En Grupo Adaptalia, especialistas en protección de datos, RGPD y cumplimiento normativo, hemos constatado que una gestión incorrecta de la conservación de datos personales es una de las principales causas de sanción para las empresas. En multitud de ocasiones, los negocios almacenan información durante más tiempo del permitido, a veces incluso indefinidamente “por si acaso” y sin una base jurídica clara que lo justifique. Este enfoque no solo incumple la ley, sino que aumenta el riesgo ante incidentes de seguridad y ocasiona responsabilidades legales. De hecho, en los últimos tiempos, numerosas organizaciones han sido sancionadas precisamente por conservar datos personales más allá de los plazos legales establecidos.
Con el fin de evitar esto, resulta clave definir y aplicar una política de conservación de datos adecuada. Dicha política es una herramienta fundamental para cumplir con el RGPD y el principio de responsabilidad proactiva. A través de este artículo elaborado por Grupo Adaptalia explicaremos qué es la conservación de datos personales según el RGPD, qué obligaciones legales existen sobre los plazos de conservación, cómo definir correctamente dichos plazos y cómo documentar una política de conservación de datos eficaz.
¿Qué es la conservación de datos personales según el RGPD?
El Reglamento General de Protección de Datos (“RGPD) consagra el principio de limitación del plazo de conservación (artículo 5.1.e), según el cual los datos personales no deben conservarse más tiempo del necesario para la finalidad con la que se recabaron. En otras palabras, no está permitido el almacenamiento de datos indefinidamente ni “por si acaso” ya que hacerlo infringe la normativa. Este principio resulta de obligado cumplimiento para cualquier empresa u organización, con independencia de su tamaño o sector de actividad. Cabe señalar en este sentido que el RGPD no fija plazos concretos en años o meses, sino que corresponde a cada responsable del tratamiento determinar y justificar un periodo de conservación razonable en cada caso, de conformidad con dicho principio.
Por otro lado, conviene distinguir entre conservar, bloquear y suprimir los datos personales. Conservar significa mantenerlos activos mientras exista una necesidad vigente o base lega que lo ampare. Por ejemplo, durante la relación contractual con un cliente. Bloquear datos implica que, una vez culminado el plazo o la finalidad para la que fueron recabados dichos datos, se impide su uso normal y quedan retenidos exclusivamente para cumplir obligaciones legales o atender posibles responsabilidades, sin tratarse para otros fines. Por último, suprimir implica borrar o eliminar los datos de forma definitiva cuando ya no hay ninguna razón legal para guardarlos. En la práctica una política de conservación adecuada debe asegurar que los datos se supriman o bloqueen correctamente una vez alcanzado el periodo autorizado de conservación.
¿Qué dice la ley sobre la conservación de datos?
El RGPD y, en el ámbito nacional, la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales constituyen el marco jurídico básico de la conservación de datos personales en España y en la Unión Europea. Ambas normas establecen reglas generales, como el principio de limitación del plazo de conservación, pero no fijan un periodo único ni universal aplicable a todos los tratamientos. En consecuencia, obligan a no conservar los datos más allá de lo necesario para la finalidad que motivó su recogida.
Junto a la normativa de protección de datos, existen múltiples leyes sectoriales que imponen plazos específicos de conservación. En el ámbito fiscal y mercantil, el Código de Comercio exige conservar la documentación contable y fiscal durante seis años desde su generación, mientras que la normativa de auditoría obliga a custodiar la documentación asociada durante cinco años desde la emisión del informe. En materia laboral y de Seguridad Social, la normativa establece que la documentación relativa a altas, bajas, cotizaciones y recibos justificativos de gastos debe conservarse durante cuatro años.
Existen también tratamientos con plazos singulares. La normativa de prevención del blanqueo de capitales fija un periodo de conservación de diez años. En el ámbito de los canales de denuncias internas, la Ley 2/2023 prevé tres meses sin investigación, cinco años con investigación y hasta quince años si existe indicio de delito. En videovigilancia, la supresión debe realizarse en un mes, salvo captación de ilícitos.
