La ley de protección de datos en el Reino Unido ha cambiado como resultado del Brexit. Puede encontrar la guía más reciente aquí.
Según el Reglamento General de Protección de Datos (RGPD), las organizaciones deben crear una política de retención de datos que les ayude a administrar la forma en que manejan la información personal.
Si guarda datos confidenciales durante demasiado tiempo, incluso si se guardan de forma segura y no se usan indebidamente, es posible que siga infringiendo los requisitos del Reglamento.
Eso puede sonar demasiado estricto, pero hay una buena razón para ello. En este blog, explicamos por qué es así, cómo funcionan las políticas de retención de datos y cómo puedes crear una de acuerdo con los requisitos del RGPD.
¿Qué es una política de retención de datos?
Una política de retención de datos es un conjunto de directrices que ayuda a las organizaciones a realizar un seguimiento de cuánto tiempo debe conservarse la información y cómo desecharla cuando ya no sea necesaria.
La política también debe describir la finalidad del tratamiento de los datos personales. Esto garantiza que tenga pruebas documentadas que justifiquen los períodos de retención y eliminación de datos.
Metas y objetivos
Si vuelve a pensar en el pánico que precedió a la entrada en vigor del RGPD, comprenderá perfectamente por qué los períodos de retención de datos son esenciales.
Las organizaciones que no habían interactuado con nosotros en años salieron de la nada para solicitar nuestro consentimiento para mantener nuestros datos.
Mostró la frecuencia con la que nuestros registros se almacenan en las bases de datos de la organización mucho después de que hayamos terminado de usar sus servicios.
La organización no quiere deshacerse de la información, porque no cuesta prácticamente nada almacenar los detalles de los clientes, pero mantenerla innecesariamente la expone a amenazas de seguridad.
Solo se necesita una pieza de mala suerte para que los sistemas de una organización sean violados, ya sea un ataque cibernético o un error interno.
Por lo tanto, para limitar el daño que las violaciones de datos pueden causar, los reguladores exigieron que las organizaciones con sede en la UE conserven los datos personales solo si hay una razón legítima para conservarlos.
¿Durante cuánto tiempo se pueden almacenar los datos personales?
A pesar de la aparente rigurosidad de los períodos de retención de datos del RGPD, no existen normas sobre la limitación del almacenamiento.
En su lugar, las organizaciones pueden establecer sus propios plazos en función de los motivos que consideren adecuados. El único requisito es que la organización debe documentar y justificar por qué ha establecido el plazo que tiene.
La decisión debe basarse en dos factores clave: la finalidad del tratamiento de los datos y los requisitos reglamentarios o legales para conservarlos.
Los datos no deben conservarse más tiempo del necesario y no deben conservarse «por si acaso» en el futuro.
Mientras siga vigente uno de sus fines, podrá seguir almacenando los datos.
También debe tener en cuenta sus requisitos legales y reglamentarios para conservar los datos. Por ejemplo, cuando los datos están sujetos a impuestos y auditorías, o para cumplir con estándares definidos, habrá pautas de retención de datos que debe seguir.
Puede planificar cómo se utilizarán sus datos y si se necesitarán para uso futuro creando un mapa de flujo de datos. Este proceso también es útil cuando se trata de localizar datos y eliminarlos una vez que expire el período de retención.
Hay dos maneras de evitar los plazos de retención de datos. La primera es anonimizar los datos; esto significa que la información no puede conectarse a un sujeto de datos identificable.
Si sus datos son anónimos, el RGPD le permite conservarlos durante el tiempo que desee.
Sin embargo, debe tener cuidado al hacer esto. Si la información se puede utilizar junto con otra información que la organización posee para identificar a un individuo, entonces no se anonimiza adecuadamente.
También puede eludir los plazos de retención de datos si la información se guarda con fines de archivo en interés público, con fines de investigación científica o histórica o con fines estadísticos.
Qué hacer con los datos pasados el período de retención
Cuando venza el plazo de retención de datos, tiene dos opciones: eliminarlos o anonimizarlos.
Si opta por eliminar los datos, debe asegurarse de que todas las copias se hayan descartado. Para hacer esto, deberá averiguar dónde se almacenan los datos. ¿Es un archivo digital, una copia impresa o ambos?
Es fácil borrar los datos impresos, pero los datos digitales a menudo dejan un rastro y las copias pueden residir en servidores de archivos y bases de datos olvidados.
Para cumplir con el RGPD, deberá poner los datos «fuera de uso». Todas las copias de los datos deben eliminarse de los sistemas en vivo y de copia de seguridad.
Cómo crear una política de retención de datos
Su política de retención de datos debe formar parte de su proceso general de documentación de seguridad de la información.
El primer paso es obtener una imagen completa de exactamente qué datos está procesando, para qué se utilizan y qué regulaciones se aplican a su negocio.
Estas regulaciones incluyen, pero no se limitan necesariamente, al RGPD. Por ejemplo, si procesa información de tarjetas de débito o crédito de personas, puede estar sujeto al PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago).
Del mismo modo, si tiene la intención de cumplir con la norma ISO 27001, la norma internacional que describe las mejores prácticas para la seguridad de la información, debe tomar nota de sus requisitos.
Estos requisitos de cumplimiento dictarán qué información debe incluirse en su póliza y las reglas que debe seguir.
Una simple política de retención de datos abordará:
- Los tipos de información cubiertos en la póliza
Los diferentes tipos de información estarán sujetos a reglas diferentes, por lo que debe mantener un registro de los datos que está procesando, ya sean nombres, direcciones, detalles de contacto, registros financieros, etc.
- Cuánto tiempo tiene derecho a conservar la información
A veces, los clientes se sorprenden cuando les decimos que el RGPD no establece límites de tiempo específicos para la conservación de los datos. La longitud de tiempo que usted mantiene de datos en particular es una decisión subjetiva para hacer basado en sus razones para el procesamiento de los datos.
- Lo que debe hacer con los datos cuando ya no los necesite
La eliminación regular de datos innecesarios también reduce la cantidad de datos que necesita examinar para cumplir con las solicitudes de acceso de los sujetos. También reduce los costes de almacenamiento y gestión de documentos.
Revisar su política de retención de datos regularmente le permite limpiar la casa y eliminar archivos duplicados y obsoletos para evitar confusiones y acelerar las búsquedas necesarias.
Pruebe nuestra plantilla de política de retención de datos
Crear una política de retención de datos puede parecer una tarea desalentadora, pero con nuestro kit de herramientas de RGPD, el proceso se simplifica.
Contiene todo lo que necesita para cumplir con el Reglamento, incluida una plantilla de política de retención de datos del RGPD que las organizaciones del Reino Unido pueden usar para formalizar su enfoque de cumplimiento, ahorrando tiempo y dinero.
Este kit de herramientas también contiene:
- Una herramienta de análisis de brechas que puede usar para medir sus prácticas generales de cumplimiento;
- Guía sobre cómo completar sus requisitos de documentación, con plantillas de seudonimización, minimización y cifrado, por nombrar algunos;
- Una matriz de roles y responsabilidades para ayudarlo a comprender quién supervisa ciertas tareas y funciones.
Una versión de este blog se publicó originalmente el 12 de noviembre de 2018.