Leyes de Retención de Datos por País (2026): RGPD, el TJUE y Reglas Globales
Las organizaciones de todo el mundo enfrentan una pregunta engañosamente simple: ¿por cuánto tiempo se pueden conservar los datos personales? La respuesta depende de cuál de dos conceptos jurídicos, muy distintos entre sí, resulte aplicable. El principio de limitación del plazo de conservación del RGPD establece que los datos no deben conservarse más tiempo del necesario. Las leyes obligatorias de retención de datos de comunicaciones establecen que se deben conservar ciertos metadatos durante un plazo fijo. Ambas conllevan sanciones significativas por incumplimiento.
Alcance jurisdiccional: Este artículo cubre el principio de limitación del plazo de conservación del RGPD y del RGPD del Reino Unido, la jurisprudencia del TJUE sobre la retención obligatoria de datos de comunicaciones, y los marcos nacionales de retención de Estados Unidos, el Reino Unido, la UE, Brasil, China, India, Corea del Sur, Australia, Canadá, Japón, Singapur, Sudáfrica y México. Información verificada en mayo de 2026. Consulte a un abogado habilitado en su jurisdicción para obtener asesoría específica sobre su situación.
Dos significados de "retención de datos"
La expresión "ley de retención de datos" se utiliza para dos conceptos jurídicamente distintos que apuntan en direcciones opuestas, y confundirlos genera errores de cumplimiento.
El principio de limitación del plazo de conservación (modelo del derecho de privacidad) establece que las organizaciones no deben conservar datos personales más tiempo del necesario para la finalidad para la cual se recopilaron. El artículo 5(1)(e) del RGPD es la formulación canónica de esta regla. La POPIA de Sudáfrica, la LGPD de Brasil, la DPDPA de India y la PIPEDA de Canadá la reflejan todas. Bajo este modelo, la retención es un riesgo legal continuo: cuanto más tiempo conserve los datos, mayor es su exposición. La obligación corre del responsable hacia el regulador.
Las leyes obligatorias de retención de datos de comunicaciones (modelo del derecho de vigilancia) obligan a los proveedores de servicios de internet y a los operadores de telecomunicaciones a conservar los metadatos de suscriptores y de tráfico durante un plazo fijo, para que la aplicación de la ley pueda acceder a ellos retroactivamente. La ahora invalidada Directiva de Retención de Datos de la UE (2006/24/CE) es el ejemplo canónico. La Ley de Telecomunicaciones (Interceptación y Acceso) de Australia, la Ley de Poderes de Investigación del Reino Unido, y la Ley de Negocios de Telecomunicaciones de Corea del Sur crean todas plazos mínimos obligatorios de retención. Bajo este modelo, eliminar antes de que expire el plazo estatutario es la infracción. La obligación corre del operador hacia el gobierno.
Los mismos datos pueden estar sujetos a ambos regímenes de manera simultánea. Una empresa de telecomunicaciones sujeta a una ley gubernamental de retención obligatoria de 12 meses también está sujeta a la limitación del plazo de conservación del RGPD respecto de los mismos datos del cliente: no puede eliminarlos antes de los 12 meses (mandato gubernamental), pero también debe justificar conservarlos más allá de los 12 meses conforme al RGPD (principio de limitación del plazo de conservación). Estas dos restricciones definen conjuntamente la ventana lícita de conservación.
El principio de limitación del plazo de conservación conforme al RGPD
El artículo 5(1)(e) del RGPD establece que los datos personales deben conservarse "de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales". El RGPD no establece plazos de conservación específicos para la mayoría de las categorías de datos; las organizaciones deben determinar y documentar sus propios plazos.
Las organizaciones deben registrar los plazos de conservación en sus registros de actividades de tratamiento (artículo 30) y comunicarlos a los titulares de los datos en los avisos de privacidad (artículo 13(2)(a)). Una conservación más prolongada solo es admisible para fines de archivo de interés público, investigación científica o histórica, o fines estadísticos, con las salvaguardas apropiadas (artículo 89).
La Acción Coordinada de Aplicación de 2025 del CEPD sobre el derecho de supresión (publicada en febrero de 2026) encontró un incumplimiento generalizado: algunos responsables aplican el plazo de conservación más largo aplicable a todas las operaciones de tratamiento; otros conservan los datos de manera indefinida. El CEPD recomendó que las autoridades nacionales de protección de datos desarrollen orientación práctica adicional sobre la determinación de los plazos de conservación.
Plazos de conservación sectoriales en la UE
Aunque el RGPD evita plazos fijos, las leyes de los Estados miembros de la UE y las regulaciones sectoriales imponen plazos específicos:
Prevención de blanqueo de capitales. Las directivas de la UE contra el blanqueo de capitales exigen la conservación de los registros de diligencia debida del cliente y de los datos de transacciones durante cinco años después del fin de la relación comercial, y los Estados miembros pueden extender el plazo a diez años.
Registros laborales. La mayoría de los Estados miembros de la UE exigen a los empleadores conservar los registros de nómina e impuestos entre seis y diez años después de finalizada la relación laboral. Alemania exige diez años para los documentos con relevancia fiscal; Francia exige cinco años para los registros de nómina.
Historias clínicas. Los plazos de conservación de los datos de salud de los pacientes varían de manera significativa. El NHS del Reino Unido recomienda conservar las historias clínicas de adultos durante ocho años después del último tratamiento (25 años para los registros de salud mental), mientras que Francia exige 20 años desde el último contacto médico.
