Cumplimiento

Plazos de conservación de datos: tabla y plantilla

Tabla de plazos de conservación de datos en España por tipo: laboral, fiscal, mercantil, videovigilancia y blanqueo, con plantilla de calendario y bloqueo.

También disponible en:English·Français·Deutsch

En una frase. No existe un plazo único de conservación en el RGPD: cada dato se conserva el tiempo necesario para su finalidad y luego se bloquea o suprime; en España los plazos vienen fijados por normas sectoriales (4 años laboral y fiscal, 6 años mercantil, 10 años blanqueo, 1 mes videovigilancia), que reunimos abajo en una tabla y una plantilla de calendario.

El principio de limitación del plazo de conservación (art. 5.1.e RGPD) es de los más incumplidos y de los más fáciles de auditar: basta con preguntar durante cuánto tiempo se guarda cada dato y por qué. Este artículo traduce ese principio en una tabla de plazos legales españoles y una plantilla de calendario de conservación.

Puntos clave

  • El art. 5.1.e RGPD prohíbe conservar datos identificables más tiempo del necesario para la finalidad.
  • No hay un plazo universal: se determina por la finalidad y por las normas sectoriales aplicables.
  • Tras el fin de la finalidad, el art. 32 LOPDGDD obliga al bloqueo de los datos antes de su supresión definitiva.
  • Los datos de videovigilancia se suprimen en un máximo de un mes (art. 22.3 LOPDGDD).
  • Los plazos deben constar en el registro de actividades de tratamiento y en la política de privacidad.

1. Cómo se fija un plazo de conservación

El RGPD no da cifras: obliga a conservar los datos “el tiempo necesario para los fines”. Ese tiempo se determina en tres pasos. Primero, mientras dure la relación o la finalidad activa (por ejemplo, mientras el cliente lo sea). Segundo, tras finalizar, durante el plazo de prescripción de las posibles responsabilidades legales (fiscales, laborales, mercantiles). Tercero, superado ese plazo, el dato debe bloquearse y después suprimirse. Este razonamiento se desarrolla en la guía sobre limitación del plazo de conservación.

2. Tabla de plazos legales en España

Los plazos siguientes son los de referencia habitual. Deben adaptarse al caso concreto y a la existencia de reclamaciones abiertas.

Tipo de dato Plazo Norma
Documentación laboral (nóminas, contratos) 4 años Art. 21 LISOS / ET
Cotizaciones a la Seguridad Social 4 años Ley General Seguridad Social
Datos fiscales y contables 4 años Art. 66 LGT
Libros y documentación mercantil 6 años Art. 30 Código de Comercio
Prevención de blanqueo de capitales 10 años Art. 25 Ley 10/2010
Imágenes de videovigilancia 1 mes Art. 22.3 LOPDGDD
Currículos de candidatos no seleccionados 1 año (orientativo) Criterio AEPD
Datos de clientes (garantías y responsabilidad) Hasta prescripción (gral. 5 años) Art. 1964 Código Civil

Los plazos fiscales pueden ampliarse a 10 años en supuestos de la Ley 58/2003 relacionados con bases o cuotas pendientes de compensación. En recursos humanos conviven varios de estos plazos sobre un mismo expediente, por lo que debe fijarse el más largo aplicable a cada documento.

3. La política de bloqueo del art. 32 LOPDGDD

Muchos responsables creen que “conservar el tiempo necesario” significa borrar en cuanto termina la relación. No es así: el art. 32 LOPDGDD introduce el bloqueo. Cuando ya no se necesitan para la finalidad, los datos no se borran de inmediato, sino que se conservan bloqueados —accesibles solo para atender responsabilidades legales y a disposición de jueces, tribunales, Ministerio Fiscal o autoridades— durante el plazo de prescripción. Solo después se suprimen.

En la práctica, esto exige marcar los registros como bloqueados, restringir su acceso y documentar la fecha de bloqueo y de supresión prevista.