¿Qué es una política de conservación de datos y para qué sirve?
Una política de conservación de datos es un documento interno de la organización que establece cómo se gestionan los plazos de retención de la información personal. En ella se define qué datos se van a conservar, durante cuánto tiempo y con qué criterio se deberá proceder a su supresión o bloqueo una vez expirado el plazo. En otras palabras, la política fija las reglas internas sobre la conservación de datos personales, asegurando que ningún dato se guarde más allá de lo debido y que se elimine o archive de forma adecuada cuando corresponda.
En la práctica una buena política de conservación de datos sirve para:
- Ordenar la gestión de la información en la empresa, evitando la acumulación indefinida de los datos.
- Garantizar el cumplimiento del RGPD y las demás leyes, aplicando el principio de limitación del plazo de conservación.
- Poder demostrar el cumplimiento ante una inspección o auditoría, disponiendo de documentos y evidencias que acreditan cómo se gestionan los datos.
En definitiva, se trata de una pieza clave dentro del sistema de cumplimiento en protección de datos de cualquier empresa u organización. Gracias a esta política, la entidad puede gestionar sus datos personales de forma ordenada y transparente, cumpliendo la normativa y reduciendo el riesgo de sanción.
Cómo definir correctamente los plazos de conservación de datos personales
Definir los plazos de conservación de datos personales en una organización requiere un análisis riguroso y planificado, integrándose en la gestión ordinaria de la información de la organización. No se trata únicamente de cumplir formalmente con el RGPD, sino de establecer criterios claros que permitan controlar el ciclo de vida de los datos desde su recogida hasta su supresión o bloqueo. Para ello, resulta imprescindible realizar un análisis previo que tenga en cuenta tanto aspectos jurídicos como operativos o tecnológicos.
El proceso debe iniciarse con una identificación completa de los tratamientos de datos existentes y del tipo de información personal que se manejan en cada uno. A partir de ahí, resulta primordial determinar la finalidad concreta de cada tratamiento y la base jurídica que lo legitima. Sobre esta base, deberán analizarse las obligaciones legales de conservación aplicables, incluyendo normativa sectorial específica y los plazos de conservación que puedan exigir mantener los datos durante un periodo mínimo determinado. Finalmente, será necesario definir criterios claros de supresión y/o bloqueo que indiquen cuándo y cómo deben eliminarse los datos o restringirse su tratamiento una vez finalizado el plazo de conservación.
De forma resumida, los pasos principales para definir correctamente los plazos son los siguientes:
- Identificación de los tratamientos de datos y tipos de información.
- Identificación de las finalidades y bases jurídicas de cada tratamiento.
- Revisión de las obligaciones legales de conservación aplicables.
- Definición de criterios de supresión y/o bloqueo una vez agotado el plazo.
Es fundamental tener en cuenta que no es válido aplicar plazos genéricos para todos los datos. Cada tratamiento debe contar con su propio plazo de conservación, debidamente documentado y justificado. Este trabajo requiere una coordinación efectiva entre el área legal, que interpreta la normativa y los riesgos; las áreas de negocio, que conocen el uso real de los datos; y los equipos de sistemas, responsables de implantar las medidas técnicas que garanticen el borrado o bloqueo efectivo de la información.
Cómo documentar correctamente una política de conservación de datos
Una política de conservación de datos bien elaborada debe integrarse en el sistema de cumplimiento normativo de la empresa. Como mínimo, este documento debería recoger:
- Tratamientos y tipos de datos cubiertos (por ejemplo, datos de clientes, empleados, proveedores, etc.).
- Plazos de conservación asociados a cada tipo de dato o actividad de tratamiento.
- Criterios de supresión o bloqueo una vez alcanzado cada plazo establecido.
- Responsables y procedimientos internos para asegurar que se lleve a cabo el borrado o bloqueo en tiempo y forma.