Metadatos de telecomunicaciones. La Directiva de Retención de Datos original de la UE (2006/24/CE) exigía a los proveedores de telecomunicaciones almacenar los metadatos de comunicaciones entre 6 y 24 meses. El TJUE invalidó la Directiva en 2014 en Digital Rights Ireland. La mayoría de los Estados miembros de la UE mantuvieron requisitos nacionales de retención, pero estos también han sido objeto de escrutinio del TJUE. Según una encuesta de 2025 realizada en 18 países europeos, solo Alemania, los Países Bajos y Rumania carecían de reglas de retención de datos de telecomunicaciones vigentes; la mayoría de los demás conservaban obligaciones generales de retención a pesar de la jurisprudencia del TJUE, y solo Bélgica, Dinamarca y el Reino Unido imponían únicamente una retención específica.
La jurisprudencia del TJUE sobre la retención de datos de comunicaciones
El Tribunal de Justicia de la UE ha desarrollado un cuerpo de jurisprudencia sobre la retención obligatoria de datos de comunicaciones que ha reducido progresivamente lo que los Estados miembros pueden obligar a conservar a las telecomunicaciones. Comprender esta trayectoria es esencial para cualquier organización que opere en los Estados miembros de la UE.
Digital Rights Ireland (2014)
En Digital Rights Ireland (Asuntos acumulados C-293/12 y C-594/12, 8 de abril de 2014), la Gran Sala del TJUE invalidó en su totalidad la Directiva de Retención de Datos de la UE (2006/24/CE). La Directiva había exigido la retención generalizada de todos los metadatos de comunicaciones entre 6 y 24 meses. El tribunal determinó que exigir una retención general e indiscriminada de todos los datos de todos los usuarios, sin diferenciación, limitación ni excepción basada en el objetivo de combatir la delincuencia grave, interfería de manera desproporcionada con los derechos a la privacidad y a la protección de datos garantizados por los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la UE.
Tele2 Sverige y Watson (2016)
Con la Directiva eliminada, varios Estados miembros mantuvieron o volvieron a promulgar leyes nacionales de retención. En Tele2 Sverige y Watson (Asuntos acumulados C-203/15 y C-698/15, 21 de diciembre de 2016), la Gran Sala sostuvo que la legislación nacional que prevé la retención general e indiscriminada de todos los datos de tráfico y de localización de todos los abonados es incompatible con el derecho de la UE. La retención específica lícita debe: (a) limitarse a categorías específicas de datos, medios de comunicación, personas afectadas y plazos de retención; (b) restringirse a lo estrictamente necesario; (c) estar accesible únicamente para combatir la delincuencia grave; y (d) estar sujeta a un control previo por parte de un tribunal o de un organismo administrativo independiente. El tribunal también exigió que los datos retenidos se almacenaran dentro de la UE y se destruyeran de manera irreversible al finalizar el plazo de retención.
La Quadrature du Net I (2020)
En La Quadrature du Net I (Asuntos acumulados C-511/18, C-512/18, C-520/18 y C-623/17, 6 de octubre de 2020), la Gran Sala confirmó la prohibición de la retención general, pero reconoció tres excepciones admisibles: (1) la retención general preventiva de todos los metadatos durante un período previsible de amenaza grave a la seguridad nacional, sujeta al control de un tribunal o de un organismo independiente; (2) la retención específica basada en criterios geográficos o en características de grupos específicos para combatir la delincuencia grave; y (3) la conservación acelerada de datos retenidos (congelamiento rápido) para investigaciones en curso.
SpaceNet y Telekom Deutschland (2022)
En SpaceNet y Telekom Deutschland (Asuntos acumulados C-793/19 y C-794/19, 20 de septiembre de 2022), la Gran Sala reafirmó que la legislación alemana que exigía la retención general e indiscriminada de datos de tráfico y de localización de telecomunicaciones era incompatible con el derecho de la UE, incluso con la finalidad de combatir la delincuencia grave. La sentencia subrayó que el congelamiento rápido y la retención específica siguen disponibles, pero la retención general no lo está, sin importar el objetivo de prevención del delito.
La Quadrature du Net II (2024)
El avance más reciente es La Quadrature du Net II (asunto C-470/21, 30 de abril de 2024), que abordó el sistema francés antipiratería HADOPI. El pleno del TJUE (no la Gran Sala) sostuvo que las direcciones IP son datos de tráfico conforme a la Directiva 2002/58, pero se distinguen de otros datos de tráfico y de localización en que su retención general e indiscriminada no constituye una injerencia grave en los derechos fundamentales cuando se salvaguarda adecuadamente.
El tribunal permitió la retención de direcciones IP y su asociación con datos de identidad civil para el acceso de la aplicación de la ley con el fin de combatir la infracción de derechos de autor en línea, incluidas las infracciones no graves. Las salvaguardas exigidas son: (a) los datos de direcciones IP deben almacenarse por separado de otros datos retenidos mediante sistemas técnicos seguros; (b) el acceso debe restringirse a la remisión para el enjuiciamiento, impidiendo el rastreo de flujos de navegación o la elaboración de perfiles; (c) se exige un control previo por parte de un tribunal o de un organismo independiente cuando existe riesgo de elaboración de perfiles; y (d) se mantiene una supervisión periódica e independiente de la integridad del sistema.
