A raíz de la consulta de un DPO acerca de los plazos de conservación de los datos que manejaba la compañía, la Agencia Española de Protección de Datos (AEPD) establece que corresponde al propio DPO asesorar al responsable del tratamiento. Como consecuencia, no le compete a aquélla el deber de pronunciarse sobre los plazos de conservación de los datos, en particular, de la organización que se trate. No obstante, el informe emitido por la AEPD realiza un repaso de los plazos de conservación de los datos en distintos ámbitos:
-Respecto a las obligaciones personales, artículo 1964.2 del Código Civil: bloqueo durante 5 años de los datos suprimidos.
-En cuanto a los libros y documentos de empresarios, artículo 30 del Código de Comercio: bloqueo durante 6 años de los datos suprimidos.
-En relación con los tributos, artículos 66 a 70 y 115, 148, 66 bis, 259.3 a) y 262 de la Ley General Tributaria y el artículo 131 del Código Penal: 4 años de plazo para la prescripción de deudas tributarias, sin perjuicio de que, en ocasiones, se deben conservar bloqueados durante 10 años.
-En materia relacionada con la Seguridad Social, artículos 21.1 de la Ley sobre Infracciones y Sanciones del Orden Social y 131 del Código Penal: se establece un plazo máximo de 10 años.
-En el ámbito Laboral, artículo 59 Texto Refundido sobre la Ley del Estatuto de los Trabajadores: bloqueo durante 1 año de los datos suprimidos.
-Y, por último, respecto a la Prevención de Riesgos, artículo 22 Ley de Prevención de Riesgos Laborales: en algunos sectores, el desarrollo normativo obliga a conservar los datos hasta 40 años.