Destruir un expediente de personal: cuándo es obligatorio, cómo se hace y qué exige el RGPD
Toda empresa que tiene o ha tenido personal en plantilla está sentada sobre una montaña de datos de privacidad en papel. Contratos de trabajo, nóminas, evaluaciones de desempeño, copias de documentos de identidad, partes de baja, todos ellos documentos que contienen datos personales y a los que el RGPD asocia reglas estrictas. No solo sobre cuánto tiempo puedes conservarlos, sino también sobre cómo debes destruirlos cuando el plazo vence. Y esto último rara vez se explica.
Porque ahí es donde se tuerce. Las organizaciones ya saben bastante bien cuándo determinados expedientes pueden ir a la papelera. Pero ¿y después? Una caja de cartón con carpetas de personal antiguas que acaba sin más en el papel viejo es una brecha de datos. Y eso es una infracción de notificación obligatoria ante la autoridad neerlandesa de protección de datos (AP).
Esta guía te da una respuesta completa: cuándo debes destruir, cómo, qué nivel de seguridad se requiere y cuándo es mejor externalizar que cortar tú mismo.
¿Cuándo puedes y debes destruir un expediente de personal?
La obligación de conservación de los datos de personal no es unívoca, porque un expediente consta de decenas de categorías de documentos que tienen cada una su propio plazo. Los más relevantes:
| Documento | Plazo de conservación | Base legal |
|---|---|---|
| Contrato de trabajo, datos salariales | 7 años tras el fin del contrato | Art. 52 AWR (obligación fiscal de conservación) |
| Copia del documento de identidad | 5 años tras el fin del contrato | Wet LB / Wwft |
| Expediente de salud laboral / datos de absentismo | 2 años tras la baja (vía servicio de prevención) | Wet Verbetering Poortwachter |
| Informes de desempeño, correspondencia | 2 años tras la baja | Limitación de conservación RGPD |
| CV / datos de candidatura (rechazado) | 4 semanas tras el rechazo (máx. 6 meses con consentimiento) | RGPD art. 5 |
| Copia de ID para Wwft (financiero) | 5 años | Wwft art. 33 |
| Expediente de salud laboral con exposición médica | 20 años tras el fin de la función | Arbowet |
La regla principal: en cuanto vence el plazo máximo de conservación, no solo puedes destruir, debes hacerlo. Consulta también nuestro artículo la obligación fiscal de conservación: 7 años, ¿y después? para la parte fiscal específica. El término del RGPD para esto es obligación de destrucción, que se deriva del principio de limitación de conservación (art. 5.1.e RGPD). Conservar tras vencer el plazo, aunque «ya no lo uses», es una infracción.
En la práctica esto significa: fija cada año un momento de destrucción en tu agenda, preferiblemente justo después del cierre anual o al final de un trimestre. Vincúlalo a tus fechas de baja.
¿Con qué profundidad debes destruir un expediente de personal?
Esta es la parte que la mayoría de los empleadores hace mal. Rasgar un documento y tirarlo a la basura no es destrucción. Tirarlo al contenedor de papel junto a la fotocopiadora tampoco. Incluso una simple trituradora de oficina es en muchos casos insuficiente.
El RGPD exige en el artículo 32 «medidas técnicas y organizativas adecuadas» para proteger los datos personales. Esa obligación no termina con la conservación, rige hasta el momento en que el documento es físicamente ilegible. En la práctica puedes apoyarte para ello en la norma industrial europea DIN 66399, que define niveles de seguridad para la destrucción de papel:
- P-3: corte en tiras, virutas de aprox. 2 × 200 mm. Insuficiente para datos personales.
- P-4: corte cruzado, aprox. 4 × 40 mm. Aceptable para documentos de oficina normales.
- P-5: microcorte, aprox. 2 × 15 mm. Requerido para categorías especiales de datos personales.
- P-6 / P-7: para documentos del sector público y de confidencialidad sensible.
Para los expedientes de personal, que casi siempre contienen datos personales especiales (datos médicos del expediente de salud laboral, números BSN en las nóminas, copias de documentos de ID), rige en la práctica como mínimo DIN 66399 P-5. Una trituradora de oficina barata no suele alcanzar ese nivel.
Destruir tú mismo, ¿cuándo es posible y cuándo no?
Para volúmenes pequeños, un puñado de carpetas al año, puedes valorar destruir tú mismo. Pero entonces rigen tres condiciones:
1. La máquina alcanza al menos P-4, preferiblemente P-5
Comprueba la placa de características o el embalaje. Los aparatos baratos de corte en tiras para uso doméstico son típicamente P-2 o P-3.
2. Registras quién, cuándo y qué ha destruido
El RGPD no solo exige que destruyas, sino también que puedas demostrar que has destruido. Sin un registro o un documento interno, esa prueba no existe. En una investigación de la AP te quedas sin rumbo.
3. No incluyes categorías especiales de datos personales
En cuanto el expediente contiene información médica, también una simple fecha de baja por enfermedad entra aquí si es atribuible a una persona, los riesgos suben con fuerza. Un expediente de salud laboral con historial de absentismo debe ir en un proceso de destrucción con P-5 y una cadena de prueba demostrable.
