El principio de limitación de la conservación de datos RGPD, establecido en el Art. 5(1)(e), exige que los datos personales se conserven en forma que permita la identificación de los interesados durante un periodo no superior al necesario para los fines del tratamiento. No existe un plazo universal: cada categoría de datos requiere una justificación específica. La AEPD sancionó en 2023 a Vodafone España con 3,94 millones EUR (Expediente PS/00059/2021) por conservar datos de clientes durante periodos injustificados, y la CNIL impuso 14,5 millones EUR a Deutsche Wohnen por retener datos de inquilinos sin base legal para su eliminación. Estas cifras confirman que la limitación conservación datos RGPD es un área de supervisión prioritaria para las autoridades de control europeas.
Puntos Clave
- El Art. 5(1)(e) RGPD prohíbe conservar datos personales en forma identificable más allá del tiempo necesario para la finalidad del tratamiento.
- Los plazos de conservación deben documentarse en el registro de actividades de tratamiento y en la política de privacidad.
- No existe un plazo único europeo: cada sector y tipo de dato tiene requisitos específicos derivados de la legislación nacional y sectorial.
- La AEPD ha sancionado a múltiples organizaciones por conservación excesiva, con multas de hasta 3,94 millones EUR.
- Las organizaciones deben implementar mecanismos de eliminación automatizada para reducir el riesgo de incumplimiento.
El Art. 5(1)(e) RGPD: qué exige exactamente
El artículo 5(1)(e) del RGPD establece que los datos personales serán:
“conservados en una forma que permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”
Este principio se conecta directamente con el principio de minimización de datos (Art. 5(1)©) y con la limitación de la finalidad (Art. 5(1)(b)). La conservación solo se justifica mientras persista la finalidad original del tratamiento o una obligación legal que la sustente.
El RGPD permite una excepción: los datos pueden conservarse durante periodos más largos cuando se tratan exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos, siempre que se apliquen las garantías del Art. 89(1), como la seudonimización.
Plazos de conservación por sector
El RGPD no prescribe plazos concretos, lo que obliga a las organizaciones a justificar sus decisiones con base en la finalidad y la legislación aplicable. La siguiente tabla recoge los plazos habituales en la práctica europea y española.
| Sector | Tipo de dato | Plazo habitual | Base legal |
|---|---|---|---|
| Sanitario | Historiales clínicos | 5-15 años (España: mínimo 5 años, Ley 41/2002) | Legislación sanitaria nacional |
| Financiero | Registros de transacciones | 6-10 años | Ley contra el blanqueo de capitales, legislación fiscal |
| Laboral/RRHH | Expedientes de empleados | Duración del contrato + 4 años (prescripción laboral en España) | Derecho laboral, obligaciones fiscales |
| Marketing | Registros de consentimiento | Duración del consentimiento + 3 años | Art. 6(1)(a) RGPD, orientaciones CNIL |
| Comercio electrónico | Datos de compra de clientes | 3-5 años | Ejecución del contrato, obligaciones fiscales |
| Telecomunicaciones | Datos de tráfico/localización | 12 meses (Ley 25/2007 en España) | Directiva ePrivacy, Ley de conservación de datos |
| Seguros | Datos de pólizas y siniestros | 5 años desde la finalización del contrato | Ley de Contrato de Seguro |
| Educación | Expedientes académicos | Duración de los estudios + 5-10 años | Legislación educativa nacional |
| Videovigilancia | Imágenes CCTV | Máximo 30 días (Instrucción AEPD 1/2006) | Interés legítimo, LOPDGDD |
Particularidades del derecho español
En España, la LOPDGDD y la legislación sectorial establecen plazos específicos que las organizaciones deben respetar. El plazo de prescripción de las infracciones de la LOPDGDD es de 3 años para infracciones muy graves, lo que influye en la conservación de documentación acreditativa del cumplimiento. La Ley 58/2003 General Tributaria obliga a conservar la documentación fiscal durante 4 años desde la finalización del plazo voluntario de declaración.
Cómo implementar una política de conservación conforme
Paso 1: Auditoría de datos
Realice un inventario exhaustivo de todos los datos personales tratados. El registro de actividades de tratamiento constituye la base documental obligatoria conforme al Art. 30 del RGPD. Cada categoría de datos debe tener asignado un plazo de conservación justificado.
Paso 2: Clasificación y asignación de plazos
Asigne plazos de conservación a cada categoría de datos basándose en la finalidad del tratamiento, las obligaciones legales aplicables y los plazos de prescripción relevantes. Documente la justificación de cada plazo.
