Las empresas recogen grandes cantidades de datos en sus operaciones diarias, que procesan, modifican y almacenan. La información recogida se utiliza para generar beneficios, lo que puede beneficiar tanto a las empresas como a los consumidores: Las empresas pueden adaptar sus productos a las preferencias de los consumidores, y éstos se benefician de una publicidad adaptada y de productos valiosos.
Pero también proporciona a las empresas muchos datos de clientes que les permiten identificar a las personas. Para minimizar el poder asociado a este conocimiento y proteger a los afectados, el legislador establece no sólo periodos de retención, sino también periodos de eliminación en los que deben destruirse datos e información específicos.
Para las empresas, esto supone un esfuerzo y una diligencia, ya que quienes eliminan los datos demasiado pronto o demasiado tarde se arriesgan a sanciones delicadas. En este artículo le mostraremos qué tipo de datos deben eliminarse y qué periodos de retención se aplican.
¿Necesita ayuda o tiene preguntas sobre el tema? Nuestro equipo está formado por expertos en derecho de la protección de datos, informática y seguridad. Estaremos encantados de apoyarle en la aplicación de la normativa de protección de datos. Póngase en contacto con nosotros directamente para una consulta inicial sin compromiso.
Resumen de los hechos más importantes
- Los datos deben ser eliminados cuando la finalidad del tratamiento de datos se cumple, lo que suele ser inmediato. Pero los datos también deben eliminarse si los afectados revocan su consentimiento.
- Hay periodos de retención, especialmente en derecho fiscal o penal. Se prohíbe explícitamente eliminar los datos personales antes de que expiren estos períodos de retención.
- Todo afectado puede dar su consentimiento al tratamiento de datos y revocarlo en cualquier momento. Esto elimina el derecho de la empresa a conservar los datos, a menos que exista otra base legal.
Plazos de eliminación según el RGPD
Incluso antes de la introducción del RGPD había normas sobre la eliminación. "El derecho a ser olvidado" - como lo formuló en su día el Tribunal Constitucional Federal - ya figuraba antes en la Ley de Protección de Datos alemana. No obstante, el RGPD ha aportado algunas novedades porque unifica la normativa sobre protección de datos a nivel de la UE.
Según el RGPD hay dos razones para eliminar los datos recogidos (Artículo 17 del RGPD):
En primer lugar, cuando los afectados revocan su consentimiento para la recogida y almacenamiento de datos y solicitan así la eliminación de los datos. Además, el afectado puede exigir la eliminación de los datos si existe un motivo de supresión en virtud del RGPD. Así pues, para que los datos se recojan como corresponde, es necesario el consentimiento de las partes interesadas.
Por otra parte, la eliminación debe producirse siempre cuando la finalidad del tratamiento y almacenamiento de los datos se haya cumplido o haya dejado de existir (Artículo 5 del RGPD). Ejemplo: En una institución médica, los datos solo pueden almacenarse durante el tiempo necesario para tratar a los pacientes.
En algunos casos, sin embargo, se oponen a ello los periodos de retención legales (más adelante). Por ejemplo, en el caso de las auditorías de empresas: Las facturas pagadas y contabilizadas ya no son necesarias para su tramitación, pero deben conservarse para dicha auditoría.
Por lo tanto, la necesidad de almacenamiento de datos debe conocerse para cumplir con los plazos de eliminación. En el caso de las facturas, por ejemplo, no se trata sólo de saber si ya han sido pagadas. En caso de duda, también hay periodos de garantía que deben ser observados.
Además de la necesidad, las empresas también deben ser conscientes de los periodos de retención pertinentes que pueden obstaculizar la eliminación. Además, las empresas deben estar siempre al tanto de las ubicaciones y los soportes de almacenamiento para que los datos no se pierdan y el eliminado pueda realizarse correctamente.
¿Qué son los periodos de eliminación? Los períodos de eliminación son ventanas de tiempo específicas después de las cuales los datos recogidos deben ser eliminados de nuevo. Así, los periodos de eliminación para los distintos tipos de datos pueden derivarse de diversos requisitos legales, como el RGPD y otras leyes y normas.
Resumen de los periodos de eliminación del RGPD
El legislador ha estipulado que los periodos de eliminación también deben anotarse en el registro de actividades de tratamiento. Esto debería proporcionar una mejor visión de conjunto y ayudar a mantener el cumplimiento de los plazos definidos.
No existe una respuesta única sobre cuándo deben eliminarse los datos. En derecho contractual, por ejemplo, es aconsejable guiarse por los plazos de prescripción correspondientes. El plazo de prescripción ordinario es de 3 años (art. 195 del BGB) y comienza a contar a partir del final del año en que se produjo la reclamación.
Un ejemplo: Si un siniestro se produce en enero de 2022, el plazo de prescripción empieza a contar el 01.01.2023 y finaliza el 01.01.2026.
Atención: Existen otros plazos de prescripción en el Código Civil alemán, por ejemplo, para las reclamaciones por daños y perjuicios. En este caso, los plazos de prescripción pueden extenderse hasta hasta 30 años. Por lo tanto, utilice la ley de prescripción sólo como una guía y no como un absoluto.
