Una de las preguntas más frecuentes que recibimos en Summum Consultoría cuando acompañamos a empresas en su adecuación al RGPD es engañosamente sencilla: ¿cuánto tiempo tengo que guardar los datos? La respuesta no la da directamente el Reglamento General de Protección de Datos, sino la combinación de dos principios: el de limitación del plazo de conservación (art. 5.1.e del RGPD) y los plazos mínimos de conservación documental que impone la legislación sectorial — laboral, fiscal, mercantil y administrativa — a cada tipo de tratamiento. Este artículo cruza ambas capas para dar una respuesta concreta.
El principio de limitación del plazo de conservación (art. 5.1.e RGPD)
El artículo 5.1.e del Reglamento (UE) 2016/679 (RGPD) establece que los datos personales deben ser «conservados de forma que permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales». El Reglamento admite, no obstante, períodos de conservación más largos cuando los datos se traten exclusivamente con fines de archivo en interés público, investigación científica o histórica, o fines estadísticos, con sujeción a las garantías técnicas y organizativas adecuadas.
Este principio se traduce en una obligación práctica para el responsable del tratamiento: definir, en el Registro de Actividades de Tratamiento (art. 30 RGPD), los plazos concretos de conservación de cada categoría de datos o, al menos, los criterios utilizados para determinarlos. No basta con indicar «el tiempo necesario»; hay que concretar.
¿Cómo se concreta? Identificando tres ventanas:
- La vida activa del dato: el tiempo durante el que el dato es estrictamente necesario para la finalidad que justificó su recogida (por ejemplo, gestionar la relación contractual con un empleado).
- El plazo de bloqueo: una vez finalizada la vida activa, el dato debe bloquearse (marcarse como inaccesible para el uso ordinario) durante el tiempo en que la organización pueda ser requerida a presentarlo ante una administración, un órgano judicial o la propia AEPD. Este período lo fijan las normas sectoriales.
- La supresión definitiva: transcurrido el plazo de bloqueo sin requerimiento alguno, el dato debe eliminarse de forma segura.
La LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) complementa el RGPD en el ordenamiento español y exige, en su artículo 32, que el responsable adopte medidas para garantizar que los datos bloqueados solo sean accesibles a jueces y tribunales, Ministerio Fiscal o administraciones públicas competentes, y no sean tratados para ninguna otra finalidad.
¿Por qué la norma sectorial importa tanto?
Eliminar un dato antes de que venza el plazo de conservación que exige la normativa sectorial puede acarrear sanciones administrativas ajenas al RGPD: multas de la Inspección de Trabajo, la Agencia Tributaria o la Seguridad Social. Conservarlo más allá del plazo máximo que admite el principio de limitación del plazo supone, en cambio, una infracción del RGPD sancionable conforme al artículo 83. La clave está en conocer y respetar ambos límites: el mínimo sectorial y el máximo que impone el principio de minimización temporal.
Tabla de plazos de conservación por tipo de tratamiento
La siguiente tabla recoge los principales tipos de tratamiento en el ámbito empresarial, el plazo orientativo de bloqueo y la norma sectorial de referencia. Los plazos se indican en años salvo que se especifique lo contrario. Esta tabla tiene carácter orientativo: cada organización debe revisar su situación concreta con el apoyo de un asesor especializado.
