¿Cuál es el plazo de conservación de los datos personales? Obligaciones para empresas y autónomos

Plazo de conservación de datos personales.- El Reglamento General de Protección de Datos (RGPD) establece en su artículo 5 las directrices sobre el tratamiento y la conservación de datos personales por parte de empresas y profesionales autónomos: “los datos deben mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos”.

Estas medidas buscan salvaguardar la privacidad y seguridad de los individuos, así como promover una cultura de responsabilidad en el manejo de la información personal.

Plazos de conservación

Los plazos de conservación de datos personales vienen determinados por la finalidad para la que han sido recopilados. El RGPD exige que las empresas y autónomos establezcan criterios claros para determinar cuánto tiempo conservarán los datos, considerando aspectos como la necesidad de los mismos para cumplir con obligaciones legales o para el ejercicio de funciones.

Así, los plazos de conservación de datos varían según la finalidad para la cual fueron recopilados y procesados. Algunos de los plazos más comunes incluyen:

• Cumplimiento de obligaciones contractuales: los datos necesarios para cumplir con obligaciones contractuales, que pueden conservarse durante el tiempo que dure la relación contractual y, posteriormente, durante los años necesarios para la reclamación, ejercicio o defensa de posibles reclamaciones legales.
• Obligaciones legales: los datos que deben conservarse para cumplir con obligaciones legales, como los relacionados con impuestos o contabilidad, deben conservarse durante el tiempo especificado en la legislación aplicable.
• Interés público: en algunos casos, las empresas y autónomos pueden conservar los datos personales con fines de salud pública, archivo, investigación científica, historia o fines estadísticos. 

Ejemplos sobre la conservación de datos personales

• Documentación contable (facturas, recibos…):de forma general, podemos establecer como plazo de conservación, en el caso de documentación contable, un mínimo de 4 años en base al plazo de prescripción previsto en el artículo 66 de la Ley 58/2023. Los libros de contabilidad, sin embargo, deben conservarse durante un mínimo de 6 años, según el artículo 30 del Real Decreto de 22 de agosto de 1885 por el que se publica el Código de Comercio.
• Documentación laboral:la documentación relativa a la gestión en el área de Recursos Humanos (contratos, nóminas, etc.), según el artículo 4.1 del la Ley sobre Infracciones y Sancionadores en el Orden Social, tienen un plazo de conservación de entre 3-5años; en función de los plazos de prescripción de las infracciones en el orden social.
• Información clínica: a nivel estatal, la Ley 41/2022, de 14 de noviembre, de autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica establece, en su artículo 17, un plazo mínimo de 5 años, a contar desde la fecha de alta de cada proceso asistencial.
• Videovigilancia: los registros realizados mediante sistemas de videovigilancia (audio o video), deben ser destruidos en un plazo máximo de un mes, salvo que estén relacionados con la comisión de un delito o infracción administrativa.
• Libros de registro en establecimientos hoteleros: se establece, por norma general, un plazo de 3 años.

Consentimiento y derechos de los usuarios

El RGPD enfatiza la importancia del consentimiento informado en el tratamiento de datos personales. Las empresas y autónomos deben obtener, o bien el consentimiento explícito, libre, específico, informado e inequívoco de los usuarios, o bien una base legítima para justificar la licitud del tratamiento. Además, los individuos tienen derecho a solicitar la eliminación de sus datos personales, una vez que la finalidad para la cual fueron recopilados haya sido cumplida, a menos que existan obligaciones legales que justifiquen su conservación por más tiempo.

Sanciones por incumplimiento

El incumplimiento de los requerimientos del RGPD puede conllevar sanciones severas por parte de la AEPD. Estas sanciones pueden incluir multas económicas significativas, que varían según la gravedad y la naturaleza de la infracción. Por lo tanto, es crucial que las empresas y autónomos cumplan rigurosamente con las disposiciones del RGPD en lo que respecta a la conservación y tratamiento de datos personales.