Cuando hablamos de protección de datos en las empresas, hay una pregunta que siempre genera dudas: ¿Cuánto tiempo puedo guardar los datos personales de clientes, empleados o proveedores?
La respuesta no es sencilla. El Reglamento General de Protección de Datos (RGPD) no fija un plazo único y universal, sino que establece un principio: los datos solo deben conservarse durante el tiempo necesario para la finalidad con la que fueron recogidos.
Pero claro, después llegan las leyes fiscales, laborales, mercantiles… y cada una marca sus propios plazos.
En este artículo vamos a aclarar:
- Qué dice el RGPD sobre la conservación de datos.
- Cuáles son los plazos más habituales que afectan a las empresas.
- Cómo puedes gestionarlos de forma práctica.
Conservar datos más tiempo del necesario puede suponer sanciones graves.
Te orientamos en la implantación de un calendario de conservación de datos adaptado a tu sector, para que cumplas con el RGPD y demás normativas.
Cuéntanos tu caso y te orientamos.
¿Qué dice el RGPD sobre el plazo de conservación de los datos personales?
El RGPD establece el principio de limitación del plazo de conservación cuando afirma que “Los datos personales se mantendrán no más tiempo del necesario para los fines del tratamiento.”
Esto significa que una empresa no puede acumular información “por si acaso”. Una vez que ya no existe la finalidad (termina la relación contractual, el cliente se da de baja, finaliza el proceso de selección…), los datos deben ser eliminados, bloqueados o anonimizados.
Además, el RGPD obliga a documentar en el Registro de Actividades de Tratamiento (RAT) el tiempo de conservación de cada categoría de datos y los criterios utilizados.
Plazos legales de conservación de datos en las empresas
Aunque el RGPD no concreta tiempos, sí existen otras normativas que fijan plazos mínimos obligatorios.
Estos son algunos de los más relevantes para las empresas, según el cuadro de conservación de la AEPD y normativa aplicable:
- Documentación fiscal y contable (facturas, justificantes de pago, correos electrónicos corporativos): 4 a 6 años.
- Base legal: Ley General Tributaria (4 años) y Código de Comercio (6 años).
- Libros contables, balances y cuentas anuales: 6 años (Código de Comercio).
- Contratos mercantiles y civiles (clientes, proveedores): 5 años (plazo de prescripción de acciones personales del Código Civil).
- Contratos laborales, nóminas, cotizaciones: 4 años (LISOS).
- Prevención de Riesgos Laborales:
- Documentación general: 5 años.
- Accidentes graves: hasta 30 años.
- Exposición a agentes peligrosos: mínimo 40 años.
- Datos de salud de los trabajadores:
- Reconocimientos médicos ordinarios: 5 años tras finalizar la relación laboral.
- Exposición a agentes nocivos: hasta 40 años.
- Datos de clientes activos: durante la relación contractual.
- Clientes dados de baja o inactivos: 5–6 años (obligaciones fiscales y mercantiles).
- Videovigilancia: máximo 30 días, salvo incidencias (entonces hasta la resolución).
- Currículums y procesos de selección: entre 1 y 2 años, salvo consentimiento expreso.
- Datos para campañas comerciales o marketing: hasta que la persona retire su consentimiento o solicite la baja.
Entonces… ¿cuánto tiempo puedo guardar los datos personales?
La clave está en aplicar tres preguntas básicas:
- ¿Para qué finalidad recogí estos datos?
- ¿Existe una ley que me obligue a conservarlos durante un tiempo mínimo?
- ¿Todavía son necesarios para cumplir con esa finalidad?
Si la respuesta es “no” y no hay norma que justifique conservarlos, toca eliminarlos o, en su defecto, bloquearlos (sacarlos del uso corriente) o anonimizarlos (dejar de vincularlos a una persona concreta).
¿Cómo gestionar los plazos de conservación en tu empresa?
Saber los plazos está bien. Cumplirlos, mucho mejor. Algunas recomendaciones prácticas:
- Crea un calendario de conservación: identifica cada tipo de documento/dato y el tiempo que debes guardarlo según la normativa.
- Incorpora los plazos en tu política de protección de datos y en el Registro de Actividades de Tratamiento.
- Implanta procesos de borrado o anonimización periódica, especialmente en bases de datos de clientes y candidatos.
- Forma al personal: todos deben conocer la importancia de no guardar datos “de por vida”.
- Revisa regularmente tus procedimientos para adaptarlos a cambios normativos.
Riesgos de incumplir los plazos
- Sanciones de la AEPD (hasta 20 millones de euros o el 4% de la facturación anual).
- Inspecciones fiscales o laborales con sorpresas si no tienes la documentación disponible.
- Daño reputacional por mala gestión de los datos.
En otras palabras: conservar más tiempo del necesario no es sinónimo de “estar más cubiertos”, sino de exponerse a riesgos innecesarios.
Asesoramiento para tu empresa
Si necesitas ayuda para revisar los plazos de conservación en tu empresa y adaptarlos a tu sector, nosotros te ayudamos a implantar políticas claras, seguras y a prueba de inspecciones.
Especialista en protección de datos y cumplimiento normativo. Con experiencia en el sector energético y financiero, completó un Máster en Protección de Datos y Acceso a la Abogacía. Tras ejercer en Canarias, regresó a Zaragoza y en 2023 se unió a DEME Soluciones 360, aportando su experiencia legal en auditoría y consultoría.
