Si quieres eliminar datos antiguos y no sabes qué plazos de conservación aplicar
Sí puedes y debes eliminar datos antiguos: la normativa exige minimización y no conservar datos más tiempo del necesario. Lo que determina el plazo es la finalidad del tratamiento, obligaciones legales que te obliguen a conservar (por ejemplo, obligaciones fiscales o contables) y necesidades internas justificadas y documentadas. Primer paso: inventario de categorías de datos y la finalidad asociada para fijar criterios de retención y eliminación.
¿Necesitas abogados de protección de datos y privacidad?
Compara abogados especializados y elige con calma. Análisis de tu caso gratuito.
Ver abogados Sin compromiso · GratisAbogados especializados en este caso
¿Tienes razón?
La obligación de no conservar datos indefinidamente es central. Para saber si puedes eliminar datos debes responder tres preguntas: para qué recogiste esos datos, si existe una obligación legal que impida la supresión y si existe una necesidad legítima de conservarlos (por ejemplo, reclamaciones pendientes). Si la finalidad ya no existe y no hay ninguna obligación legal o procedimiento en curso, normalmente deberías proceder a la eliminación o seudonimización.
No hay un único plazo aplicable a todos los datos: las facturas, los historiales clínicos, los contratos laborales y las listas de marketing tienen naturalezas distintas. Además, las reglas de conservación pueden variar según la normativa sectorial y autonómica. Por eso tu punto de partida es clasificar los datos por categoría y finalidad.
Cómo se soluciona
- Inventario y clasificación. Reúne listados de sistemas, bases de datos y archivos donde residen los datos. Para cada conjunto, responde: qué datos contiene, para qué se usan, quiénes acceden y si hay obligaciones legales de conservación.
- Define criterios de retención por categoría. En lugar de un número rígido, define criterios: por ejemplo, "conservar mientras exista relación contractual", "conservar durante el periodo necesario para la gestión de garantías", "conservar hasta la resolución definitiva de reclamaciones". Para obligaciones legales establece en qué supuestos no puedes borrar porque hay exigencias fiscales, laborales o contables.
- Documenta las decisiones. Redacta una política de conservación que explique los criterios y el procedimiento de eliminación. Esa política debe incluir responsables, calendarios de revisión y excepciones justificadas.
- Implementa el proceso técnico. Asegura que la eliminación se realiza realmente: procedimientos para borrar en producción, copias de seguridad, y seudonimización donde proceda. Documenta el borrado y conserva registros de las acciones realizadas.
- Revisa contratos con terceros. Asegúrate de que los encargados del tratamiento respetan tus plazos y que existen cláusulas sobre la eliminación de datos al terminar la relación.
- Plan de reacción ante reclamaciones. Conserva evidencias y datos necesarios si hay reclamaciones o procedimientos judiciales en curso. Ten un procedimiento que bloquee eliminaciones en caso de litigio.
Qué puedes hacer hoy: listar las categorías más sensibles (clientes activos e inactivos, empleados, contabilidad) y elaborar el borrador de criterios. Cuándo necesitas abogado: si existe conflicto entre obligaciones legales y la minimización, o si las obligaciones sectoriales (sanidad, educación) requieren interpretación especializada.
Qué puede pasar
1) Se arregla con limpieza y política. La mayoría de problemas se resuelven creando y aplicando una política de conservación y ejecutando el borrado controlado, lo que reduce riesgos y mejora cumplimiento.
2) Acuerdo o supervisión administrativa. Si hay una reclamación por conservación indebida, la autoridad puede solicitar que demuestres el motivo de la retención y exigir medidas correctoras; un acuerdo para adaptar la política suele ser posible.
3) Sanción o litigio. Si conservas datos sin base y sin justificación, la autoridad puede imponer medidas y sanciones. En vía civil, los afectados pueden reclamar daños si acreditan perjuicio. Si pierdes, podrías afrontar medidas correctoras y multas; si tu organización no tiene fondos, la ejecución práctica puede ser parcial.
Y si ganas, ¿cobras? En materias de protección de datos, ganar una demanda no siempre se traduce en cobro efectivo si la otra parte no dispone de recursos. Lo esencial es la reparación y la adaptación normativa.
Errores que arruinan el caso
- No documentar las excepciones: borrar por error o, a la inversa, mantener "por si acaso" sin justificación.
- Olvidar las copias de seguridad: borrar en sistema sin eliminar las copias deja los datos accesibles.
- No actualizar cláusulas contractuales con encargados que siguen conservando datos.
- No coordinar con departamentos contables o laborales sobre obligaciones legales mínimas.
- No bloquear eliminaciones ante litigio o reclamación procedente.
¿Necesitas un abogado para esto?
Puedes empezar por hacer el inventario y redactar criterios básicos de conservación; eso suele ser suficiente para eliminar datos obsoletos. Necesitas un abogado si hay conflicto con obligaciones legales complejas (fiscal, laboral, sectores regulados), si hay reclamaciones en curso o si debes interpretar normativa autonómica. Un abogado también ayuda a diseñar cláusulas contractuales con encargados y a justificar criterios ante la AEPD.
Casos relacionados
Otros problemas frecuentes en abogados de protección de datos y privacidad
Preguntas frecuentes sobre este caso
No si existe una obligación legal de conservación por motivos fiscales o contables. Debes identificar la obligación específica antes de borrar facturas.
Si la finalidad ya no existe y no hay obligaciones pendientes, conviene suprimir o seudonimizar esos datos. Mantenerlos "por si acaso" no cumple el principio de minimización.
La seudonimización reduce riesgos porque separa identificadores; es una medida útil cuando debes conservar datos para análisis o cumplimiento, pero no elimina la obligación de justificar la retención.
La responsabilidad recae en el responsable del tratamiento, normalmente la dirección o la persona designada para protección de datos, que debe justificar los criterios y documentarlos.
Sí. Automatizar reduce errores, pero debes asegurar controles, excepciones y registros que prueben que la eliminación se ejecutó correctamente.
¿Necesitas resolver este problema legal?
Te conectamos con los mejores abogados especializados. Consulta gratuita y sin compromiso.