Política de retención de datos

¿Qué es una política de retención de datos?

Una política de retención de datos, o política de retención de registros, es el protocolo establecido de una organización para retener información para necesidades de cumplimiento regulatorio u operacional.

Al redactar una política de retención de datos, debe determinar cómo organizar la información para que se pueda buscar y acceder a ella más tarde, y eliminar la información que ya no se necesita.

Algunas organizaciones encuentran útil utilizar una plantilla de política de retención de datos que proporcione un marco a seguir al diseñar la política.

Una política integral de retención de datos describe las razones comerciales para retener datos específicos y qué hacer con ellos cuando se destinan a su eliminación.

¿Por qué es importante una política de retención de datos?

Una política de retención de datos es parte de la estrategia general de gestión de datos de una organización. Una política es importante porque los datos pueden acumularse drásticamente, por lo que es crucial definir cuánto tiempo una organización debe retener datos específicos. Una organización solo debe retener datos durante el tiempo que sea necesario, ya sean seis meses o seis años. Retener datos más tiempo del necesario ocupa espacio de almacenamiento innecesario y cuesta más de lo necesario.

¿Cuáles son los beneficios de una política de retención de datos?

Existen numerosos beneficios al establecer una política sólida de retención de datos. Algunos de los beneficios más atractivos incluyen:

• Cumplimiento automatizado. Con una política establecida, las organizaciones pueden asegurarse de cumplir con los requisitos reglamentarios que exigen la retención de varios tipos de datos.
• Reducción de la probabilidad de multas relacionadas con el cumplimiento. Incluso si una organización retiene todos los datos que se requieren legalmente, la organización debe poder producir esos datos si los auditores lo solicitan. Retener solo el volumen de datos mínimamente requerido hace que sea más fácil y menos lento localizar estos datos, lo que reduce las posibilidades de que una organización sea multada por su incapacidad para producir los datos que se deben retener.
• Costos de almacenamiento reducidos. Existe un costo directo asociado con el almacenamiento de datos y la reducción del volumen de datos que se almacena también reduce los costos de almacenamiento.
• Mayor relevancia de los datos existentes. Los datos se vuelven menos relevantes a medida que envejecen y una política de retención de datos elimina los datos irrelevantes que ya no se necesitan.
• Exposición legal reducida. Una vez que los datos ya no son necesarios, se eliminan, lo que elimina la posibilidad de que los datos puedan aparecer durante el descubrimiento legal y usarse en contra de la organización.

¿Cuáles son las mejores prácticas de la política de retención de datos?

Cuando se trata de crear una política de retención de datos, las necesidades de cada organización son diferentes. Aun así, existen varias prácticas recomendadas que las organizaciones deben cumplir al establecer una política de retención de datos. Algunas de estas mejores prácticas incluyen:

Identificar requisitos legales. Las organizaciones deben determinar las leyes y regulaciones que rigen sus requisitos de retención de datos para que esos requisitos se puedan incorporar a la política de retención de datos.

Identificar requisitos comerciales. La creación de una política de retención de datos efectiva implica más que simplemente cumplir con las regulaciones aplicables. La política de retención también debe tener en cuenta los requisitos comerciales de la organización. Es posible que existan requisitos operativos que exijan la retención de datos durante más tiempo del requerido legalmente.

Tener en cuenta los tipos de datos al diseñar una política de retención de datos. En cualquier organización, algunos datos son más valiosos que otros. Una organización debe evitar crear una política general de retención de datos que se aplique a todos los tipos de datos. En cambio, la política debe definir específicamente el tipo de datos que deben retenerse y establecer requisitos de retención para cada tipo.

Adoptar un buen sistema de archivo de datos. Si los requisitos reglamentarios requieren que ciertos tipos de datos se retengan durante más tiempo del que la empresa necesita, entonces considere la posibilidad de adoptar un sistema de archivo de datos. Un sistema de archivo de datos puede ayudar a reducir el costo de almacenar datos de archivo, al mismo tiempo que automatiza la administración del ciclo de vida de los datos y le brinda las herramientas para ubicar los datos en los archivos.

Tener un plan de retención legal. Si la organización está involucrada en un litigio, es probable que deba pausar el proceso de administración del ciclo de vida de los datos para que los datos que fueron citados no se eliminen automáticamente una vez que llegue al final de su período de retención.

Crear dos versiones de su política de retención de datos. Si una organización está sujeta al cumplimiento normativo, es probable que deba documentar sus requisitos de retención de datos para cumplir con los mandatos normativos. Este es un documento formalmente escrito que se puede llenar con jerga legal. Como práctica recomendada, considere la posibilidad de redactar una versión más simple del documento que pueda usarse internamente como una forma de ayudar a las partes interesadas de la organización a comprender mejor los requisitos de retención.

