policy ISO 27701 PIMS Policy Pack

Política de conservación, supresión y eliminación de datos personales

Define controles de conservación, supresión y eliminación de datos personales con gobernanza preparada para auditorías basada en evidencias en sistemas, copias de seguridad, encargados del tratamiento y excepciones.

Descripción general

Esta política define cómo se gobiernan y evidencian la conservación, supresión, anonimización, desidentificación, devolución, transferencia y eliminación de datos personales. Se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, y cubre sistemas en producción, copias de seguridad, archivos, registros, archivos temporales, registros en papel y soportes de almacenamiento.

Reglas de conservación antes del uso

Exige períodos documentados, desencadenantes, propietarios, justificaciones, destino final y fechas de revisión en REG02 antes de la aprobación.

Destino final controlado

Cubre la supresión, devolución, transferencia, anonimización, desidentificación y eliminación segura en datos en producción, archivos y copias de seguridad.

Alineación con encargados del tratamiento

Exige instrucciones del cliente, requisitos trasladados contractualmente a subencargados del tratamiento y evidencias de destino final en REG08.

Leer descripción completa (click to expand)
La Política de conservación, supresión y eliminación de datos personales establece los requisitos de la organización para definir, revisar, ejecutar y evidenciar la conservación, supresión, anonimización, desidentificación, devolución, transferencia y eliminación de datos personales. Su propósito central es garantizar que los datos personales se conserven solo para finalidades y períodos aprobados, se supriman o se eliminen de otro modo cuando ya no sean necesarios, y estén respaldados por evidencias preparadas para auditorías. La política se aplica en contextos de responsable del tratamiento, corresponsable del tratamiento, encargado del tratamiento y subencargado del tratamiento, reflejando que las obligaciones de conservación y destino final pueden derivarse de finalidades del tratamiento aprobadas, registros de base jurídica, instrucciones del responsable del tratamiento, requisitos contractuales, resultados de supresión del interesado, finalización del servicio, eliminación de soportes de almacenamiento y hallazgos del seguimiento del PIMS. La política tiene un enfoque operativo y exige que la gobernanza de la conservación se integre en registros canónicos de evidencias del PIMS, en lugar de mantenerse en un registro de supresión separado. Las actividades de tratamiento del responsable del tratamiento deben tener una regla de conservación documentada asignada en REG02 antes de que comience el tratamiento. Las responsabilidades del corresponsable del tratamiento se registran en REG02 y REG08, mientras que las instrucciones de conservación, devolución, transferencia y supresión de encargados y subencargados del tratamiento se mantienen en REG08. Las reglas de conservación aprobadas deben incluir el período de conservación, el desencadenante de inicio, el propietario, la justificación, el destino final y la fecha de la próxima revisión. La política también exige el asesoramiento del Delegado de Protección de Datos o del asesor de privacidad antes de aprobar reglas de conservación que impliquen conflicto legal, tratamiento de alto riesgo, categorías especiales de datos personales o conservación más allá de la finalidad original del tratamiento. Los requisitos de ejecución cubren todo el ciclo de vida de los datos personales. El propietario del sistema / propietario de la aplicación debe ejecutar o programar la supresión, devolución, transferencia, anonimización, desidentificación o eliminación aprobada dentro de la ventana de supresión registrada para la regla de conservación aplicable. La política distingue entre sistemas en producción, archivos, copias de seguridad, réplicas, registros, áreas de preproducción y archivos temporales, y exige que estos repositorios se identifiquen en REG02 antes de la entrada en producción y durante la revisión anual de conservación. También exige documentar las ventanas de conservación de copias de seguridad y la gestión de la supresión en restauraciones, y que las acciones de supresión o restricción vencidas se vuelvan a aplicar a los datos restaurados desde copias de seguridad antes de liberar el entorno restaurado para uso profesional. Los archivos temporales y las copias de preproducción que contengan datos personales deben suprimirse o eliminarse dentro del período documentado en REG02 después de que finalice la tarea de tratamiento relacionada. La política también aborda la eliminación segura, la anonimización, la desidentificación, el control de excepciones y la supervisión. Las clases de métodos de eliminación para soportes de almacenamiento que contienen o pueden contener datos personales deben ser aprobadas por el Responsable de Seguridad de la Información en REG12 antes de su reutilización, liberación, destrucción o eliminación externa. La anonimización o la desidentificación pueden utilizarse como medida de reducción del riesgo de conservación o como resultado de destino final, pero deben documentarse en REG02 y aprobarse por el Responsable de Privacidad / Responsable del PIMS antes de conservar datos personales identificables más allá de su finalidad o período de conservación. Las excepciones a las reglas de conservación aprobadas deben presentarse y aprobarse en REG12 antes de entrar en vigor, con revisión mensual hasta su cierre. Las métricas, como metadatos de conservación completos, revisiones vencidas, acciones de ciclo de vida vencidas y evidencias de destino final vencidas, se miden a intervalos definidos, mientras que las no conformidades, los hallazgos de auditoría y las acciones correctivas se vinculan a REG12 para respaldar la mejora continua.

Diagrama de la Política

Diagrama de flujo del proceso que muestra la gobernanza de la conservación de datos personales desde la asignación de reglas de conservación en REG02, la revisión anual y la aplicación técnica, hasta la supresión, devolución, transferencia, anonimización o eliminación, con evidencias de encargados del tratamiento en REG08, excepciones y acciones correctivas en REG12, y escalado de incidentes en REG10 cuando los fallos cumplen los criterios de incidente de datos personales.

