Seguridad
Saber quién está presente, dónde y por qué ayuda a proteger las zonas restringidas y a reconstruir posibles incidencias.
Privacidad y RGPD
¿Cuánto tiempo conservar el registro de visitas?
Privacidad, RGPD y buenas prácticas para gestionar los datos de quienes entran en la empresa. Una guía prudente y concreta para responsables de privacidad, RR. HH., facility managers y responsables de seguridad: qué exige realmente el Reglamento y cómo definir una regla interna coherente.
En breve
No, no existe un plazo de conservación único obligatorio. El RGPD no establece un número preciso de días o meses para el registro de visitas. El Reglamento fija un principio — la limitación del plazo de conservación — según el cual los datos solo deben conservarse el tiempo necesario para los fines para los que se recogieron, y después suprimirse.
Por eso lo correcto es definir una regla interna clara: qué datos recoges, por qué, cuánto tiempo los conservas y cuándo los eliminas. Un plazo proporcionado al fin y documentado es la respuesta correcta, mucho más que cualquier cifra supuestamente «válida para todos».
Quien gestiona una recepción o una planta se hace pronto la misma pregunta: ¿cuánto tiempo debo conservar los datos de las visitas? Es una pregunta legítima, porque conservar demasiado — o de forma indefinida — es un error tan común como fácil de evitar. A la vez, suprimir demasiado pronto puede privar a la empresa de información útil para la seguridad, las auditorías o las comprobaciones.
En esta guía vemos qué prevé el RGPD (de forma correcta y sin interpretaciones arbitrarias), por qué conviene llevar un registro, qué datos tiene sentido recoger y durante cuánto tiempo, los errores más frecuentes y una checklist práctica para comprobar si gestionas bien los datos de tus visitas. No es asesoramiento jurídico: es una orientación para montar un proceso sólido.
Qué dice el RGPD sobre la conservación de los datos
Los datos de las visitas — nombre, empresa, persona visitada, horarios — son datos personales. Su conservación se rige, por tanto, por el RGPD (Reglamento UE 2016/679), en particular por el artículo 5, que enuncia los principios aplicables a todo tratamiento. No es una lista de plazos, sino de criterios que guían las decisiones de la empresa.
- Limitación del plazo de conservación (art. 5.1.e) — los datos no deben conservarse más tiempo del necesario para los fines. Es el principio central cuando se trata de «cuánto tiempo».
- Minimización de datos (art. 5.1.c) — solo se recogen datos adecuados, pertinentes y limitados a lo necesario. Cuantos menos recojas, menos tendrás que conservar y proteger.
- Limitación de la finalidad (art. 5.1.b) — los datos se recogen con fines determinados y explícitos. La finalidad es lo que justifica — y mide — el plazo de conservación.
- Responsabilidad proactiva (art. 5.2, «accountability») — el responsable del tratamiento no solo cumple los principios, sino que debe poder demostrarlo. De ahí la importancia de una política escrita.
Una precisión importante: esta página tiene fines informativos y no sustituye el asesoramiento jurídico. En organizaciones más complejas, o ante tratamientos particulares, conviene contar con el delegado de protección de datos (DPD) o un asesor. Para profundizar en el cumplimiento, consulta nuestra guía sobre registro de visitas y RGPD.
Por qué llevar un registro de visitas
Antes de preguntarnos cuánto tiempo, conviene aclarar por qué conservar los datos. Son las finalidades las que determinan la duración: cada motivo legítimo corresponde a un horizonte de conservación distinto.
Control de accesos
Distinguir quién está autorizado a entrar, gestionar accesos y permisos y mantener el orden en el flujo de entradas y salidas.
Gestión de emergencias
En una evacuación hay que saber al instante quién está en la empresa: la lista actualizada de presentes hace el recuento rápido y fiable.
Auditorías y controles
Durante inspecciones, auditorías ISO o controles internos, un historial ordenado es una prueba inmediata de trazabilidad.
Gestión de proveedores
Proveedores, transportistas, técnicos y mantenedores entran de continuo: dejar constancia permite comprobaciones y responsabilidades claras.
