El “principio de limitación del plazo de conservación”, se encuentra en el artículo 5.1.e) RGPD. Los datos personales deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales. Ahora bien, los datos “podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.” Por tanto, los datos que identifican a los interesados deberán conservarse hasta que se haya satisfecho la finalidad del tratamiento, salvo que se traten exclusivamente con fines de archivo en interés público, investigación científica o histórica, o estadística en cuyo caso podrán conservarse durante más tiempo.
Ni el RGPD ni la LOPDGDD delimitan los plazos de conservación de la documentación que contiene datos personales que maneja una empresa, y si adoptamos estas dos posturas, nos enfrentamos a posibles incumplimientos y sanciones:
a) BORRADO INMEDIATO: puede suponer el incumplimiento de otras obligaciones tributarias o societarias, ya que, en caso de requerimiento o inspección por parte de la autoridad las empresas deberán disponer de la información que se les solicite.
b) CONSERVACIÓN POR TIEMPO INDEFINIDO: Conservar los datos personales por tiempo indefinido, supone un incumplimiento del RGPD.
Por tanto, es necesario conservarlos, para respetar unos plazos, en base a lo que establezca el legislador para cada caso en concreto, y de hacerlo, implementando unas medidas, para garantizar la confidencialidad, adoptaremos las medidas de seguridad necesarias.
PLAZOS LEGALES:
• Obligaciones personales que no tengan fijado plazo de prescripción: 5 años.
• Libros, correspondencia, documentación y justificantes concernientes al negocio: 6 años.
• Obligaciones tributarias: 4 años. No obstante, podría tener justificación conservar la documentación durante 10 años (art. 66 bis, 259.3 a) y 262 LGT y art.131 en relación con el art.305 Código Penal.
• Cumplimiento de obligaciones en materia social: 4 años. No obstante, podría tener justificación conservar la documentación durante 10 años (131 en relación con el art. 307 bis y art.307 ter Código Penal).
• Documentación laboral (acciones derivadas del contrato de trabajo): 1 año
• Documentación relativa a datos de salud en materia de Prevención de Riesgos Laborales: 40 años.
• Cumplimiento de obligaciones sobre protección de datos: 3 años. No obstante, si el interesado afectado demanda por la vía civil a una empresa por incumplimiento de la normativa sobre protección de datos, el plazo de prescripción de las acciones extracontractuales es 1 año.
- (En cuanto a los CV) NO hay un plazo legal, pero la recomendación es conservar dicha información un máximo de 2 años desde la recepción del Currículum.
MEDIDAS DE SEGURIDAD:
– BLOQUEO DE LOS DATOS. Si se opta por el bloqueo la consecuencia es que nadie podrá acceder a tratar dichos datos.
– ANONIMIZACIÓN. Supone que estos dejan de tener la consideración de dato personal, ya que a través de la anonimización lo que se pretende es eliminar las posibilidades de identificar a una persona.
– PSEUDONIMIZACIÓN. Por medio de ella lo que se busca es tratar el dato personal sin el dato que identifica al interesado, pero sin suprimir la vinculación entre los datos, es decir, pudiendo revertir el proceso. (P.E. sustituir el nombre y apellidos de un cliente por números o códigos).