Qué significa esto hoy
La jurisprudencia del TJUE, a 2026, permite a los Estados miembros: conservar direcciones IP de manera general con salvaguardas técnicas; imponer una retención específica basada en la geografía o en categorías de sospechosos para la delincuencia grave; usar órdenes de congelamiento rápido; e imponer una retención general durante un período previsible de amenaza grave a la seguridad nacional. La retención general e indiscriminada de todos los metadatos de todos los usuarios para combatir la delincuencia ordinaria sigue siendo ilícita. La Comisión Europea está consultando sobre un nuevo marco de retención obligatoria de metadatos a nivel de la UE (convocatoria de evidencia lanzada en mayo de 2025; se espera un proyecto legislativo a comienzos de 2026), que tendría que navegar estas restricciones.
Marcos de retención por país
Estados Unidos
Estados Unidos no cuenta con una única ley federal integral de retención de datos equivalente al RGPD. Los requisitos de conservación provienen de leyes federales sectoriales y de leyes estatales.
Requisitos federales:
- IRS (registros tributarios): las empresas deben conservar los registros tributarios durante un mínimo de tres años desde la fecha de presentación, ampliándose a seis o siete años en caso de subestimación sustancial de ingresos (26 USC 6501).
- HIPAA (registros de salud): las entidades cubiertas deben conservar la documentación de políticas y procedimientos durante seis años desde su creación o su última fecha de vigencia (45 CFR 164.530(j)). Las leyes estatales a menudo imponen plazos más largos para los registros médicos subyacentes.
- FLSA (registros laborales): la Ley de Normas Laborales Justas exige a los empleadores conservar los registros de nómina durante tres años y los registros de cálculo de salarios durante dos años (29 CFR 516).
- SOX (registros financieros): la Ley Sarbanes-Oxley exige la conservación de los papeles de trabajo de auditoría durante siete años (18 USC 1520).
- Regla 17a-4 de la SEC: los corredores de bolsa deben conservar ciertos registros entre tres y seis años según el tipo de registro.
- Ley de Secreto Bancario (registros de prevención de blanqueo de capitales): las instituciones financieras deben conservar los registros de ciertas transacciones, incluidos los Informes de Transacciones en Efectivo y los Informes de Actividad Sospechosa, durante cinco años.
Requisitos a nivel estatal: la CCPA/CPRA de California exige a las empresas divulgar los plazos de conservación y evitar conservar los datos más tiempo del razonablemente necesario (Cal. Civ. Code 1798.100(c)). Colorado, Virginia (VCDPA) y Texas (TDPSA) contienen principios paralelos de limitación del plazo de conservación que exigen plazos documentados alineados con las finalidades del tratamiento.
Reino Unido
Tras el Brexit, el Reino Unido conserva el principio de limitación del plazo de conservación del RGPD a través del RGPD del Reino Unido y la Ley de Protección de Datos de 2018. La ICO aplica este principio junto con la legislación sectorial del Reino Unido.
El Proyecto de Ley de Protección de Datos e Información Digital (DPDI) del Reino Unido quedó sin efecto cuando el Parlamento se disolvió antes de las elecciones generales de julio de 2024. La Ley de Datos (Uso y Acceso) recibió la sanción real el 19 de junio de 2025, introduciendo cambios en los esquemas de datos inteligentes y el intercambio de datos, pero preservando sin cambios el principio central de limitación del plazo de conservación del RGPD del Reino Unido.
Los plazos sectoriales específicos incluyen:
- Servicios financieros: las reglas de la FCA exigen la conservación de los registros de transacciones durante cinco años (MiFID II) y los registros de prevención de blanqueo de capitales durante cinco años después de finalizada la relación comercial.
- Telecomunicaciones: la Ley de Poderes de Investigación de 2016 permite la retención de registros de conexión a internet por hasta 12 meses para el acceso de la aplicación de la ley. Bélgica, Dinamarca y el Reino Unido se encuentran entre las pocas jurisdicciones de la UE/postUE que imponen únicamente una retención específica, en línea con la jurisprudencia del TJUE.
- Relaciones laborales: la HMRC exige conservar los registros de nómina durante tres años después de finalizado el año fiscal al que corresponden.
Estados miembros de la Unión Europea
Más allá del marco del RGPD, cada Estado miembro de la UE mantiene plazos de conservación estatutarios sectoriales. Ejemplos clave:
Financiero/Prevención de blanqueo de capitales: todos los Estados miembros implementan el requisito de retención de cinco años de la Directiva antiblanqueo de la UE para los registros de diligencia debida del cliente y de transacciones.
Relaciones laborales: Alemania exige diez años para los documentos laborales con relevancia fiscal; Francia exige cinco años para los registros de nómina; Polonia y la República Checa exigen 50 años para los registros de seguridad social y de pensiones.
Historias clínicas: Alemania exige 10 años para los registros médicos desde el fin del tratamiento; Francia exige 20 años desde el último contacto; Italia exige 30 años para los registros médicos de intervenciones mayores.
Metadatos de telecomunicaciones: como se señaló anteriormente, solo Alemania, los Países Bajos y Rumania carecen actualmente de reglas obligatorias de retención de telecomunicaciones. La mayoría de los demás Estados miembros mantienen leyes nacionales que pueden ser incompatibles con la jurisprudencia del TJUE, pero que aún no han sido formalmente anuladas a nivel nacional.
Brasil (LGPD)
La LGPD de Brasil refleja el principio de limitación del plazo de conservación del RGPD conforme al artículo 15, exigiendo la eliminación de los datos personales una vez alcanzada la finalidad del tratamiento. Las excepciones abarcan el cumplimiento de obligaciones legales, la investigación (con anonimización cuando sea posible), y los intereses legítimos del responsable.
