Nirvo

Cuanto tiempo hay que conservar en la empresa: Buenas prácticas

¿Cuánto tiempo hay que conservar documentos y datos en la empresa? La respuesta varía según la finalidad, el área (laboral, fiscal, PRL, etc.) y la normativa aplicable. Definir una política clara de retención y destrucción no solo reduce riesgos legales: también impulsa la eficiencia, la innovación y el bienestar laboral al eliminar la sobrecarga documental y proteger la privacidad.

Este artículo ofrece criterios prácticos y plazos orientativos en el contexto español, con foco en recursos humanos y gestión empresarial. Es una guía informativa y no constituye asesoramiento legal; ante dudas específicas, consulta con tu DPO/asesoría jurídica.

Por qué importa la conservación de documentos y datos empresariales

Conservar “por si acaso” encarece operaciones, dificulta la búsqueda de información y eleva el riesgo de brechas de datos. Por el contrario, una política de retención bien diseñada:

  • Reduce sanciones y reclamaciones al cumplir el principio de limitación del plazo de conservación del RGPD.
  • Mejora la eficiencia del back-office (menos rotación de papeles y repositorios digitales más ligeros).
  • Protege a las personas trabajadoras y refuerza una cultura de confianza y bienestar laboral.
  • Facilita la analítica y la innovación al mantener datos relevantes, de calidad y en cumplimiento.

Marco legal básico en España: puntos de referencia

Los plazos concretos dependen de finalidades y leyes sectoriales. En el ámbito general destacan:

  • RGPD y LOPDGDD: conservar solo el tiempo necesario; si hay obligación de mantenerlos, se aplican medidas de bloqueo.
  • Código de Comercio (art. 30): libros, documentación y justificantes contables, 6 años.
  • Agencia Tributaria: prescripción de obligaciones fiscales, 4 años.
  • Seguridad Social: obligaciones de cotización y recaudación, 4 años.
  • Ámbito laboral: registro de jornada, 4 años; otras acciones y responsabilidades pueden exigir conservar documentación mientras duren y por plazos de prescripción.
  • Prevención de riesgos laborales (PRL): conservación reforzada en exposiciones de riesgo (p. ej., agentes cancerígenos: 40 años tras la exposición).

Plazos orientativos de conservación por áreas

Estos plazos son guías habituales en España; verifica particularidades sectoriales o contractuales.

  • Contabilidad y fiscalidad:
    • Libros contables, cuentas anuales y justificantes: 6 años.
    • Facturas emitidas y recibidas: 4 años (prescripción tributaria).
    • Contratos comerciales y correspondencia mercantil: 6 años.
  • Recursos Humanos:
    • Registro de jornada: 4 años.
    • Nóminas y boletines de cotización: 4 años.
    • Contratos de trabajo, prórrogas y finiquitos: durante la relación y, tras la baja, al menos 4 años para atender posibles reclamaciones y obligaciones.
    • Expedientes disciplinarios: mientras dure el proceso y plazos de impugnación; conservar luego lo imprescindible en bloqueo.
    • Selección y reclutamiento (CV, candidaturas): hasta 1 año con información al candidato y posibilidad de retirar el consentimiento; eliminar antes si finaliza la finalidad.
    • Formación (registros, diplomas, bonificaciones): mientras sea exigible para auditorías/subvenciones; a efectos generales, entre 4 y 6 años.
  • Prevención de riesgos laborales:
    • Documentación general de PRL (evaluaciones, planificación, auditorías): mientras esté vigente y el tiempo necesario para acreditar cumplimiento ante Inspección.
    • Vigilancia de la salud: por regla práctica, al menos 5 años; en exposiciones a agentes cancerígenos/mutágenos o biológicos, 40 años tras la finalización de la exposición.
  • Videovigilancia y geolocalización:
    • Imágenes de cámaras y registros de geolocalización: 1 mes, salvo conservación para acreditar incidentes o requerimientos legales.
  • Canal de denuncias internas:
    • Datos en el sistema activo: hasta 3 meses para tramitación inicial; posteriormente, traslado a archivo restringido o bloqueo por el tiempo imprescindible para investigación, procedimientos o responsabilidades. La Ley 2/2023 permite conservar durante más tiempo, con límites y justificación, pudiendo alcanzar hasta 10 años según el caso.

Cómo definir una política de retención y destrucción de documentos

  1. Inventario de tratamientos: lista qué datos recoges (p. ej., nóminas, CV, videovigilancia), la base legal y la finalidad.
  2. Matriz de plazos: asigna a cada categoría su plazo de conservación operativo y el periodo de bloqueo si aplica (para atender responsabilidades).
  3. Reglas por canal: papel, correo electrónico, ERP, gestor documental, almacenamiento en la nube. Evita “islas” de información.
  4. Automatiza el ciclo de vida: etiquetas, metadatos y jobs programados para avisos o borrado/anonimización. Registrar logs de destrucción.
  5. Seguridad y acceso: principio de mínimo privilegio, cifrado, retención en entornos seguros y destrucción certificada.
  6. Gobernanza: la política debe aprobarla dirección; RR. HH., IT, Finanzas, PRL y DPO supervisan su aplicación. Forma a los equipos.

Buenas prácticas para equilibrar cumplimiento, eficiencia e innovación

  • Minimización de datos: recoge solo lo necesario; menos datos, menos que conservar.
  • Anonimización/pseudonimización: cuando necesites análisis históricos, anonimiza para conservar tendencias sin datos personales.
  • Bloqueo de datos: cuando una norma exige “guardar pero no usar”, mueve la información a un estado bloqueado, con acceso restringido y trazabilidad.
  • Destrucción segura: trituración certificada en papel y borrado criptográfico en soportes digitales. Evita simples “borrados” lógicos.
  • Alertas de caducidad: implanta recordatorios para expedientes de personal, contratos y documentación fiscal.
  • Prueba de cumplimiento: conserva evidencias de cuándo, cómo y por qué eliminaste o bloqueaste documentos.

Errores comunes al conservar documentos en la empresa

  • Guardar “para siempre” por miedo a borrar. Incrementa riesgos y costes.
  • Fijar un único plazo para todo. La conservación debe ser por finalidades y categorías.
  • Olvidar repositorios “paralelos”: correos, discos compartidos, copias locales.
  • No documentar el borrado ni usar procedimientos de destrucción certificada.
  • No revisar la política tras cambios normativos o de procesos.

Ejemplos prácticos en entornos de RR. HH. y gestión del talento

  • Proceso de selección: tras cerrar la vacante, conservas la candidatura del finalista lo necesario para la incorporación. El resto, con consentimiento informado, hasta 1 año para futuras oportunidades; después, eliminas o anonimiza.
  • Baja de una persona trabajadora: archivas contrato, nóminas y finiquito; retienes lo necesario 4 años (fiscales/SS) y aplicas bloqueo para reclamaciones. Eliminación o anonimización del resto.
  • Registro de jornada: sistema conserva 4 años, con acceso limitado a RR. HH. e Inspección. Pasado el plazo, eliminación automática con evidencia en log.
  • PRL: actualizas evaluaciones cuando cambian puestos/procesos. Vigilancia de la salud se guarda al menos 5 años; si hay exposición a cancerígenos, 40 años desde el fin de la exposición.
  • Videovigilancia: borrado a los 30 días salvo incidente; si hay solicitud de la autoridad, se preserva en bloqueo hasta cierre del expediente.

Conclusión: conserva lo necesario, protege a las personas y gana eficiencia

Una estrategia de conservación inteligente se apoya en tres pilares: finalidades claras, plazos diferenciados y automatización del ciclo de vida. Con ello, cumples con la normativa, reduces costes operativos y refuerzas una cultura de confianza e innovación centrada en las personas.

Si te interesa profundizar en gestión del talento, cumplimiento y eficiencia operativa, sigue explorando los contenidos del blog: encontrarás guías prácticas, tendencias y herramientas para impulsar una empresa más ágil y humana.

Preguntas frecuentes

¿Qué pasa si conservo datos personales más tiempo del necesario?

Incumplir el principio de limitación del plazo del RGPD puede acarrear sanciones, daños reputacionales y mayores riesgos de brechas de seguridad. Además, guardar de más dificulta auditorías y aumenta costes de almacenamiento.

¿Puedo conservar información más tiempo si la anonimizo?

Sí. La anonimización efectiva permite mantener datos para análisis históricos o benchmarking sin identificar a personas. Si solo pseudonimizas, sigue siendo dato personal y aplican plazos y medidas de protección.

¿Quién debe aprobar y mantener la política de retención?

La dirección debe aprobarla. RR. HH., Finanzas, PRL e IT la operacionalizan, y el DPO/asesoría jurídica valida la adecuación al RGPD y a la normativa sectorial. Es clave revisar la política al menos una vez al año.

¿Cómo concilio auditorías o litigios con el borrado?

Usa el bloqueo de datos: restringe el acceso y el uso, conserva lo justo y documenta la causa (auditoría, inspección, litigio) y la fecha de revisión. Al finalizar, elimina de forma segura.

¿Qué debo indicar a candidatos sobre retención de CV?

Informa de la finalidad, plazo máximo (por ejemplo, hasta 1 año), base legal y derechos. Permite retirar el consentimiento en cualquier momento y ofrece vías sencillas para solicitar la eliminación.

Más entradas