Conservación de datos del RGPD: políticas, calendarios y mejores prácticas

El principio de limitación del almacenamiento del RGPD es engañosamente simple: no conserve datos personales más tiempo del necesario. El artículo 5(1)(e) establece que los datos personales deben “mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento”.

En la práctica, implementar este principio es uno de los aspectos operativamente más desafiantes del cumplimiento del RGPD. Requiere definir plazos de conservación específicos para cada categoría de datos personales, justificar cada plazo, implementar mecanismos para hacer cumplir esos plazos y documentarlo todo. “Los conservamos hasta que alguien nos dice que los eliminemos” no es una política de conservación.

Para las empresas SaaS, la conservación de datos se cruza con el diseño del producto, los flujos de trabajo de ingeniería, los requisitos legales y las expectativas de los clientes. Esta guía cubre cómo definir plazos de conservación, construir un calendario de conservación e implementar mecanismos de eliminación que realmente funcionen.

Por qué importa la conservación de datos

El requisito legal

El principio de limitación del almacenamiento no es una sugerencia — es uno de los principios fundamentales de tratamiento del RGPD (artículo 5). Conservar datos personales más allá de su plazo de conservación justificado es un tratamiento ilícito, y puede resultar en acciones de cumplimiento.

Las autoridades de control han impuesto multas específicamente por conservación excesiva de datos. Conservar datos de clientes indefinidamente “para un posible uso futuro” o retener registros de empleados mucho después de la finalización del empleo sin una justificación legal son exactamente los patrones que los reguladores buscan.

Los beneficios prácticos

Más allá del cumplimiento, unas prácticas de conservación sólidas reducen su superficie de riesgo. Los datos que ha eliminado no pueden ser objeto de una violación, no pueden estar sujetos a una DSAR y no pueden convertirse en un pasivo. Menos datos significa menores costes de almacenamiento, consultas de base de datos más rápidas y un mapeo de datos más sencillo. La disciplina de conservación es buena higiene de datos, no solo buen cumplimiento.

Establecer plazos de conservación

Paso 1: Inventariar sus categorías de datos

Antes de establecer plazos de conservación, necesita saber qué datos posee. Trabaje desde su RAT — cada actividad de tratamiento involucra categorías específicas de datos que necesitan plazos de conservación individuales.

Categorías de datos comunes para empresas SaaS:

Datos de cuentas de usuario (nombres, correos electrónicos, credenciales)
Datos de uso y comportamiento (interacciones con funcionalidades, registros de sesión)
Datos de relación con el cliente (registros de CRM, historial de comunicación)
Datos financieros (facturas, registros de pago, historial de facturación)
Datos de soporte (tickets, transcripciones de chat, comentarios)
Datos de marketing (suscripciones de correo electrónico, participación en campañas)
Datos de empleados (registros de RR. HH., nóminas, evaluaciones de rendimiento)
Datos de visitantes del sitio web (analítica, datos de cookies, envíos de formularios)
Registros de aplicaciones (registros del servidor, registros de errores, pistas de auditoría)

Paso 2: Determinar la justificación para cada plazo

Cada plazo de conservación necesita una justificación. Hay cuatro fuentes principales de justificación:

Necesidad contractual. Los datos necesarios para ejecutar un contrato deben conservarse durante la vigencia del contrato, más un período razonable de transición. Ejemplo: datos de cuentas de usuario conservados mientras la suscripción está activa, más 30 días para reactivación o exportación de datos.

Obligación legal. Algunos datos deben conservarse durante plazos específicos por ley. Estos requisitos varían según la jurisdicción:

Registros financieros y fiscales: típicamente 6-10 años dependiendo del país
Registros de empleo: varía significativamente según la jurisdicción (2-10 años)
Registros contra el blanqueo de capitales: 5 años después del fin de la relación comercial
Registros de IVA: típicamente 7-10 años

Interés legítimo. Algunos datos sirven a una finalidad empresarial legítima más allá de la finalidad original de recopilación. Ejemplo: conservar analítica de uso agregada para mejora del producto. Pero el interés legítimo debe equilibrarse con los derechos del interesado, y el plazo de conservación debe estar definido y justificado.

Consentimiento. Los datos tratados basándose en el consentimiento deben conservarse hasta que se retire el consentimiento — más el tratamiento necesario para cumplir con la retirada (por ejemplo, añadir un correo electrónico a una lista de supresión para evitar la reinscripción).

