¿Qué es una Política de Retención de Datos?
Una política de retención de datos es el protocolo establecido por una empresa para mantener registros durante un período de tiempo determinado. También puede denominarse política de retención de registros o política de retención de copias de seguridad. El objetivo es proteger sus datos y garantizar el cumplimiento de las necesidades empresariales particulares, las directrices de la industria o los requisitos legales.
Una política integral de retención de datos y un plan de gestión de registros detallan las razones por las que una empresa desea conservar registros específicos y dónde almacenará o archivará estos datos. La política también debe incluir información sobre quién es responsable de cada tipo de datos y cómo se eliminarán (o purgarán) al final de su período de retención.
Una política de retención de datos también debe especificar procedimientos de almacenamiento de copias de seguridad para ayudar a una empresa a recuperarse si experimenta pérdida de datos.
¿Por qué es importante una Política de Retención de Datos?
Copias de seguridad y archivado regulares
Las copias de seguridad de datos adecuadas son esenciales para su plan de continuidad del negocio cuando se enfrenta a desastres inesperados. Supongamos que una organización no tiene medidas integrales de copia de seguridad de datos implementadas. En ese caso, la recuperación en casos de desastre será incompleta y afectará a la continuidad de las operaciones debido a la falta de acceso a los datos y registros necesarios para funcionar correctamente.
Por otro lado, la copia de seguridad de demasiados datos puede causar confusión durante el proceso de recuperación. Además, la retención innecesaria y las copias de seguridad completas pueden consumir un costoso espacio de almacenamiento y disminuir la velocidad de acceso a la red.
Por lo tanto, una política de retención de datos ayuda a garantizar que la empresa conserve o realice copias de seguridad de los datos apropiados durante un período de tiempo adecuado.
Gestión de datos simplificada
Una política de retención es parte de la estrategia general de gestión de datos de una empresa. La organización debe describir todos los diferentes tipos de datos y registros que conserva y cuánto tiempo debe almacenarse y respaldarse cada tipo. La política ayuda a garantizar que los datos obsoletos o duplicados se eliminen adecuadamente, lo que facilita la búsqueda de datos que siguen siendo relevantes y útiles.
Cumplimiento legal y reglamentario
La gestión eficiente de datos y registros puede respaldar las funciones empresariales básicas y ayudar a la organización a cumplir con sus obligaciones legales, estatutarias y reglamentarias. En los últimos años, el enfoque en la privacidad de los datos ha aumentado, lo que ha dado lugar a leyes y regulaciones más complejas en todo el mundo.
Por ejemplo, las empresas que cotizan en bolsa en los Estados Unidos deben establecer una política de retención para cumplir con los requisitos de retención de datos descritos en la Ley Sarbanes-Oxley (SOX). Del mismo modo, las organizaciones de atención médica están sujetas a los requisitos de retención de datos de la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA).
Además, las empresas que procesan pagos de clientes (por ejemplo, a través de tarjetas de crédito) deben cumplir los requisitos de retención y eliminación de datos especificados en el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).
Cualquier empresa a nivel mundial que recopile y procese datos personales de ciudadanos de la UE debe cumplir los requisitos de retención de datos del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Para cumplir con la ley de protección de datos del RGPD, las políticas de retención de datos deben explicar qué se recopila, por qué se recopila, dónde se almacena y el período de retención.
Además de cumplir con estas leyes, una política de retención de datos puede ayudar a una organización a garantizar que se mantenga la privacidad y confidencialidad de sus datos. También puede proteger a la empresa de multas por incumplimiento u otras acciones punitivas y futuras responsabilidades legales.
Satisfacer las necesidades empresariales
Las organizaciones también pueden tener necesidades contractuales y empresariales específicas que requieren una política de retención de datos. Como tal, la política debe especificar durante cuánto tiempo la compañía mantendrá conjuntos de datos particulares y cómo planea hacer excepciones en caso de demandas u otras interrupciones.
Cómo Determinar la Retención de datos adecuada
Para implementar una política de retención de datos efectiva, la empresa debe identificar primero los tipos de datos que almacena. Luego, debe clasificar esos datos. Estos pasos son cruciales porque la retención de datos” adecuada ” a menudo depende del tipo de datos que se conserven.
El ciclo de vida de los datos o el período de retención también son importantes. Algunos datos se pueden clasificar con un corto período de almacenamiento antes de la eliminación automática, como los correos electrónicos independientes. Mientras que otros registros, como los contratos de venta y los detalles asociados, deben almacenarse durante muchos años.
Por ejemplo, las organizaciones de atención médica almacenan información de identificación personal (PII), como el nombre del paciente, la fecha de nacimiento, el número de Seguro Social y los datos médicos. Las compañías de servicios financieros almacenan los puntajes de crédito, el historial de pagos y la información de préstamos de los clientes. La política de retención debe tener en cuenta cada uno de estos tipos de datos y asignar los ciclos de vida adecuados en consecuencia.
Componentes clave de una Política de retención de datos exitosa
Una política de retención de datos debe cubrir cómo la organización realizará copias de seguridad, archivará y eliminará registros digitales y en papel. El documento final debe ser holístico y coherente, con aportaciones de múltiples grupos y aplicarse a toda la empresa. La política puede actualizarse o revisarse, y se debe mantener un registro de estas revisiones en el documento.