| Tipo de tratamiento | Datos principales | Plazo de bloqueo (orientativo) | Norma de referencia |
|---|---|---|---|
| Relación laboral (contratos, nóminas, altas/bajas SS) | Nombre, DNI, IBAN, categoría, salario, jornada, cotizaciones | 4 años (prescripción de infracciones en orden social y de créditos de la Seguridad Social) | Art. 21 y 24 RDL 8/2015 (LGSS); art. 4 RDL 5/2000 (LISOS); art. 59 RDL 2/2015 (ET) |
| Prevención de riesgos laborales (vigilancia de la salud) | Informes médicos, reconocimientos, aptitud | 5 años (plazo general de conservación de documentación en PRL; ampliable según exposición a agentes) | Art. 23 Ley 31/1995 (LPRL); Reglamentos de agentes específicos (amianto, ruido…) |
| Nóminas y Seguridad Social | Recibos de salario, boletines de cotización TC1/TC2, RLC/RNT | 4 años (prescripción de deudas a la Seguridad Social) | Art. 21 RDL 8/2015 (LGSS) |
| Fiscal (facturas emitidas y recibidas, declaraciones) | NIF/CIF, importes, bases imponibles, deducciones, declaraciones tributarias | 4 años (prescripción general del derecho a comprobar e investigar); hasta 10 años para bases imponibles negativas pendientes de compensación | Art. 66 a 70 y art. 66 bis Ley 58/2003 (LGT); art. 26.5 Ley 27/2014 (LIS) para bases imponibles negativas |
| Contable (libros contables, cuentas anuales, justificantes) | Asientos contables, balances, cuentas de resultados, inventarios | 6 años desde el último asiento | Art. 30 del Código de Comercio |
| Videovigilancia (cámaras en instalaciones) | Imágenes de personas captadas en el ámbito laboral o en espacios públicos privados | 1 mes desde la captación (máximo legal); salvo que sean prueba de infracción o incidente | Art. 22.3 LOPDGDD (LO 3/2018) |
| Marketing y comunicaciones comerciales (consentimiento) | Email, teléfono, preferencias, historial de interacciones | Mientras subsista el consentimiento; tras la baja, bloquear durante 3 años (prescripción de acciones por competencia desleal y reclamaciones de consumo) | Art. 7 RGPD; art. 21 LSSI; arts. 1961-1968 Código Civil |
| Videovigilancia laboral (control disciplinario) | Imágenes que acreditan infracción laboral | Hasta que concluya el procedimiento disciplinario o judicial correspondiente | Art. 22.3 y 22.4 LOPDGDD |
| Prevención de blanqueo de capitales (sujetos obligados) | Documentación de diligencia debida, titular real, transacciones | 10 años desde la terminación de la relación de negocios o la ejecución de la operación ocasional | Art. 25 Ley 10/2010 (LPBC/FT) |
| Videoconferencias y comunicaciones electrónicas | Grabaciones de reuniones, registros de chat interno | Depende de la finalidad: si es formación, hasta 1 año; si hay litigio potencial, hasta resolución del mismo | Art. 5.1.e RGPD; art. 20 ET (control empresarial) |
Análisis detallado por categoría
Datos laborales: entre los 4 y los 5 años
La relación laboral genera un volumen considerable de datos personales: contrato de trabajo, nóminas, partes de alta y baja en la Seguridad Social, comunicaciones disciplinarias, evaluaciones de desempeño y partes de accidente. El plazo que rige la conservación de esta documentación no lo fija el RGPD, sino la prescripción de las infracciones en el orden social y de los créditos frente a la Seguridad Social.
El artículo 21 del Real Decreto Legislativo 8/2015, por el que se aprueba el Texto Refundido de la Ley General de la Seguridad Social (LGSS), establece que el derecho a la revisión de los actos en materia de Seguridad Social prescribe a los cuatro años. El Real Decreto Legislativo 5/2000 (LISOS) fija también plazos de prescripción de infracciones en el orden social. El artículo 59 del Real Decreto Legislativo 2/2015 (ET) establece la prescripción de acciones derivadas del contrato de trabajo en el plazo de un año, pero la documentación que las sustenta debe conservarse durante cuatro años para cubrir posibles actuaciones de la Inspección de Trabajo.
En materia de prevención de riesgos laborales, el artículo 23 de la Ley 31/1995 (LPRL) obliga al empresario a conservar la documentación generada por la actividad preventiva. Para agentes específicos — amianto, plomo, ruido — los reglamentos sectoriales pueden ampliar este plazo considerablemente, llegando incluso a los cuarenta años en caso de exposición a agentes cancerígenos o mutágenos.
Si tu empresa gestiona datos de empleados, el artículo de Summum Consultoría sobre RGPD y recursos humanos ofrece una visión completa del marco aplicable a este tipo de tratamientos.
Datos fiscales: 4 años, con excepciones de hasta 10
La Ley 58/2003, de 17 de diciembre, General Tributaria (LGT) es la norma de referencia para fijar el plazo de conservación de la documentación con trascendencia fiscal. Los artículos 66 a 70 de la LGT establecen que el derecho de la Administración para determinar la deuda tributaria mediante la oportuna liquidación, así como para exigir el pago de las deudas liquidadas, prescribe a los cuatro años.
Sin embargo, existen excepciones relevantes. El artículo 66 bis de la LGT —y el artículo 26.5 de la Ley 27/2014 del Impuesto sobre Sociedades— establece que el derecho de la Administración para comprobar bases imponibles negativas (pérdidas fiscales) pendientes de compensación puede extenderse hasta diez años (o el plazo que resulte de la normativa específica de cada impuesto). Esto significa que la empresa debe conservar la documentación que acredita esas pérdidas durante todo el tiempo en que puedan ser objeto de compensación futura.
La facturación electrónica, cuyo impulso regulatorio continúa en España a través de la Ley 18/2022 (Crea y Crece), no modifica los plazos tributarios de conservación: la forma electrónica del documento no acorta ni alarga el período de conservación legalmente exigido.
