Política de retención de datos

Definición: ¿Qué significa la Política de retención de datos?

Una política de retención de datos es la política o protocolo de una organización con respecto al almacenamiento de datos con fines regulatorios o de cumplimiento, o la eliminación de los mismos cuando ya no se necesitan. La política destaca cómo se deben formatear los datos o registros y qué dispositivos de almacenamiento o sistema usar, así como el tiempo que deben mantenerse, lo que generalmente se basa en las reglas de un organismo regulador.

Techinfo explica la política de retención de datos

Las políticas de retención de datos tienen que ver con qué, dónde y cuánto tiempo se deben almacenar o archivar los datos. Cuando el tiempo de retención de un conjunto específico de datos ha expirado, se mueve a un almacenamiento terciario como datos históricos o se elimina por completo para mantener limpios los espacios de almacenamiento.

Además de mantener los datos históricos para su uso, existen políticas de retención de datos debido a los requisitos reglamentarios. Las organizaciones reguladoras reconocen que no es financieramente posible retener todos los datos de forma indefinida, por lo que se insta a las organizaciones a demostrar que solo eliminan los datos que no están sujetos a ningún requisito regulatorio específico. Por ejemplo, los registros de empleados de un banco tendrían un período de retención diferente al de sus registros de cuenta.

Es común que las organizaciones redacten sus propias políticas de retención; sin embargo, también deben asegurarse de cumplir con las leyes de retención de datos cuando corresponda, especialmente en industrias fuertemente reguladas. Por ejemplo, las empresas que cotizan en bolsa en los EE. UU. Deben establecer una política de retención de datos de la Ley Sarbanes-Oxley (SOX) de la misma manera que las organizaciones de atención médica están sujetas a los requisitos de retención de datos de la Ley de Responsabilidad y Portabilidad y Seguro Médico ( HIPAA). De manera similar, las instituciones que aceptan pagos mediante tarjeta de crédito deben cumplir con los requisitos del Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).