Comprobación de hechos pasados
Ante un robo, un daño o una reclamación, poder reconstruir quién estaba presente, cuándo y por qué es una prueba que la memoria no garantiza.
Qué datos conservar y cuáles evitar
El principio de minimización es el mejor aliado: cuantos menos datos recojas, más sencillo es conservarlos y suprimirlos correctamente. La tabla reúne los datos típicos de un registro de visitas, su utilidad y el nivel de cautela RGPD. Es una valoración general, a adaptar a tus finalidades reales.
| Dato | Utilidad | Cautela RGPD |
|---|---|---|
| Nombre y apellidos | Identifica a la visita | Necesario dato mínimo para la mayoría de las finalidades. |
| Empresa | Contextualiza la visita | Recomendado útil y poco invasivo. |
| Persona de contacto interna | Vincula la visita con un responsable | Recomendado ayuda a la trazabilidad y la organización. |
| Hora de entrada | Trazabilidad y seguridad | Necesario pilar de la finalidad de seguridad. |
| Hora de salida | Quién sigue presente, emergencias | Necesario fundamental para el recuento en evacuación. |
| Motivo de la visita | Contexto y auditoría | Opcional recógelo solo si de verdad hace falta. |
| Firma | Lectura de normas o NDA | Opcional tiene sentido con una finalidad concreta (seguridad, confidencialidad). |
| Copia del documento de identidad | Verificación de identidad | Desaconsejado casi siempre desproporcionado: evita conservar copias. |
| Fotografía de la visita | Reconocimiento visual | Desaconsejado invasivo: solo con una finalidad fuerte y justificada. |
Cuánto tiempo conservar, en la práctica
Como no existe un plazo único, es más útil razonar por horizontes indicativos ligados a la finalidad. Los ejemplos siguientes no son reglas ni umbrales impuestos por la ley: solo ilustran cómo varía la duración según el fin. La decisión final debe ser proporcionada, justificada y documentada por tu empresa.
| Finalidad predominante | Horizonte típico (indicativo) | Nota |
|---|---|---|
| Solo presencia y seguridad diaria | Pocos días | si el dato solo sirve para saber quién está presente, puede suprimirse pronto. |
| Seguridad, control de accesos, auditorías ordinarias | Algunas semanas o meses | horizonte intermedio para comprobaciones y trazabilidad de rutina. |
| Necesidades específicas, litigios, obligaciones sectoriales | Plazos más largos, si se justifican | admisibles solo con una razón clara ligada a la finalidad. |
El hilo conductor es siempre el mismo: la duración sigue a la finalidad. Conservar datos «por seguridad» sin decidir cuándo suprimirlos no es una buena práctica; conservarlos durante un plazo definido, coherente con el fin y recogido en un procedimiento, sí lo es.
Errores frecuentes en la gestión del registro
En la conservación de los datos de las visitas se repiten a menudo los mismos errores. Conocerlos ayuda a montar desde el principio un proceso más sólido y conforme.
- Conservar los datos para siempre — acumular registros sin un criterio de supresión choca con la limitación del plazo de conservación. Hace falta un plazo definido y un procedimiento que lo aplique.
- Recoger más información de la necesaria — copias del documento, fotos o campos inútiles vulneran la minimización. Se recoge solo lo que exigen las finalidades declaradas.
- Dejar los registros en papel a la vista de todos — el cuaderno abierto donde cada uno lee los datos de quien firmó antes es el problema clásico de confidencialidad, a menudo infravalorado.
- No informar a la visita — sin una información clara conforme al artículo 13, la visita no sabe quién trata sus datos, por qué ni durante cuánto tiempo.
- No definir responsabilidades internas — si nadie se encarga de gestionar y suprimir los datos, el procedimiento queda en el papel y nunca se aplica.
- Olvidar copias y backups — suprimir el archivo principal pero dejar copias en correos, memorias USB o backups significa no haber suprimido de verdad.
- Confundir «útil» con «necesario» — un dato que podría venir bien algún día no es, solo por eso, un dato que conservar. Lo que cuenta es la finalidad actual.
Registro en papel y problemas de conservación
El cuaderno en recepción es la solución más extendida, pero también la que más difícil hace gestionar correctamente la conservación. Los límites no son solo de comodidad: tocan directamente la confidencialidad y la seguridad.
- Archivos físicos voluminosos — los registros cumplimentados se acumulan en carpetas y armarios, y con el tiempo es fácil perder la pista de lo que se conserva.
- Acceso incontrolado — un cuaderno abierto en el mostrador puede leerlo cualquiera que pase: cada visita ve los datos de quien la precedió.
- Destrucción de los documentos — suprimir los datos vencidos implica destruir física y seguramente las páginas: una operación que a menudo nunca se realiza.
- Privacidad de las demás visitas — no se puede suprimir selectivamente un solo nombre sin comprometer toda la página, donde figuran también los demás.
Registro en Excel y conservación de los datos
La hoja de Excel es un paso adelante respecto al papel: los datos son legibles, buscables y se suprimen fila por fila. En la conservación, sin embargo, introduce un riesgo específico — la proliferación de copias — que hay que gobernar con disciplina.
- Copias múltiples — el archivo se duplica, se envía por correo, se guarda en memorias USB: en cierto momento ya no se sabe cuántas versiones de los datos existen ni dónde.
- Archivos compartidos — en una carpeta de red o en la nube de la empresa, el registro puede abrirlo más gente de la necesaria si los permisos no se cuidan.
- Permisos de acceso — Excel no distingue roles: quien abre el archivo lo ve todo. Limitar el acceso depende por completo de cómo esté configurada la carpeta que lo contiene.
- Backups — las copias de seguridad automáticas son valiosas, pero también conservan los datos que creías haber suprimido: la supresión debe extenderse a ellas.
- Supresión — eliminar las filas vencidas solo es sencillo en teoría: hace falta una rutina constante, o el archivo crece y conserva datos mucho más allá de lo necesario.
El registro digital y la supresión programada
Un registro de visitas digital aborda la conservación de forma estructural, porque las reglas que con papel y Excel hay que aplicar a mano pueden configurarse una vez y luego respetarlas el sistema. No hace a la empresa «automáticamente conforme», pero hace mucho más sencillo hacer lo que se ha decidido hacer.
Gestión de autorizaciones
Solo las personas autorizadas consultan el registro, con roles y accesos distintos: los datos no quedan expuestos a cualquiera que pase por recepción.
Historial ordenado
Los accesos se archivan de forma estructurada y buscable, sin copias dispersas: una única fuente fiable en lugar de muchos archivos.
Supresión programada
Se puede configurar la eliminación automática de los datos una vez superado el plazo fijado: la conservación sigue la regla, no el olvido.
Mayor control
Información mostrada en la entrada, confidencialidad entre visitas y trazabilidad de las operaciones: las herramientas para aplicar los principios del RGPD están integradas.
IRIGuest nace precisamente como evolución del cuaderno y de la hoja de Excel: sustituye el papel por una app en iPad y tabletas Android, donde cada visita se registra de forma autónoma, lee la información y firma en la pantalla. Existe una versión gratuita, utilizable también sin conexión, y una versión cloud para quien gestiona varias sedes y quiere informes y gestión centralizada. Lo mencionamos aquí no para venderlo, sino porque es exactamente la herramienta de la que habla esta sección.
Checklist práctica: ¿gestionas bien los datos de las visitas?
Un control rápido para saber si tu conservación está en orden. Si respondes «sí» a todo, vas por buen camino; cada «no» es un punto que corregir.
- ¿Has aclarado por qué recoges los datos de las visitas (las finalidades del tratamiento)?
- ¿Recoges solo los datos necesarios para esas finalidades, evitando campos superfluos (minimización)?
- ¿Has fijado cuánto tiempo conservar los datos y lo has puesto por escrito en un procedimiento?
- ¿Existe una forma concreta de suprimir los datos vencidos (papel destruido, filas y backups eliminados, supresión programada)?
- ¿Facilitas a las visitas una información clara en el momento de la entrada (art. 13 RGPD)?
- ¿Los datos de una visita están protegidos de la vista de las demás?
- ¿Solo las personas autorizadas pueden consultar el registro?