Datos contables: 6 años desde el último asiento
El artículo 30 del Código de Comercio impone al empresario la obligación de conservar los libros contables, la correspondencia, la documentación y los justificantes concernientes a su negocio, debidamente ordenados, durante seis años a partir del último asiento realizado en los libros. Esta obligación se aplica incluso cuando el empresario haya cesado en el ejercicio de su actividad o la empresa haya sido liquidada.
Desde la perspectiva del RGPD, esta exigencia mercantil justifica mantener bloqueados los datos personales contenidos en la documentación contable (nombres de clientes o proveedores en facturas, datos bancarios en órdenes de pago) durante ese período de seis años. El responsable del tratamiento no puede invocar el principio de limitación del plazo para eliminar antes estos datos si la norma mercantil le impone conservar el soporte documental que los contiene.
Videovigilancia: el plazo más breve — un mes como máximo
El artículo 22.3 de la LOPDGDD (LO 3/2018) establece con precisión que «las imágenes serán suprimidas en el plazo máximo de un mes desde su captación». Se trata del plazo de conservación más restrictivo de todos los tratamientos habituales en el ámbito empresarial, y a menudo sorprende a las organizaciones que gestionan sistemas de videovigilancia sin una política específica de purga automática.
La excepción a este plazo máximo mensual se produce cuando las imágenes son prueba de una infracción o de un incidente: en ese caso, el artículo 22.3 permite conservarlas hasta que concluya el procedimiento judicial o administrativo correspondiente. En el ámbito laboral, el artículo 22.4 de la LOPDGDD permite el uso de sistemas de videovigilancia para el control de los trabajadores en el marco del artículo 20.3 del ET, pero sujeto a las mismas limitaciones temporales.
Si tu empresa tiene cámaras instaladas en sus instalaciones, el artículo de Summum Consultoría sobre videovigilancia en el ámbito laboral detalla los requisitos de información, señalización y configuración técnica exigidos por la AEPD.
Marketing y comunicaciones comerciales: mientras dure el consentimiento
Los datos tratados con base en el consentimiento del interesado (art. 6.1.a RGPD) no tienen un plazo de conservación fijado por una norma sectorial específica: la vida activa del dato dura mientras el consentimiento esté vigente. En el momento en que el interesado revoque su consentimiento o solicite la supresión de sus datos, el responsable debe cesar el tratamiento activo.
Sin embargo, no siempre puede eliminarlos de inmediato. La organización puede tener interés legítimo en bloquearlos durante el período en que podría ser demandada por un uso indebido previo. Para comunicaciones comerciales electrónicas, la prescripción de acciones por infracción de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) es de tres años (art. 47 LSSI). Los artículos 1961 a 1968 del Código Civil establecen plazos de prescripción de entre uno y quince años para distintas acciones civiles; la prescripción general de acciones personales sin plazo especial es de cinco años (art. 1964 CC tras la reforma de 2015).
La buena práctica en marketing digital es bloquear los datos durante tres años desde la última interacción con el interesado o desde la baja, y suprimirlos definitivamente transcurrido ese período, salvo que exista un requerimiento judicial o administrativo que obligue a conservarlos.
Cómo documentar los plazos en el Registro de Actividades de Tratamiento
El artículo 30.1.f del RGPD exige que el Registro de Actividades de Tratamiento incluya «cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos». En la práctica, muchas organizaciones se limitan a indicar una referencia genérica, lo que no cumple con esta exigencia y puede dificultar la demostración de responsabilidad proactiva (accountability) ante la AEPD.
La estructura recomendada para documentar los plazos en el Registro es la siguiente:
- Fase activa: tiempo durante el que el dato es necesario para la finalidad principal (por ejemplo, «durante la vigencia del contrato laboral»).
- Fase de bloqueo: tiempo de conservación bloqueado por exigencia normativa (por ejemplo, «4 años adicionales desde la extinción del contrato, conforme al art. 21 LGSS»).
- Fecha o criterio de supresión: mecanismo que activa la supresión definitiva (por ejemplo, «transcurridos 4 años desde la extinción del contrato, sin requerimiento pendiente de la Inspección de Trabajo o la TGSS»).
- Referencia normativa: cita de la norma sectorial que justifica el plazo.
Desde Summum Consultoría acompañamos a las organizaciones en la elaboración y mantenimiento del Registro de Actividades de Tratamiento, con plantillas adaptadas a los sectores más comunes y con revisión anual de los plazos ante posibles cambios normativos.
