. ¿Cuánto tiempo deben conservar las empresas la documentación de clientes, proveedores, empleados, etc. cuando se extingue la relación contractual con ellos? ¿La normativa sobre protección de datos marca algún plazo de conservación?
En el post de hoy, explicamos (i) en qué consiste el principio de “limitación del plazo de conservación” y (ii) cómo debe aplicarse en la práctica habida cuenta del último informe de la AEPD sobre la normativa sobre protección de datos y conservación de documentos.
¿Qué es el principio de “limitación del plazo de conservación”?
El “principio de limitación del plazo de conservación”, se encuentra regulado en el artículo 5.1.e) RGPD. Este artículo establece que los datos “deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”. Ahora bien, los datos “podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.”
En consecuencia, el principio de “limitación del plazo de conservación” únicamente dispone que los datos que identifican a los interesados deberán conservarse hasta que se haya satisfecho la finalidad del tratamiento, salvo que se traten exclusivamente con fines de archivo en interés público, investigación científica o histórica, o estadística en cuyo caso podrán conservarse durante más tiempo.
Por tanto, el RGPD no delimita ni establece plazos de conservación específicos, sino que parece llamar a lo que “razonablemente se considere aceptable” en función de las finalidades del tratamiento, lo que sin duda genera mucha incertidumbre sobre cómo deben cumplir las empresas con la normativa sobre protección de datos y conservación de documentos y obliga a analizar los procedimientos e informes de la AEPD para encontrar más respuestas.
Entonces, ¿cómo debe aplicarse por las empresas este principio habida cuenta del último informe de la AEPD sobre la normativa sobre protección de datos y conservación de documentos?
Las conclusiones más importantes que pueden extraerse del informe de la AEPD (https://www.aepd.es/es/documento/2019-0148.pdf) que trata sobre la normativa sobre protección de datos y conservación de documentos son las siguientes:
Corresponde al responsable del tratamiento (la empresa), decidir cuándo los datos han dejado de ser necesarios para la finalidad para la cual fueron recabados, decayendo la posibilidad de su tratamiento. No obstante, a veces es el legislador fija un plazo de conservación determinado en relación con supuestos o materias concretas. En este sentido, el legislador puede establecer:
- Plazos de prescripción de acciones que vinculen a las personas afectadas cuyos datos son objeto de tratamiento (prescripción de acciones civiles, sociales, tributarias, etc.).
- Plazos de conservación específicos en normas sectoriales que afecten a la actividad de la empresa (Ley de Blanqueo de Capitales, Ley de Autonomía Básica del Paciente, etc.).
La AEPD recalca que, sin ánimo de ser exhaustivos, estos son algunos de los plazos de conservación:
- Documentación relativa a obligaciones personales que no tengan fijado plazo de prescripción: 5 años (art.1964.2º Código Civil).
- Libros, correspondencia, documentación y justificantes concernientes al negocio: 6 años (art.30 Código de Comercio).
- Documentación relativa a obligaciones tributarias: 4 años (66 al 70 de la Ley 58/2003, de 17 de diciembre, General Tributaria). No obstante, podría tener justificación conservar la documentación durante 10 años (art. 66 bis, 259.3 a) y 262 LGT y art.131 en relación con el art.305 Código Penal.
- Documentación relativa al cumplimiento de obligaciones en materia social: 4 años (artículo 21.1 del Real Decreto Legislativo 5/2000, de 4 de agosto, por el que se aprueba el texto refundido de la Ley sobre Infracciones y Sanciones en el Orden Social). No obstante, podría tener justificación conservar la documentación durante 10 años (131 en relación con el art. 307 bis y art.307 ter Código Penal).
- Documentación laboral (acciones derivadas del contrato de trabajo): 1 año (artículo 59 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores).
- Documentación relativa a datos de salud en materia de Prevención de Riesgos Laborales: 40 años (artículo 22 de la Ley 31/1995, de 8 de noviembre, de Prevención de Riesgos Laborales).
- Documentación relativa al cumplimiento de obligaciones sobre protección de datos: 3 años (art.78 LOPDGD). No obstante, si el interesado afectado demanda por la vía civil a una empresa por incumplimiento de la normativa sobre protección de datos, el plazo de prescripción de las acciones extracontractuales es 1 año (art.82.1º RGPD en relación con el art.1968.2º Código Civil).
Conclusión
En lo que concierne a la normativa sobre protección de datos y conservación de documentos, ni el RGPD ni la LOPDGDD delimitan los plazos de conservación de la documentación que contiene datos personales que maneja una empresa. Para conocer los plazos de conservación, hay que estar a lo que establezca el legislador.
¡Descubra nuestro servicio de Consultoría de Protección de Datos!