Una política de retención de datos o copia de seguridad de datos puede incluir algunas o todas las secciones siguientes:
Requisitos legales y comerciales aplicables
Esta sección debe detallar la necesidad comercial y legal de retención de datos y copias de seguridad. Debe actualizarse a medida que cambien los requisitos y reglamentos.
Procedimientos de retención de datos
Cada registro y tipo de datos tendrá diferentes períodos y procesos de retención. Considere dónde se conservarán los datos, cómo se realizará la copia de seguridad y durante cuánto tiempo. Especifique el rol o equipo que posee cada tipo de datos y es responsable de administrarlo. También es importante mencionar qué tipos de registros no necesitan conservarse y pueden eliminarse de inmediato.
Procedimientos de destrucción de datos
Es esencial resaltar cómo se eliminarán los registros cuando se agote el tiempo de retención. Especifique el proceso para destruir documentos en papel. Detalle qué documentos electrónicos deben eliminarse manualmente y cuáles son purgados automáticamente por el sistema.
Procedimientos de archivo de datos
Es posible que algunos datos no sean necesarios para el uso diario, pero deben archivarse por razones legales o reglamentarias. Los procedimientos de archivo especifican los tipos de documentos, las ubicaciones de almacenamiento y los procesos de recuperación.
Quizás algunos documentos en papel se almacenan fuera del sitio para su recuperación solo si es necesario. Ciertos documentos electrónicos pueden almacenarse en diferentes servidores para garantizar un tiempo de respuesta rápido y evitar el desorden en los servidores locales.
Procesos de excepción
La organización puede tener algunas excepciones a sus procedimientos estándar de retención, destrucción o archivo de datos. Es importante aclarar estas excepciones en la política de retención de datos para garantizar que no haya confusión ni falta de comunicación.
Respuestas adecuadas a Solicitudes de Descubrimiento, Legales o de Auditoría
Si alguna vez hay una solicitud de descubrimiento, legal o de auditoría, la organización debe tener una respuesta estandarizada. Esta sección debe especificar el proceso para responder, quién es responsable de hacer la respuesta y cómo se documentará.
Además de las secciones anteriores, una política de retención integral debe incluir lo siguiente:
- Nombre de la empresa y datos de contacto
- Control de versiones
- Propósito de la política
- Partes interesadas afectadas
- Términos clave utilizados
- Funciones y responsabilidades del personal involucrado
Mejores prácticas para realizar copias de seguridad de Datos
El espacio de almacenamiento puede ser costoso, y no es necesario realizar copias de seguridad de cada pieza de datos. Cuando se trata de retención de datos y copias de seguridad, las necesidades de cada organización son diferentes. No hay reglas establecidas sobre la estrategia de copia de seguridad, la frecuencia o los períodos de retención. Una organización debe evaluar sus requisitos de manera integral al desarrollar su política de retención de datos.
Sin embargo, hay varias prácticas recomendadas que las organizaciones pueden considerar para comenzar:
Identificar y clasificar tipos de datos
La clasificación de datos puede ayudar a identificar qué datos deben respaldarse o archivarse y durante cuánto tiempo. Estas preguntas pueden ayudar a determinar si es necesario hacer una copia de seguridad de un tipo particular de datos:
- ¿Los datos son críticos ahora?
- ¿Es probable que siga siendo crítico en el futuro?
- ¿Es propiedad intelectual exclusiva?
- ¿Constituye secreto comercial confidencial?
- Es un documento permanente?
Identifique los Requisitos legales
Aquí, la pregunta más importante es: ¿Son necesarios los datos para el cumplimiento o las auditorías?
Las organizaciones deben determinar si existen requisitos legales o reglamentarios para realizar copias de seguridad de los datos durante un período de tiempo determinado y administrar su política de copias de seguridad en consecuencia.
Identificar requisitos empresariales
La directiva de copia de seguridad debe tener en cuenta los requisitos empresariales de la organización en relación con cada tipo de datos y la forma en que se realiza la copia de seguridad. Esto puede depender de la probabilidad de pérdida de datos, la importancia relativa de los datos y la frecuencia con la que se actualizan los datos.
Especificar detalles relevantes
La directiva debe incluir detalles como:
- Frecuencia de copia de seguridad
- Período de retención
- Requisitos de cifrado
- Métodos de acceso
- Personal autorizado para acceder a los datos de copia de seguridad
Haga que ZenGRC forme Parte de su Plan de Protección de Datos
-cantidades cada vez mayores de datos, a menudo tienen dificultades para usarlos, almacenarlos, archivarlos y destruirlos de manera adecuada. La gestión manual del ciclo de vida de los datos no es factible porque es ineficiente, requiere muchos recursos y puede crear graves riesgos de seguridad y cumplimiento.
Se requiere una solución de copia de seguridad y gestión de registros de retención de datos automatizada para abordar estos desafíos. Aquí es donde una plataforma integral como ZenGRC proporciona las comodidades y características que necesita. ZenGRC se puede incorporar fácilmente a la estrategia de retención de datos de una empresa para cumplir sin esfuerzo los requisitos legales y reglamentarios.
ZenGRC permite a las organizaciones automatizar su ciclo de vida de datos, proporciona capacidades de auditoría defendibles, aplica políticas de retención estructuradas y mantiene una rendición de cuentas rastreable. Obtenga una demostración y obtenga más información sobre los flujos de trabajo, las integraciones y las configuraciones de automatización de ZenGRC.
Leave a Reply