¿Cómo se crea una política de retención de datos?

La creación de una política de retención de datos rara vez es un proceso simple y algunas organizaciones pueden encontrar mejor subcontratar el proceso de creación e implementación de políticas en lugar de hacerlo internamente. Para las organizaciones que crean sus propias políticas de retención de datos, hay 10 pasos básicos:

1. Decida quién será responsable de crear la política. Esta tarea generalmente no será manejada por una sola persona en la organización porque requiere experiencia en varias áreas. Normalmente, el proceso de creación de la política de retención de datos es un esfuerzo de equipo con miembros del personal de TI, el departamento legal de la organización y otras partes interesadas clave.
2. Determine los requisitos legales de la organización. La política debe cumplir o superar los requisitos descritos en cualquier reglamento que se aplique a la organización. Identifique los requisitos legales por adelantado, ya que serán la base de la política.
3. Defina los requisitos comerciales de la organización. Esto significa identificar varios tipos de datos y determinar cuánto tiempo se debe retener cada tipo de datos. Por lo general, los datos están activos durante un período, luego se trasladan al almacenamiento de archivo y finalmente se eliminan del archivo como parte del proceso de gestión del ciclo de vida de los datos de la organización.
4. Determine quién será responsable de garantizar que la retención de datos se realice de acuerdo con la política.
5. Determine cómo realizar auditorías internas para garantizar el cumplimiento de las políticas.
6. Decida la frecuencia con la que debe revisarse y modificarse la política de retención de datos.
7. Trabaje con los departamentos legales o de recursos humanos de la organización para establecer un medio para hacer cumplir la política.
8. Determine cómo se implementan y hacen cumplir los requisitos de retención de datos a nivel de software.
9. Escriba la política oficial de retención de datos.
10. Una vez que se ha redactado la política, preséntela a las partes interesadas clave para su aprobación.

Implementación adecuada

La razón operativa para implementar una política de retención de datos implica una copia de seguridad de datos adecuada. Los datos de respaldo de una organización la ayudan a recuperarse en caso de pérdida de datos. Una política es importante para asegurarse de que la organización tenga los datos correctos y la cantidad correcta de datos respaldados. Una copia de seguridad de muy poca información significa que la recuperación no será tan completa como se necesita, mientras que demasiada causa confusión.

Una política de retención de datos debe tratar los datos archivados de manera diferente a los datos de respaldo. La organización ya no utiliza activamente los datos archivados, pero aún los necesita para la retención a largo plazo. Una organización puede necesitar que los datos se transfieran a archivos para referencia futura o para cumplimiento. Los archivos se almacenan en medios de almacenamiento más baratos, por lo que reducen los costos y el volumen de almacenamiento de datos primarios. Un usuario debería poder buscar archivos fácilmente.

Diferencias entre la copia de seguridad y el archivo de datos.

Para la creación e implementación adecuadas de una política de retención de datos, especialmente con respecto al cumplimiento, el equipo de TI debe trabajar con el equipo legal. El equipo legal tendrá una mejor idea de cuánto tiempo deben retenerse los datos por ley, mientras que TI es responsable de la implementación real de la política.

Tenga cuidado con la política de retención de datos. El hecho de que un archivo se haya creado hace décadas no significa que deba eliminarse automáticamente después de cierto tiempo. Ese archivo antiguo podría ser un contrato importante que la organización debe conservar, o podría contener otra información valiosa.

Un sistema de almacenamiento puede retener o eliminar datos según las reglas establecidas por TI. El uso de metadatos es una forma de averiguar cuándo un objeto de datos está programado para su eliminación o designado para una ubicación de almacenamiento determinada. El software automatizado mueve datos antiguos a archivos, lo que es especialmente útil para organizaciones con grandes volúmenes de datos. Algunos programas pueden eliminar datos automáticamente en función de la antigüedad, descritos en un programa de retención. Pero los administradores deben estar seguros de que los datos eliminados no tienen ningún otro propósito.

Cumplimiento normativo

Una política de retención de datos debe considerar el valor de los datos a lo largo del tiempo y las leyes de retención de datos a las que podría estar sujeta una organización. En 2006, la Corte Suprema de los Estados Unidos reconoció que no es financieramente posible retener toda la información de manera indefinida. Sin embargo, las organizaciones deben demostrar que solo eliminan datos que no están sujetos a requisitos regulatorios específicos y utilizan un proceso repetible y predecible para hacerlo. Esto significa que se guardan varios tipos de información durante diferentes períodos de tiempo. Por ejemplo, el período de retención de un hospital para el correo electrónico de los empleados sería diferente al de sus registros de pacientes.

