Tiempo de vida de los datos de carácter personal

Introducción

Una de las grandes dudas actuales, con respecto al tratamiento de datos de carácter personal, es el tiempo de almacenamiento de los datos personales que una organización recoge y trata.

A veces no se tiene claro cual debe ser el plazo de conservación de este tipo de datos y se opta por aplicar “la ley del por si acaso” la cual dicta que deben almacenarse de forma indefinida, por si son necesarios en algún momento. Como se puede intuir, esto no es solo una mala práctica, sino que aumenta el riesgo ante una fuga de datos (sobre datos que realmente ya no son necesarios) y, además, conlleva un gasto añadido de recursos tanto humanos, técnicos como económicos, que pueden tener un gran impacto en el negocio.

Por ello, es necesario que cada organización realice un análisis de todos los tipos de datos de carácter personal que recaba y/o almacena y analice el plazo de conservación o tiempo de vida necesario para dichos datos, de tal modo que solo se almacenen durante el tiempo mínimo necesario para el negocio y/o cumplir con responsabilidades legales.

Principios del RGPD relacionados con el tiempo de vida de los datos personales

Limitación de la finalidad y proporcionalidad
En la normativa vigente de protección de datos se indica que los tratamientos deben estar limitados en función de su finalidad, que ésta debe estar correctamente determinada y que los datos personales deben de haberse adquirido de una forma explícita, legítima y, además, también deben estar bajo el paraguas de la proporcionalidad:

• Proporcionalidad:
• Este principio indica que solo se deben recabar aquellos datos mínimos necesarios para prestar el servicio demandando o necesarios para el negocio; no se deben recabar datos innecesarios, es decir, los datos solo podrán recogerse cuando sean adecuados, pertinentes y no excesivos.
• Explícito:
• El interesado debe conocer la finalidad y/o finalidades para la cuales se están recogiendo sus datos de carácter personal.
• Legítimo:
• La organización que recaba los datos solo debe utilizarlos para aquellas finalidades o fines para las cuales está autorizada por el interesado.

Por tanto, no se podrán tratar ni conservar (que no deja de ser un tipo de tratamiento sobre un dato de carácter personal), de manera posterior a su recogida, para otros fines distintos para los cuales el interesado y propietario de los datos ha otorgado su consentimiento, excepto para lo que se conoce como fines ulteriores, que son, de forma exclusiva, los siguientes:

• Con fines de almacenamiento en interés público.
• Para investigación científica e histórica.
• Fines estadísticos.

NOTA: Siempre que los datos sean usados para fines ulteriores se deberán utilizar técnicas que no permitan su identificación, tales como la anonimización o seudonimización.

Calidad de los datos

Atendiendo al principio de calidad de los datos de carácter personal, la legislación vigente de protección de datos personales establece que los datos deben:

• Ser exactos.
• Estar actualizados.
• Solo ser usados para las finalidades indicadas al interesado. Si la finalidad cambia, los datos deben cancelarse.

Cancelación de los datos

Es el derecho que tiene todo individuo a solicitar al responsable del tratamiento la supresión definitiva de los datos de carácter personal que le conciernen. Esto puede ser debido a varias circunstancias:

• Resulten excesivos o inadecuados.
• Dejen de ser necesarios para la finalidad para la que se recabaron.
• El interesado a retirado su consentimiento.
• El interesado haya ejercido su derecho de oposición.
• Se hayan tratado los datos de forma ilícita.
• Debido a una obligación legal.

Estrategia de almacenamiento y borrado de datos personales

Una de las muchas estrategias que se pueden implementar para abordar la cuestión de ¿Cuánto tiempo es necesario almacenar los datos de carácter personal? es la siguiente:

1. Política relativa al periodo de retención de datos y Autorregulación.
   Implementar una política formal para la retención de datos de carácter personal que indique los datos que se deben conservar, el periodo de tiempo por el cual se deben conservar, afectación de alguna legislación, así como el lugar donde residen los datos, de modo que se puedan destruir o eliminar de manera segura cuando ya no sean necesarios.
   
   Es importante y muy necesario conocer dónde se encuentran los datos de carácter personal (tanto los que se encuentran en soporte físico como los que se encuentran en soporte digital) para poder conservarlos o eliminarlos correctamente cuando ya no sean necesarios. A fin de definir los requisitos de retención apropiados, la organización primero debe entender las necesidades de su negocio, así como cualesquiera obligaciones legales y/o regulatorias que se apliquen en su industria y/o se apliquen al tipo de dato que se retiene.
   
