Blog > types.blogCategories.Actualidad > Destrucción de Documentos: Obligatorio por RGPD [Guía]

La destrucción de documentos ¿Por qué guardar papeles "por si acaso" es un riesgo fatal para el RGPD de tu empresa?

La destrucción de documentos ¿Por qué guardar papeles "por si acaso" es un riesgo fatal para el RGPD de tu empresa?

 

Esa sala de archivos al fondo del pasillo. Las estanterías repletas de carpetas "AZ" con currículums de 2018, contratos de ex-empleados y facturas de hace una década. Como empresario o autónomo, tu instinto te dice "guárdalo, por si acaso". La realidad es que ese instinto, en la era del Reglamento General de Protección de Datos (RGPD), es un error peligroso.

 

Ese archivo no es un almacén de historia; es una bomba de relojería legal. Cada documento que conservas más allá del tiempo estrictamente necesario es un incumplimiento activo del RGPD. No solo no te protege, sino que te expone directamente a una sanción de la Agencia Española de Protección de Datos (AEPD).

 

En Allover Consultors, como consultoría experta en protección de datos, vemos este riesgo a diario. La destrucción de documentos no es una opción de limpieza de primavera; es una obligación legal tan importante como la de recoger el consentimiento. Y la mayoría de las empresas lo está haciendo mal.

 

El principio clave: la limitación del plazo de conservación

El artículo 5.1.e del RGPD es demoledor y dinamita la cultura del "por si acaso". Establece que los datos personales (¡y una factura, una nómina o un CV son datos personales!) deben ser:

"mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales".

 

Traducido al lenguaje empresarial: en el instante en que un documento ya no te sirve para el fin para el que lo recogiste (facturar, contratar, etc.) y ninguna otra ley te obliga a guardarlo (como la ley fiscal), mantenerlo en tu poder es una infracción.

 

Si sufres una inspección, o peor, una brecha de seguridad (un robo, un incendio, un hackeo) y el atacante accede a esos documentos obsoletos, la AEPD no solo te sancionará por la brecha, sino que agravará la multa por no haber aplicado el principio de limitación del plazo.

 

El "cuándo": el calendario de borrado que tu empresa debe tener

 

El "cuándo": el calendario de borrado que tu empresa debe tener

El gran reto no es destruir, sino saber cuándo destruir. Guardar los datos menos tiempo del legal es tan problemático como guardarlos de más. Por eso, no puedes fiarte de tu intuición; necesitas una política de conservación clara, un documento legal que Allover Consultors implementa como parte central de la adaptación al RGPD.

Aunque cada empresa es un mundo, estos son los plazos generales:

  • Datos fiscales y contables: (Facturas, libros contables, etc.). La norma general mercantil y fiscal te obliga a conservarlos durante 6 años.
  • Datos laborales: (Contratos de trabajo, nóminas, registros de jornada). Debes conservarlos durante el tiempo de vigencia de la relación laboral y, posteriormente, durante el plazo de prescripción de acciones legales (normalmente 4-5 años tras la extinción).
  • Currículums (CVs): Este es uno de los mayores focos de riesgo.
    • Si recibes un CV para una oferta concreta, debes destruirlo una vez finalice el proceso de selección.
    • Si lo recibes de forma espontánea, solo puedes conservarlo (normalmente 1-2 años) si has informado inequívocamente al candidato y este te ha dado su consentimiento para guardarlo.
  • Grabaciones de videovigilancia: Como norma general, 30 días. Pasado ese plazo, deben borrarse, salvo que exista una denuncia o requerimiento judicial.
  • Datos de clientes: Durante la relación contractual y, una vez finalizada, solo durante los plazos de prescripción legal de las posibles acciones (ej. 5 años para reclamaciones civiles).

Tener este calendario claro es el primer paso. El segundo, y más crítico, es el cómo.

 

El "cómo": por qué tirar papel a la basura es una brecha de seguridad

Aquí es donde fallan el 90% de las empresas. Cogen los CVs antiguos, las facturas caducadas y las tiran al contenedor de reciclaje azul o a la basura normal. Esto es una brecha de seguridad.

 

En el momento en que ese papel sale de tu control y un tercero (un recuperador, un competidor, o simplemente un vecino) puede acceder a él, has expuesto datos confidenciales. Has fallado en tu deber de custodia (Art. 32 RGPD).

La destrucción de documentos confidenciales no puede ser "casera". Debe ser un proceso que garantice que la información es irrecuperable.

 

  • Soportes en papel: No basta con romperlo en cuatro trozos. La normativa internacional (DIN 66399) establece niveles de seguridad. Para datos confidenciales, se exige una trituración de alta seguridad (microcorte o partículas) que hace imposible su reconstrucción.
  • Soportes digitales: (Discos duros, USBs, CDs, móviles de empresa). Borrar los archivos o formatear el disco no es suficiente. Los datos siguen ahí. Se requiere la destrucción física (trituración, pulverización) o la desmagnetización certificada para garantizar su eliminación.

 

El "cuándo": el calendario de borrado que tu empresa debe tener

 

El certificado de destrucción: tu escudo legal ante la AEPD

Si no puedes probar que lo hiciste, legalmente no lo has hecho.

El principio de responsabilidad proactiva (accountability) del RGPD te obliga a demostrar que cumples. Cuando destruyes documentos, no es suficiente con decir "los he triturado". Necesitas una prueba fehaciente. Aquí entra la figura del Certificado de Destrucción Confidencial.

 

Este documento solo puede ser emitido por una empresa especializada y certificada (un Encargado de Tratamiento). Es el documento que, ante una inspección de la AEPD, te sirve como escudo legal. Demuestra:

  • Qué se destruyó (volumen).
  • Cuándo se destruyó.
  • Cómo se destruyó (el método y el nivel de seguridad).
  • La trazabilidad y la cadena de custodia de los documentos.

Sin este certificado, tu palabra contra la del inspector no tiene valor.

 

Allover Consultors: somos los arquitectos de tu plan de borrado

En Allover Consultors no tenemos camiones de destrucción. No somos la empresa que tritura el papel.

Somos algo mucho más importante: somos los consultores expertos que diseñan el protocolo legal para que esa destrucción sea válida, legal y te proteja de sanciones.

 

Nuestro trabajo no es destruir, es:

  1. Auditar tu empresa: Analizamos tus archivos físicos y digitales.
  2. Crear tu "Política de Conservación y Borrado": Te decimos qué debes destruir y cuándo, creando un calendario de borrado adaptado a tu sector.
  3. Definir el "cómo": Establecemos el nivel de seguridad necesario para tu tipo de datos.
  4. Blindar tus contratos: Redactamos el contrato de Encargado de Tratamiento (Art. 28 RGPD) que debes firmar con la empresa de destrucción, asegurando que ellos cumplen la ley y que la responsabilidad está cubierta.
  5. Verificar el cumplimiento: Nos aseguramos de que recibas los Certificados de Destrucción válidos que te servirán como prueba ante la AEPD.

No esperes a que esos archivos obsoletos se conviertan en una sanción de seis cifras. La tranquilidad no tiene precio, pero el incumplimiento sí tiene un coste muy alto. Contacta hoy mismo con Allover Consultors y deja que nuestros consultores expertos diseñen el plan de destrucción y borrado que tu empresa necesita para cumplir con el RGPD.

 

El "cuándo": el calendario de borrado que tu empresa debe tener

 

FAQs: preguntas frecuentes sobre la destrucción de documentos

¿Cuál es el proceso de destrucción de documentos?

El proceso profesional, para ser legal bajo el RGPD, incluye varios pasos: 1. Identificación (determinar qué documentos ya no son necesarios ni tienen obligación legal de conservarse); 2. Almacenamiento seguro (guardar esos documentos en contenedores seguros sellados); 3. Recogida segura por una empresa especializada; 4. Destrucción (mediante métodos como la trituración o pulverización que aseguran la irrecuperabilidad); y 5. Certificación (emisión del Certificado de Destrucción Confidencial).

 

¿Cómo se pueden destruir los documentos?

Existen varios métodos, pero los más seguros y conformes a la normativa son: Trituración mecánica (el método más común, que debe tener un nivel de corte adecuado para la confidencialidad), Incineración controlada (para grandes volúmenes), Pulverización (para papel) o Desmagnetización y destrucción física (para soportes digitales como discos duros, CDs o USBs).

 

¿Cómo destruir la documentación de una empresa?

La única forma legal y segura de hacerlo es contratando a una empresa de destrucción confidencial certificada. Nunca debe tirarse a la basura o al reciclaje común. La empresa debe actuar como "Encargado de Tratamiento" bajo el RGPD, y debe proporcionar un Certificado de Destrucción al finalizar el servicio. Este certificado es la prueba legal de la empresa ante la AEPD de que ha cumplido con el principio de limitación del plazo.

policeReport.blog.postsRelateds
TU ALIADO EN PROTECCIÓN DE DATOS

En Allover Consultors adaptamos la actividad de tu negocio para cumplir con el Reglamento General de Protección de Datos de forma rápida, sencilla y digital.

Menú BlogAcceso a clientes
Social
Contacto
allover@alloverconsultors.com
648 44 30 86
© www.alloverconsultors.es 2025 Términos y condiciones de uso - Política de privacidad - Política de cookies - Avíso legal