Kudo

DIA-5 - Tiempo de Retención de Datos y Derecho al Olvido

Control de gestión de períodos de retención y eliminación de datos personales

Definición de Control

Es necesario definir y aplicar una política de retención de datos por categoría, acorde a la base legal y los requisitos regulatorios aplicables, y eliminar automáticamente la información al vencer su período de retención dejando evidencia del proceso. Es necesario implementar un proceso formal para atender los derechos de los titulares de datos —acceso, rectificación, supresión, portabilidad y oposición—, verificando su identidad, coordinando su ejecución con sistemas y terceros, y respondiendo dentro de los plazos regulatorios. Es necesario garantizar la eliminación segura de la información en sistemas, respaldos y medios de almacenamiento cuando ya no sea necesaria o antes de su reutilización.

Requisitos

Requisito 1

Definimos y aplicamos una política de retención de datos documentada por categoría, basada en la base legal del tratamiento y los requisitos regulatorios aplicables.

Requisito 2

Implementamos un proceso formal para atender solicitudes de derechos de los titulares: acceso, rectificación, supresión, portabilidad y oposición.

Requisito 3

Verificamos la identidad del solicitante, registramos la solicitud y coordinamos con sistemas y terceros para ejecutar el derecho ejercido.

Requisito 4

Comunicamos la respuesta al titular dentro de los plazos regulatorios aplicables.

Requisito 5

Implementamos mecanismos de eliminación automática de datos al vencimiento de su período de retención en sistemas primarios y respaldos.

Requisito 6

Eliminamos de forma segura la información almacenada en sistemas, dispositivos y medios de almacenamiento cuando ya no sea necesaria.

Requisito 7

Mantenemos registros de eliminación como evidencia de cumplimiento regulatorio.

Requisito 8

Revisamos la política de retención anualmente y ante cambios regulatorios.

Requisito 9

Verificamos la eliminación en sistemas primarios, respaldos y sistemas de terceros al ejercer el derecho de supresión.

Requisito 10

Mantenemos un registro completo de las solicitudes de derechos atendidas.

Requisito 11

Verificamos que todos los medios de almacenamiento hayan eliminado o sobrescrito de forma segura los datos sensibles y el software con licencia antes de desecharlos.

Requisito 12

Verificamos que todos los medios de almacenamiento hayan eliminado o sobrescrito de forma segura los datos sensibles y el software con licencia antes de reutilizarlos.

On this page