Haga clic en el diagrama para verlo en tamaño completo

Contenido

Propiedad de las reglas de conservación y metadatos obligatorios

Ejecución de supresión, devolución, transferencia y eliminación

Copias de seguridad, archivos, réplicas, registros y archivos temporales

Anonimización, desidentificación y minimización de la conservación

Excepciones, no conformidades y acciones correctivas

Métricas, muestreo de auditoría y mantenimiento de la política

Cumplimiento de marcos

🛡️ Estándares y marcos compatibles

Este producto está alineado con los siguientes marcos de cumplimiento, con mapeos detallados de cláusulas y controles.

Marco Cláusulas / Controles cubiertos
ISO/IEC 29100:2020
Clause 5.5Clause 5.6Clause 5.10
ISO/IEC 29151:2022
Annex A.7Annex A.7.2
EU GDPR
Article 5(1)(e)Article 5(2)Article 17Article 24Article 26Article 28Article 30Article 32
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.8Annex A.1.2.9Annex A.1.3.7Annex A.1.3.8Annex A.1.4.6Annex A.1.4.7Annex A.1.4.8Annex A.1.4.9Annex A.2.2.2Annex A.2.2.3Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.3.20Annex A.3.21Annex A.3.24
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 7.2Clause 7.3Clause 8.3Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7Clause 10.1Clause 10.2Clause 10.3
ISO/IEC 27557:2022
Clause 4Clause 5.2Clause 5.3Clause 5.4.1
ISO/IEC 27002:2022
Control 7.14Control 8.10

Políticas relacionadas

Política de gestión de derechos del interesado

Las solicitudes de supresión aprobadas activan la evaluación de supresión en REG06 y REG02 conforme a esta política de conservación.

Política de gestión de privacidad de encargados, subencargados y terceros

Las evidencias de devolución, transferencia, supresión y eliminación de encargados del tratamiento, subencargados del tratamiento y terceros se gestionan mediante REG08.

Política de seguridad y control de acceso

Las clases de métodos de eliminación segura, el manejo de soportes de almacenamiento y la aplicación técnica dependen de los controles de seguridad.

Política de gestión de incidentes y brechas

Los fallos de conservación, supresión o eliminación que cumplan los criterios de incidente de datos personales requieren gestión mediante REG10.

Política de seguimiento, auditoría y mejora del PIMS

Las métricas de conservación, el muestreo de evidencias, las no conformidades y las acciones correctivas se integran con el seguimiento y la mejora.

Política de inventario de tratamientos y base jurídica

Las reglas de conservación y los metadatos de destino final se registran en el Inventario de tratamientos de datos personales / RoPA.

Sobre las Políticas de Clarysec - Política de conservación, supresión y eliminación de datos personales

La Política de conservación, supresión y eliminación de datos personales convierte la limitación de la conservación en un modelo operativo auditable. Exige que las reglas de conservación se definan antes de que comience el tratamiento, se registren en REG02, se alineen con las instrucciones del responsable del tratamiento o del cliente, y se revisen al menos anualmente o tras un cambio material. La política cubre la supresión, devolución, transferencia, anonimización, desidentificación y eliminación segura en sistemas en producción, archivos, copias de seguridad, réplicas, registros, áreas de preproducción, archivos temporales, registros en papel y soportes de almacenamiento. También define roles de gobernanza, requisitos de evidencias de encargados y subencargados del tratamiento, gestión de excepciones en REG12, escalado de incidentes mediante REG10 cuando proceda, y supervisión basada en métricas para la mejora continua.

Metadatos de conservación definidos

Exige período, desencadenante, propietario, justificación, destino final y fecha de la próxima revisión antes de la aprobación.

Controles de eliminación segura

Exige clases de métodos de eliminación aprobadas antes de la reutilización, liberación, destrucción o eliminación externa de soportes con datos personales.

Gestión de copias de seguridad y archivos

Aplica reglas de conservación a los archivos y documenta ventanas de copia de seguridad, gestión de restauración y restricciones técnicas.

Evidencias de proveedores

Exige evidencias de encargados del tratamiento, subencargados del tratamiento y servicios externos para acciones de devolución, transferencia, supresión y eliminación.

Gobernanza de excepciones

Exige excepciones aprobadas y limitadas en el tiempo con propietarios, fechas de caducidad, controles compensatorios y revisión mensual.

Preguntas frecuentes

Diseñado para Líderes, por Líderes

Esta política ha sido elaborada por un líder en seguridad con más de 25 años de experiencia en la implementación y auditoría de marcos ISMS en organizaciones globales. Está diseñada no solo como un documento, sino como un marco defendible que resiste el escrutinio de los auditores.

Elaborado por un experto que cuenta con:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura y temas

🏢 Departamentos objetivo

Privacidad Legal Cumplimiento Seguridad de TI Oficina del DPO

🏷️ Cobertura temática

Conservación y eliminación de datos registros de actividades de tratamiento gestión de derechos de los interesados responsabilidades del responsable y del encargado del tratamiento gestión de terceros gestión del cumplimiento gestión de riesgos
€79

Compra única

Descarga instantánea
Actualizaciones de por vida

Esta política es 1 de 25 en el Pack PIMS ISO/IEC 27701 completo

Ahorre un 52%

Obtenga las 25 políticas PIMS, el conjunto completo de registros y un plan de implementación detallado por €799, en lugar de €1.675 individualmente.

Ver Pack 27701 completo →
PII Retention, Deletion and Disposal Policy

Detalles del producto

Tipo: policy
Categoría: ISO 27701 PIMS Policy Pack
Estándares: 7