Política de Retención y Eliminación de Datos

Versión: 1.0 Fecha de entrada en vigencia: (por definir) Última actualización: (por definir) Revisión: anual

Política que define los plazos de conservación y los procedimientos de eliminación o anonimización de los datos personales tratados por la Plataforma Municipal, conforme a la Ley N° 19.628, la Ley N° 21.719 y normativa sectorial aplicable.


1. Principios rectores

  1. Minimización temporal: los datos se conservan solo el tiempo estrictamente necesario para las finalidades.
  2. Trazabilidad: toda eliminación queda registrada en bitácora.
  3. Reversibilidad limitada: el soft delete permite recuperación durante un período acotado; transcurrido el plazo legal, la eliminación es definitiva.
  4. Anonimización preferente: cuando los datos siguen siendo útiles para estadísticas, se anonimizan en lugar de eliminarse.
  5. Cumplimiento normativo: se respetan los plazos legales mínimos de conservación.

2. Plazos por categoría de datos

CategoríaPlazo de conservaciónBase legal
Datos de identificaciónMientras dure la relación + 5 añosPlazo general de prescripción
Datos de contactoMientras dure la relación + 5 añosPlazo general
Inscripciones a talleres y programas5 años desde el cierreAuditoría y rendición
Asistencia a talleres5 añosAuditoría y rendición
Ficha clínica nutricional15 años desde última atenciónLey 20.584 art. 13
Datos de menores (general)Hasta mayoría de edad + 5 añosProtección NNA
Datos de menores (ficha clínica)15 años desde última atenciónLey 20.584
Autorizaciones (uso imagen, traslados)5 años o vigenciaNecesidad operativa
Mensajes y conversaciones2 años desde último intercambioNecesidad operativa
Suscripciones a notificaciones pushMientras estén activasConsentimiento vigente
Resultados de eventos10 añosRegistro histórico
Geocoding — coordenadasMientras dirección esté vigenteSobrescritura al actualizar
Geocoding — jobs y logs2 añosOperación
Logs de auditoría5 añosRendición de cuentas
Logs de seguridad / accesos2 añosLey 21.663
BackupsDiario: 30 días / Mensual: 12 mesesContinuidad operativa
Datos de cuentas inactivasAnonimización automática a los 3 añosMinimización

3. Procedimiento de eliminación

3.1 Soft delete

  • Primera fase: registro marcado con deleted_at.
  • El dato deja de ser visible en consultas estándar (WHERE deleted_at IS NULL).
  • Permite recuperación en caso de eliminación errónea.
  • Período de soft delete: 90 días salvo categorías que requieran mayor reversibilidad.

3.2 Eliminación definitiva

  • Al cumplirse el plazo de conservación, los datos son eliminados físicamente o anonimizados de forma irreversible.
  • Aprobación previa del DPO.
  • Registro de la operación en bitácora con:
    • Categoría de datos eliminados
    • Volumen
    • Fecha
    • Aprobador
    • Justificación

3.3 Anonimización

Procedimiento preferente cuando los datos siguen siendo útiles para estadísticas:

  • Reemplazo de identificadores directos por valores aleatorios o hash sin sal recuperable
  • Agregación a un nivel que impida reidentificación
  • Eliminación de combinaciones únicas (cuasi-identificadores)

3.4 Backups

  • Los datos eliminados pueden persistir en backups por hasta 12 meses (retención mensual).
  • Al restaurar un backup posterior a una eliminación, el procedimiento de eliminación debe reaplicarse sobre el dato restaurado.

4. Eliminación a solicitud del titular

  • Derecho de cancelación ejercido conforme a procedimiento-arcop.md.
  • Plazo de respuesta: 15 días hábiles.
  • Excepciones: conservación obligatoria por mandato legal (ficha clínica 15 años, auditoría 5 años). En esos casos los datos quedan bloqueados (solo accesibles para cumplir la obligación legal) hasta cumplirse el plazo.

5. Cuentas inactivas

Tiempo de inactividadAcción
1 añoNotificación al titular
2 añosBloqueo de la cuenta
3 añosAnonimización de datos no esenciales; eliminación de credenciales

La inactividad se mide como ausencia de inicio de sesión y de operaciones registradas.


6. Excepciones a la eliminación

Los datos no se eliminan cuando:

  • Existe obligación legal de conservación (Ley 20.584, normativa de auditoría).
  • Hay proceso judicial o administrativo en curso que los requiera.
  • El titular ha dado consentimiento para conservación extendida (raro y excepcional).

En estos casos, los datos se mantienen bloqueados hasta que cese la excepción.


7. Roles y responsabilidades

RolResponsabilidad
DPOAprobar políticas, autorizar eliminaciones definitivas, auditar cumplimiento
Director DepartamentoVelar por aplicación operativa de la política
Staff de TIEjecutar jobs de purga programados
Personal con acceso a datosCumplir con la política, no conservar copias locales

8. Mecanismos técnicos

8.1 Jobs programados

  • Notificación de mayoría de edad (mensual): identifica menores próximos a cumplir 18 años.
  • Identificación de cuentas inactivas (mensual).
  • Purga de logs vencidos (mensual).
  • Identificación de fichas clínicas vencidas (anual): notifica al DPO para aprobación.
  • Purga de mensajes vencidos (mensual).

Implementación (migración 102): la purga automática de las categorías seguras (tokens push inactivos > 90 días, jobs de geocodificación > 2 años y mensajes > 2 años) corre vía pg_cron el día 1 de cada mes (job purga-retencion-mensual → función purgar_datos_retencion()), y queda registrada en la bitácora purga_retencion_log. Las categorías con retención legal (ficha clínica 15 años, auditoría 5 años, inscripciones 5 años) no se purgan por cron: se exponen en la vista v_retencion_pendiente_revision para aprobación previa del DPO (§3.2).

8.2 Auditoría

  • Bitácora de eliminaciones en tabla dedicada con auditoría inmutable.
  • Reporte trimestral al DPO sobre volúmenes purgados.

9. Revisión

Esta política se revisa:

  • Anualmente de forma programada.
  • Tras cambios normativos que afecten plazos de conservación.
  • Tras incidentes que revelen brechas en la política.

10. Documentos relacionados

11. Historial

VersiónFechaAutorCambios
1.0(por definir)(por definir)Versión inicial