Con la creciente preocupación por la seguridad de los datos personales, el Reglamento General de Protección de Datos (GDPR por sus siglas en inglés) entró en vigor en mayo de 2018. Este reglamento establece reglas más estrictas sobre cómo se procesan, almacenan y comparten los datos personales dentro de la Unión Europea (UE). Específicamente, la GDPR tiene como objetivo proteger la privacidad de los ciudadanos de la UE y garantizar que las empresas cumplan con los estándares más altos de seguridad de los datos. Aunque esta regulación ha sido bien recibida por todos los defensores de la privacidad de datos, también ha generado cierta confusión en cuanto a quién es responsable de la retención de datos y cómo se deben cumplir con estas regulaciones.
La retención de datos se refiere al acto de mantener una copia de los datos originales en su forma original durante un período de tiempo establecido. Esto se hace para garantizar que los datos puedan ser accedidos y utilizados en el futuro, ya sea para fines legales o empresariales. La retención de datos también es importante porque ayuda a cumplir con los requisitos de auditoría, así como con los requisitos legales y reglamentarios.
La GDPR establece que todas las organizaciones que procesan datos personales de ciudadanos de la UE deben cumplir con ciertos requisitos. La regulación establece que las empresas deben almacenar los datos personales solo durante el tiempo que sea necesario para el propósito para el cual fueron obtenidos originalmente. Una vez que se alcanza ese propósito, los datos deben ser eliminados en el menor tiempo razonable, sin embargo, hay ciertas excepciones a esta regla. Por ejemplo, los datos personales pueden ser retenidos por más tiempo en el caso de ser requeridos en una investigación o si se requieren para cumplir con una obligación legal. Sin embargo, en estos casos, la empresa debe documentar claramente el propósito para el cual se están reteniendo los datos y cuándo se eliminarán.
Existen diferentes opiniones respecto a quién es responsable de la retención de datos de acuerdo con la GDPR. A menudo, se asume que las empresas son responsables de la retención de datos, pero esto no siempre es el caso. En algunos casos, los proveedores de servicios que ayudan a las empresas a procesar datos también pueden ser responsables de la retención de datos. Esto se debe a que cualquier tercero que maneje datos personales dentro de la UE debe cumplir con las reglas de GDPR.
Las empresas y los proveedores de servicios también deben establecer acuerdos por escrito que expliquen cómo se manejarán los datos. Estos acuerdos también deben incluir detalles sobre la retención de datos, incluido el tiempo que se mantendrán los datos y cómo se eliminarán posteriormente.
Para cumplir con la GDPR, las empresas y proveedores de servicios deben tener sistemas de gestión de datos establecidos que les permitan eliminar automáticamente los datos personales que ya no son necesarios. Estas empresas también deben asegurarse de que los datos que se están reteniendo se están almacenando de manera segura.
Para garantizar el cumplimiento de la GDPR, a menudo se recomienda realizar una auditoría interna o contratar a una empresa externa para que realice una revisión de cumplimiento de GDPR. Esta revisión puede detectar cualquier incumplimiento de la regulación y proporcionar recomendaciones para corregir estos problemas.
La retención de datos es una preocupación importante para las empresas y proveedores de servicios que manejan datos personales dentro de la UE. La GDPR establece reglas estrictas sobre cómo se deben retener y eliminar estos datos y quién es responsable de garantizar que se cumplan estas reglas. La GDPR no solo es importante desde el punto de vista legal, sino que también es vital para garantizar la privacidad y seguridad de los ciudadanos de la UE.