- ¿Evitas conservar copias de documentos o fotos sin una necesidad real?
- ¿Has designado a un responsable interno de la gestión del registro y de la supresión?
- ¿Haces un control periódico (por ejemplo anual) de tu política de conservación?
Parte de una base ya lista
Descarga gratis el kit de registro de visitas: plantilla Excel, versión PDF imprimible y una checklist RGPD para la recepción. Un punto de partida ordenado para organizar la recogida, la conservación y la supresión de los datos.
Preguntas frecuentes
¿Cuánto tiempo hay que conservar el registro de visitas?
No existe una duración única válida para todas las empresas. El RGPD no indica un número preciso de días o meses: el plazo depende de la finalidad para la que se recogen los datos. El principio guía es la limitación del plazo de conservación (artículo 5 del Reglamento UE 2016/679): conservar los datos solo el tiempo necesario para la finalidad declarada y después suprimirlos. Lo mejor es definir un plazo proporcionado e indicarlo en tu información y en un procedimiento interno.
¿Puedo conservar los datos de las visitas indefinidamente?
No. Conservar los datos de forma indefinida, sin criterio, choca con el principio de limitación del plazo de conservación. Aunque no haya un plazo fijo impuesto por la ley, la empresa debe determinar cuándo los datos ya no son necesarios y suprimirlos. Acumular registros sin fin es uno de los errores más comunes y más fáciles de evitar.
¿El RGPD indica un número concreto de meses?
No. El RGPD fija principios, no una tabla de plazos. Exige que los datos personales se conserven durante un periodo no superior al necesario para los fines del tratamiento. Corresponde al responsable del tratamiento determinar un plazo coherente con sus finalidades y documentarlo. Desconfía de quien indique «el» número de meses válido para todos: no existe.
¿De qué depende el plazo de conservación?
De la finalidad. Si los datos solo sirven para saber quién está presente por seguridad y emergencias, el horizonte es corto. Si sirven también para auditorías, comprobaciones o gestión de proveedores, puede ser más largo. Ante litigios u obligaciones específicas, puede extenderse, pero siempre con una motivación. La regla es la proporcionalidad entre duración y finalidad.
¿Quién decide el plazo de conservación?
La decisión corresponde al responsable del tratamiento, es decir, a la empresa, en virtud del principio de responsabilidad proactiva (accountability) del artículo 5 del RGPD. No es una elección arbitraria: debe motivarse en función de las finalidades, documentarse en una política interna y comunicarse a las visitas en la información. En organizaciones grandes conviene implicar al delegado de protección de datos, cuando esté designado.
¿Cómo suprimo los datos de las visitas cuando ya no sirven?
Hace falta un procedimiento de supresión coherente con el plazo que hayas fijado. Con un registro en papel significa destruir de forma segura las páginas vencidas; con un archivo Excel, eliminar las filas (y las copias y los backups) de forma controlada; con un software dedicado, configurar una supresión programada o exportar y luego eliminar. Lo importante es que la supresión ocurra de verdad y de forma trazable, no «cuando se acuerde alguien».
¿Un registro de visitas en Excel cumple el RGPD?
Puede cumplirlo, pero depende por completo de cómo gestiones el archivo: quién puede abrirlo, dónde se guarda, cómo se protege, cuántas copias existen y cuándo se suprimen. Excel no gestiona por sí solo la información, la confidencialidad entre visitas ni la supresión programada: eso te toca a ti. Es un buen punto de partida, pero exige disciplina. Profundiza en nuestra guía sobre papel, Excel o digital.
¿La visita debe firmar el registro?
La firma no es una obligación general: depende de la finalidad. Tiene sentido para documentar la lectura de normas de seguridad, de un reglamento interno o de un acuerdo de confidencialidad (NDA), normalmente en entornos productivos. Sin una finalidad concreta, la firma se convierte en un dato más que gestionar y conservar sin un motivo real: en ese caso, mejor evitarla.
¿Puedo pedir el documento de identidad a las visitas?