La Autoridad Nacional de Protección de Datos de Brasil (ANPD) emitió sus primeras decisiones significativas de aplicación en 2024 y publicó una guía preliminar sobre retención, señalando un mayor escrutinio regulatorio de las organizaciones que conservan datos sin cronogramas definidos.
Los requisitos brasileños sectoriales incluyen:
- Registros tributarios: cinco años (Código Tributario Nacional).
- Registros laborales: cinco años para los registros generales; hasta 30 años para los registros de salud ocupacional.
- Registros de consumo: cinco años (Código de Defensa del Consumidor).
China (PIPL)
El artículo 19 de la PIPL de China exige que los plazos de conservación sean el "mínimo necesario para lograr la finalidad del tratamiento". Las organizaciones deben eliminar o anonimizar la información personal una vez alcanzada la finalidad, vencido el plazo de conservación acordado, o cuando el individuo retire su consentimiento.
Las Regulaciones de Gestión de Seguridad de Datos de Red, anunciadas el 30 de septiembre de 2024 y vigentes desde el 1 de enero de 2025, exigen a los procesadores de datos de red incluir el plazo de conservación de la información personal en sus reglas de tratamiento. Cuando el plazo sea difícil de determinar, debe indicarse explícitamente el método para determinarlo. Estas Regulaciones implementan los requisitos de la PIPL con mayor especificidad operativa.
Los requisitos sectoriales existentes permanecen vigentes:
- Ley de Ciberseguridad: los operadores de red deben conservar los registros de red durante al menos seis meses.
- Registros financieros: los bancos deben conservar los registros de identificación de clientes durante cinco años después del cierre de la cuenta, y los registros de transacciones durante cinco años después de la transacción.
- Telecomunicaciones: los operadores deben conservar la información de registro de usuarios durante la duración del servicio más cinco años después de su terminación.
India (DPDPA)
La sección 8(7) de la DPDPA de India exige a los fiduciarios de datos eliminar los datos personales una vez cumplida la finalidad del tratamiento y cuando la conservación ya no sea necesaria para el cumplimiento legal.
Las Reglas de Protección de Datos Personales Digitales de 2025 se finalizaron el 13 de noviembre de 2025, poniendo en operación la DPDPA con disposiciones específicas de conservación:
- Conservación mínima (tratamiento del Séptimo Anexo): los fiduciarios de datos que tratan datos conforme al Séptimo Anexo (seguridad nacional, obligaciones estatutarias) deben conservar los datos personales, los datos de tráfico y los registros de tratamiento durante al menos un año desde la fecha del tratamiento.
- Conservación máxima (plataformas a gran escala): las entidades de comercio electrónico y los intermediarios de redes sociales con 20 millones o más de usuarios registrados en India, y los intermediarios de videojuegos en línea con cinco millones o más de usuarios registrados, enfrentan un tope de tres años desde la más reciente de la solicitud del titular de los datos o la fecha de entrada en vigor de las Reglas.
- Notificación previa a la eliminación: los fiduciarios de datos deben notificar a las personas afectadas 48 horas antes de eliminar los datos personales si la persona no ha interactuado con la plataforma.
Las Reglas entran en vigor por fases: 12 meses para las disposiciones sobre el Gestor de Consentimiento y 18 meses para el resto. Las leyes sectoriales siguen aplicándose: la Ley de Sociedades de 2013 exige registros financieros durante ocho años; la Ley del Impuesto sobre la Renta exige registros tributarios de seis a ocho años; las regulaciones KYC del RBI exigen cinco años después de finalizada la relación comercial.
Corea del Sur (PIPA)
El artículo 21 de la PIPA de Corea del Sur exige la destrucción de la información personal dentro de los cinco días posteriores al vencimiento del plazo de retención o al cumplimiento de la finalidad del tratamiento. Esta ventana de destrucción de cinco días se encuentra entre las más agresivas a nivel global.
Cuando otra ley exige la retención, la información debe almacenarse por separado del resto de los datos personales. Los plazos sectoriales incluyen:
- Comercio electrónico: cinco años para los registros de contrato y de pago conforme a la Ley de Protección al Consumidor en el Comercio Electrónico.
- Telecomunicaciones: 12 meses para los datos de suscriptores; tres meses para los metadatos de comunicaciones conforme a la Ley de Negocios de Telecomunicaciones.
- Registros tributarios: cinco años conforme a la Ley Marco sobre Impuestos Nacionales.
Australia
La Ley de Privacidad de 1988 de Australia (Principio Australiano de Privacidad 11) exige a las organizaciones tomar medidas razonables para destruir o anonimizar la información personal cuando ya no sea necesaria para ninguna finalidad.
La Ley de Enmienda a Otras Leyes de Privacidad de 2024 (Cth) recibió la sanción real el 10 de diciembre de 2024, introduciendo la reforma más significativa al régimen de privacidad de Australia desde su promulgación. Los cambios clave que afectan la retención de datos incluyen: la aclaración de que las "medidas razonables" para proteger la información personal abarcan la implementación de "medidas técnicas y organizativas"; un nuevo agravio estatutario por invasiones graves de la privacidad (vigente a más tardar el 10 de junio de 2025); y nuevas obligaciones de transparencia en la toma de decisiones automatizada vigentes desde el 11 de diciembre de 2024. El requisito de retención de metadatos de telecomunicaciones de dos años conforme a la Ley de Telecomunicaciones (Interceptación y Acceso) permanece sin cambios.
