Política de conservación y eliminación de datos - PYME

La Política de conservación y eliminación de datos - PYME (Política P14S) está elaborada específicamente para Pequeñas y Medianas Empresas (PYME), reconociendo las limitaciones y responsabilidades particulares a las que se enfrentan estas organizaciones. Esta política está totalmente adaptada para PYME, lo que se evidencia en la participación del Director General como propietario de la política, sin asumir roles especializados como Centro de operaciones de seguridad (SOC) o Director de Seguridad de la Información (CISO), y garantizando el cumplimiento con marcos líderes como ISO/IEC 27001:2022, GDPR y normativas relacionadas. El propósito principal de esta política es establecer reglas claras y aplicables para conservar y eliminar de forma segura la información, garantizando que los registros se mantengan solo durante el tiempo exigido por la ley, los contratos o la necesidad empresarial. Una vez cumplidos estos requisitos, la información debe destruirse de forma irreversible. La política aborda la importancia de minimizar la exposición legal y el riesgo operativo evitando la conservación no autorizada o redundante de datos. También destaca los beneficios de una conservación y eliminación bien gobernadas para la preparación para auditoría, la reducción de costes y la mejora del rendimiento del sistema. Para las PYME, la política sirve como un medio práctico para gestionar de forma responsable tanto los activos de datos digitales como en papel, independientemente del tamaño del equipo de TI. El alcance integral incluye todo tipo de registros, documentos empresariales, archivos de registro operativos, archivos financieros y datos personales, y se aplica a todos los soportes de almacenamiento, desde unidades locales y sistemas alojados en la nube hasta almacenamiento en papel y sistemas de respaldo. Todos los empleados, contratistas y proveedores terceros de servicios que manejen datos de la organización están sujetos a esta política. La política cubre cada etapa del ciclo de vida de los datos, desde la creación hasta la eliminación o destrucción segura. Una característica clave es la delimitación clara de roles y responsabilidades. El Director General proporciona la aprobación, garantiza la alineación con el riesgo legal y empresarial, y gestiona las excepciones y la retención legal y suspensión de la supresión. Los Propietarios del activo de datos designados se asignan por categoría de datos y son responsables de la clasificación, la determinación de los periodos de conservación y la autorización de supresiones; también apoyan los procesos de auditoría. El Proveedor de soporte de TI o Responsable interno de TI tiene la tarea de configurar los sistemas para las reglas de conservación, el registro de eliminación y el borrado seguro, incluidos los sistemas de respaldo y los archivos. Se espera que los empleados y contratistas cumplan la política, eviten la conservación indebida, informen de cuentas huérfanas de datos y utilicen únicamente sistemas aprobados para el almacenamiento de datos. Los requisitos de gobernanza principales se centran en mantener un Registro de conservación detallado que enumere las categorías de registros, los periodos asignados, los métodos de eliminación, la justificación legal y los propietarios de los datos. Este registro debe revisarse anualmente o ante desencadenantes legales o empresariales relevantes. Los métodos de eliminación se seleccionan en función de la Clasificación de datos, utilizando procedimientos seguros como el triturado de corte cruzado, el borrado criptográfico o la destrucción física de soportes. La retención legal y suspensión de la supresión se detalla expresamente; una vez aplicada, impide la supresión independientemente del periodo de conservación programado y requiere revisión mensual. La política también exige formación del personal y formación de actualización anual para garantizar la concienciación. Las excepciones se controlan estrictamente, con procesos de documentación, aprobación, revisión y caducidad justificable. Los mecanismos de aplicación incluyen auditorías regulares, comprobaciones puntuales y consecuencias estrictas por infracciones, hasta e incluyendo la terminación del contrato o la notificación regulatoria en caso de manejo indebido de datos personales. En última instancia, esta política garantiza que una PYME pueda operar de manera legalmente conforme, auditable y eficiente en recursos, incluso cuando no existan roles avanzados de seguridad de TI. Está diseñada específicamente para alinearse con ISO/IEC 27001:2022 y las leyes de privacidad, proporcionando a las PYME una base sólida para la gestión del ciclo de vida de los datos sin complejidad innecesaria.