Paso 3: Automatización de la eliminación
Implemente flujos de trabajo automatizados para la eliminación o anonimización de datos al vencimiento del plazo de conservación. La eliminación manual es propensa a errores y difícilmente escalable. El CEPD identificó en su acción coordinada de 2025 que la ausencia de capacidades automatizadas de eliminación es una de las deficiencias más frecuentes.
Paso 4: Revisión periódica
Programe revisiones anuales para verificar que los plazos de conservación siguen siendo adecuados y que los mecanismos de eliminación funcionan correctamente. Los cambios legislativos, las nuevas orientaciones de la AEPD o las modificaciones en las finalidades del tratamiento pueden requerir ajustes.
Gestionar la conservación de datos manualmente en organizaciones con múltiples tratamientos es un riesgo operativo. Legiscope automatiza la asignación de plazos de conservación, genera alertas de vencimiento y documenta la eliminación para demostrar el cumplimiento ante la AEPD.
Sanciones por conservación excesiva
Las autoridades de control europeas han impuesto sanciones significativas por incumplimientos del principio de limitación de la conservación.
Casos de la AEPD
La AEPD sancionó a Vodafone España con 3,94 millones EUR (Expediente PS/00059/2021) por múltiples infracciones que incluían la conservación de datos de clientes durante periodos no justificados. En el Expediente PS/00413/2019, la Agencia impuso 75.000 EUR a una empresa por conservar datos de videovigilancia más allá del plazo máximo de 30 días establecido en la Instrucción 1/2006.
Casos europeos relevantes
La autoridad berlinesa de protección de datos impuso 14,5 millones EUR a Deutsche Wohnen por conservar datos de inquilinos en un sistema de archivo que no permitía la eliminación de datos obsoletos. El TJUE confirmó en el caso Digi Kft (Caso C-77/21) que copiar datos personales a un entorno de pruebas no crea una nueva base legal para su conservación prolongada: la empresa húngara fue sancionada con 100 millones HUF (aproximadamente 248.000 EUR) por mantener datos en una base de datos de pruebas durante 18 meses sin finalidad.
Acción coordinada del CEPD (2025)
En febrero de 2026, el CEPD publicó los resultados de su acción coordinada de 2025 sobre el derecho de supresión, en la que 32 autoridades auditaron a 764 responsables en toda Europa. Las dos debilidades más frecuentes fueron la ausencia de clasificación interna sistemática de datos y la falta de capacidades automatizadas de eliminación en los sistemas informáticos.
FAQ
¿Cuánto tiempo se pueden conservar datos personales bajo el RGPD?
No existe un plazo universal. El Art. 5(1)(e) RGPD exige que los datos se conserven solo durante el tiempo necesario para la finalidad del tratamiento. Los plazos dependen del tipo de dato, la legislación sectorial y las obligaciones legales aplicables. Los datos de RRHH pueden conservarse durante la relación laboral más los años de prescripción, mientras que las imágenes de videovigilancia deben eliminarse en un máximo de 30 días según la normativa española.
¿Qué ocurre si una organización no tiene política de conservación de datos?
Las autoridades de control consideran la ausencia de plazos de conservación documentados como una infracción del Art. 5(1)(e) del RGPD. La AEPD ha sancionado a organizaciones por no disponer de una política de conservación documentada, y el CEPD ha identificado esta carencia como una de las deficiencias más frecuentes en sus auditorías coordinadas. Las multas pueden alcanzar los 20 millones EUR o el 4% del volumen de negocio anual global.
¿Los datos anonimizados están sujetos a plazos de conservación del RGPD?
No. Los datos verdaderamente anonimizados no constituyen datos personales y quedan fuera del ámbito de aplicación del RGPD. Sin embargo, la anonimización debe ser irreversible, lo que significa que no debe ser posible reidentificar a los interesados mediante la combinación con otros datos disponibles. La seudonimización, por el contrario, no excluye los datos del ámbito del RGPD y sigue sujeta a plazos de conservación.
¿Cómo deben gestionar los plazos de conservación las empresas en España?
Las empresas en España deben cumplir tanto con el RGPD como con la LOPDGDD y la legislación sectorial aplicable. Deben documentar los plazos de conservación en el registro de actividades de tratamiento, informar a los interesados en la política de privacidad, implementar mecanismos de eliminación automatizada y revisar periódicamente que los plazos se cumplen efectivamente. La AEPD recomienda utilizar la herramienta Facilita RGPD como punto de partida para organizaciones de menor tamaño.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