Canadá
La PIPEDA de Canadá (Ley de Protección de Información Personal y Documentos Electrónicos, SC 2000, c 5) exige a las organizaciones conservar la información personal únicamente durante el tiempo necesario para la finalidad identificada. Las enmiendas de la Ley 25 de Quebec (vigentes desde septiembre de 2023) exigen a las organizaciones destruir o anonimizar la información personal una vez alcanzada la finalidad.
Actualización del Proyecto de Ley C-27 / CPPA: el Proyecto de Ley C-27, que habría promulgado la Ley de Protección del Consumidor en Materia de Privacidad para reemplazar a la PIPEDA, quedó sin efecto en el Orden del Día cuando el Parlamento fue prorrogado en enero de 2025. Una elección federal en abril de 2025 postergó aún más la reforma en el calendario legislativo. La Oficina del Comisionado de Privacidad ha expresado confianza en que la reforma federal de privacidad será una prioridad en el 45.º Parlamento, pero no se ha promulgado ninguna nueva legislación federal a mayo de 2026. Canadá sigue operando conforme a la PIPEDA, una ley redactada en 2000.
Japón
El artículo 22 de la Ley de Protección de la Información Personal (APPI) de Japón exige a los operadores de tratamiento esforzarse por eliminar los datos personales cuando dejen de ser necesarios, pero no especifica plazos fijos de conservación. Las directrices sectoriales aportan mayor especificidad: las Directrices del MIC para los operadores de telecomunicaciones exigen a los operadores documentar los plazos de conservación y eliminar los datos sin demora tras el vencimiento del plazo.
La Comisión de Protección de la Información Personal (PPC) resolvió 67 casos de aplicación en el año fiscal 2024 (abril de 2024 a marzo de 2025) y está consultando sobre las enmiendas a la APPI de 2025, incluida la introducción de sanciones administrativas pecuniarias. Los plazos sectoriales de conservación incluyen: los registros corporativos conforme a la Ley de Sociedades (10 años), los registros de instituciones financieras conforme a la Ley Bancaria (10 años después del cierre de la cuenta), y los registros tributarios conforme a la Ley Nacional de Impuestos (siete años).
Singapur
La Ley de Protección de Datos Personales (PDPA) de Singapur impone una Obligación de Limitación de la Retención que exige a las organizaciones cesar de conservar o desechar los datos personales cuando ya no sean necesarios para ninguna finalidad comercial o legal. La PDPC ha intensificado la aplicación en 2024-2025: un caso de 2024 contra Keppel Telecommunications determinó una infracción por no eliminar datos personales desactualizados de un servidor heredado. Las sanciones económicas pueden alcanzar 1 millón de dólares singapurenses o el 10% de la facturación anual en Singapur para las organizaciones con una facturación superior a 10 millones de dólares singapurenses.
Los requisitos sectoriales incluyen: las instituciones financieras reguladas por el MAS deben conservar los registros de clientes durante cinco años; los proveedores de atención médica deben conservar los registros médicos durante seis años conforme a las Regulaciones de Hospitales Privados y Clínicas Médicas.
Sudáfrica (POPIA)
El artículo 14 de la Ley de Protección de la Información Personal (POPIA) de Sudáfrica exige que los registros de información personal no se conserven más tiempo del necesario para lograr la finalidad de su recopilación. Se permite una conservación extendida para funciones legales, obligaciones contractuales, o el consentimiento del titular de los datos.
Cuando un registro se haya utilizado para tomar una decisión sobre un titular de datos, debe conservarse durante el plazo exigido por la ley o por un código de conducta, o, si no se especifica un plazo, durante el tiempo suficiente para brindar al titular de los datos una oportunidad razonable de solicitar el acceso. La POPIA entró en vigor el 1 de julio de 2020, con un plazo de cumplimiento hasta el 30 de junio de 2021.
México
México promulgó una nueva Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), vigente desde el 21 de marzo de 2025, que reemplaza a la versión de 2010. Los responsables del tratamiento deben establecer plazos de conservación y eliminar los datos una vez vencidos esos plazos, siguiendo un proceso de bloqueo. Los datos relacionados con incumplimientos contractuales deben eliminarse después de 72 meses. Una vez cumplida la finalidad del tratamiento, los datos se bloquean (se conservan pero no se tratan) hasta que vence el plazo de prescripción legal o contractual, y luego se eliminan.
Tabla comparativa de plazos de conservación clave
| Sector/Tipo de registro | EE. UU. | UE/RGPD | Reino Unido | Brasil | China | Corea del Sur | Australia | Japón | Singapur |
|---|---|---|---|---|---|---|---|---|---|
| Registros tributarios/financieros | 3-7 años | 5-10 años (varía por estado) | 3-6 años | 5 años | 5 años | 5 años | 5-7 años | 7 años | 5 años |
| Empleo/Nómina | 2-3 años (FLSA) | 6-10 años (varía) | 3 años (HMRC) | 5-30 años | Según contrato + ley | 3 años | 7 años | Según contrato | 5 años |
| Salud/Registros médicos | 6+ años (documentos HIPAA) | 8-20 años (varía) | 8-25 años (NHS) | 20 años | 15 años mínimo | 5 años tras tratamiento | 7 años | Varía por sector | 6 años |
| Metadatos de telecomunicaciones | Sin mandato federal | Varía por Estado miembro (retención general prohibida por el TJUE) | 12 meses (IPA) | Según regulación sectorial | 6 meses (registros) | 3-12 meses | 2 años | Según directrices del MIC | Según reglas del MDA |
| Prevención de blanqueo de capitales | 5 años (BSA) | 5 años (AMLD) | 5 años | 5 años | 5 años | 5 años | 7 años | 7 años | 5 años |
| Consumo/Comercio electrónico | Sin mandato federal | Según finalidad | Según finalidad | 5 años | Según finalidad | 5 años | Según finalidad | Según finalidad | Según finalidad |
Requisitos de destrucción de datos
Las obligaciones de retención carecen de sentido sin requisitos exigibles de destrucción. La mayoría de las leyes de privacidad modernas especifican cómo deben destruirse los datos, no solo cuándo.