Esta política no funciona de forma aislada, sino ligada al resto del sistema de gestión de protección de datos de la organización. El RGPD exige documentar en el Registro de Actividades de Tratamiento (“RAT”) el plazo de conservación de cada categoría de datos y sus criterios. Por ello, la política de conservación debe estar alineada con ese registro. Además, debe mantenerse actualizada; es decir, si cambian las leyes o surgen nuevos tratamientos o finalidades, habrá que revisar y ajustar los plazos en consecuencia. Igualmente se debe aplicar realmente lo que dice la política respecto a dicha conservación; no basta con el documento, hay que programar y ejecutar el borrado o bloqueo de datos cuando corresponda, mediante las herramientas técnicas adecuadas.
Todo lo anterior se enmarca en el principio de responsabilidad proactiva. Esta filosofía del RGPD obliga a las organizaciones no solo a cumplir la normativa, sino también a poder demostrar dicho cumplimiento. Contar con una política de conservación bien documentada e implantada es una evidencia clara de que la empresa gestiona los datos conforme a la ley. En caso de una auditoria o inspección, disponer de registros que acrediten cómo y cuándo se eliminan o bloquean los datos según dicha política ayudará a evitar sanciones.
Errores habituales en la conservación de datos personales
Muchos incumplimientos en materia de protección de datos no se deben tanto a la recogida de información sin base legal, sino a conservar los datos personales durante más tiempo del debido o sin criterios claros. Es frecuente que, por desconocimiento o inercia, las organizaciones sigan almacenando datos antiguos aun cuando ya no cumplen ninguna finalidad, pensando equivocadamente que "no pasa nada" por guardarlos indefinidamente. Esta falsa sensación de seguridad lleva a ignorar la necesidad de establecer plazos de borrado, convirtiendo esa acumulación de datos en un incumplimiento silencioso de la normativa.
De hecho, conservar datos sin control puede salir muy caro, pues existe un riesgo legal real. Las autoridades de control (como la Agencia Española de Protección de Datos, AEPD) vigilan activamente el cumplimiento de los plazos de conservación y ya han impuesto sanciones importantes a empresas por gestionar mal este aspecto. Para evitar estas penalizaciones y sorpresas desagradables, conviene no incurrir en los siguientes errores habituales:
- Conservar datos indefinidamente.
- No definir plazos concretos de conservación.
- No borrar o bloquear los datos antiguos que ya no se necesitan.
- No coordinar la gestión de plazos entre las distintas áreas internas.
- No poder demostrar el cumplimiento (falta de evidencias documentadas ante una inspección).
Cómo puede ayudarte Adaptalia a definir y aplicar tu política de conservación de datos
En Adaptalia, especialistas en protección de datos y compliance, ayudamos a empresas y organizaciones a gestionar correctamente este ámbito crucial. Nuestro equipo multidisciplinar presta soporte integral para definir, documentar e implantar la política de conservación de datos que mejor se adapte a tu negocio. Algunas de nuestras líneas de trabajo son:
- Análisis de los tratamientos de datos existentes y de las obligaciones legales aplicables en cada área (laboral, fiscal, comercial, etc.).
- Definición de los plazos de conservación adecuados para cada tipo de dato, en función de su finalidad y la normativa vigente.
- Redacción y documentación de la política de conservación de datos, elaborando el documento interno con todos los elementos necesarios.
- Integración de la política en el sistema de cumplimiento RGPD y global de la entidad, alineándola con el Registro de Actividades y demás procedimientos.
- Acompañamiento en auditorías e inspecciones, aportando apoyo experto para demostrar el cumplimiento ante posibles revisiones externas.
Si tu organización necesita ayuda para revisar o implantar tu política de conservación de datos, contacta con Adaptalia. Te ofreceremos asesoramiento personalizado para garantizar que gestionas tus datos personales de forma segura, eficiente y 100% conforme al RGPD.
.jpg)