4. Cómo se solapan los plazos sobre un mismo expediente

El error más común es aplicar un único plazo a todo un expediente cuando, en realidad, conviven varios. Un expediente laboral contiene la nómina (4 años a efectos laborales), los datos fiscales asociados (4 años), la documentación de cotización (4 años ante la Seguridad Social) y, si hubo un accidente, el parte médico (que puede exigir plazos superiores por la prescripción de responsabilidades). La regla práctica es simple: se aplica el plazo más largo exigible a cada documento concreto, no un plazo medio para todo.

Otro punto delicado son las reclamaciones abiertas. Si un dato está afectado por un procedimiento judicial o administrativo en curso, no puede suprimirse aunque haya vencido su plazo ordinario: debe conservarse hasta la resolución firme del asunto. Documentar esta excepción evita borrados que después resultan perjudiciales para la propia empresa.

Conviene también distinguir entre el dato y su soporte. Una factura puede conservarse por obligación mercantil sin que ello legitime seguir usando el correo electrónico del cliente para marketing: el plazo legal de conservación no reactiva finalidades que ya se extinguieron. Esta separación entre finalidad de conservación y finalidad de uso es la que la AEPD examina cuando revisa por qué una empresa sigue disponiendo de una base de datos antigua.

5. Plantilla de calendario de conservación

Calendario de conservación de [Empresa]

Actividad Categoría de datos Inicio del cómputo Plazo activo Bloqueo Supresión
Nóminas Datos laborales Fin de contrato Vigencia +4 años Al vencer
Facturación Datos fiscales Fecha factura Vigencia +4 años Al vencer
Videovigilancia Imágenes Grabación 1 mes
CV descartados Datos de contacto Recepción 1 año

Cada fila debe enlazarse con su actividad en el registro de tratamientos y con el contrato de encargado cuando quien conserva es un proveedor. Automatizar los avisos de supresión evita el error más común, que es conservar de forma indefinida “por si acaso”. Plataformas como Legiscope permiten fijar el plazo por actividad y generar alertas al vencer, en lugar de depender de revisiones manuales.

Los plazos deben reflejarse también en la plantilla de política de privacidad y verificarse en cada auditoría RGPD. El texto consolidado del RGPD está disponible en EUR-Lex, y la LOPDGDD en el BOE.

FAQ

¿Cuánto tiempo puedo conservar los datos de un cliente?

El tiempo necesario para la finalidad más el plazo de prescripción de las responsabilidades derivadas. Con carácter general, tras finalizar la relación se conservan bloqueados durante los plazos legales (fiscal 4 años, mercantil 6 años) y, en su caso, hasta la prescripción de acciones civiles.

¿Qué diferencia hay entre bloquear y suprimir datos?

Suprimir es borrar. Bloquear (art. 32 LOPDGDD) es conservar los datos con acceso restringido, únicamente para atender responsabilidades legales, hasta que prescriban. El bloqueo es un paso previo obligatorio a la supresión definitiva.

¿Cuánto se pueden guardar las imágenes de videovigilancia?

Un mes como máximo desde la captación (art. 22.3 LOPDGDD), salvo que deban conservarse para acreditar una infracción o entregarse a las autoridades. Guardarlas más tiempo sin justificación es sancionable.

¿Debo documentar los plazos de conservación?

Sí. Deben constar en el registro de actividades de tratamiento (art. 30 RGPD) y en la información que se facilita a los interesados (art. 13 RGPD). La ausencia de plazos documentados es una infracción del principio de limitación.

¿Qué ocurre si conservo los datos más tiempo del necesario?

Conservar datos identificables sin una base que lo justifique vulnera el principio de limitación del plazo (art. 5.1.e RGPD) y es una de las infracciones más fáciles de acreditar en una inspección. La solución no es borrar por sistema, sino fijar plazos por actividad, bloquear al vencer y suprimir después de forma documentada.

¿Puedo conservar los datos indefinidamente si los anonimizo?

Sí. Un dato correctamente anonimizado deja de ser dato personal y queda fuera del RGPD, por lo que puede conservarse sin límite temporal, por ejemplo con fines estadísticos. La clave es que la anonimización sea real e irreversible: si es posible reidentificar a la persona, el dato sigue siendo personal y le aplican los plazos de conservación ordinarios.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →