Política de retención de datos
Una política de retención de datos, o política de retención de registros, es un protocolo establecido en una organización para retener información para las necesidades operativas o de cumplimiento regulatorio.
El contenido continua más abajo
Guía esencial para que (por fin) elabore su plan de DR y BC
En el mundo actual de los negocios, no ser capaz de proveer los servicios ofrecidos al mercado por estar fuera de línea ya no es opción. La competencia es feroz y, por ello, hoy más que nunca se hace indispensable incorporar en la estrategia corporativa elementos ya no solo para ser capaces de recuperarse de algún desastre o evento crítico en el menor tiempo posible, sino incluso para asegurarse de no perder en ningún momento la continuidad de los negocios.
Al escribir una política de retención de datos, es necesario determinar cómo:
- Organizar la información para que pueda ser buscada y accedida en una fecha posterior,
- Deshacerse de información que ya no se necesita.
Algunas organizaciones encuentran útil usar una plantilla de política de retención de datos que proporcione un marco para seguir al momento de elaborar la política.
Cumplimiento regulatorio
Una política de retención de datos debe tener en cuenta el valor de los datos a través del tiempo y las leyes de retención de datos a las que está sujeta una organización. En 2006, la Corte Suprema de Estados Unidos reconoció que no es económicamente posible retener toda la información de forma indefinida. Sin embargo, las organizaciones deben demostrar que solo eliminan los datos que no están sujetos a requisitos reglamentarios específicos y que utilizan un proceso repetible y predecible para hacerlo. Esto significa que diversos tipos de información son guardados por diferentes períodos de tiempo. Por ejemplo, el período de retención de un hospital para el correo electrónico de los empleados sería diferente a la de sus registros de los pacientes.
Si bien es común para una organización establecer sus propios requisitos de retención de datos, hay ciertas leyes de retención de datos que deben cumplirse. Esto es especialmente cierto para las organizaciones que operan en sectores regulados. Por ejemplo, las empresas que cotizan públicamente dentro de los EE.UU. deben establecer una política de retención de datos según la Ley Sarbanes-Oxley (SOX). Del mismo modo, las organizaciones de salud están sujetas a los requisitos de retención de datos del Acta de Responsabilidad y Portabilidad para Seguros de Salud (HIPAA), y las organizaciones que aceptan tarjetas de crédito deben cumplir con una política de retención y eliminación de datos según el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pagos (PCI DSS).
Simplemente retener los datos no es suficiente. Las leyes federales generalmente requieren que las organizaciones en industrias reguladas creen un dato documentado
Eliminación adecuada de datos
Cuando la edad de un registro protegido supera la de la política de retención de datos aplicable, el registro tiene que ser eliminado adecuadamente. Las organizaciones no están obligadas por ley a disponer de los datos antiguos, pero a menudo es en su mejor interés hacerlo, ya que los mensajes de correo electrónico, documentos y registros de bases de datos antiguos podrían ser citados en caso de litigio.
Muchas organizaciones utilizan un sistema automatizado, por lo general un producto de software de archivo dedicado, para eliminar de forma segura los datos que ya no caen dentro del período requerido de retención de los datos. La automatización asegura que los datos serán desechados en el marco de tiempo adecuado y sin intervención manual. Algunas organizaciones pueden utilizar la funcionalidad de archivo de su software de respaldo para automatizar la eliminación de datos.
