Klibio
Prueba gratis
← Blog

06 Jun 2026

GDPR y empleados: qué debes borrar (y qué no) cuando alguien sale

Guía práctica para micropymes sobre las obligaciones GDPR al dar de baja a un empleado: qué datos eliminar, qué conservar, en qué plazo y cómo documentarlo.

Por qué la salida de un empleado es un momento crítico para el RGPD

Cuando un empleado deja tu empresa, lo primero que piensas es en la entrega de llaves, el finiquito y la baja en la Seguridad Social. Lo que muchos empresarios no se preguntan hasta que es demasiado tarde es: ¿qué pasa con sus datos?

El RGPD (Reglamento General de Protección de Datos) establece obligaciones concretas cuando finaliza la relación laboral. Y no cumplirlas no es solo un problema teórico: las sanciones de la AEPD pueden llegar hasta 20 millones de euros o el 4% de la facturación anual global.

Esta guía te explica, sin tecnicismos, qué debes borrar, qué debes conservar, en qué plazo y cómo dejarlo documentado.

Durante la relación laboral, tratas datos del empleado con una base jurídica clara: la ejecución del contrato (Art. 6.1.b del RGPD). Cuando ese contrato termina, esa base jurídica desaparece. A partir de ese momento, solo puedes conservar los datos que tengas obligación legal de mantener o que sean necesarios para defenderte ante posibles reclamaciones.

Todo lo demás debe eliminarse. No en algún momento. En un plazo razonable y documentado.

Qué debes borrar (y cuándo)

Accesos a herramientas y plataformas digitales

Este es el punto que más empresas pasan por alto y el que más riesgo real genera.

Cuando un empleado sale, debe perder el acceso a:

  1. Email corporativo (Gmail, Outlook, Zoho…)
  2. Herramientas de trabajo (Slack, Notion, Trello, Asana, GitHub, Figma…)
  3. Sistemas internos (ERP, CRM, TPV, panel de control de la web…)
  4. Cuentas compartidas (redes sociales de empresa, cuentas de proveedor…)
  5. Grupos de mensajería (WhatsApp Business, Telegram de equipo…)

El RGPD no regula directamente los accesos digitales, pero sí exige que los datos personales no estén accesibles a personas no autorizadas. Un ex-empleado que sigue teniendo acceso a datos de clientes, compañeros o a la información interna de la empresa es una brecha de seguridad documentable.

Cuándo: en el mismo momento en que se comunica la salida, o a más tardar el último día de trabajo.

Datos del empleado en sistemas internos

Una vez finalizada la relación laboral, los datos personales que recogiste para gestionar el contrato (nombre, DNI, email personal, teléfono, cuenta bancaria, dirección) deben eliminarse de los sistemas activos.

Sin embargo, existe una excepción importante: no puedes borrarlos de inmediato si existe una obligación legal de conservarlos.

Qué debes conservar (y por cuánto tiempo)

Borrar todo inmediatamente también es un error. La ley te obliga a guardar ciertos datos durante periodos concretos:

Tipo de dato Plazo de conservación Base legal
Nóminas, cotizaciones a la SS4 añosLey General de la SS
Contrato de trabajo y modificaciones4 añosEstatuto de los Trabajadores
Datos fiscales (IRPF, retenciones)4 añosLey General Tributaria
Partes de baja y documentación médica5 añosNormativa laboral
Registro de jornada4 añosReal Decreto-ley 8/2019
Historial de accesos y acciones en sistemasVariable (recomendado: 2 años)Interés legítimo / prueba ante reclamaciones

La clave es esta: conservas por obligación legal, no porque quieras. Y cuando vence el plazo, eliminas.

El concepto que muchos confunden: anonimizar no es borrar

El RGPD permite una alternativa al borrado: la anonimización. Consiste en transformar los datos de forma que sea imposible identificar a la persona, incluso con información adicional.

