Conservar datos personales más allá de lo necesario incumple el RGPD, puede afectar a tu certificación ISO 27001 y aumenta los riesgos para tu empresa. Te explicamos cómo definir plazos claros y por qué es clave contar con un abogado experto en privacidad y seguridad.
Uno de los grandes olvidados en la gestión diaria de la privacidad es, curiosamente, uno de los principios más importantes del Reglamento General de Protección de Datos (RGPD): No podemos guardar los datos para siempre.
Sin embargo, es habitual encontrar sistemas repletos de información antigua: currículos de hace años, copias de seguridad olvidadas, datos de clientes inactivos…
Y eso, además de poco eficiente, es ilegal y peligroso.
En este artículo te explicamos de forma clara:
- Qué dice el RGPD sobre los plazos de conservación.
- Cómo conecta esto con la ISO 27001 y la seguridad de la información.
- Qué plazos marca la normativa española para distintos tipos de datos.
- Por qué no eliminar datos también es un riesgo.
- Y por qué necesitas un asesoramiento jurídico especializado.
I.- ¿Qué dice el RGPD sobre la conservación de los datos personales?
El artículo 5.1.e) del RGPD es tajante:
«Los datos personales serán mantenidos de forma que permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.«
En otras palabras, nada de guardar «por si acaso». La normativa nos exige tener claro:
- Por qué guardamos los datos.
- Durante cuánto tiempo es necesario conservarlos.
- Cuándo y cómo los eliminaremos o anonimizaremos.
Además, las organizaciones deben definir plazos y revisarlos periódicamente. Es decir, tener una política de conservación de datos documentada y activa.
II.- ¿Y la ISO 27001? La gestión del ciclo de vida de los datos es imprescindible
Aunque a menudo se percibe como una norma técnica o de ciberseguridad, la ISO 27001 incluye controles específicos sobre la retención y eliminación de información.
En concreto, el control A.5.32 (2022) establece que:
«La organización debe definir y aplicar procedimientos para la retención y eliminación de información conforme a requisitos legales, reglamentarios, contractuales y de negocio.«
Esto significa que una buena política de conservación de datos personales es también un requisito de la ISO 27001. Cumplir el RGPD sin abordar la ISO (y viceversa) deja a la organización expuesta.
III.- ¿Cuáles son los plazos legales para conservar los datos?
Aquí es donde muchas empresas se encuentran con dificultades. No hay un único plazo general. Cada tipo de información tiene sus propias reglas según la normativa aplicable.
Veamos algunos ejemplos comunes:
| Tipo de Datos | Norma aplicable | Plazo de conservación |
| Facturación y contabilidad | Ley General Tributaria | 5 años desde el fin del ejercicio |
| Contratos y nóminas | Estatuto de los Trabajadores | 4 años tras la finalización de la relación laboral |
| Videovigilancia | Ley de Seguridad Privada y RGPD | 1 mes, salvo comunicación fuerzas y cuerpos de seguridad |
| Currículos de candidatos no seleccionados | Principio de minimización (RGPD) | Generalmente 6-12 meses salvo consentimiento expreso |
| Libros contables y documentación mercantil | Código de Comercio | 6 años |
Como ves, cada dato tiene su propio reloj.
No revisar ni definir estos plazos puede convertir un problema menor en una infracción grave.
IV.- ¿Qué pasa si no eliminamos los datos a tiempo?
Muchas empresas subestiman el impacto de no eliminar datos personales cuando toca.
Sin embargo, mantener información innecesaria puede traer consecuencias muy serias:
- Sanciones económicas por la autoridad de protección de datos.
- Incumplimiento de certificaciones como ISO 27001.
- Mayor riesgo de brechas de seguridad: los datos obsoletos son objetivos fáciles para ciberataques.
- Daño reputacional y pérdida de confianza de clientes y usuarios.
Eliminar datos correctamente es tan importante como protegerlos.
V.- ¿Por qué necesitas un abogado experto en privacidad y seguridad de la información?
Definir e implantar una política de conservación eficaz no es tan sencillo como marcar fechas en un calendario.
Requiere:
- Analizar todas las normativas que afectan a la organización.
- Traducir esas obligaciones en procedimientos claros y prácticos.
- Integrar privacidad, seguridad (ISO 27001) y procesos de negocio.
- Formar y concienciar a todo el personal.
Por eso, contar con un abogado especializado en protección de datos, derecho tecnológico y normas internacionales es una inversión, no un gasto. Sólo con un enfoque jurídico y técnico coordinado se puede garantizar un cumplimiento real y duradero.
VI.- Conclusión: la conservación de datos es privacidad, es seguridad y es estrategia empresarial
En definitiva:
- No se pueden conservar datos personales para siempre.
- La ley y las normas de seguridad como ISO 27001 lo exigen.
- Cada tipo de dato tiene sus propios plazos de conservación.
- No eliminar puede generar sanciones, riesgos y pérdida de reputación.
En Valia Legal te ayudamos a ir más allá del mero cumplimiento. Diseñamos políticas de conservación ajustadas a tus necesidades y te acompañamos para integrar privacidad y seguridad en el ADN de tu organización. Contacta con nuestro equipo y te asesoraremos sin compromiso. No cumplir con los plazos de conservación puede poner en riesgo tu negocio. ¿Tienes política de conservación o guardas «por si acaso»?
