1. Propósito
Definir los requisitos para retener y eliminar de forma segura los activos de datos de [ORGANIZATION] en cumplimiento con los requisitos legales, regulatorios y empresariales.
2. Alcance
Esta política se aplica a todos los datos en cualquier formato propiedad de o gestionados por [ORGANIZATION], incluyendo datos electrónicos, registros físicos, respaldos y datos mantenidos por terceros en nombre de [ORGANIZATION].
3. Política
3.1 Calendario de Retención
[ORGANIZACION] deberá mantener un calendario de retención de datos que defina los períodos mínimos y máximos de retención para cada categoría de datos, revisado y actualizado al menos anualmente.
Los períodos de retención deberán basarse en requisitos legales, regulatorios, contractuales y empresariales.
Los siguientes períodos mínimos de retención se aplicarán a menos que sean reemplazados por requisitos regulatorios específicos:
| Categoría de Datos | Retención Mínima | Retención Máxima | Base Regulatoria |
|---|---|---|---|
| Registros Financieros | [PERSONALIZAR: 7 años] | [PERSONALIZAR: 10 años] | SOX, regulaciones tributarias |
| Registros de Empleados | [PERSONALIZAR: 7 años después de la separación] | [PERSONALIZAR: 10 años] | EEOC, leyes laborales |
| PII de Clientes | [PERSONALIZAR: Duración de la relación + 3 años] | [PERSONALIZAR: Duración + 5 años] | GDPR, CCPA, leyes de privacidad estatales |
| Información de Salud | [PERSONALIZAR: 6 años] | [PERSONALIZAR: 10 años] | HIPAA |
| Registros de Auditoría | [PERSONALIZAR: 1 año] | [PERSONALIZAR: 3 años] | Estándares de la industria, cumplimiento |
| Comunicaciones por Correo Electrónico | [PERSONALIZAR: 3 años] | [PERSONALIZAR: 7 años] | eDiscovery, registros empresariales |
| Contratos y Acuerdos | [PERSONALIZAR: Duración + 6 años] | [PERSONALIZAR: Duración + 10 años] | Prescripción |
| Registros de Incidentes de Seguridad | [PERSONALIZAR: 3 años] | [PERSONALIZAR: 7 años] | Cumplimiento, retención legal |
3.2 Requisitos de Eliminación de Datos
Los datos que hayan excedido su período máximo de retención y no estén sujetos a retención legal deberán eliminarse de forma segura dentro de [PERSONALIZAR: 30/60/90] días.
La eliminación de datos electrónicos deberá utilizar métodos que hagan los datos irrecuperables: borrado criptográfico, sobreescritura segura (mínimo 3 pasadas para medios magnéticos) o destrucción física.
Los registros físicos deberán triturarse con corte cruzado o destruirse profesionalmente por un proveedor aprobado.
La eliminación de datos Confidenciales y Restringidos deberá documentarse con: descripción de los datos, método de eliminación, fecha de eliminación y la persona que realizó o verificó la eliminación.
Los terceros que mantengan datos de [ORGANIZACION] deberán certificar la eliminación de datos de acuerdo con esta política al momento de la terminación del contrato.
3.3 Retención Legal
Cuando se emita una retención legal, todos los datos potencialmente relevantes para el asunto legal deberán preservarse independientemente del calendario de retención.
Las retenciones legales deberán comunicarse por [PERSONALIZAR: Departamento Legal/Asesor General] a todos los custodios de datos relevantes.
Los datos sujetos a retención legal no deberán destruirse, modificarse ni sobreescribirse hasta que la retención sea formalmente liberada.
4. Cumplimiento
El cumplimiento de esta política es obligatorio para todo el personal dentro de su alcance. El cumplimiento será monitoreado a traves de auditorías periódicas, controles automatizados y revisión de la gerencia.
Las excepciones a esta política deben documentarse con una justificación de negocio, ser aprobadas por [PERSONALIZAR: CISO/Equipo de Seguridad], y revisarse al menos anualmente.
5. Aplicacion
Las violaciones a esta política pueden resultar en acciones disciplinarias que incluyen hasta la terminación del empleo o contrato, y pueden resultar en sanciones civiles o penales cuando se haya violado la ley aplicable.
[ORGANIZACION] se reserva el derecho de auditar el cumplimiento de esta política en cualquier momento, con o sin previo aviso.
6. Revisión y Actualización
Esta política será revisada al menos anualmente por [PERSONALIZAR: CISO/Propietario de la Política] y actualizada según sea necesario para reflejar cambios en el panorama de amenazas, requisitos regulatorios o estructura organizaciónal.
Todas las revisiónes serán documentadas con número de version, fecha, autor y descripción de los cambios.
Aprobación de la Política
Aprobado Por
Cargo
Fecha
Control de Documentos