El Reglamento General de Protección de Datos (RGPD) establece en su artículo 5 las normas que rigen el tratamiento y la retención de datos personales por parte de entidades empresariales y profesionales autónomos. En este sentido, se estipula que los datos deben mantenerse en una forma que permita la identificación de los titulares durante el tiempo estrictamente necesario para cumplir con los fines del tratamiento. No obstante, su conservación podrá extenderse cuando se destinen exclusivamente a propósitos de archivo en interés público, investigación científica o histórica, o finalidades estadísticas.

El objetivo de estas disposiciones es garantizar la protección de la privacidad y seguridad de las personas, así como fomentar una cultura de responsabilidad en el tratamiento de la información personal.

Duración de la Conservación de Datos

El tiempo de almacenamiento de los datos personales está condicionado por el propósito para el cual fueron recopilados. El RGPD obliga a las organizaciones a definir criterios claros que determinen la duración de su conservación, considerando aspectos tales como el cumplimiento de obligaciones legales o el ejercicio de derechos y deberes.

En este contexto, los plazos de retención pueden variar en función del uso previsto para la información. Algunos de los periodos más frecuentes incluyen:

• Cumplimiento de obligaciones contractuales: Los datos necesarios para la ejecución de un contrato deben mantenerse durante la vigencia de la relación contractual y, posteriormente, durante el tiempo requerido para la formulación, ejercicio o defensa de posibles reclamaciones legales.
• Obligaciones legales: Cierta información, como la relativa a cuestiones fiscales y contables, debe conservarse durante el período estipulado en la legislación vigente.
• Interés público: En determinados casos, los datos personales pueden mantenerse para fines relacionados con la salud pública, la investigación científica o histórica, el archivo institucional o el análisis estadístico.

Ejemplos de Períodos de Conservación

• Documentación contable: La información contable (facturas, recibos, etc.) debe conservarse, como norma general, durante un periodo mínimo de cuatro años, conforme a lo establecido en el artículo 66 de la Ley 58/2023. Sin embargo, los libros de contabilidad deben mantenerse al menos seis años, según lo dispuesto en el artículo 30 del Real Decreto de 22 de agosto de 1885, que regula el Código de Comercio.
• Documentación laboral: La información vinculada a la gestión de Recursos Humanos (contratos, nóminas, entre otros) debe conservarse entre tres y cinco años, de acuerdo con el artículo 4.1 de la Ley sobre Infracciones y Sanciones en el Orden Social.
• Historia clínica: La Ley 41/2022, de 14 de noviembre, sobre la autonomía del paciente y los derechos y deberes en materia de información y documentación clínica, establece en su artículo 17 un periodo mínimo de conservación de cinco años desde la fecha de alta de cada proceso asistencial.
• Registros de videovigilancia: Las grabaciones obtenidas a través de sistemas de videovigilancia deben ser eliminadas en un plazo máximo de un mes, salvo que estén relacionadas con la investigación de un delito o una infracción administrativa.
• Libros de registro en establecimientos hoteleros: El período de conservación general es de tres años.

Consentimiento y Derechos de los Titulares de los Datos

El RGPD refuerza la necesidad de obtener el consentimiento informado para el tratamiento de datos personales. Las organizaciones deben recabar el consentimiento expreso, libre, específico, informado e inequívoco de los titulares de los datos, o bien disponer de una base jurídica que legitime el tratamiento. Asimismo, los individuos tienen derecho a solicitar la eliminación de sus datos personales una vez que la finalidad para la cual fueron recopilados haya sido cumplida, salvo que existan normativas que justifiquen su conservación por un periodo adicional.

Consecuencias del Incumplimiento

El incumplimiento de las disposiciones establecidas en el RGPD puede derivar en sanciones significativas impuestas por la Agencia Española de Protección de Datos (AEPD). Dichas sanciones pueden incluir multas de cuantía considerable, cuya gravedad y alcance dependen de la naturaleza de la infracción cometida. Por ello, es fundamental que las empresas y profesionales autónomos garanticen el estricto cumplimiento de la normativa vigente en materia de conservación y tratamiento de datos personales.