¿Cuánto tiempo puedo conservar los datos personales?

¿Cuánto tiempo puedo conservar los datos personales? es una de las que más se realiza cualquier profesional o compañía (responsables del tratamiento) que recopila datos personales y los almacena para los fines para los que los ha adquirido. Sin embargo, la gran mayoría de los responsables del tratamiento desconocen cuánto tiempo pueden y deben conservar los datos personales y si existen obligaciones legales que deban observar para no incumplir la ley.

En principio los datos solo se pueden conservar el tiempo mínimo e imprescindible para cumplir los fines para los que han sido adquiridos en virtud del «principio de minimización» (art. 5.1.c) del RGPD). Ello quiere decir que si un responsable organiza un evento (un congreso) que solo tiene vocación de celebrarse un única vez y para ello obtiene datos de los asistentes (entre otros, localizaciones GPS de los móviles para saber cuántos asisten y por donde se mueven, por ejemplo), una vez terminado el evento (y salvo cláusulas en la recogida en contrario) los datos deben ser eliminados por completo.

El hecho de que ni el RGPD ni la LOPDGDD recojan un listado de tipos de datos y plazos de conservación genera incertidumbre y dificulta a los responsables cumplir con la normativa. En cualquier caso, hay una serie de plazos legales que todo responsable ha de cumplir en función de cada tipo de dato y los fines por los que se obtiene. Éstos derivan de las diferentes normativas afectadas en las que sí que se indican los plazos, por lo que, en cumplimiento de la ley, los plazos durante los cuales se deben conservar los datos personales son:

1º.- Datos relativos a documentos societarios o mercantiles: 6 años. Actas de los Órganos de Administración, transmisión de participaciones y/o acciones, cambios estructurales (fusión, adquisición, transformación, etc.) y demás libros registro (de socios, de inventario, diario…).

2º.- Datos relativos a tributos e impuestos: 4 años. Todos los registros de. presentación de impuestos (IRPF, IVA, IS, etc.) deben conservarse durante cuatro años (plazo de que dispone la AEAT y otros organismos para realizar revisiones).

3º.- Datos relativos a la Seguridad Social y sus funciones: 5 años. Altas, bajas, cotizaciones, situación, etc.

4º.- Datos capturados mediante sistemas de videovigilancia (cámaras, etc.): 1 mes desde la grabación, salvo que las imágenes estén vinculadas con cualquiera de las cuestiones relativas a la Ley de Seguridad Ciudadana, en cuyo caso el plazo de conservación es de 3 años. 

5º.– Datos de salud y sanidad: los datos de pacientes han de conservarse durante 1 año, salvo en aquellos plazos en los que la ley autonómica que en cada caso corresponda, prevea una modificación de este plazo. 

6º.- Datos relativos a prestación de servicios mercantiles: 4 años. Por ejemplo, un contrato de prestación de servicios jurídicos de una empresa o profesional liberal a un cliente (empresario).

7º.- Datos conectados con la prevención y el blanqueo de capitales: 10 años.

8º.– Datos sobre expedientes de mediación (civil / mercantil): 4 meses.

9º.- Datos sobre comunicaciones electorales: 1 año. 

Ahora bien, en los avisos (primera capa) se deberá indicar que los «datos personales se conservarán por el plazo máximo legal establecido» y, si se quiere, especificar aún más este detalle en la política de privacidad. Lo que, en ningún caso debe hacerse, es manifestar que los datos se «conservarán por plazo indefinido» o cualquier otra expresión similar que denote que no hay plazo.

Imagen: Nubelia