Pedir que se muestre un documento para verificar la identidad en un caso concreto es una cosa; conservar una copia o un escaneo es otra, mucho más invasiva. Conservar copias del documento es casi siempre desproporcionado respecto a la finalidad de un registro de visitas y, sin una obligación específica, es preferible evitarlo. Limítate a los datos esenciales.
¿Hace falta información de privacidad para el registro de visitas?
Sí. En el momento en que recoges nombre, empresa y horarios de una visita estás tratando datos personales, así que debes facilitar una información clara conforme al artículo 13 del RGPD: quién trata los datos, con qué finalidades, sobre qué base y durante cuánto tiempo los conserva. La información debe estar disponible en el momento del acceso, para que la visita pueda leerla antes de dejar sus datos.
¿Quién puede consultar el registro de visitas?
Solo las personas autorizadas, según su rol: normalmente la recepción, el responsable de seguridad o quien gestiona los accesos. El registro no debería estar a la vista de cualquiera que pase por recepción, y es justo ahí donde el cuaderno en papel abierto muestra su límite más serio. Limitar y trazar el acceso al registro forma parte de la seguridad que exige el RGPD.
¿Cómo evito que una visita vea los datos de las demás?
Es el punto débil del registro en papel: quien firma lee los nombres de los anteriores. Con Excel depende de quién pueda abrir el archivo. Un registro digital lo resuelve de raíz, porque cada visita rellena solo su propia ficha y no ve las de los demás. Garantizar la confidencialidad entre visitas es uno de los principales motivos por los que las empresas abandonan el papel.
¿Llevar un registro es una obligación legal?
Llevar un registro de visitas no se impone de forma generalizada a todas las empresas privadas: a menudo es una buena práctica de seguridad y organización, mientras que en algunos contextos puede ser necesario por obligaciones sectoriales o certificaciones. Sin embargo, una vez que se recogen los datos, su conservación queda sujeta a los principios del RGPD. Tenemos una guía específica sobre la obligación del registro de visitas.
¿Qué riesgo hay si conservo los datos demasiado tiempo o sin criterio?
Conservar datos más allá de lo necesario, sin una finalidad y sin un procedimiento de supresión, expone a reclamaciones en caso de control o queja y aumenta innecesariamente el riesgo ante un acceso no autorizado. El problema, antes que sancionador, es de fondo: cuantos más datos conservas de lo necesario, más datos tienes que proteger. Una política de conservación clara reduce a la vez el riesgo y el trabajo.
¿Debo conservar también los datos de proveedores y mantenedores?
Sí, valen las mismas reglas que para las demás visitas: los datos de proveedores, transportistas, técnicos y mantenedores deben recogerse con criterio y conservarse el tiempo necesario para las finalidades (seguridad, trazabilidad, auditoría). En entornos productivos a veces se conservan algo más por necesidades de comprobación, pero siempre con una motivación proporcionada, no por costumbre.
¿Cada cuánto debería revisar mi política de conservación?
Es buena práctica revisar periódicamente — por ejemplo una vez al año — qué datos recoges, por qué y durante cuánto tiempo los conservas, comprobando que el procedimiento de supresión funciona de verdad. Las necesidades cambian: nuevas sedes, nuevos flujos de visitas o nuevas herramientas pueden dejar obsoleta una política escrita hace tiempo. Un control regular mantiene la gestión coherente en el tiempo.
Fuentes y referencias
Referencias normativas e institucionales para profundizar. Esta página tiene fines informativos y no sustituye el asesoramiento jurídico.
- RGPD — Reglamento (UE) 2016/679 — en particular el artículo 5 sobre los principios del tratamiento (limitación del plazo de conservación, minimización, limitación de la finalidad, responsabilidad proactiva) y el artículo 13 sobre la información.
- AEPD (España) y el Comité Europeo de Protección de Datos (CEPD) — autoridades de referencia en materia de protección de datos.
- Recursos internos de IRIGuest — registro de visitas y RGPD, ¿es obligatorio el registro? y papel, Excel o digital.
Datos de las visitas bajo control
Un registro digital hace sencillo recoger solo lo necesario, proteger la confidencialidad y suprimir en el momento adecuado. Pruébalo online o empieza gratis, sin compromiso.