RGPD y gestión documental: guía de cumplimiento
Guía práctica de cumplimiento RGPD en gestión documental: plazos de conservación, derechos ARCO, EIPD y medidas técnicas según la LOPDGDD.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokCada documento que una empresa recopila contiene datos personales protegidos por el Reglamento General de Protección de Datos (UE) 2016/679 y su transposición española, la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre). Copias de DNI, nóminas, contratos laborales, justificantes de domicilio: cada uno genera obligaciones específicas de tratamiento, conservación y destrucción. La AEPD (Agencia Española de Protección de Datos) ha intensificado sus actuaciones en materia de gestión documental, con sanciones que alcanzan los 20 millones de euros o el 4 % de la facturación global. Esta guía detalla los principios aplicables, los plazos de conservación, los derechos de los interesados y las medidas concretas para una gestión documental conforme.
Los 7 principios del RGPD aplicados a la gestión documental
El RGPD establece siete principios fundamentales que rigen todo tratamiento de datos personales. Su aplicación a la gestión documental exige medidas concretas en cada fase del ciclo de vida del documento.
| Principio RGPD | Artículo | Aplicación a la gestión documental |
|---|---|---|
| Licitud, lealtad, transparencia | Art. 5.1.a | Cada recogida de documentos debe basarse en una base jurídica válida (obligación legal, contrato, interés legítimo) y el interesado debe ser informado |
| Limitación de la finalidad | Art. 5.1.b | Un DNI recogido para verificación KYC no puede reutilizarse para elaborar perfiles comerciales |
| Minimización de datos | Art. 5.1.c | Recopilar solo los documentos estrictamente necesarios: un certificado de cuenta basta para una transferencia, no una copia de la tarjeta bancaria |
| Exactitud | Art. 5.1.d | Los documentos caducados (DNI expirado, certificado de empadronamiento antiguo) deben actualizarse o eliminarse |
| Limitación del plazo de conservación | Art. 5.1.e | Cada tipo de documento tiene un plazo máximo de conservación; superado este plazo, debe ser destruido de forma segura |
| Integridad y confidencialidad | Art. 5.1.f | Los documentos deben cifrarse, el acceso debe restringirse al personal autorizado y las transferencias deben ser seguras |
| Responsabilidad proactiva | Art. 5.2 | La empresa debe poder demostrar su cumplimiento: registro de actividades de tratamiento, política de conservación, trazabilidad |
La AEPD ha publicado guías específicas sobre el principio de protección de datos por defecto que refuerzan la obligación de minimización en el contexto documental. El ENS (Esquema Nacional de Seguridad), obligatorio para entidades del sector público y sus proveedores, establece requisitos adicionales de seguridad para el tratamiento de documentos.
Para orientación específica sobre documentos de identidad bajo el RGPD, consulte nuestra guía RGPD y documentos de identidad.
Plazos de conservación por tipo de documento
La definición de plazos de conservación es una de las obligaciones más concretas del RGPD. En España, estos plazos resultan de la combinación del RGPD, la LOPDGDD y múltiples normas sectoriales. La AEPD ha sancionado repetidamente a empresas por conservar documentos más allá de los plazos legalmente justificados.
| Tipo de documento | Base jurídica | Plazo de conservación recomendado | Normativa aplicable |
|---|---|---|---|
| Copia de DNI/Pasaporte (KYC) | Obligación legal | 10 años tras el fin de la relación comercial | Ley 10/2010 (PBC), art. 25 |
| Contrato de trabajo | Ejecución del contrato | 4 años tras la extinción del contrato | Art. 59 ET (prescripción infracciones laborales) |
| Nóminas | Obligación legal | 4 años (prescripción laboral) + 5 años (prescripción fiscal) | Art. 59 ET, LGT art. 66 |
| Justificante de domicilio | Interés legítimo | Duración de la relación + 1 año | Criterio AEPD |
| Facturas | Obligación legal | 6 años desde cierre del ejercicio | Código de Comercio, art. 30 |
| Documentos contables | Obligación legal | 6 años desde cierre del ejercicio | Código de Comercio, art. 30 |
| Datos bancarios (IBAN) | Ejecución del contrato | Duración de la relación + 5 años | Ley 10/2010, CC art. 1964 |
| Vigilancia de la salud laboral | Obligación legal | 5 años desde el último reconocimiento | LPRL, art. 22 |
La interacción entre la Ley 10/2010 y la LOPDGDD
En España, la Ley 10/2010 de prevención del blanqueo de capitales impone plazos de conservación de 10 años para los documentos de identificación de clientes, lo que supera los 5 años habituales en otros países europeos. Este plazo entra en tensión con el principio de limitación de la conservación del RGPD. La AEPD ha aclarado que la obligación legal prevalece como base jurídica, pero que los documentos deben eliminarse de forma segura en cuanto expire el plazo legal.
La implementación práctica de estos plazos exige un sistema de gestión documental capaz de aplicar reglas de retención diferenciadas por tipo de documento y de automatizar la purga al vencimiento. Una solución de verificación documental automatizada permite fechar cada recogida y programar las destrucciones.
Derechos de los interesados en la gestión documental
El RGPD y la LOPDGDD reconocen a los interesados un conjunto de derechos (conocidos históricamente en España como derechos ARCO, ampliados por el RGPD) que la empresa debe poder atender en un plazo máximo de un mes.
Derecho de acceso (artículo 15)
Cualquier persona puede solicitar a la empresa una copia de todos los documentos que contienen sus datos personales. La empresa debe ser capaz de localizar y extraer todos los documentos asociados a un individuo en todos sus sistemas: gestor documental, correo electrónico, archivos físicos, copias de seguridad. La AEPD considera que la incapacidad técnica para atender este derecho constituye un incumplimiento del artículo 32 del RGPD.
Derecho de supresión (artículo 17)
El interesado puede solicitar la eliminación de sus documentos, salvo cuando una obligación legal imponga su conservación. En la práctica, si un cliente solicita la supresión de su copia de DNI recopilada en el marco de la Ley 10/2010, la empresa puede denegarla durante el plazo legal de 10 años, pero debe destruir el documento una vez expirado este plazo.
Derecho a la portabilidad (artículo 20)
Este derecho permite al interesado obtener sus documentos en un formato estructurado, de uso común y lectura mecánica. Para documentos escaneados, implica proporcionar los archivos en formato estándar (PDF, JPEG) junto con los metadatos asociados (fecha de recogida, finalidad, plazo de conservación).
La automatización de estos procesos es imprescindible a escala. Descubra cómo estructurar su programa de conformidad documental.
Evaluación de impacto (EIPD) para la verificación documental
La Evaluación de Impacto en la Protección de Datos (EIPD) es obligatoria cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas. La AEPD ha publicado una lista de tratamientos que requieren EIPD, que incluye expresamente los tratamientos de verificación de identidad a gran escala.
Cuándo es obligatoria una EIPD
Una EIPD es necesaria cuando el tratamiento documental cumple al menos dos de estos criterios: tratamiento a gran escala, datos sensibles (biometría, documentos de identidad), monitorización sistemática, cruce de datos, personas vulnerables. En la práctica, cualquier empresa que verifique la identidad de más de unos cientos de personas al año debe realizar una EIPD para sus procesos de verificación documental.
Metodología en cuatro fases
La metodología recomendada se estructura en cuatro fases. Primera, la descripción del tratamiento: qué documentos se recogen, por quién, con qué finalidad, con qué herramientas. Segunda, la evaluación de necesidad y proporcionalidad: todos los documentos recogidos son indispensables, los plazos de conservación están justificados, existe una alternativa menos intrusiva. Tercera, la evaluación de riesgos: qué amenazas existen (brecha de datos, acceso no autorizado, pérdida) y qué impacto tendrían sobre los interesados. Cuarta, las medidas de mitigación: cifrado, seudonimización, control de acceso, formación del personal.
El Delegado de Protección de Datos (DPD) debe ser consultado durante la elaboración de la EIPD. Si el riesgo residual sigue siendo alto tras la aplicación de las medidas, la empresa debe consultar a la AEPD antes de poner en marcha el tratamiento.
Medidas técnicas y organizativas
El RGPD exige la implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales contenidos en los documentos. Estas medidas deben ser proporcionales al riesgo e inscribirse en el marco del ENS cuando la entidad esté sujeta a él.
Cifrado y control de acceso
El cifrado de documentos en reposo (AES-256) y en tránsito (TLS 1.3) constituye la base técnica mínima. Conozca nuestros estándares de seguridad y las medidas que aplicamos al tratamiento documental. El control de acceso basado en roles (RBAC) garantiza que solo el personal autorizado acceda a los documentos pertinentes: un responsable de RRHH accede a las nóminas, pero no a los expedientes KYC del departamento de cumplimiento.
La autenticación multifactor (MFA) es recomendable para el acceso a sistemas de gestión documental que contengan datos sensibles. La AEPD considera que la ausencia de MFA para tratamientos de alto riesgo puede constituir un incumplimiento del artículo 32 del RGPD.
Trazabilidad y registros de auditoría
Cada acceso, modificación o eliminación de un documento debe registrarse en un registro de auditoría fechado y resistente a manipulaciones. Estos registros permiten demostrar el cumplimiento durante las inspecciones de la AEPD y detectar accesos no autorizados. Cada entrada debe incluir la identidad del usuario, la acción realizada, la marca temporal y el documento afectado.
Anonimización y seudonimización
Cuando los documentos ya no son necesarios en su forma completa, la seudonimización (sustitución de identificadores directos por códigos) o la anonimización (eliminación irreversible de todo elemento identificativo) permiten conservar datos con fines estadísticos o analíticos respetando el principio de minimización.
Para las empresas del sector financiero, estas medidas se enmarcan en un contexto más amplio de cumplimiento normativo. Descubra nuestras soluciones para financiación y leasing.
Formación y concienciación
Las medidas técnicas resultan ineficaces sin una cultura de protección de datos en la organización. La formación del personal que maneja documentos personales debe cubrir los principios del RGPD, los procedimientos internos de conservación y destrucción, y los protocolos de actuación ante una brecha de seguridad (notificación a la AEPD en 72 horas).
Preguntas frecuentes
Es obligatorio nombrar un Delegado de Protección de Datos para gestionar documentos con datos personales
La designación de un DPD es obligatoria para organismos públicos, entidades que realicen un seguimiento habitual y sistemático de interesados a gran escala, y entidades que traten datos especialmente protegidos a gran escala. La LOPDGDD amplía esta obligación a sectores específicos: entidades financieras, aseguradoras, centros sanitarios, empresas de seguridad privada y centros docentes, entre otros (artículo 34 LOPDGDD).
Cuánto tiempo puede conservarse una copia del DNI
Según la Ley 10/2010 de prevención del blanqueo de capitales, las copias de documentos de identificación recogidas en el marco de obligaciones KYC deben conservarse durante 10 años desde el fin de la relación comercial. Fuera de este contexto, la conservación debe limitarse al plazo estrictamente necesario para la finalidad perseguida, más el plazo de prescripción aplicable (normalmente 4 o 5 años según la naturaleza de la obligación).
Qué hacer en caso de brecha de seguridad que afecte a documentos con datos personales
Ante una violación de seguridad, el responsable del tratamiento debe notificar a la AEPD en un plazo de 72 horas desde su conocimiento. Si la brecha puede suponer un alto riesgo para los derechos y libertades de los interesados, estos deben ser informados sin dilación indebida. La empresa debe documentar el incidente, sus consecuencias y las medidas correctivas en un registro interno de violaciones de seguridad.
Se aplica el RGPD a los documentos en papel
El RGPD se aplica a todo tratamiento de datos personales, incluidos los ficheros en papel estructurados (expedientes organizados por nombre, número de cliente o fecha). Los archivos físicos están sujetos a las mismas reglas de conservación, acceso y destrucción que los documentos digitales. La destrucción debe realizarse mediante trituración de corte cruzado conforme a la norma DIN 66399 (nivel P-4 mínimo).
Cómo afecta el Esquema Nacional de Seguridad a la gestión documental
El ENS establece requisitos de seguridad obligatorios para las administraciones públicas y las empresas que les prestan servicios. En materia documental, el ENS exige la clasificación de la información por niveles de sensibilidad, la implementación de controles de acceso proporcionales, el cifrado de datos sensibles y la realización de auditorías periódicas. Las empresas del sector privado que contratan con la administración deben cumplir con el ENS en los tratamientos documentales relacionados.
Estructurar el cumplimiento documental
La adecuación RGPD de la gestión documental no es un proyecto puntual, sino un proceso continuo. Comience por auditar sus tratamientos documentales actuales, defina plazos de conservación alineados con la normativa española y las directrices de la AEPD, e implemente medidas técnicas proporcionadas a los riesgos identificados en su EIPD.
Para una visión completa de la conformidad documental más allá del RGPD, consulte nuestra guía completa de conformidad documental. Si tiene preguntas específicas sobre la adecuación de sus procesos, no dude en contactarnos para hablar con nuestro equipo. Explore también todos nuestros artículos sobre cumplimiento y protección de datos en nuestro blog.