Paso 3: Aplicar la prueba de minimización

Para cada categoría de datos y plazo de conservación, pregúntese: ¿podría lograr la misma finalidad con menos datos conservados durante menos tiempo?

¿Pueden los datos de uso agregarse o anonimizarse después de un plazo más corto mientras siguen cumpliendo su finalidad?
¿Necesitan los archivos adjuntos de tickets de soporte conservarse tanto como los metadatos del ticket?
¿Necesita conservarse el registro completo de logs, o bastarían datos resumidos después de un período inicial?

El plazo de conservación debe ser el mínimo necesario para la finalidad declarada — no el máximo que pueda justificar.

Plantilla de calendario de conservación para empresas SaaS

Esta es una plantilla práctica con plazos de conservación comunes. Ajústela según sus requisitos legales específicos, contratos y necesidades empresariales:

Datos de cuentas de usuario

Cuentas activas: Duración de la cuenta más 30 días después de la eliminación de la cuenta
Cuentas de prueba (no convertidas): 90 días después de la expiración de la prueba
Cuentas inactivas (sin inicio de sesión): 24 meses de inactividad desencadena una notificación; eliminación 30 días después de la notificación si no se reactiva

Datos de uso y comportamiento

Datos detallados de eventos: 12 meses, luego agregados/anonimizados
Grabaciones de sesiones (si se usan): 90 días
Analítica de uso de funcionalidades: 24 meses, luego agregados

Datos de relación con el cliente

Registros de clientes activos: Duración de la relación
Registros de clientes post-finalización: 12 meses como referencia, luego anonimizados
Datos de prospectos comerciales (sin contrato): 12 meses después de la última interacción significativa
Tarjetas de visita / contactos de eventos: 6 meses si no hay seguimiento o consentimiento obtenido

Datos financieros

Facturas y registros de facturación: 10 años (obligación fiscal — verifique los requisitos locales)
Datos de métodos de pago: Gestionados por el procesador de pagos; las referencias locales se eliminan con la cuenta
Registros de reembolso: 7 años (contabilidad financiera)

Datos de soporte

Metadatos de tickets resueltos: Duración de la relación con el cliente más 12 meses
Contenido de tickets y archivos adjuntos: 24 meses después de la resolución, luego anonimizados
Transcripciones de chat: 12 meses, luego eliminadas
Grabaciones de llamadas telefónicas: 6 meses (si se usan para formación/calidad), luego eliminadas

Datos de marketing

Suscriptores de correo electrónico (activos): Hasta la cancelación de la suscripción o retirada del consentimiento
Lista de supresión de correo electrónico: Indefinidamente (necesaria para evitar la reinscripción — pero solo la dirección de correo, ningún otro dato)
Datos de rendimiento de campañas: 24 meses, luego agregados
Registros de consentimiento de cookies: 12 meses (para demostrar el consentimiento)

Datos de empleados

Registros de empleados actuales: Duración del empleo
Registros de exempleados: 2-7 años después de la finalización del empleo (varía según la jurisdicción y el tipo de registro)
Datos de candidatos no seleccionados: 6 meses después del rechazo (o con consentimiento, hasta 12 meses)
Registros de nóminas y fiscales: 7-10 años (obligación legal)

Registros técnicos

Registros de aplicaciones (con datos personales): 90 días, luego anonimizados o eliminados
Registros de seguridad y auditoría: 12 meses
Registros de errores con trazas de pila: 30 días
Registros de acceso: 6 meses

Implementar la conservación en la práctica

Eliminación automatizada

La eliminación manual no escala. Construya procesos automatizados que:

Marquen los registros que se acercan a su plazo de conservación
Ejecuten la eliminación según el calendario (o después de un período de revisión)
Gestionen la eliminación en cascada (cuando se elimina una cuenta de usuario, todos los datos asociados en todos los sistemas deben seguir)
Registren los eventos de eliminación para la responsabilidad proactiva

Gestión de las copias de seguridad

Las copias de seguridad son la excepción incómoda a una eliminación limpia. Cuando elimina un registro de su base de datos de producción, sigue existiendo en la copia de seguridad de la semana pasada. El RGPD reconoce que purgar inmediatamente los datos de todas las copias de seguridad puede ser técnicamente impracticable.