En caso de duda, pueden aplicarse excepciones, por ejemplo si la finalidad del tratamiento aún no ha dejado de existir. Esto significa que si el almacenamiento de los datos es necesario para la afirmación, el ejercicio o la defensa de reclamaciones legales, los datos pueden almacenarse durante más tiempo en determinadas circunstancias.
Sin embargo, esto siempre requiere una ponderación de intereses en cada caso concreto. Por lo tanto, las empresas deben preguntarse siempre qué probabilidad hay de que se hagan valer las reclamaciones y qué intereses se oponen por parte de las personas afectadas.
Es importante: Para demostrar que se ha producido una eliminación correcto, siempre debe documentar cuidadosamente las eliminaciones. Nuestro software de protección de datos le ayuda a crear protocolos.
¿Qué es un concepto de eliminación?
Los estrictos requisitos del RGPD y las complejas regulaciones, excepciones y casos individuales son un reto para realizar y aplicar un concepto de eliminación. Un concepto de eliminación regula cuándo y cómo deben eliminarse los datos personales recogidos en una empresa. El concepto de eliminación puede utilizarse para definir un marco independiente, conforme a la ley, para el tratamiento de datos.
El concepto de eliminación está estrechamente relacionado con el registro de las actividades de procesamiento:
- En primer lugar, hay que determinar dónde se recogen y tratan los datos personales en la empresa.
- Además, debe aclararse quién es el responsable de este tratamiento de datos.
- Además de los diversos sistemas utilizados internamente en una empresa, es fundamental no olvidar incluir en este registro la recogida y el tratamiento de datos de los proveedores de servicios externos.
- Una vez que se ha creado una visión general de la totalidad de los datos y del tratamiento, los varios datos deben ser categorizados. Por ejemplo, los datos sobre la salud, la religión o las actitudes políticas son categorías diferentes para las que existen normativas distintas.
- Una vez encontradas las categorías y asignados los conjuntos de datos individuales, deben crearse las reglas de eliminación. Las reglas de eliminación definen la hora de inicio de los períodos de eliminación y el período normal de eliminación para las diferentes categorías de datos. También pueden formularse excepciones que las personas responsables tengan en cuenta durante su trabajo.
¿Cuáles son las sanciones por eliminación indebida?
Quien no elimina los datos a tiempo comete una infracción legal que puede ser sancionada con una multa. La multas van hasta los 20 millones de euros o 4% de la facturación del año anterior de todo el grupo de empresas, que es el importe habitual de la UE.
Consejos para la eliminación de datos
Hay varios consejos que puede tener en cuenta en su empresa para garantizar una eliminación legítima:
- La registro de las actividades de tratamiento debe ser completo y contener las obligaciones de retención prescritas.
- Las empresas deben registrar claramente dónde se almacenan y procesan los datos para poder hacer un seguimiento de los mismos.
- Debe existir una directriz interna de eliminación o un concepto de eliminación que se observe dentro de las diferentes áreas de la empresa.
- Delegados de la protección de datos deben ser capaz de monitor eliminaciones y acceder a las áreas necesarias.
- Plazos de supresión deben ser respetado.
sin compromiso. Con la Módulos de rendimiento de Priverion, ofrecemos bibliotecas de retención y eliminación. Esto le permite cargar rápidamente los periodos aplicables a más de 150 países. Sus administradores informáticos sabrán en todo momento qué plazos de eliminación deben comprobar al vincular los sistemas. Estaremos encantados de explicarle cómo funciona la Plataforma de protección de datos de Priverion facilita la gestión de los periodos durante una cita de demostración.
Pida una instancia de prueba hoy mismo
Pruebe nuestra solución
Períodos de retención según el RGPD
Después de la expiración de los períodos de eliminación, no deben transcurrir más de 6, máximo 12 meses antes de que los datos sean efectivamente suprimidos. No obstante, existen algunos plazos de retención que complementan o contradicen los plazos generales de eliminación.
Los periodos de retención determinan el tiempo que deben o pueden conservarse los documentos. Esto significa que los periodos de eliminación pueden retrasarse o ampliarse.
Es bueno saberlo:
Los periodos de retención se aplican generalmente a las personas que están obligadas a llevar la contabilidad. En particular, las comerciantes debe cumplir con las obligaciones de retención en virtud de la legislación fiscal (por ejemplo, § 147 AO (Alemania)) o mercantil (por ejemplo, § 257 HGB 8 (Alemania). Por otro lado, particulares, en cambio, no se ven afectados por los periodos de retención, pero deben conservar los documentos, recibos y facturas importantes (documentos probatorios) durante varios años.
¿Qué son los periodos de retención del RGPD?
La conservación de ciertos documentos empresariales es obligatoria durante un periodo determinado; esto está regulado por los periodos de retención. Al igual que en el BGB, el periodo comienza con el fin del año natural en la que se realizó la última anotación.
Por lo tanto, los plazos estipulados siempre pueden volver a correr si se han añadido anotaciones. Los documentos en cuestión son los siguientes:
- Últimas inscripciones anteriores
- El inventario
- El balance de apertura
- Las cuentas anuales
- El informe del inventario
En el caso de las cartas comerciales y los documentos contables, el periodo comienza al final del año en que se recibieron/enviaron o se crearon.