   Esta política debe ser conocida por todas las partes interesadas, tanto internas (gerencia, empleados, etc.) como externas (proveedores de servicio, etc.) para que sea aplicada de forma correcta en las tareas diarias del día a día e intentar minimizar al máximo los posibles errores que pudieran existir.
2. Seguridad en los activos de almacenamiento
   La información o datos de carácter personal y, en general, cualquier tipo de información que constituya un valor para una organización debe almacenarse en activos o soportes (servidores, discos duros, etc.) que ofrezcan una gran fiabilidad. Además, se le deberá proveer de las medidas de seguridad oportunas para evitar la pérdida u acceso a la información por terceras partes no autorizadas. Estas medidas de seguridad dependerán, en gran parte, del tipo de soporte sobre el cual se estén al almacenando los datos:
   • Soporte digital:
   • Control de acceso lógico.
   • Software antimalware.
   • Firewall.
   • Data Loss Prevention (DLP).
   • File Integrity Monitor (FIM).
   • Gestión de logs.
   • Etc.
   • Soporte papel:
   • Control de acceso físico.
   • Registro físico de acceso a la información.
   • Sobres anti-tampering.
   • Etc.
3. Procedimiento de supresión de datos de carácter personal
   El proceso de borrado de los datos de carácter personal que exceden su periodo de retención, en ocasiones, puede ser tedioso y no del todo sencillo, sobre todo, si no se dispone de una buena gestión del ciclo de vida de los datos personales. Para ayudar en esta tarea, se hace necesario el uso de un procedimiento, que puede ser manual o automático, que revise de forma periódica los datos de carácter personal y proceda con el borrado seguro de aquellos que hayan excedido su periodo de retención.
   
   Por ejemplo, se podría implementar un procedimiento programático (automático, a través de herramienta automatizadas o manual) para encontrar y eliminar los datos personales o una revisión manual de las áreas de almacenamiento de datos revisando el periodo de retención de datos de los mismos y eliminando de forma segura (por ejemplo, a través de una destructora de papel) los datos de carácter personal.
   
   La implementación de métodos de eliminación segura, deben asegurar que los datos de carácter personal no se puedan recuperar cuando ya no sea necesarios.
4. Programas de revisiones periódicas.
   Una buena práctica consiste en, de forma periódica (pero con un periodo de tiempo que no se extienda más allá de los 90 días), verificar que no existen en el entorno datos de carácter personal que han excedido su periodo de retención para, en primer lugar, comprobar la fiabilidad y eficacia de los procedimientos implementados y, en segundo lugar, cumplir con la legislación vigente en materia de protección de datos personales.

Periodos legales de prescripción de los datos

A continuación, se muestra una tabla en la cual se recogen los tipos de datos más comunes y sus plazos de almacenamiento según la legislación española vigente a 23 de abril de 2020:

Tipo	Descripción	Plazo
Contratos y otra documentación laboral	Contratos de trabajo, y anexos acuerdos adicionales. Hojas de salarios. Libro de visitas. Actas de reuniones con el Comité de Empresa (en su caso). Comunicaciones de apertura de centro de trabajo. Contratos de puesta disposición formalizados con ETT (si procede). Expedientes disciplinarios. Acuerdos de extinción, y documentos de saldo y finiquito.	Plazo mínimo de 4 años. Regla general de prescripción de las infracciones laborales a los 3 años (artículo 4.1 del Texto Refundido de la Ley sobe Infracciones y Sancionadores en el Orden Social (LISOS), APROBADO POR EL Real Decreto Legislativo 5/2000, de 4 de agosto. El artículo 30 del Código de comercio establece un periodo mínimo de 6 años. La Ley Orgánica 7/2012, de 27 de diciembre, recomienda guardarla durante 10 años
Nóminas	Los trabajadores solo deben firmar la nómina cuando se les pague en efectivo o mediante cheque o talón bancario. No es necesario cuando se les paga por transferencia bancaria porque el comprobante bancario del pago la sustituye. La nómina tiene la función de acreditar el pago del salario por lo que la empresa debe guardar una copia, ya sea en papel o digital, en función de los plazos de prescripción.	En relación con el trabajador: las nóminas prescriben pasados 12 meses, que es el tiempo máximo que tiene el trabajador para reclamar una cantidad. En relación con la Agencia Tributaria: el plazo de prescripción de todos los documentos, incluidas las nóminas, es de 4 años, desde el momento en que se presenta el impuesto. En relación con la Seguridad Social: las nóminas y los boletines de cotización a la Seguridad deben guardarse durante un periodo mínimo de 5 años para permitir las comprobaciones oportunas. En relación con la contabilidad: Las nóminas son un justificante de gasto, por lo que deberán conservarse durante seis años, según el Código de Comercio.
Seguridad social	Comunicaciones de alta y baja en Seguridad Social. Documentos de cotización (TC1/TC2 Recibos de Liquidación de Cotizaciones) a partir de 2015 substituidos por RNT). Certificados de situación de cotización Actas de infracción o Actas de liquidación.	Plazo mínimo de 4 años. Las infracciones en materia de Seguridad Social prescriben a los 4 años (artículo 4.2 de la LISOS; Real Decreto Legislativo 5/2000 sobre Infracciones y Sanciones de Orden Social). No obstante, es recomendable guardarla durante el periodo mínimo de 6 años que establece el artículo 30 del Código de Comercio. La Ley Orgánica 7/2012, de 27 de diciembre, recomienda guardarla durante 10 años.
Prevención de riesgos laborales	Concierto con el Servicio de Prevención (en su caso) Plan de Prevención. Planificación de la Actividad Preventiva o Plan de Riesgos. Emergencia; documentación sobre información y formación a los trabajadores. Evaluación de Riesgos; relación de accidentes de trabajo. Expedientes de accidentes laborales o enfermedades profesionales.	Plazo mínimo de 5 años. Las infracciones en materia de prevención de riesgos laborales prescriben a los 5 años si son muy graves (artículo 4.3 de la LISOS) No obstante, es recomendable guardarla durante el periodo mínimo de 6 años que establece el artículo 30 del Código de comercio.
Curriculum Vitae	Curriculums	Se recomienda 2 años. El Reglamento europeo de Protección de Datosestablece el límite de 24 meses para guardar CV sin actualizar.
Sanidad	Datos de pacientes.	Plazo mínimo de 5 años, pero depende de cada Comunidad autónoma. Puede llegar a ser indefinido para ciertos documentos como altas, bajas o el consentimiento informado, entre otros.
Videovigilancia	Datos procedentes de cámaras de videovigilancia.	Plazo máximo de 1 mes. Para aquellas imágenes que se vean afectadas por la ley de seguridad ciudadana se podrán conservar durante 3 años.
Fines comerciales	Nombre y apellidos Correo electrónico Teléfono	Hasta que el interesado solicita la baja.
Otros documentos	N/A	Copia de documentos de identidad de ciudadanos extranjeros: un mínimo de 4 años. Programas de desarrollo de carrera y de gestión de talento: un mínimo de 4 años. Datos relativos a trabajadores temporales: un mínimo de 4 años.

Conclusiones

Cada empresa u organización es un mundo en sí misma, por lo que es probable que se traten datos de muy distinta índole y no se tenga claro qué periodo de retención se deba aplicar a cada uno de ellos. Esto conduce a que se planteen el tiempo de vida de los datos de carácter personal se sus clientes de una forma errónea utilizando la fórmula mágica del “guardarlo por si acaso” que no es el mejor de los planteamientos ni el más correcto, puesto que llevar acabo estrategias de este tipo puede derivar en multas mayores por parte de las autoridades de control de cada estado miembro.
No existe una regla fija o un plazo fijo para la eliminación de los datos personales como hemos visto anteriormente, sino que dependerá mucho de los tipos de datos que se traten y la normativa legal que les aplique. Por ello, hay que tener claro lo siguiente:

• Los datos se deberán cancelar una vez hayan dejado de ser necesarios para la finalidad y/o finalidades para las que fueron recabados.
• Se deberán bloquear aquellos datos que les sea de aplicación una ley o norma con rango de ley de obligado cumplimiento por parte del responsable del tratamiento.
• Transcurridos dichos plazos, se deberán eliminar definitivamente los datos de carácter personal de todos los soportes donde se encuentren, ya sean digitales y/o en papel.

Lo ideal, es aplicar lo que hoy en día se conoce como “security by design”, es decir, instaurar la seguridad por defecto y, desde el principio, desde el primer momento en el cual se está diseñando un flujo de datos o un nuevo tratamiento de datos de carácter personal. En esta fase deberán contestarse 3 preguntas ¿qué? ¿cuánto tiempo? ¿cómo? También habrá que contestarse otras preguntas como ¿quién? ¿desde dónde se puede acceder? Pero estas preguntas darían para otro artículo.

---

Autor: Sergio Moreno - CCNA, PCIP, CCSP, CISSP, ISO 27001 L.A.
Dpto. Consultoría