Consecuencias de conservar datos más tiempo del permitido
La conservación de datos personales más allá del plazo justificado constituye una infracción del principio de limitación del plazo de conservación del artículo 5.1.e del RGPD. Dependiendo de la gravedad, el volumen de afectados y la existencia de medidas técnicas de protección, puede clasificarse como infracción grave o muy grave a efectos del artículo 83 del RGPD:
- Las infracciones de los principios del artículo 5 del RGPD son consideradas infracciones muy graves conforme al artículo 83.5, con multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual mundial del ejercicio anterior, el importe que sea mayor.
- La LOPDGDD (LO 3/2018), en su artículo 72, califica como infracciones muy graves en el ámbito español las vulneraciones sustanciales del artículo 5 del RGPD, sin fijar importes concretos distintos de los del propio Reglamento.
Más allá de las sanciones económicas, conservar datos sin justificación aumenta el daño potencial en caso de brecha de seguridad (más datos expuestos) y dificulta el ejercicio de los derechos de los interesados (acceso, rectificación, supresión), que el responsable está obligado a atender en los plazos del artículo 12 del RGPD.
Medidas técnicas para garantizar la supresión en plazo
Conocer los plazos es solo el primer paso. La organización debe implementar mecanismos técnicos que garanticen la supresión efectiva de los datos cuando vence el plazo. Algunas medidas habituales son:
- Políticas de retención automatizadas en los sistemas de gestión documental y en los CRM, que bloquean o eliminan registros al cumplirse el plazo configurado.
- Inventario de repositorios de datos (bases de datos, carpetas de red, correo electrónico, archivos físicos) para asegurarse de que la supresión es completa y no quedan copias residuales.
- Destrucción certificada de soportes físicos (papel, discos duros) que contengan datos personales al final de su ciclo de vida, con acreditación documental del proceso.
- Revisión periódica del Registro de Actividades de Tratamiento, al menos una vez al año, para detectar tratamientos cuyo plazo haya vencido o cuya justificación haya desaparecido.
Preguntas frecuentes
¿Qué pasa si la norma sectorial exige conservar datos 6 años pero el interesado ejerce su derecho de supresión al año?
El derecho de supresión del artículo 17 del RGPD no es absoluto. El artículo 17.3.b del RGPD establece que el derecho de supresión no procede cuando el tratamiento sea necesario para el cumplimiento de una obligación legal que requiera el tratamiento de datos. Si la conservación está impuesta por una norma con rango de ley (el Código de Comercio, la LGT, la LGSS), el responsable puede denegar la supresión durante el período legalmente exigido, pero debe bloquear los datos para que no sean accesibles para ningún otro tratamiento. El interesado debe recibir una respuesta motivada en el plazo de un mes (art. 12.3 RGPD).
¿Cuánto tiempo debo conservar los currículums de candidatos no seleccionados?
No existe una norma sectorial que imponga un plazo mínimo de conservación de candidaturas. El principio de limitación del plazo del artículo 5.1.e del RGPD exige eliminarlos en cuanto dejen de ser necesarios para el proceso de selección. La AEPD ha señalado en distintas resoluciones que conservar candidaturas durante más de un año sin base legitimadora es difícil de justificar, salvo que el interesado haya dado su consentimiento expreso para formar parte de una bolsa de empleo. La recomendación general es eliminarlos en un plazo máximo de doce meses si no se ha producido contratación, salvo consentimiento explícito para su conservación.
Las imágenes de videovigilancia, ¿se pueden conservar más de un mes si hay cláusula en el contrato con los trabajadores?
No. El plazo máximo de un mes del artículo 22.3 de la LOPDGDD es imperativo y no puede ser ampliado por contrato, convenio colectivo ni consentimiento individual del trabajador. Solo la excepción legal del propio artículo 22.3 — imágenes que son prueba de infracción penal o administrativa — permite conservar las grabaciones más allá de ese mes, y únicamente durante el tiempo necesario para la tramitación del procedimiento correspondiente. Cualquier cláusula contractual que pretenda ampliar este plazo es nula de pleno derecho.
¿El plazo de conservación empieza desde que se recoge el dato o desde que finaliza la relación?
Depende del tipo de tratamiento. En el caso de datos laborales y fiscales, el plazo de bloqueo generalmente empieza a computarse desde que finaliza la relación contractual o se realiza la última operación relevante (el último asiento contable, la presentación de la última declaración tributaria). En el caso de videovigilancia, el plazo de un mes se computa desde el momento de la captación de cada imagen, no desde el fin de ninguna relación. Para datos de marketing, el plazo de bloqueo empieza desde la revocación del consentimiento o desde la última interacción activa con el interesado. El Registro de Actividades de Tratamiento debe especificar el evento que activa el cómputo del plazo para cada actividad de tratamiento.