La normativa vigente en protección de datos establece los principios de limitación del plazo de conservación y calidad de los datos, en virtud de los cuales, los datos de carácter personal deben ser suprimidos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados inicialmente.
No obstante, se podrán conservar durante el periodo de tiempo en el que pudiera ser exigible algún tipo de responsabilidad legal, si bien los datos se conservarán bloqueados.
El bloqueo de los datos consistirá en “la identificación y reserva de los mismos, adoptando medidas técnicas y organizativas, para impedir su tratamiento, incluyendo su visualización, excepto para la puesta a disposición de los datos a los jueces y tribunales, el Ministerio Fiscal o las Administraciones Públicas competentes, en particular de las autoridades de protección de datos, para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas” (art. 32 LOPDGDD). Una vez transcurrido ese plazo se deberá proceder a la destrucción de los mismos.
A título de ejemplo, algunos de los plazos de conservación de datos personales más comunes:
DATOS PERSONALES |
PLAZO |
LABORALES O SEGURIDAD SOCIAL |
4 AÑOS |
VIDEOVIGILANCIA |
1 MES |
HISTORIA CLÍNICA |
MÍNIMO 5 AÑOS |
CONTABLES Y FISCALES EFECTOS MERCANTILES |
6 AÑOS |
CONTRABLES Y FISCALES EFECTOS FISCALES |
4 AÑOS |
Tanto el RGPD como la LOPDGDD establecen una serie de excepciones en las que se permitirá la ampliación de los plazos de conservación de los datos personales. Estas se dan cuando los datos se utilicen con fines de archivo en interés público, de investigación científica e histórica o con fines estadísticos.
En cualquier caso, siempre que sea posible, los datos deberán anonimizarse para impedir la identificación de los interesados.
Las infracciones de los plazos de conservación se califican por el RGPD como muy graves, por lo que la sanción podría ascender hasta los 20 millones de euros o tratándose de una empresa, con hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior.
En este sentido, tanto la Agencia Española de Protección de Datos como las autoridades equivalentes de países integrantes de la UE han comenzado a sancionar los incumplimientos relacionados con la conservación de los datos personales por un tiempo superior al establecido, además de la no disposición de una política de plazos de conservación.
Si quieres más información, asesoramiento jurídico o necesitas que te ayudemos a cumplir con los deberes establecidos por el RGPD y la LOPDGDD consúltanos.