Un registro de auditoría que dice "el usuario 4821 revocó el acceso a Notion el 15 de marzo de 2025" no contiene datos personales si el ID 4821 ya no puede vincularse a ninguna persona real. Ese registro puede conservarse indefinidamente para cumplimiento y trazabilidad.

Esto es especialmente relevante para:

  1. Audit logs de accesos: necesitas saber qué pasó, pero no necesitas saber el nombre completo de quien lo hizo una vez prescrita cualquier reclamación posible.
  2. Estadísticas internas: número de empleados que completaron el onboarding en X semanas, sin datos identificativos.

La anonimización correcta es permanente e irreversible. Si puedes volver atrás, no es anonimización, es seudonimización, y los datos siguen siendo personales bajo el RGPD.

Cómo documentar el proceso de baja (y por qué es imprescindible)

El RGPD no solo te obliga a cumplir, te obliga a demostrar que cumples (principio de responsabilidad proactiva, Art. 5.2). Esto significa que necesitas un registro de lo que hiciste y cuándo.

Para cada empleado que sale, deberías poder acreditar:

  1. Qué accesos tenía en el momento de la salida
  2. Cuándo se revocaron y quién lo hizo
  3. Qué datos se conservan y bajo qué base legal
  4. Cuándo está previsto eliminarlos

Un correo de "ya le di de baja en todo" no es suficiente. Necesitas un registro estructurado, fechado y firmado (o al menos con trazabilidad digital).

El error más común: el offboarding informal

En las micropymes, el proceso de baja suele ser así: alguien avisa de que se va, se le desea suerte y se cierra el contrato. Los accesos digitales quedan en el olvido.

Dos semanas después, el ex-empleado sigue recibiendo emails del CRM. O sigue en el grupo de WhatsApp con datos de clientes. O su cuenta de Google Workspace sigue activa y enviando correos en nombre de la empresa.

Esto no es solo un problema de seguridad. Es una infracción del RGPD documentable que cualquier cliente o empleado podría denunciar ante la AEPD.

La solución no requiere un departamento de RRHH. Requiere un proceso.

Checklist RGPD para la salida de un empleado

Guarda esta lista y úsala en cada baja:

El mismo día (o antes):

  1. ☐ Revocar acceso al email corporativo
  2. ☐ Revocar acceso a todas las herramientas digitales
  3. ☐ Eliminar de grupos de mensajería de empresa
  4. ☐ Cambiar contraseñas de cuentas compartidas
  5. ☐ Recuperar dispositivos corporativos

En los 7 días siguientes:

  1. ☐ Verificar que no quedan accesos activos (revisar panel de Google Workspace, Slack, etc.)
  2. ☐ Archivar o reasignar sus conversaciones y documentos
  3. ☐ Documentar qué accesos tenía y cuándo se revocaron

Conservar con plazo marcado:

  1. ☐ Nóminas y documentación laboral (4 años)
  2. ☐ Documentación fiscal (4 años)
  3. ☐ Historial de acciones en sistemas internos (2 años recomendado)

Al vencer el plazo:

  1. ☐ Eliminar o anonimizar los datos conservados
  2. ☐ Registrar la eliminación

Herramientas que pueden ayudarte

Si gestionas este proceso manualmente (hojas de cálculo, emails, recordatorios en el calendario), el riesgo de que algo se quede sin hacer es alto. Especialmente si tienes rotación frecuente, como ocurre en hostelería, comercio o limpieza.

Klibio automatiza exactamente este proceso: genera la lista de accesos a revocar para cada empleado que sale, asigna cada paso a quien corresponde, registra quién hizo qué y cuándo, y exporta el audit trail en PDF si necesitas acreditarlo ante una auditoría o una reclamación.

Prueba Klibio gratis durante 14 días →

¿Tienes dudas sobre cómo aplicar el RGPD en tu empresa? Escríbenos a privacidad@klibio.com y te orientamos sin compromiso.

¿Listo para probarlo?

14 días de prueba gratuita. Sin tarjeta de crédito.

Prueba Klibio gratis