Los datos de los usuarios han sido durante mucho tiempo un activo valioso para las empresas, y se han introducido leyes de protección de datos para regular la forma en que pueden manejarse de manera responsable. Ni que decir tiene que, a la hora de recopilar datos, las empresas deben ser conscientes de los requisitos legales y las buenas prácticas que ello conlleva. Una de estas prácticas es disponer de una política de conservación de datos.
Vamos a sumergirnos.
En primer lugar, ¿qué es la conservación de datos? Se refiere a los datos que se almacenan y utilizan durante un periodo de tiempo determinado, denominado periodo de conservación de datos. En pocas palabras, este periodo define durante cuánto tiempo se conservarán los datos (por ejemplo, una dirección de correo electrónico, un expediente médico, una nómina), antes de tener que ser eliminados.
La política de conservación de datos no es un documento de “política” independiente como la política de privacidad en el entendimiento del GDPR. Se trata más bien de una evaluación interna para definir toda la información siguiente, para cada actividad de tratamiento:
Es una parte importante de la gestión interna de la privacidad de su empresa, junto con llevar un registro y poder describir las medidas de seguridad, la base jurídica del tratamiento, la transferencia de datos fuera de la UE y las partes con las que comparte los datos.
El responsable del tratamiento de datos debe llevar a cabo una evaluación basada en una serie de criterios para definir los periodos de conservación de las categorías de datos personales que se tratan y, a continuación, divulgar esta información a los usuarios.
En general, los periodos de conservación de datos pueden ser:
💡 Además de llevar a cabo una evaluación interna de su política de conservación de datos, tenga en cuenta que, en virtud del artículo 13 del RGPD, está legalmente obligado a revelar los periodos de conservación de cada una de sus actividades de tratamiento.
👋 ¿Suena complicado? No tiene por qué serlo. Vea cómo hacerlo en esta sección
🇺🇸 La CPRA (CCPA enmendada) de California, que entró en vigor en enero de 2023, es otro buen ejemplo. Ahora exige mencionar el periodo de conservación para cada categoría de información personal, incluida la información personal sensible, en un aviso en el momento de la recogida. Por tanto, se aconseja a las empresas que limiten la conservación de la información personal al momento más breve necesario y a la finalidad para la que se recopiló.
Quizá le resulte útil plantearse las siguientes preguntas:
📌 ¿Hasta cuándo necesito realmente los datos para que la empresa alcance el objetivo inicial?
📌 ¿Estoy legalmente obligado a conservar los datos durante un determinado periodo de tiempo?
📌 ¿Debo conservar ciertos datos para protegerme de un posible problema?
📌 ¿Qué datos deben almacenarse? ¿Durante cuánto tiempo?
📌 ¿Cuáles son las normas para almacenar o borrar datos?
He aquí algunos principios clave que debe seguir al elaborar su política de conservación de datos:
✅ Tener una finalidad precisa, legal y legítima;
✅ Establezca un periodo de conservación preciso y limitado en el tiempo;
✅ Los datos deben ser pertinentes y necesarios;
✅ Los datos deben almacenarse el menor tiempo posible;
✅ Los datos están seguros y protegidos.
A continuación te explicamos cómo puedes informar a tus usuarios sobre la retención de datos.
La mejor práctica consiste en incluir información precisa sobre la conservación de datos a través de sus documentos de privacidad, como su política de privacidad.
A continuación te explicamos cómo hacerlo con iubenda:
🚀 Utilice nuestro Generador de política de privacidad y cookies para añadir las tecnologías que utiliza en su sitio web (por ejemplo, acceso a Facebook);
🚀 Utilice nuestra Gestión interna de la privacidad una herramienta para definir la duración del almacenamiento para cada actividad de tratamiento;
🚀 ¡Genere su política de privacidad con todas las divulgaciones necesarias por defecto! (Véase el ejemplo a continuación)