Enfoque del RGPD/UE: el RGPD exige una supresión que haga que los datos sean irrecuperables. ENISA ha publicado orientación que recomienda la destrucción física para el hardware y el borrado criptográfico o la sobreescritura de múltiples pasadas para los registros electrónicos. El CEPD ha señalado que la anonimización (hacer que las personas dejen de ser identificables) es una alternativa a la eliminación para fines de investigación y archivo, pero ha advertido contra tratar la seudonimización como equivalente a la supresión para fines de limitación del plazo de conservación.
Estándares federales de EE. UU.: el NIST publica la SP 800-88 Rev. 1 ("Directrices para el Saneamiento de Medios"), que ofrece métodos detallados para la depuración, purga y destrucción de medios de almacenamiento de datos. Muchas leyes estatales de privacidad hacen referencia a los estándares del NIST como el punto de referencia para una destrucción adecuada.
Requisitos de documentación: varias jurisdicciones exigen registros documentados de destrucción:
- Corea del Sur exige un registro de destrucción que documente la fecha, el método y la persona responsable, dentro de los cinco días posteriores al vencimiento de la finalidad.
- La ICO del Reino Unido recomienda mantener certificados de destrucción para los servicios externalizados de eliminación.
- La PDPA de Singapur exige a las organizaciones mantener una "responsabilidad razonable" respecto de la destrucción, incluido el mantenimiento de registros.
- Las Reglas de la DPDPA de India exigen documentar y registrar la notificación de 48 horas previa a la eliminación.
Datos de respaldo: el informe CEF 2025 del CEPD encontró que la mitad de las autoridades de protección de datos que respondieron reportaron que los responsables no cuentan con procedimientos específicos para la supresión desde los sistemas de respaldo. Algunos responsables no eliminan en absoluto los datos personales de los respaldos. Los reguladores tratan cada vez más los datos de respaldo como sujetos a las mismas obligaciones de eliminación que los datos primarios.
Retenciones legales (litigation holds) y conflictos de conservación
Una retención legal (litigation hold o legal hold) es la obligación de conservar todos los documentos y datos potencialmente relevantes cuando se anticipa razonablemente un litigio. En Estados Unidos, el deber de conservación surge del derecho consuetudinario y de las enmiendas a las FRCP, particularmente de la Regla 37(e), que aborda las sanciones por no conservar información electrónicamente almacenada.
Las retenciones legales prevalecen sobre los cronogramas estándar de retención. Si la política de una organización establece la eliminación después de tres años, pero se anticipa un litigio que involucra esos registros, la organización debe suspender la eliminación de los datos afectados hasta que se levante la retención.
Conforme al RGPD, se reconoce explícitamente la tensión entre los requisitos de minimización de datos y los deberes de retención legal. El considerando 65 del RGPD establece que la conservación más allá de la finalidad original puede ser admisible para establecer, ejercer o defender reclamaciones legales. Las organizaciones deben documentar esta base legal en sus registros de actividades de tratamiento y comunicarla a los titulares de datos afectados.
Cómo construir una política de retención conforme
Las organizaciones que navegan requisitos de retención multijurisdiccionales deben seguir estos pasos:
1. Realizar un inventario de datos. Trace un mapa de cada categoría de datos personales recopilados, las jurisdicciones por las que fluyen, y las bases legales para el tratamiento. Este inventario constituye la base de un cronograma de retención defendible.
2. Construir un cronograma de retención. Para cada categoría de datos, identifique los plazos de conservación aplicables en todas las jurisdicciones relevantes. Establezca el techo de retención en el plazo obligatorio más largo. Documente la base legal de cada plazo (obligación legal, interés legítimo o consentimiento).
3. Construir una matriz transfronteriza. Para las organizaciones multinacionales, cree una tabla jurisdicción por jurisdicción que identifique el plazo obligatorio más largo, el plazo máximo más corto, y la ventana lícita resultante. Cuando las jurisdicciones entren en conflicto (por ejemplo, un mínimo obligatorio de 12 meses en la jurisdicción A y un máximo basado en la finalidad de seis meses en la jurisdicción B), documente la tensión y la solución elegida.
4. Automatizar la eliminación. Los procesos manuales de eliminación son propensos a errores. Las plataformas modernas de gobernanza de datos pueden aplicar la eliminación automatizada según los cronogramas de retención, con manejo de excepciones para las retenciones legales. El informe CEF 2025 del CEPD encontró que los datos de respaldo son una brecha común.
5. Documentar todo. Los reguladores y los tribunales esperan cada vez más que las organizaciones demuestren no solo que cuentan con una política de retención, sino que la cumplen. Mantenga registros de destrucción, pistas de auditoría, y registros de excepciones. Corea del Sur e India exigen ambas una documentación específica de los eventos de destrucción.
Novedades recientes (2024-2026)
Aplicación del derecho de supresión del CEPD 2025. La Acción Coordinada de Aplicación de 2025 del CEPD abarcó a 764 responsables en 32 jurisdicciones y encontró dificultades generalizadas para determinar e implementar los plazos de conservación. El CEPD ha pedido a las autoridades nacionales de protección de datos desarrollar una orientación más específica sobre la conservación.