En cuanto a los plazos legales, hay una distinción entre 6 y 10 años de conservación. Los documentos fiscales, por ejemplo, deben conservarse durante 6 años, y los estados financieros anuales y otros documentos del balance, durante 10 años.
Esto significa que en 2022, aquellos documentos creados o recibidos por 31 de diciembre de 2015 (6 años) o 31 de diciembre de 2011 (10 años) deben ser destruidos.
RGPD: Todos los periodos de retención de un vistazo
Dependiendo del documento y de la normativa, los periodos de conservación resultan diferentes, lo que hace que la eliminación correcta sea un verdadero reto.
Cada año, la cámara de comercio y otras instituciones recopilan listas de los documentos pertinentes y los periodos de conservación actuales. A continuación ofrecemos un resumen de los documentos más importantes y sus períodos de conservación:
| Documentos de facturación | 10 años |
| Declaraciones de asignación | 6 años |
| Seguro de los empleados | 10 años |
| Facturas emitidas | 10 años |
| Certificado de incapacidad laboral | 5 años |
| Normas de conservación de la documentación en el PDE | 10 años |
| Documentos bancarios | 10 años |
| Facturas de gastos de funcionamiento | 10 años |
| Documentos sobre la hospitalidad | 10 años |
| Comprobantes de contabilidad | 10 años |
| Documentos de órdenes permanentes (después de su expiración) | 10 años |
| Descripciones de entrada para la contabilidad informatizada | 10 años |
| Documentos de exportación | 10 años |
| Documentos de reembolso de gastos de viaje | 10 años |
| Informes anuales | 10 años |
| Libros comerciales | 10 años |
| Estado financiero principal | 10 años |
| Estados financieros con notas | 10 años |
| Informes de caja | 10 años |
| Comprobantes de caja (en tanto no haya comprobantes contables) | 6 años |
| Extractos bancarios | 10 años |
| Facturas de entrega | 6 años |
| Hojas de salario | 10 años |
| Documentos de alquiler | 10 años |
| Listas de precios | 6 años |
| Expedientes judiciales | 10 años |
| Recibos | 10 años |
| Correspondencia | 6 años |
| Giros postales | 10 años |
| Estados financieros intermedios | 10 años |
Periodos de retención: Aplicar la protección de datos de forma legalmente respetuosa
Durante todo el período de retención, los documentos pertinentes deben conservarse en una forma legible. Hay que comprobar cada uno de los tipos de documentos para determinar si se aplican los periodos legales de retención y cuáles son, y cuándo existen los correspondientes periodos de eliminación.
Para ello, un registro actualizado de las actividades de tratamiento y el concepto de eliminación debe crearse y mantenerse siempre para mantener una visión general y garantizar una eliminación adecuada y conforme a la ley.
Una vez transcurrido el periodo de retención, puede ser necesario seguir conservando los datos y puede haber una finalidad para su almacenamiento. El periodo de conservación detallado no se opone a ello. Una vez que los periodos de conservación han expirado y que ya no es necesaria su conservación, comienza el periodo de supresión de 6 a un máximo de 12 meses.
Aquí hay varias formas y posibilidades de destruir los datos de forma legalmente segura:
- La eliminación de datos y la trituración de papeles cumplen con los requisitos del RGPD. Sin embargo, los datos sensibles y personales deben ser destruidos de forma legalmente segura para que ninguna otra persona -interna o externa- pueda acceder a los datos e información.
- También hay una norma DIN correspondiente que proporciona información sobre la destrucción de acuerdo con la protección de datos (DIN 66399). Si los datos son destruidos por un tercero externo, es decir, una empresa contratada específicamente para este fin, esto constituye un tratamiento por encargo. Según el artículo 28 del RGPD, existe la obligación legal de celebrar un contrato por escrito para el tratamiento de los datos.
Conclusión
Los periodos de eliminación y retención son complejos y difícil de entender. En caso de duda, no hay normas claras: la eliminación debe realizarse siempre caso por caso, por ejemplo, si la finalidad del almacenamiento ya no es aplicable o los afectados solicitan la eliminación.
Especialmente cuando periodos de eliminación y retención colisionan o se solapan, las cosas pueden volverse rápidamente confusas. Por lo general, es una buena idea que las empresas creen y mantengan conceptos de eliminación.
Al principio, un concepto de eliminación supone mucho trabajo. Sin embargo, gran parte de esto también se puede deducir del registro de las actividades de tratamiento si ya existe uno.
Sin embargo, a largo plazo, los conceptos de eliminación arrojan mucha luz sobre la oscuridad: crean una visión general de los datos existentes y su tratamiento, asignan responsabilidades y clasifican los datos y sus periodos de eliminación.
¿Tiene alguna pregunta sobre la protección de datos? Nuestro personal, con formación jurídica y técnica, le asesorará ampliamente sobre todas las cuestiones relativas a la ley de protección de datos. No dude en contactarnos en cualquier momento.