RGPD para tu PyME: qué datos de clientes puedes guardar y cuánto tiempo
Plazos de conservación de datos bajo RGPD y LOPDGDD para PyMEs españolas: contratos, facturas, leads, marketing, empleados y candidatos. Con base legal verificable en cada caso.
Contenidos
Aviso importante: este post es orientación general sobre plazos y bases legales, no asesoramiento jurídico. Para situaciones específicas, especialmente si tratas datos de categorías especiales (salud, datos penales, menores) o tienes dudas sobre la base legal que aplica a tu caso, consulta con un abogado especializado en protección de datos o con la AEPD directamente.
El RGPD no dice cuánto tiempo puedes guardar los datos de tus clientes. Lo que dice es que debes guardarlos el tiempo mínimo necesario para la finalidad declarada. El problema es que “el mínimo necesario” varía según el tipo de dato, la base legal que estás usando y las obligaciones legales que tienes en paralelo (fiscales, mercantiles, laborales).
Este post organiza esa complejidad por tipo de dato y contexto, con la base legal verificable en cada caso.
Por qué el RGPD no da un plazo universal
El artículo 5.1.e del RGPD (Reglamento UE 2016/679) establece el principio de limitación del plazo de conservación: los datos deben mantenerse “no más tiempo del necesario para los fines del tratamiento”. Es un principio, no un número.
Los plazos concretos vienen de dos fuentes:
- Legislación sectorial que impone conservación mínima (Código de Comercio, Ley General Tributaria, Estatuto de los Trabajadores, etc.)
- La finalidad que tú declaraste al recoger el dato y la base legal que usaste
Cuando existe una obligación legal de conservar (caso 1), debes conservar al menos ese tiempo aunque el cliente pida que borres sus datos. Cuando no existe (caso 2), debes borrar cuando ya no tengas una base legal válida o la finalidad se haya cumplido.
Los plazos por tipo de dato
Datos contractuales y facturas
Plazo mínimo: 6 años.
Base legal: Art. 30 del Código de Comercio + Art. 66 de la Ley General Tributaria (LGT).
Lo que incluye: nombre y datos de identificación del cliente, NIF/CIF, dirección de facturación, importe, IVA, fecha, concepto. Todo lo que aparece en una factura y en el contrato de prestación de servicios.
Qué hacer cuando el cliente pide supresión: conservas los datos (obligación legal lo exige), pero los bloqueas. Bloqueado significa: no puedes usarlos para enviar newsletters, llamar al cliente, hacer análisis comerciales ni compartirlos con terceros no vinculados a la obligación legal. Solo pueden ser accedidos por la propia empresa para responder a una inspección fiscal o litigio.
Matiz fiscal: el plazo de prescripción de las principales obligaciones tributarias (IRPF, IS, IVA) es de 4 años según el Art. 66 LGT. Sin embargo, ese plazo puede interrumpirse y la Agencia Tributaria puede alcanzar hasta el año 2020 en una inspección realizada en 2026 si hubo alguna actuación que interrumpió la prescripción. Por eso la recomendación práctica es conservar facturas 6 años, no 4.
Datos de clientes en tu CRM (sin factura emitida)
Esta es la categoría más compleja: clientes a quienes has prestado servicios, con quienes tienes un historial de comunicación, pero donde los datos van más allá de lo que aparece en la factura (historial de conversaciones, notas del CRM, preferencias, seguimiento comercial).
Plazo: el mismo que el contractual (6 años) para lo que tenga vinculación con la relación comercial. Para el resto (notas comerciales adicionales, historial de conversaciones sin valor probatorio), el plazo es más corto: el principio de minimización obliga a borrar lo que ya no sirve para ningún fin activo.
Base legal: ejecución del contrato (Art. 6.1.b RGPD) mientras dura la relación y para resolver posibles reclamaciones; interés legítimo (Art. 6.1.f RGPD) para el historial histórico pasado el período activo, siempre que haya evaluado y documentado ese interés legítimo.
Leads y contactos que no compraron
Los leads son la categoría que más ignoramos y más riesgo genera.
Base legal habitual: consentimiento (Art. 6.1.a RGPD) si el lead rellenó un formulario con checkbox claro, o interés legítimo (Art. 6.1.f RGPD) si el lead llegó por otro canal (referido, tarjeta en evento, llamada entrante) y nunca firmó nada.
Plazo: no hay obligación legal de conservar estos datos (a diferencia de las facturas), así que el principio de limitación del plazo te obliga a borrarlos cuando ya no tengas base legal válida.
Guía práctica AEPD: para tratamientos basados en interés legítimo, la AEPD recomienda en general no superar los 2 años desde el último contacto activo para datos de captación comercial. Pasado ese tiempo, o renuevas el contacto y la base legal, o borras.
| Canal de entrada del lead | Base legal más común | Plazo razonable |
|---|---|---|
| Formulario web con checkbox “acepto” | Consentimiento | Hasta revocación; si inactivo, máx. 2 años |
| Tarjeta entregada en evento | Interés legítimo | 1 año desde el evento |
| Referido por cliente actual | Interés legítimo | Hasta primer contacto + 1 año |
| Llamada entrante no registrada | Depende del registro | 1 año si no hay contrato |
| LinkedIn/RRSS con seguimiento | Consentimiento o IL | 1 año desde último contacto |
Acción inmediata: si tu CRM tiene leads de hace más de 2 años que nunca convirtieron y a los que no contactas activamente, bórralos o anónimizalos. Es deuda de cumplimiento que no tiene ningún valor comercial activo.
Datos de suscriptores de newsletter y marketing
Base legal: consentimiento explícito (Art. 6.1.a RGPD + Art. 21 Ley de Servicios de la Sociedad de la Información).
Plazo: mientras el suscriptor mantenga el consentimiento activo.
Qué significa “activo”: el suscriptor no se ha dado de baja ni ha revocado el consentimiento. Un suscriptor que lleva 3 años sin abrir ningún email NO ha revocado el consentimiento automáticamente — tienes que esperar a que lo haga activamente. Sin embargo, muchos proveedores de email (Mailchimp, Brevo, etc.) recomiendan limpiar suscriptores inactivos por razones de deliverability. Hacerlo también es buena práctica de cumplimiento.
Tras la baja: debes eliminar el dato de uso activo para envíos. Sin embargo, puedes conservar el registro de la baja (email + fecha + canal de baja) durante 3 años como evidencia en caso de reclamación ante la AEPD.
Datos de empleados
Esta sección aplica si tienes trabajadores contratados. Si no tienes empleados, puedes omitirla.
| Tipo de documento | Plazo mínimo | Base legal |
|---|---|---|
| Contrato laboral | 4 años | Art. 21 Estatuto de los Trabajadores |
| Nóminas | 4 años | Art. 105 LIRPF |
| Cotizaciones Seguridad Social (TC-2) | 4 años | Art. 24 LGSS |
| Registros de jornada | 4 años | Art. 34.9 ET tras reforma 2019 |
| Historial de ausencias/vacaciones | 4 años | Recomendación práctica; plazo laboral general |
Nota: el plazo de 4 años es el mínimo legal. En la práctica, muchas empresas conservan los expedientes completos de empleados 5-6 años para cubrir posibles reclamaciones posteriores al fin de la relación laboral.
Datos de candidatos a empleo (CVs)
Base legal: consentimiento del candidato al enviar el CV.
Plazo recomendado AEPD: 1 año desde la recepción, si el candidato no ha sido informado de otro plazo y no ha expresado interés en futuras ofertas.
Si el candidato envió CV con oferta activa: conserva durante el proceso de selección + 1 año adicional (tiempo razonable para reclamaciones por el proceso).
Si quieres mantenerlo más tiempo: solicita al candidato renovación del consentimiento indicando que vas a guardar su CV para futuras oportunidades.
Datos de cámaras de videovigilancia (CCTV)
Plazo máximo: 30 días desde la captación (Art. 22.3 LOPDGDD).
Excepción: si las imágenes están relacionadas con un incidente (robo, accidente laboral, disputa), puedes conservarlas más tiempo hasta que se resuelva el procedimiento.
Obligación adicional: necesitas señalización visible informando de la presencia de cámaras y el responsable del tratamiento.
El derecho de supresión y cómo gestionarlo en el CRM
Cuando un cliente ejerce su derecho de supresión (Art. 17 RGPD, “derecho al olvido”), tienes que atenderlo en un plazo máximo de 1 mes.
El proceso correcto en un CRM:
-
Verificar si existe obligación legal de conservar. Si hay facturas vinculadas al contacto, esos datos deben conservarse (bloqueados) el tiempo legal. Si son datos puramente comerciales sin obligación legal, se borran.
-
Distinguir entre borrar y bloquear. Borrar: eliminas el registro. Bloquear: el registro permanece pero con acceso restringido, sin uso comercial, solo para obligaciones legales. Si tu CRM no tiene función de “bloquear contacto”, la solución práctica es crear una etiqueta específica que el sistema identifique como “datos bloqueados por ejercicio de derecho” y excluirlos de todas las listas, exportaciones y comunicaciones.
-
Confirmar por escrito al solicitante. Tienes que informar al interesado de que has atendido su solicitud, qué datos has borrado y cuáles has bloqueado (y por qué obligación legal).
-
Registrar la solicitud y tu respuesta. Guarda evidencia de que atendiste correctamente la solicitud durante al menos 3 años (plazo de prescripción para reclamaciones ante la AEPD).
Cinco errores frecuentes de PyMEs con el RGPD
1. Usar la misma base legal para todo
Una empresa pequeña tiende a declarar “interés legítimo” para todos sus tratamientos porque parece más flexible. El problema: el interés legítimo requiere una evaluación documentada (llamada “test de ponderación”) donde demuestras que tu interés supera los derechos del interesado. Si no tienes esa evaluación documentada y la AEPD te inspecciona, tienes un tratamiento sin base legal válida.
2. No tener política de privacidad actualizada
Si en tu política de privacidad dices que conservas los datos “por el tiempo necesario” sin especificar los plazos por tipo de dato, estás incumpliendo el principio de transparencia (Art. 5.1.a RGPD). La política tiene que especificar los plazos para cada tipo de tratamiento, o al menos los criterios usados para determinarlos.
3. Ignorar los datos en el CRM de hace varios años
El CRM acumula silenciosamente contactos antiguos que nadie gestiona. Un contacto de 2019 al que no has contactado desde 2021 probablemente no tiene base legal válida si lo tienes como lead en fase de nurturing. Hacer una revisión anual del CRM para borrar o anonimizar contactos sin actividad reciente no es burocracia — es deuda de cumplimiento que se acumula.
4. No gestionar las bajas de newsletter correctamente
Un suscriptor que se da de baja tiene que salir de TODAS las listas de envío, no solo de la que usaste para el último envío. Si tienes un suscriptor en 3 listas segmentadas y al darse de baja solo lo quitas de una, sigues enviando desde las otras dos. Esto es una infracción y es la reclamación más frecuente que llega a la AEPD de consumidores contra empresas pequeñas.
5. Pensar que los datos B2B no están sujetos al RGPD
El RGPD aplica a personas físicas. Un email como juan@empresa.com es un dato personal de Juan, aunque sea su email de trabajo. Un autónomo con juan@juanfontanero.es es también persona física. Los datos de personas de contacto en empresas (nombre, email profesional, teléfono directo) están sujetos al RGPD. Lo que NO está sujeto son datos puramente organizacionales sin referencia a persona identificable (solo el nombre de una empresa, un NIF de sociedad, una dirección de sede).
Tabla resumen de plazos
| Tipo de dato | Plazo mínimo | Base legal | Fuente |
|---|---|---|---|
| Facturas y datos de facturación | 6 años | Obligación legal | Art. 30 C. Comercio |
| Contratos con clientes | 6 años | Obligación legal | Art. 30 C. Comercio |
| Datos fiscales/contables | 4-6 años | Obligación legal | Art. 66 LGT |
| Leads (formulario con consentimiento) | Hasta revocación / máx. 2 años inactivo | Consentimiento | RGPD Art. 6.1.a |
| Leads (sin consentimiento formal) | Máx. 1-2 años último contacto | Interés legítimo | RGPD Art. 6.1.f |
| Suscriptores newsletter | Mientras dure el consentimiento | Consentimiento | RGPD + LSSI Art. 21 |
| Registro de bajas newsletter | 3 años | Obligación propia (evidencia) | Recomendación AEPD |
| Contratos laborales | 4 años | Obligación legal | Art. 21 ET |
| Nóminas | 4 años | Obligación legal | LIRPF Art. 105 |
| CVs de candidatos no seleccionados | 1 año | Consentimiento | Recomendación AEPD |
| Imágenes CCTV | Máx. 30 días | Obligación legal | LOPDGDD Art. 22.3 |
También te puede interesar
- CRM para clínicas privadas: automatizar sin violar la LOPDGDD — el caso específico de datos sanitarios, que tiene requisitos reforzados.
- Chatbot para WhatsApp Business en tu PyME: qué cumple con la LOPDGDD — qué datos puede recoger tu chatbot y con qué base legal.
- Primeros 30 días con un CRM nuevo: checklist de configuración — cómo configurar el CRM desde el principio con campos y etiquetas de cumplimiento.
En resumen
Los plazos de conservación no son un número universal: dependen del tipo de dato y la base legal que uses. Para PyMEs, los más importantes:
- Facturas y contratos: 6 años (no borrar aunque el cliente lo pida; bloquear)
- Leads inactivos: borrar o anonimizar pasados 1-2 años sin contacto activo
- Newsletter: mientras dure el consentimiento; registro de baja 3 años
- Empleados: 4 años para documentación laboral y fiscal
El riesgo más real para una PyME no es el escenario de la multa millonaria — es la reclamación individual de un cliente o ex-empleado ante la AEPD por una baja de newsletter mal gestionada o por datos guardados sin base legal. Esas sanciones a primera instancia para PyME oscilan entre 5.000 y 50.000 €. No son millones, pero tampoco son despreciables.
Revisión anual del CRM para borrar contactos caducados y actualización de la política de privacidad con plazos concretos: esas dos acciones cubren el 80% del riesgo práctico.
Este post se actualizará cuando cambie la normativa aplicable. Última revisión: mayo 2026.
¿Quieres gestionar tus contactos con los plazos de retención configurados desde el primer día? BAI Business incluye campos de fecha de origen y etiquetas de estado de consentimiento para gestionar el ciclo de vida de tus contactos. Ver cómo funciona →
También en el blog