Definition

Política de retención de datos

Contribudor(es): Brien Posey y Andrew Burton

Una política de retención de datos, o política de retención de registros, es un protocolo establecido en una organización para retener información para las necesidades operativas o de cumplimiento  regulatorio.

Al escribir una política de retención de datos, es necesario determinar cómo:

  • Organizar la información para que pueda ser buscada y accedida en una fecha posterior,
  • Deshacerse de información que ya no se necesita.

Algunas organizaciones encuentran útil usar una plantilla de política de retención de datos que proporcione un marco para seguir al momento de elaborar la política.

Cumplimiento regulatorio

Una política de retención de datos debe tener en cuenta el valor de los datos a través del tiempo y las leyes de retención de datos a las que está sujeta una organización. En 2006, la Corte Suprema de Estados Unidos reconoció que no es económicamente posible retener toda la información de forma indefinida. Sin embargo, las organizaciones deben demostrar que solo eliminan los datos que no están sujetos a requisitos reglamentarios específicos y que utilizan un proceso repetible y predecible para hacerlo. Esto significa que diversos tipos de información son guardados por diferentes períodos de tiempo. Por ejemplo, el período de retención de un hospital para el correo electrónico de los empleados sería diferente a la de sus registros de los pacientes.

Si bien es común para una organización establecer sus propios requisitos de retención de datos, hay ciertas leyes de retención de datos que deben cumplirse. Esto es especialmente cierto para las organizaciones que operan en sectores regulados. Por ejemplo, las empresas que cotizan públicamente dentro de los EE.UU. deben establecer una política de retención de datos según la Ley Sarbanes-Oxley (SOX). Del mismo modo, las organizaciones de salud están sujetas a los requisitos de retención de datos del Acta de Responsabilidad y Portabilidad para Seguros de Salud (HIPAA), y las organizaciones que aceptan tarjetas de crédito deben cumplir con una política de retención y eliminación de datos según el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pagos (PCI DSS).

Simplemente retener los datos no es suficiente. Las leyes federales generalmente requieren que las organizaciones en industrias reguladas creen un dato documentado

Eliminación adecuada de datos

Cuando la edad de un registro protegido supera la de la política de retención de datos aplicable, el registro tiene que ser eliminado adecuadamente. Las organizaciones no están obligadas por ley a disponer de los datos antiguos, pero a menudo es en su mejor interés hacerlo, ya que los mensajes de correo electrónico, documentos y registros de bases de datos antiguos podrían ser citados en caso de litigio.

Muchas organizaciones utilizan un sistema automatizado, por lo general un producto de software de archivo dedicado, para eliminar de forma segura los datos que ya no caen dentro del período requerido de retención de los datos. La automatización asegura que los datos serán desechados en el marco de tiempo adecuado y sin intervención manual. Algunas organizaciones pueden utilizar la funcionalidad de archivo de su software de respaldo para automatizar la eliminación de datos.

Este contenido se actualizó por última vez en diciembre 2015

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

File Extensions and File Formats

Close