Política retención · timing legal + operacional
Política retención datos
9 tipos data con retention específico · 5 triggers acción (Right to Erase · inactivo · cancelación · AEPD · rectification) · 6 principios (minimization · transparencia · soft-delete · backup bounded · cliente decide · audit trail). RGPD + LOPDGDD compliant + healthcare-specific.
9 tipos data · retention timing
| Tipo data | Retention | Base legal | Notes |
|---|---|---|---|
| PII básico paciente (nombre · email · teléfono) | Cliente activo + 5 años post-último-contacto | Art. 6.1.b RGPD (ejecución contrato) + Art. 17.1.1 LOPDGDD (5 años healthcare) | Anonimización post-período: hash deterministic permite analytics agregado · no identificable |
| Historial médico clínico | Mínimo 5 años · típicamente 15 años (Ley 41/2002 art. 17) | Ley 41/2002 autonomía paciente · LOPDGDD healthcare exception | Cliente determina retention exacta según practice · default 15 años recomendado |
| Conversaciones WhatsApp paciente | Cliente activo + 3 años | Art. 6.1.b RGPD · documentación atención | Audit trail consentimiento + tratamientos discutidos · útil legal disputes |
| Pagos + facturas | 10 años (Ley General Tributaria + Código Comercio) | Obligación legal fiscal española | Sin opción shorter retention · obligatorio para AEAT audits |
| Consentimientos firmados | Cliente activo + 5 años post-revocación | Art. 7 RGPD · prueba consentimiento ante AEPD si disputed | Hash blockchain timestamp + PDF firmado · forensic-grade evidence |
| Logs aplicación · audit | 12-84 meses según tier (ver /audit-logs-export) | Art. 32 RGPD seguridad procesamiento · ISO 27001 control | Retención variable por tier Starter/Growth/Scale/Elite |
| Logs error Sentry | 90 días automatic | Art. 5.1.e RGPD minimización | PII scrubbing automatic antes ingestion · zero data leak external |
| Backups Supabase | Point-in-Time Recovery 7 días + monthly snapshots 12 meses | Art. 32 RGPD continuidad servicio | Encrypted at rest AES-256 · accessible solo admins |
| Métricas analytics (no PII) | Indefinido (no contiene PII · útil benchmarks) | Art. 26 LOPDGDD investigación · agregado sin re-identificación | K-anonimato mayor a 5 · zero re-identification posible |
5 triggers acción retention
Cliente solicita Right to Erase (RGPD Art. 17)
Acción: Soft-delete inmediato (visible 'deleted' user) + hard-delete <30 días + backups borrados <90 días
Excepción: Datos retención obligatoria por ley (facturas 10 años · historial 5+ años) · explicitly notified al solicitante
Paciente inactivo +5 años sin contacto
Acción: Auto-anonimización cron mensual · PII reemplazado por hash deterministic · resto data agregada
Excepción: Pacientes con historial activo (tratamiento crónico · seguimiento) excluded del auto-anonimización
Cliente cancela contrato AI Empire
Acción: 30 días grace period · cliente puede export (ver /data-export-policy) · post-30d hard-delete completo (excepto retención legal)
Excepción: Cliente puede pagar custom retention extendida (Enterprise tier · pricing custom)
AEPD orden borrar (raro)
Acción: Cumplimiento estricto orden · timing definido por AEPD · documentación al cliente
Excepción: Apelable según LOPDGDD si cliente disagree con orden
Cliente solicita Right to Rectification (Art. 16)
Acción: Self-service desde portal o admin request · cambios <24h + log auditable (before/after diff)
Excepción: Datos clínicos · cambios solo por doctor verified · audit trail extra
6 principios retention policy
Default minimization
Mínima retención que cumpla ley + necesidad operativa. Más data = más riesgo · default conservative.
Transparente al cliente
Cliente sabe exactamente qué se retiene · cuánto tiempo · por qué. Visible en este page + portal admin.
Soft-delete primero
Deletes son soft (recoverable 30 días) · evita errores irreversibles. Hard-delete cron mensual.
Backup retention bounded
Backups encrypted con retention finita (7 días PITR + 12 meses snapshots) · no infinite. Reduce attack surface.
Cliente determina dentro límites legales
Default retention legal mínimo. Cliente puede extender (Enterprise custom) · NO reducir bajo mínimo legal.
Audit trail mandatory
Cada delete · anonimización · retention change loggeado · exportable. Forensic evidence si needed.
Reality check · retention is multi-jurisdiction complex
Esta política está adaptada a clínicas privadas España bajo RGPD + LOPDGDD + Ley 41/2002. Si tu clínica opera multi-jurisdiction (Andorra · Portugal · LATAM) · retention rules pueden variar. Custom legal review necesario.
Healthcare retention especialmente complex · ley 41/2002 vs LOPDGDD vs RGPD pueden conflictar · siempre rige el más restrictivo cuando hay duda. Sector dental + estética + mental health tienen sub-reglas que aplicamos default conservative.
¿Tu DPO necesita revisar policy específica?
Sesión 60min con tu DPO + AI Empire revisar retention policy específica tu organización · custom timings · exceptions · documentation pack RGPD compliance review.