“Protección de Datos: Aclarando conceptos” Entrada 6 — Conservación, bloqueo y supresión: cómo gestionar correctamente el ciclo de vida del dato


 

“Protección de Datos: Aclarando conceptos”

Entrada 6 — Conservación, bloqueo y supresión: cómo gestionar correctamente el ciclo de vida del dato

1. Por qué este concepto necesita aclararse

En protección de datos, pocas áreas generan tantos incumplimientos como la gestión del ciclo de vida del dato. Las organizaciones suelen confundir:

  • conservar con “guardar indefinidamente”,
  • bloquear con “archivar”,
  • suprimir con “borrar sin más”,
  • y los plazos legales con “lo que siempre hemos hecho”.

El resultado es un riesgo elevado:

  • datos conservados más tiempo del necesario,
  • sistemas llenos de información obsoleta,
  • incumplimientos en auditorías,
  • y brechas que afectan a datos que ya no deberían existir.

Esta entrada aclara qué significa cada concepto y cómo aplicarlo correctamente.

2. Qué es la conservación (y qué no es)

La conservación es el periodo durante el cual los datos se mantienen activos porque siguen siendo necesarios para la finalidad para la que fueron recogidos.

Esto implica:

  • no se pueden conservar “por si acaso”,
  • no se pueden ampliar los plazos sin justificación,
  • no se pueden mezclar finalidades para alargar la vida del dato.

Ejemplos de conservación correcta:

  • conservar datos de clientes mientras dura la relación contractual,
  • conservar datos contables durante los plazos legales,
  • conservar historiales médicos según normativa sanitaria.

Ejemplos de conservación incorrecta:

  • mantener datos de candidatos no seleccionados durante años,
  • conservar datos de clientes inactivos sin finalidad,
  • guardar copias antiguas de bases de datos sin control.

3. Qué es el bloqueo (y por qué es tan mal entendido)

El bloqueo es una figura propia del ordenamiento español (art. 32 LOPDGDD). Consiste en mantener los datos inaccesibles, salvo para:

  • atender responsabilidades legales,
  • responder a reclamaciones,
  • o cumplir obligaciones normativas.

Los datos bloqueados:

  • no pueden usarse,
  • no pueden tratarse,
  • no pueden consultarse,
  • no pueden incorporarse a nuevos procesos.

Solo se conservan para cumplir obligaciones legales.

Errores comunes:

  • confundir bloqueo con archivo,
  • mantener datos bloqueados sin plazo,
  • no documentar el motivo del bloqueo,
  • no restringir accesos adecuadamente.

4. Qué es la supresión (y qué implica realmente)

La supresión es la eliminación definitiva de los datos cuando:

  • ya no son necesarios,
  • ha expirado el plazo de conservación,
  • o no existe base jurídica para seguir tratándolos.

La supresión debe ser:

  • segura,
  • documentada,
  • irreversible,
  • y aplicarse también a copias, backups y sistemas secundarios.

Errores comunes:

  • borrar datos sin eliminar copias,
  • no documentar la supresión,
  • no aplicar supresión en entornos de pruebas,
  • no revisar backups históricos.

5. Cómo se relacionan conservación, bloqueo y supresión (modelo operativo)

Fase 1 — Conservación activa

Los datos se usan para la finalidad original.

Fase 2 — Bloqueo

Cuando ya no son necesarios, pero existe obligación legal de mantenerlos.

Fase 3 — Supresión

Cuando expiran las obligaciones legales o los plazos de responsabilidad.

Regla de oro: Conservar → Bloquear → Suprimir Nunca al revés.

6. Señales de que una empresa está gestionando mal el ciclo de vida del dato

  • No existen plazos de conservación definidos.
  • Los sistemas acumulan datos históricos sin control.
  • No se aplica bloqueo cuando termina la finalidad.
  • No se documentan supresiones.
  • Los backups contienen datos que deberían estar suprimidos.
  • No hay un procedimiento formal para gestionar el ciclo de vida.

7. Cómo aplicar correctamente estos conceptos (modelo práctico)

Paso 1 — Definir plazos de conservación por finalidad

No por tipo de dato, sino por finalidad.

Paso 2 — Establecer criterios de bloqueo

Documentar cuándo, por qué y durante cuánto tiempo.

Paso 3 — Automatizar la supresión

Siempre que sea posible, con trazabilidad.

Paso 4 — Revisar backups y entornos secundarios

La supresión debe ser coherente en todos los sistemas.

Paso 5 — Documentar todo el proceso

Es esencial para auditorías y para demostrar diligencia.

8. Cierre: hacia la Entrada 7

Comprender la diferencia entre conservación, bloqueo y supresión permite gestionar el ciclo de vida del dato con rigor, evitar riesgos innecesarios y cumplir con las obligaciones legales.

La Entrada 7 abordará otro concepto que genera errores constantes:

Incidente vs. brecha de seguridad: cómo distinguirlos y qué hacer en cada caso.

Comentarios

Publicar un comentario