El enfoque pragmático:

Establezca un plazo de conservación de copias de seguridad (por ejemplo, 30-90 días)
Documente el plazo de conservación de copias de seguridad en su RAT y aviso de privacidad
Cuando se eliminan datos de producción, desaparecerán naturalmente de las copias de seguridad a medida que las copias más antiguas se reemplacen
Si alguien ejerce su derecho de supresión, documente que los datos se han eliminado de producción y se sobrescribirán en las copias de seguridad dentro del ciclo de conservación de copias
Asegúrese de que las copias de seguridad no se restauren de forma que resuciten datos eliminados

La anonimización como alternativa a la eliminación

Los límites de conservación del RGPD se aplican a los datos personales — datos que identifican o pueden identificar a un individuo. Si anonimiza genuinamente los datos (no solo los seudonimiza), los datos anonimizados ya no están sujetos al RGPD, y puede conservarlos indefinidamente para analítica, investigación o mejora del producto.

La palabra clave es “genuinamente”. La anonimización debe ser irreversible — no debería poder reidentificar a los individuos del conjunto de datos anonimizado, ni siquiera combinándolo con otros datos que posea. La seudonimización (reemplazar identificadores por tokens mientras se conserva el mapeo) no es anonimización y sigue sujeta al RGPD.

Técnicas efectivas de anonimización:

Agregación: Combinar registros individuales en resúmenes estadísticos
Generalización: Reemplazar valores específicos por rangos (edad 32 -> grupo de edad 30-40)
Supresión: Eliminar campos identificativos por completo
Adición de ruido: Añadir variaciones aleatorias a los valores individuales

Solicitudes de los interesados y conservación

Cuando alguien ejerce su derecho de supresión (artículo 17), generalmente debe eliminar sus datos independientemente de su calendario de conservación — a menos que se aplique una excepción (obligación legal, reclamaciones legales, interés público o ejercicio de la libertad de expresión).

Cuando alguien ejerce su derecho a la limitación del tratamiento (artículo 18), debe dejar de tratar sus datos pero no necesariamente eliminarlos. Los datos quedan “congelados” hasta que se levante la limitación.

Su calendario de conservación debe documentar cómo interactúan los derechos de los interesados con los plazos de conservación.

Errores comunes de conservación

Sin plazos definidos. “Los conservaremos mientras los necesitemos” no es una política. Las autoridades de control esperan plazos específicos (o criterios específicos) documentados para cada categoría de datos.

Plazos de conservación uniformes para todo. Aplicar el mismo plazo de conservación a todos los datos (por ejemplo, “eliminamos todo después de 5 años”) ignora el principio de que diferentes datos sirven a diferentes finalidades con diferentes justificaciones. Los registros financieros pueden necesitar 10 años; las preferencias de marketing pueden necesitar 12 meses.

No tener en cuenta todas las copias. Los datos no solo residen en su base de datos principal. Están en su CRM, su plataforma de analítica, su herramienta de email marketing, su sistema de soporte, sus copias de seguridad y posiblemente en documentos compartidos o hilos de correo electrónico. Las políticas de conservación deben cubrir todas las ubicaciones.

Sin mecanismo de cumplimiento. Un calendario de conservación sin eliminación automatizada o revisión manual periódica es solo un documento. Sin cumplimiento, los datos se acumulan indefinidamente.

Cómo GRCTrail gestiona la conservación

GRCTrail integra la gestión de la conservación en su programa de cumplimiento:

RAT con plazos de conservación. Cada actividad de tratamiento en su Registro de Actividades de Tratamiento incluye plazos de conservación documentados, vinculados a sus justificaciones. Cuando revisa su RAT, los plazos de conservación forman parte de la evaluación.

Monitorización de la conservación. Rastree si sus plazos de conservación definidos se están cumpliendo en sus sistemas. Señale las categorías de datos donde la conservación se acerca o supera el plazo definido.

Conectado a su aviso de privacidad. Su aviso de privacidad publicado declara sus plazos de conservación. GRCTrail garantiza la coherencia entre lo que comunica a los interesados y lo que sus sistemas realmente hacen.

Tome el control de la conservación de sus datos →

Guías relacionadas

Lista de verificación de cumplimiento del RGPD — El marco de cumplimiento completo
Registro de Actividades de Tratamiento (RAT) — Documentación de su tratamiento
Requisitos del aviso de privacidad — Comunicar la conservación a los interesados
Las seis bases legales — Fundamentos jurídicos que informan los plazos de conservación

Comience con GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours