Política de conservación y eliminación de datos

La Política de conservación y eliminación de datos (P14) establece requisitos integrales para la conservación y la eliminación segura de todos los datos de la organización a lo largo de su ciclo de vida, con el fin de garantizar el cumplimiento, reducir el riesgo y respaldar la eficacia operativa. Esta política es aplicable en toda la organización y se extiende a todos los activos de información físicos y digitales propiedad de la empresa, tratados o conservados por esta, incluidos los gestionados por terceros, filiales y socios de externalización. Los activos cubiertos abarcan desde archivos digitales, bases de datos, correos electrónicos y sistemas de respaldo, hasta registros en papel y hardware retirado de servicio. El propósito principal de la política P14 es definir controles estrictos sobre cuánto tiempo se conservan los datos en función de necesidades legales, regulatorias y operativas, y garantizar su eliminación permanente y segura cuando ya no sean necesarios. Al aplicar calendarios claros de conservación de datos y procedimientos rigurosos de eliminación, la política respalda los requisitos de ISO/IEC 27001:2022, permite una gestión de registros trazable y salvaguarda la confidencialidad, integridad y disponibilidad (CID) de los datos. De forma importante, la política ayuda a la organización a prevenir la acumulación innecesaria de datos que podría derivar en infracciones de privacidad, ineficiencias o un mayor riesgo empresarial. Los roles y responsabilidades se delimitan claramente dentro de la política: la Dirección ejecutiva aprueba y supervisa el cumplimiento; el Director de Seguridad de la Información (CISO) es propietario, define y realiza el seguimiento de la implantación de la política; el Delegado de Protección de Datos (DPO) asesora sobre privacidad de los datos y valida las prácticas de tratamiento de datos personales; y los propietarios de activos de información garantizan que los calendarios estén justificados y autorizados. Los equipos de TI son responsables de implementar controles tecnológicos, mientras que todos los empleados, contratistas y terceros pertinentes están obligados a seguir las instrucciones de conservación y eliminación. Los proveedores externalizados y los proveedores de nube deben cumplir las cláusulas de seguridad contractuales y aportar evidencia de auditoría de eliminación cuando se solicite. Los requisitos de gobernanza estipulan la creación y el mantenimiento de un calendario maestro de conservación de datos (MDRS), revisado al menos anualmente, así como la aprobación de métodos de eliminación y certificados para todos los datos caducados. La política aplica periodos de conservación basados en la clasificación, vinculados a las necesidades del negocio y a las bases legales, y prohíbe explícitamente la conservación indefinida, huérfana o no aprobada de datos. Disposiciones especializadas abordan la conservación de copias de seguridad y archivos, garantizando la alineación con los objetivos de entorno de recuperación ante desastres y el soporte para el borrado de datos a solicitud conforme al GDPR u otras leyes de privacidad. Los controles de eliminación se aplican de acuerdo con NIST SP 800-88 o normas equivalentes, exigiendo métodos de destrucción irreversibles y documentados tanto para soportes digitales como en papel. La retención legal y la suspensión de la supresión prevalecen sobre los calendarios normales de eliminación en caso de litigio o investigación, y todas las excepciones a la conservación programada requieren evaluación de riesgos y aprobación de la dirección. Las actividades de aplicación y cumplimiento incluyen auditorías periódicas, comprobaciones de cumplimiento, notificación de incumplimientos y medidas disciplinarias cuando sea necesario. La política también exige formación continua de concienciación del personal e invoca la Política de respuesta a incidentes (P30) ante cualquier violación o incidente de eliminación. Mediante la revisión y actualización periódicas de la política, y la sincronización de documentos vinculados como las Políticas de control de acceso y de Gestión de instalaciones y activos, la organización garantiza un enfoque defendible, eficiente y alineado con la normativa para la gobernanza del ciclo de vida de los datos.