Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Este documento de la Comisión Nacional de Informática y Libertades, C NIL, de Francia, recuerda que la conservación de datos personales está limitada por el principio de minimización temporal: los datos no pueden guardarse indefinidamente, sino solo durante el tiempo necesario para cumplir la finalidad del tratamiento.
El documento organiza es argumento lógico, emulando un ciclo de vida con tres etapas. Primero, la base activa, donde los datos se usan de forma ordinaria para el objetivo inicial. Luego, el archivo intermedio, al que se trasladan los datos cuando ya no son útiles para la gestión diaria, pero deben mantenerse por una obligación legal, por razones probatorias o por posibles reclamaciones. Finalmente, el archivo definitivo, reservado a datos con valor histórico o patrimonial.
La CNIL subraya que los plazos de conservación pueden ser fijados previamente por una norma, pero de no existir una regla específica, el responsable del tratamiento debe determinar el plazo adecuado según la finalidad concreta. En la práctica, eso exige analizar el tiempo se necesitan realmente los datos, si hay obligaciones legales de conservación y si existe un riesgo de litigio que justifique mantener más tiempo.
El texto también destaca la utilidad de los documentos de apoyo de la CNIL, en especial una Guía práctica y Referenciales sectoriales. Estos instrumentos no sustituyen al análisis jurídico del responsable, pero sirven como marco de referencia para adoptar plazos coherentes y defendibles.
En términos prácticos, el mensaje central es doble: no conservar de más y documentar bien la decisión de conservación. Eso implica definir plazos, prever supresión o archivado al finalizar la finalidad, y revisar periódicamente si esos plazos siguen siendo proporcionados y conformes con el RGPD.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privadas positivas en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
________________________________________________________
2 de abril de 2026
Los datos personales no pueden conservarse indefinidamente: debe determinarse un período de conservación por el responsable del tratamiento en función de la finalidad para la cual se recabaron esos datos. Este principio de conservación limitada de datos personales está previsto en el RGPD y en la Ley francesa de Protección de Datos.
·
El ciclo de vida de los datos
Para un mismo tratamiento, los datos personales pasan por fases sucesivas. Esto se conoce como el "ciclo de vida" de los datos personales.
Este ciclo tiene tres fases:
1.Conservación en base activa
Se trata de la duración necesaria para lograr el
objetivo (finalidad del tratamiento) que justificó la recopilación/registro de
los datos. Por ejemplo, en una empresa, el departamento de recursos humanos
conservará los datos de un candidato no seleccionado durante un máximo de 2
años (a menos que solicite su eliminación).
En la práctica, los datos serán fácilmente accesibles
en el entorno de trabajo inmediato por los servicios operativos encargados de
este tratamiento (por ejemplo, el departamento de recursos humanos para las
operaciones de reclutamiento).
2.Archivo intermedio
Los datos personales ya no se utilizan para la
finalidad indicada («archivos cerrados»), pero conservan valor administrativo
para la organización (por ejemplo, para la gestión de posibles litigios, etc.)
o deben conservarse para cumplir con una obligación legal (por ejemplo, los
datos de facturación deben conservarse durante diez años según el Código de
Comercio, aunque la persona interesada ya no sea cliente). En estos casos, el
personal autorizado podrá acceder a los datos de forma puntual y por motivos
específicos.
Si el archivamiento intermedio es necesario y
justificado, debe implementarse una separación de la base de datos activa. Esta
separación puede ser física (extracción de datos del sistema de información
para almacenarlos por separado en una base de datos de archivado dedicada,
accesible solo al personal específicamente autorizado) o lógica (los datos se
aíslan de otros datos limitando los derechos de acceso para que sean
inaccesibles para quienes ya no necesitan tratarlos).
3.Archivo definitivo
Debido a su "valor" e interés, cierta
información se archivan de forma definitiva y perenne.
A diferencia de la conservación en bases activas de
datos, los dos últimos etapas no se implementan sistemáticamente. Su necesidad
debe evaluarse para cada tratamiento y, para cada una de estas fases, se
llevará a cabo un triaje entre los datos.
Un mismo dato se utiliza en dos operaciones de tratamiento
distintas. ¿Cómo conjugar los dos periodos de conservación aplicables?
Un mismo dato personal puede ser utilizado para
tratamientos distintos y estar sujetos, por lo tanto, a diferentes periodos de
conservación. El archivamiento o la supresión de estos datos en uno de los
tratamientos no prohíbe de continuar a utilizar estos datos en otro tratamiento.
Identificación del período de conservación de los
tratamientos
La definición del período de conservación forma parte
del análisis de cumplimiento que el responsable debe llevar a cabo para su tratamiento.
En algunos casos, el período de conservación ha sido
fijado por la reglamentación (por ejemplo, el artículo L3243-4 del Código
Laboral exige al empleador conservar una copia de la nómina de pago del
empleado durante 5 años).
Sin embargo, para muchas operaciones de tratamiento de
datos, el período de conservación no está fijado por ley. En ese caso,
corresponde al responsable del tratamiento de datos determinar dicho período, según
la finalidad del tratamiento.
Las herramientas para ayudar a definir la duración
En el marco de su misión de apoyar a los
profesionales, la CNIL ha elaborado herramientas para ayudar a identificar los
períodos de conservación de datos aplicables, así como una guía para facilitar
la aplicación de este principio.
Estas herramientas están destinadas a cualquier
profesional, independientemente de su sector (público o
privado) y del tamaño de su organización.
La guía práctica sobre la duración de conservación responde a las preguntas más frecuentes de los
profesionales, tanto sobre el principio de limitar la duración del
almacenamiento como sobre su implementación.
También presenta la herramienta de "referencial
del período de conservación", desde el punto de vista de su contenido y de
su uso.
Elaborada en colaboración con el Servicio
Interministerial de Archivos de Francia (SIAF), esta guía práctica explica cómo
articular las obligaciones del RGPD con las impuestas por el Código del
Patrimonio.
Consulte la guía
práctica sobre los periodos de almacenamiento.
Referenciales de duración de conservación
El objetivo de estos referenciales es de facilitar
la búsqueda de la duración pertinente, efectuada el responsables del
tratamiento.
Se presentan bajo la forma de tablas, para los tratamientos
más recurrentes del sector en cuestión, las etapas del ciclo de vida de los
datos (base de datos activa o incluso archivo intermedio).
Las duraciones mencionadas para cada fase del ciclo de
vida de los datos son:
·
obligatorias , porque son impuestas por un texto legislativo
o reglamentario;
·
recomendadas en consideración a la doctrina de la CNIL (referenciales
sectoriales, recomendaciones, etc.), ellas sirven como referencia del
que el responsable del tratamiento puede apartarse, siempre que
documente su elección. La aplicación de estos plazos recomendados
constituye una presunción de cumplimiento.
Estos referenciales constituyen una herramienta
de apoyo a la toma de decisiones para las organizaciones,
proporcionándoles periodos de conservación y referencias textuales para
determinar, en función de sus propias actividades y obligaciones, los periodos
de conservación adecuados y justificados. Por lo tanto, deben utilizarse
como base de trabajo, a partir de la cual el responsable del
tratamiento de datos puede realizar su propio análisis, de acuerdo con las
características específicas del tratamiento en cuestión y el contexto
particular de la organización.
Los referenciales disponibles sobre el período de conservación
se refieren a:
· el sector
sanitario (excluida la investigación)
· el sector social
y médico-social
· la gestión de
recursos humanos
Estos documentos no son exhaustivos: solo se
enumeran los tratamientos más frecuentes.
Por lo tanto, es posible que un tratamiento no figure en el referencial, o que
no se mencionen las regulaciones sectoriales aplicables a una actividad en
particular.
Se recomienda verificar si la organización está sujeta
a regulaciones sectoriales específicas y, de ser así, aplicar los plazos de conservación
estipulados en ellas. En ausencia de regulaciones, el plazo de conservación
debe definirse según la finalidad del tratamiento (véase la tabla de
análisis en la guía sobre plazos de conservación de datos ,
páginas 13 y 14).
Además, las disposiciones legislativas y
reglamentarias que figuran en los referenciales de la CNIL se refieren
únicamente al derecho nacional. Por lo tanto, una empresa establecida en varios
países debe verificar si le son aplicables otras leyes nacionales diferentes.
Antes de utilizar la última versión del referencial,
le recomendamos que compruebe su fecha de actualización.
Para
más detalles sobre los referenciales de duración de la conservación, consulte la guía
práctica sobre la duración del almacenamiento (página 15 y
siguientes).
Las preguntas correctas a plantearse
· ¿Durante cuánto tiempo necesito realmente los datos
para alcanzar el objetivo establecido?
· ¿Tengo alguna obligación legal de conservar los datos
durante un período de tiempo determinado?
· ¿Necesito conservar ciertos datos para protegerme
contra un eventual litigio? ¿Cuáles datos?
· ¿Hasta cuándo puedo hacer valer este recurso en
justicia?
· ¿Qué información deben ser archivadas? ¿Durante cuánto
tiempo?
· ¿Cuáles son las reglas para la supresión de datos?
· ¿Cuáles son las normas para el archivo de datos?
Referencia del documento
A descargar
Guía práctica sobre la duración de conservación
[PDF - 763,48 KB]
[PDF - 420,25 KB]
Referencial sobre la duración de la conservación en
el ámbito de la investigación en salud.
[PDF - 430,08 KB]
[PDF - 524,81 KB]
Referencial sobre la duración de la conservación social
y médico-social.
[PDF - 245,05 KB]
Referencial – Duración de conservación de datos personales - Gestión
de recursos humanos
[PDF - 368,76 KB]