Qué puedes esperar de la externalización
En cuanto eliges la destrucción profesional, hay cuatro cosas que debes pedir de serie:
1. Transporte sellado
Tu material debe ir de tu oficina a la ubicación de destrucción en un contenedor o una caja cerrada. Un camión sin seguridad, con cajas mezcladas entre varios clientes, no es aceptable para datos personales especiales.
2. Destrucción en DIN P-5
Pregunta de forma explícita por el nivel de certificación. Muchos proveedores estandarizan en P-4 (más barato). Para expedientes de personal con datos médicos, números BSN y copias de ID necesitas P-5.
3. Certificado de destrucción
Tras cada encargo debes recibir un certificado de destrucción en el que figure: fecha, cantidad (kilos o unidades), norma DIN aplicada y número de encargo. Conserva ese certificado al menos 5 años en tu expediente RGPD. Es tu prueba si la AP plantea preguntas algún día.
4. Contrato de encargado del tratamiento
Contratas a un encargado del tratamiento. Eso significa que debes firmar un contrato de encargado del tratamiento antes de entregar la primera caja. Sin un contrato firmado, eres tú quien está en infracción.
Expedientes de personal digitales
Muchos empleadores ya han digitalizado sus expedientes de personal. Bien. Pero también los archivos digitales deben destruirse de forma demostrable cuando vence el plazo.
Eliminar sin más un archivo y vaciar la papelera no es suficiente. Los datos siguen entonces presentes en el disco duro. Solo cuando sobrescribes el disco (en los HDD) o, en los SSD, que tienen otro mecanismo de almacenamiento, destruyes físicamente el disco, la destrucción es irreversible.
Lee más sobre las limitaciones del borrado digital en nuestro artículo destruir SSD: por qué sobrescribir no funciona y la diferencia entre borrar y destruir en borrar versus destruir un disco duro.
Destruir un expediente de personal en 6 pasos
- Inventaría tus expedientes. Haz una lista de todos los (ex)empleados y la fecha de alta. Calcula por documento qué plazo rige.
- Selecciona lo que puede destruirse. Usa la tabla del inicio de este artículo como referencia. ¿Dudas? Pregunta a tu gestor de nóminas o asesor de RRHH.
- Elige tu método. Volumen pequeño sin categorías especiales: trituradora de oficina P-5. Volumen mayor o contenido sensible: externalizar.
- Firma un contrato de encargado del tratamiento con tu parte de destrucción antes del primer encargo.
- Ejecuta la destrucción y recibe un certificado.
- Regístralo. Anota en tu registro de privacidad (el registro de actividades de tratamiento, requerido por el RGPD art. 30) cuándo, qué y cómo ha tenido lugar la destrucción.
¿Quieres que destruyamos tus expedientes de personal?
Destruimos en DIN 66399 P-5, con contrato de encargado del tratamiento y certificado por encargo. A prueba de auditoría para tu expediente RGPD.
Solicita un presupuestoPreguntas frecuentes
¿Puedo tirar un expediente de personal sin más al contenedor de papel?
No. Los expedientes de personal contienen datos personales y deben destruirse de forma confidencial. Tirarlos sin triturar al contenedor de papel es una brecha de datos que estás obligado a notificar a la autoridad neerlandesa de protección de datos (AP).
¿Qué nivel DIN se requiere para los expedientes de personal?
En la práctica como mínimo P-4, pero para expedientes que contienen números BSN, copias de documentos de identidad o datos médicos se recomienda P-5 y, con una interpretación estricta del RGPD, es obligatorio.
¿Cómo demuestro que he destruido el expediente de personal?
Con un certificado de destrucción de una parte de destrucción certificada, o con un registro interno (fecha, nombre de quien destruye, cantidad, nivel DIN) si destruyes tú mismo.
¿Debo informar al empleado si destruyo su expediente?
No es legalmente obligatorio, pero es buena práctica y refuerza la relación de confianza. Algunos convenios colectivos lo establecen.
¿Qué pasa si un exempleado pide destruir su expediente antes de que venza el plazo?
Solo puedes atenderlo para datos sin obligación legal de conservación. Los datos fiscales y de seguridad social debes conservarlos, aunque el empleado lo pida.
¿Puedo conservar más tiempo un expediente de personal antiguo por si acaso?
No, salvo que haya un motivo demostrable (litigio en curso, investigación de la AP). «Por si acaso» no es base legal del RGPD.
¿Hay consecuencias si olvido destruir?
Sí. La conservación innecesaria de datos personales es una infracción del RGPD por la que la AP puede imponer una multa. Además corres el riesgo de una brecha de datos si los datos caen sin querer en manos equivocadas.
Conclusión
Destruir expedientes de personal no es un asunto administrativo menor, es una obligación legal con riesgos directos de privacidad y de responsabilidad. El plazo de conservación es el punto de partida, la obligación de destrucción es la meta. Usa la tabla y el plan paso a paso de este artículo como base para tu propia ronda anual de destrucción.
¿Tienes volúmenes mayores, o tus expedientes contienen datos médicos o copias de ID? Entonces externalizar a una parte certificada es la opción más sólida, con contrato de encargado del tratamiento y certificado incluidos.
¿Quieres saber cuánto cuesta destruir tus expedientes de personal? Llámanos o solicita un presupuesto a través de desnipperaar.nl. En 5 minutos tienes un precio fijo. Sin sorpresas, sin contrato.