Política de Retención y Eliminación de Datos
Versión: 1.0 Fecha de entrada en vigencia: (por definir) Última actualización: (por definir) Revisión: anual
Política que define los plazos de conservación y los procedimientos de eliminación o anonimización de los datos personales tratados por la Plataforma Municipal, conforme a la Ley N° 19.628, la Ley N° 21.719 y normativa sectorial aplicable.
1. Principios rectores
- Minimización temporal: los datos se conservan solo el tiempo estrictamente necesario para las finalidades.
- Trazabilidad: toda eliminación queda registrada en bitácora.
- Reversibilidad limitada: el soft delete permite recuperación durante un período acotado; transcurrido el plazo legal, la eliminación es definitiva.
- Anonimización preferente: cuando los datos siguen siendo útiles para estadísticas, se anonimizan en lugar de eliminarse.
- Cumplimiento normativo: se respetan los plazos legales mínimos de conservación.
2. Plazos por categoría de datos
| Categoría | Plazo de conservación | Base legal |
|---|---|---|
| Datos de identificación | Mientras dure la relación + 5 años | Plazo general de prescripción |
| Datos de contacto | Mientras dure la relación + 5 años | Plazo general |
| Inscripciones a talleres y programas | 5 años desde el cierre | Auditoría y rendición |
| Asistencia a talleres | 5 años | Auditoría y rendición |
| Ficha clínica nutricional | 15 años desde última atención | Ley 20.584 art. 13 |
| Datos de menores (general) | Hasta mayoría de edad + 5 años | Protección NNA |
| Datos de menores (ficha clínica) | 15 años desde última atención | Ley 20.584 |
| Autorizaciones (uso imagen, traslados) | 5 años o vigencia | Necesidad operativa |
| Mensajes y conversaciones | 2 años desde último intercambio | Necesidad operativa |
| Suscripciones a notificaciones push | Mientras estén activas | Consentimiento vigente |
| Resultados de eventos | 10 años | Registro histórico |
| Geocoding — coordenadas | Mientras dirección esté vigente | Sobrescritura al actualizar |
| Geocoding — jobs y logs | 2 años | Operación |
| Logs de auditoría | 5 años | Rendición de cuentas |
| Logs de seguridad / accesos | 2 años | Ley 21.663 |
| Backups | Diario: 30 días / Mensual: 12 meses | Continuidad operativa |
| Datos de cuentas inactivas | Anonimización automática a los 3 años | Minimización |
3. Procedimiento de eliminación
3.1 Soft delete
- Primera fase: registro marcado con
deleted_at. - El dato deja de ser visible en consultas estándar (
WHERE deleted_at IS NULL). - Permite recuperación en caso de eliminación errónea.
- Período de soft delete: 90 días salvo categorías que requieran mayor reversibilidad.
3.2 Eliminación definitiva
- Al cumplirse el plazo de conservación, los datos son eliminados físicamente o anonimizados de forma irreversible.
- Aprobación previa del DPO.
- Registro de la operación en bitácora con:
- Categoría de datos eliminados
- Volumen
- Fecha
- Aprobador
- Justificación
3.3 Anonimización
Procedimiento preferente cuando los datos siguen siendo útiles para estadísticas:
- Reemplazo de identificadores directos por valores aleatorios o hash sin sal recuperable
- Agregación a un nivel que impida reidentificación
- Eliminación de combinaciones únicas (cuasi-identificadores)
3.4 Backups
- Los datos eliminados pueden persistir en backups por hasta 12 meses (retención mensual).
- Al restaurar un backup posterior a una eliminación, el procedimiento de eliminación debe reaplicarse sobre el dato restaurado.
4. Eliminación a solicitud del titular
- Derecho de cancelación ejercido conforme a
procedimiento-arcop.md. - Plazo de respuesta: 15 días hábiles.
- Excepciones: conservación obligatoria por mandato legal (ficha clínica 15 años, auditoría 5 años). En esos casos los datos quedan bloqueados (solo accesibles para cumplir la obligación legal) hasta cumplirse el plazo.
5. Cuentas inactivas
| Tiempo de inactividad | Acción |
|---|---|
| 1 año | Notificación al titular |
| 2 años | Bloqueo de la cuenta |
| 3 años | Anonimización de datos no esenciales; eliminación de credenciales |
La inactividad se mide como ausencia de inicio de sesión y de operaciones registradas.
6. Excepciones a la eliminación
Los datos no se eliminan cuando:
- Existe obligación legal de conservación (Ley 20.584, normativa de auditoría).
- Hay proceso judicial o administrativo en curso que los requiera.
- El titular ha dado consentimiento para conservación extendida (raro y excepcional).
En estos casos, los datos se mantienen bloqueados hasta que cese la excepción.
7. Roles y responsabilidades
| Rol | Responsabilidad |
|---|---|
| DPO | Aprobar políticas, autorizar eliminaciones definitivas, auditar cumplimiento |
| Director Departamento | Velar por aplicación operativa de la política |
| Staff de TI | Ejecutar jobs de purga programados |
| Personal con acceso a datos | Cumplir con la política, no conservar copias locales |
8. Mecanismos técnicos
8.1 Jobs programados
- Notificación de mayoría de edad (mensual): identifica menores próximos a cumplir 18 años.
- Identificación de cuentas inactivas (mensual).
- Purga de logs vencidos (mensual).
- Identificación de fichas clínicas vencidas (anual): notifica al DPO para aprobación.
- Purga de mensajes vencidos (mensual).
Implementación (migración 102): la purga automática de las categorías
seguras (tokens push inactivos > 90 días, jobs de geocodificación > 2 años y
mensajes > 2 años) corre vía pg_cron el día 1 de cada mes (job
purga-retencion-mensual → función purgar_datos_retencion()), y queda
registrada en la bitácora purga_retencion_log. Las categorías con retención
legal (ficha clínica 15 años, auditoría 5 años, inscripciones 5 años) no se
purgan por cron: se exponen en la vista v_retencion_pendiente_revision para
aprobación previa del DPO (§3.2).
8.2 Auditoría
- Bitácora de eliminaciones en tabla dedicada con auditoría inmutable.
- Reporte trimestral al DPO sobre volúmenes purgados.
9. Revisión
Esta política se revisa:
- Anualmente de forma programada.
- Tras cambios normativos que afecten plazos de conservación.
- Tras incidentes que revelen brechas en la política.
10. Documentos relacionados
11. Historial
| Versión | Fecha | Autor | Cambios |
|---|---|---|---|
| 1.0 | (por definir) | (por definir) | Versión inicial |