Legislación de retención de metadatos de la UE. La Comisión Europea lanzó una convocatoria formal de evidencia en mayo de 2025 sobre la reactivación de un marco obligatorio de retención de metadatos a nivel de toda la UE. Se espera una propuesta legislativa preliminar a comienzos de 2026. La propuesta se aplicaría a las telecomunicaciones, los servicios en la nube, los procesadores de pagos, y potencialmente a los servicios de mensajería con cifrado de extremo a extremo. Cualquier ley tendría que navegar la jurisprudencia del TJUE que prohíbe la retención general e indiscriminada.
Reglas de la DPDPA de India finalizadas. Las Reglas de la DPDPA de India se finalizaron el 13 de noviembre de 2025, estableciendo por primera vez topes específicos de retención para las grandes plataformas digitales.
Reformas de la Ley de Privacidad de Australia. La Ley de Enmienda a Otras Leyes de Privacidad de 2024 (sanción real el 10 de diciembre de 2024) introdujo las reformas de privacidad más significativas de Australia desde la promulgación de la Ley, aclarando las obligaciones de destrucción e introduciendo un nuevo agravio estatutario.
Nueva LFPDPPP de México. La LFPDPPP actualizada de México entró en vigor el 21 de marzo de 2025, reemplazando un marco de 2010 con procedimientos actualizados de tratamiento de datos y bloqueo de conservación.
Preguntas frecuentes
¿Cuál es la diferencia entre el principio de limitación del plazo de conservación del RGPD y las leyes obligatorias de retención de datos?
El principio de limitación del plazo de conservación del RGPD (artículo 5(1)(e)) es una protección de la privacidad: prohíbe conservar datos personales más tiempo del necesario para la finalidad original. Las leyes obligatorias de retención de datos son herramientas de vigilancia: obligan a los proveedores de internet y a las telecomunicaciones a conservar los metadatos de suscriptores y de tráfico durante un plazo fijo para que la aplicación de la ley pueda acceder a ellos. Ambas pueden aplicarse simultáneamente a los mismos datos, creando una ventana lícita de conservación entre el mínimo obligatorio y el máximo de la limitación del plazo de conservación.
¿Por cuánto tiempo puede una empresa conservar datos personales conforme al RGPD?
El RGPD no establece plazos específicos. El artículo 5(1)(e) exige que los datos personales se conserven durante no más tiempo del necesario para la finalidad recopilada. Las organizaciones deben determinar y documentar los plazos de conservación según su finalidad de tratamiento, cualquier obligación legal, y las reglas sectoriales específicas. El informe de aplicación de 2025 del CEPD encontró que la mayoría de las organizaciones tienen dificultades para hacerlo de manera coherente.
¿Qué ocurrió con la Directiva de Retención de Datos de la UE?
El Tribunal de Justicia de la UE invalidó la Directiva de Retención de Datos (2006/24/CE) en Digital Rights Ireland (asunto C-293/12, 8 de abril de 2014), determinando que exigir la retención generalizada de todos los metadatos de comunicaciones de todos los usuarios sin diferenciación vulneraba los derechos de la Carta a la privacidad y a la protección de datos. La Comisión Europea está consultando ahora sobre un marco de retención obligatoria de reemplazo; se espera una propuesta legislativa preliminar a comienzos de 2026.
¿Sigue permitida en la UE la retención general de metadatos de telecomunicaciones?
No, para la mayoría de los fines de combate a la delincuencia. La jurisprudencia del TJUE de 2014 a 2022 estableció que la retención general e indiscriminada de todos los datos de tráfico y de localización de todos los usuarios es incompatible con el derecho de la UE. Solo se permiten la retención específica (basada en la persona, la geografía o la categoría), las órdenes de congelamiento rápido, y la vigilancia en tiempo real con autorización judicial. La sentencia de 2024 en La Quadrature du Net II creó una excepción limitada para la retención de direcciones IP, que se considera menos intrusiva que otros metadatos.
¿Qué ocurrió con las reglas de retención de la DPDPA de India?
Las Reglas de la DPDPA de India se finalizaron el 13 de noviembre de 2025. Las Reglas exigen al menos un año de retención para los datos personales tratados conforme a obligaciones de seguridad nacional y estatutarias. Las grandes plataformas de comercio electrónico, los intermediarios de redes sociales (20 millones o más de usuarios) y las plataformas de videojuegos en línea (5 millones o más de usuarios) enfrentan un tope máximo de retención de tres años. Los fiduciarios de datos deben notificar a los usuarios 48 horas antes de eliminar sus datos si el usuario no ha interactuado recientemente con la plataforma.
¿Cuál es el estado de la reforma de privacidad de Canadá?
El Proyecto de Ley C-27 de Canadá, que habría reemplazado a la PIPEDA con la Ley de Protección del Consumidor en Materia de Privacidad (CPPA), quedó sin efecto en el Orden del Día cuando el Parlamento fue prorrogado en enero de 2025. Una elección federal en abril de 2025 postergó aún más la reforma. Canadá sigue operando conforme a la PIPEDA, promulgada en 2000. La Ley 25 de Quebec (vigente desde septiembre de 2023) establece requisitos provinciales más estrictos.
¿Las retenciones legales prevalecen sobre las políticas de retención de datos?
Sí. Cuando se anticipa razonablemente un litigio, las organizaciones deben conservar todos los datos potencialmente relevantes, sin importar los cronogramas estándar de retención. En EE. UU., la Regla 37(e) de las FRCP aborda las sanciones por no conservar información electrónicamente almacenada. Conforme al RGPD, el considerando 65 permite la conservación más allá de la finalidad original para establecer, ejercer o defender reclamaciones legales. Esta obligación continúa hasta que concluye el litigio o se levanta formalmente la retención.
¿Cómo deben destruirse los datos personales cuando finaliza el plazo de retención?
La mayoría de las leyes de privacidad exigen una destrucción irreversible. El NIST SP 800-88 ofrece métodos que incluyen la destrucción física, el borrado criptográfico, y la sobreescritura de múltiples pasadas. Corea del Sur exige una destrucción documentada dentro de cinco días. India exige un aviso de 48 horas antes de la eliminación para ciertas plataformas. Las organizaciones deben mantener registros de destrucción que documenten la fecha, el método y la persona responsable. Los sistemas de respaldo requieren procedimientos específicos de eliminación; el CEPD encontró que esto es una brecha generalizada de cumplimiento.
¿Son distintas las leyes de retención de datos para los registros de salud frente a los registros financieros?
Sí, de manera significativa. Los registros de salud suelen tener plazos de retención obligatorios más largos (8 a 25 años en muchas jurisdicciones) debido a la relevancia clínica continua y a los posibles reclamos por negligencia médica. Los registros financieros generalmente exigen entre 3 y 10 años según la jurisdicción y el tipo de registro. Cada sector tiene su propio marco regulatorio. En EE. UU., la HIPAA rige la documentación de los registros de salud (6 años), mientras que las leyes estatales de práctica médica suelen exigir de 7 a 10 años para los registros subyacentes.
¿Puede una empresa usar el mismo plazo de retención para todos los países?
Establecer los plazos de conservación en el plazo obligatorio más largo a nivel global es legalmente conservador, pero puede entrar en conflicto con los requisitos de minimización de datos en países con plazos máximos obligatorios más cortos. El enfoque más seguro es un cronograma de retención específico por jurisdicción, basado en el lugar de residencia de los titulares de los datos, con bases legales documentadas para cada plazo. Las organizaciones multinacionales deben construir una matriz transfronteriza que identifique la ventana lícita entre los mínimos obligatorios y los máximos de limitación del plazo de conservación para cada categoría de datos y jurisdicción.
Fuentes y referencias
- RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo(eur-lex.europa.eu).gov
- RGPD, artículo 5: Principios relativos al tratamiento de datos personales(gdpr-info.eu)
- TJUE, Digital Rights Ireland (asuntos C-293/12 y C-594/12, 8 de abril de 2014)(curia.europa.eu).gov
- TJUE, Tele2 Sverige y Watson (asuntos C-203/15 y C-698/15, 21 de diciembre de 2016)(eur-lex.europa.eu).gov
- TJUE, La Quadrature du Net I (asuntos C-511/18, C-512/18, C-520/18, C-623/17, 6 de octubre de 2020)(curia.europa.eu).gov
- TJUE, SpaceNet y Telekom Deutschland (asuntos C-793/19 y C-794/19, 20 de septiembre de 2022)(curia.europa.eu).gov
- TJUE, La Quadrature du Net II (asunto C-470/21, 30 de abril de 2024)(eur-lex.europa.eu).gov
- Acción Coordinada de Aplicación del CEPD 2025: Implementación del Derecho de Supresión (febrero de 2026)(edpb.europa.eu).gov
- ICO del Reino Unido: Guía sobre la Limitación del Plazo de Conservación(ico.org.uk).gov
- 26 USC 6501: Límites del IRS sobre Evaluación y Cobro(law.cornell.edu)
- 45 CFR 164.530: Requisitos Administrativos de la HIPAA(law.cornell.edu)
- 29 CFR 516: Registros que Deben Conservar los Empleadores conforme a la FLSA(law.cornell.edu)
- 18 USC 1520: Destrucción de Registros de Auditoría Corporativa bajo SOX(law.cornell.edu)
- Cal. Civ. Code 1798.100: Derecho del Consumidor a Saber bajo la CCPA(leginfo.legislature.ca.gov).gov
- LGPD de Brasil: Ley 13.709/2018(planalto.gov.br).gov
- Texto completo de la PIPL de China (CNP)(npc.gov.cn).gov
- Regulaciones de Gestión de Seguridad de Datos de Red de China (vigentes desde el 1 de enero de 2025)(english.www.gov.cn).gov
- Texto completo de la DPDPA 2023 de India(meity.gov.in).gov
- IAPP: Reglas de la DPDPA de India Finalizadas (noviembre de 2025)(iapp.org)
- Traducción al Inglés de la PIPA de Corea del Sur(law.go.kr).gov
- Principios Australianos de Privacidad (OAIC)(oaic.gov.au).gov
- Ley de Enmienda a Otras Leyes de Privacidad de 2024 (Cth), Parlamento de Australia(aph.gov.au).gov
- PIPEDA de Canadá: Ley de Protección de Información Personal y Documentos Electrónicos, SC 2000, c 5(laws-lois.justice.gc.ca).gov
- PDPA de Singapur: Obligaciones de Protección de Datos (PDPC)(pdpc.gov.sg).gov
- POPIA de Sudáfrica: Artículo 14, Conservación y Restricción de Registros(popia.co.za)
- NIST SP 800-88 Rev. 1: Directrices para el Saneamiento de Medios(csrc.nist.gov).gov
- Regla 37(e) de las FRCP: Falta de Conservación de Información Electrónicamente Almacenada(law.cornell.edu)