Aunque es común que una organización establezca sus propios requisitos de retención de datos, se deben cumplir ciertas leyes de retención de datos. Esto es especialmente cierto para las organizaciones que operan en industrias reguladas. Por ejemplo, las organizaciones que aceptan tarjetas de crédito deben adherirse a una política de retención y eliminación de datos del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS).

Simplemente retener datos no es suficiente. Las leyes federales comúnmente requieren que las organizaciones en industrias reguladas creen una política de retención de datos documentada.

Las organizaciones también deben considerar el Reglamento General de Protección de Datos (GDPR), que entró en vigor en mayo de 2018 y actualizó las leyes de privacidad de datos en toda la Unión Europea (UE). Los mandatos se aplican a los datos personales producidos por ciudadanos de la UE, ya sea que la empresa que recopila los datos se encuentre en la UE, así como a cualquier persona y organización cuyos datos se almacenen en la UE. Es fundamental tener una política de retención de datos que explique qué datos se guardan, por qué y dónde se guardan y durante cuánto tiempo, en lo que respecta a las directivas de GDPR. Especialmente con una regulación de cumplimiento generalizada como GDPR, solo conserve los datos personales que necesita.

Ejemplos de políticas de retención de datos

La duración de una política de retención de datos varía de minutos a años. Utilice un motor de políticas que involucre muchos campos diferentes, como usuario, departamento, carpeta y tipo de archivo.

Una política de retención de datos debe incluir mensajes de correo electrónico. Los correos electrónicos se acumulan rápidamente y algunos ocupan mucho espacio, así que establezca un calendario razonable para la retención. Al igual que con la política de retención de datos, el equipo de TI debe trabajar con el departamento legal sobre los detalles del cronograma de retención de correo electrónico.

Con respecto a los objetivos, el almacenamiento de objetos es una opción popular en una política de retención de datos, ya que proporciona una protección de datos sólida a un costo moderado.

El almacenamiento en la nube pública es otra ubicación común para los datos que requieren retención a largo plazo. Suele ser más económico que el almacenamiento local, especialmente en niveles de acceso poco frecuentes. Los proveedores de servicios en la nube ofrecen protección de datos fuera del sitio, lo cual es importante en caso de una interrupción en el centro de datos principal de la organización. La velocidad de restauración depende del nivel y el tamaño del conjunto de datos.

Además, la cinta sigue desempeñando un papel clave en la retención de datos a largo plazo. Los datos históricos a los que se accede con poca frecuencia encuentran un buen lugar en la cinta, donde la restauración lleva más tiempo que otros formatos. Almacenar datos en cinta durante años suele ser más económico que almacenarlos en la nube y consume menos energía que el almacenamiento en disco. Al igual que la nube pública, la cinta también proporciona almacenamiento externo.

¿Cuáles son algunos de los problemas habituales de la política de retención de datos?

Los datos continúan aumentando drásticamente, no solo en el almacenamiento primario, sino también en los archivos y datos de respaldo. La copia de seguridad tiene un costo particularmente oneroso cuando se realiza una copia de seguridad de los mismos datos. Una política de retención de datos es una forma de reducir el volumen y eventualmente automatizar el proceso de retención de conjuntos de datos.

Sin embargo, crear una política de retención de datos es complejo. Establecer un programa de retención de datos no es sencillo. Ciertos conjuntos de datos requieren la conservación de diferentes períodos de tiempo por razones legales y operativas. Una organización debe tener cuidado, especialmente si está implementando una forma automatizada de retención de datos.

El almacenamiento también puede ser una carga. Es por eso que una buena política de retención de datos es clara sobre el tipo de almacenamiento al que se destinan los datos retenidos para optimizar el presupuesto y el espacio.

Eliminación adecuada de datos

Cuando la antigüedad de un registro protegido excede la de la política de retención de datos aplicable, el registro debe eliminarse de manera adecuada. Las organizaciones no están obligadas por ley a deshacerse de los datos antiguos, pero a menudo les conviene hacerlo.

Muchas organizaciones utilizan un sistema automatizado, generalmente un producto de software de archivo dedicado, para eliminar de forma segura los datos que ya no se encuentran dentro del período de retención de datos requerido. La automatización garantiza que los datos se eliminen en el período de tiempo adecuado sin intervención manual. Algunas organizaciones pueden usar la funcionalidad de archivo de su software de respaldo para automatizar la eliminación de datos.