Los datos personales no deben conservarse más tiempo del estrictamente necesario para cumplir con la finalidad para la que fueron recogidos. El responsable del tratamiento debe cumplir este principio de limitación del plazo de conservación, que se encuentra recogido en el artículo 5.1.e del RGPD.
La aplicación práctica de este principio supone que las entidades han de documentar los plazos en políticas internas, y establecer procedimientos de revisión y supresión de los datos personales. Mantener bases de datos sin necesidad no solo incrementa los riesgos de seguridad, sino que también puede suponer una infracción sancionable.
Un ejemplo claro lo encontramos en el sector sanitario: el artículo 17.1 de la Ley 41/2002, básica reguladora de la autonomía del paciente establece que la historia clínica debe conservarse, con carácter general, durante un mínimo de cinco años contados desde la fecha de alta de cada proceso asistencial. Una vez transcurrido dicho plazo, y salvo que otra norma exija su conservación, los datos deben eliminarse o anonimizarse para fines estadísticos o de investigación.
Las entidades tienen que planificar cuánto tiempo mantendrán cada categoría de datos y suprimirlos o anonimizaros una vez transcurrido dicho periodo.
En las políticas de privacidad es obligatorio informar a los interesados sobre los plazos de conservación de sus datos, ya sea indicando un periodo exacto o explicando el criterio que se aplicará para decidirlo.