Política de conservación y supresión de datos
Última actualización: 11 de julio de 2026 · Referencia RET-2026.3
No conservamos todos los datos durante el mismo tiempo. El plazo depende de la finalidad, del estado de la relación, de las obligaciones legales y de la necesidad de formular, ejercer o defender reclamaciones.
Cuando una norma exige conservación o existe una responsabilidad pendiente, los datos pueden quedar bloqueados: dejan de utilizarse para la operativa ordinaria y su acceso se limita a la finalidad que justifica el bloqueo.
1. Calendario público de referencia
| Categoría | Criterio de conservación |
|---|---|
| Borradores de formularios | En el dispositivo y durante la sesión o plazo local indicado; se eliminan al completar, caducar o borrar datos del navegador. |
| Sesión y seguridad de acceso | Durante la sesión y los periodos técnicos necesarios para autenticación, cierre, prevención de abuso y auditoría. |
| Cookie de atribución de afiliado | Máximo de 90 días, salvo borrado previo por la persona usuaria. |
| Cuenta y perfil | Mientras exista la cuenta y después durante los plazos de bloqueo aplicables. |
| Expedientes y documentación jurídica | Durante la gestión y, tras el cierre, durante los plazos profesionales, contractuales y de defensa aplicables; la versión contractual puede fijar un plazo orientativo específico. |
| Evidencias de aceptación y versiones | Durante la vigencia de la relación y el tiempo necesario para acreditar obligaciones y defender reclamaciones. |
| Tickets de atención | Mientras estén activos y después conforme a la naturaleza del ticket y posibles responsabilidades. |
| Candidaturas | Durante el proceso y un periodo proporcionado posterior; futuras vacantes solo con autorización separada para bolsa de talento. |
| Solicitudes y relación de afiliación | Durante la evaluación o relación y después por obligaciones fiscales, contables, antifraude y de defensa. |
| Facturación, pagos y liquidaciones | Durante los plazos fiscales, contables, de prevención y defensa legal aplicables. |
| Registros de seguridad | Durante un plazo limitado según riesgo, criticidad e investigación; los incidentes pueden conservarse más tiempo si es necesario. |
| Analítica y cookies | Según la Política de cookies, configuración, consentimiento y controles del proveedor. |
2. Cómo se decide un plazo
- Finalidad original y expectativas razonables.
- Volumen, sensibilidad y riesgo de los datos.
- Estado del servicio o expediente.
- Plazos de prescripción, obligaciones fiscales, contables, profesionales y de consumo.
- Existencia de litigio, reclamación, fraude o incidente.
- Posibilidad de anonimizar en lugar de conservar datos identificativos.
3. Supresión, anonimización y bloqueo
Al vencer el plazo, los datos se suprimen o anonimizan de forma razonable. Si deben conservarse para una obligación o defensa, se bloquean y se restringe su uso. Una supresión no obliga a borrar información que deba mantenerse legalmente ni datos ya anonimizados de forma irreversible.
4. Copias de seguridad y proveedores
La supresión en sistemas activos puede propagarse a copias de seguridad conforme a sus ciclos seguros de rotación. Mientras permanezcan en una copia, no se restauran para uso ordinario y conservan las protecciones aplicables. Se instruye a proveedores para suprimir o devolver datos cuando finaliza el servicio, salvo obligación válida de conservación.
5. Suspensión de borrado
Un borrado puede suspenderse de forma limitada ante una reclamación, orden de autoridad, investigación de seguridad, deber de conservación o necesidad de preservar evidencia. La suspensión se documenta y se levanta cuando desaparece su causa.
6. Derechos y consultas
Puedes preguntar por el criterio aplicable a tus datos o ejercer derechos en privacidad@sinpleitos.es. La respuesta explicará, cuando proceda, qué información se ha eliminado, cuál permanece bloqueada y la razón jurídica de esa conservación.
7. Estados del ciclo de vida
| Estado | Uso permitido | Acceso |
|---|---|---|
| Activo | Finalidad operativa vigente | Roles necesarios para prestar el servicio |
| Inactivo | Finalidad principal terminada, pendiente de decidir cierre | Acceso reducido |
| Bloqueado | Solo obligación legal o formulación, ejercicio o defensa | Personal expresamente autorizado |
| Anonimizado | Estadística o análisis sin identificación razonable | No se trata ya como dato personal si la anonimización es irreversible |
| Suprimido | Sin disponibilidad en sistemas activos | Puede persistir temporalmente en copias protegidas hasta rotación |
8. Evento que inicia el plazo
Un plazo no empieza siempre al recoger el dato. Puede comenzar al cerrar el expediente, resolver el ticket, terminar la relación de afiliación, retirar un consentimiento o finalizar un proceso de selección.
El evento debe ser objetivo y registrable. Una cuenta abandonada no permanece activa indefinidamente por ausencia de una acción formal si la finalidad ya terminó.
9. Plazos fijos y criterios
Cuando el código o una política establecen un periodo concreto, se utiliza como máximo o referencia aplicable a esa finalidad. Cuando no existe una cifra universal, se documentan criterios porque imponer un número arbitrario puede ser tan inadecuado como conservar indefinidamente.
La obligación legal específica prevalece sobre la referencia general. Una nueva finalidad compatible requiere su propio análisis y no reinicia automáticamente todos los plazos.
10. Matriz de decisión al cerrar una finalidad
| Pregunta | Si la respuesta es sí | Si la respuesta es no |
|---|---|---|
| ¿Existe obligación legal? | Bloquear durante el plazo exigido | Continuar análisis |
| ¿Hay reclamación o riesgo concreto de defensa? | Preservar evidencia pertinente y revisar periódicamente | Continuar análisis |
| ¿Puede anonimizarse con utilidad legítima? | Anonimizar y eliminar vínculo | Suprimir |
| ¿El dato pertenece también a otra finalidad activa? | Mantener solo para esa finalidad y con sus accesos | Suprimir o bloquear |
| ¿Está en un proveedor o copia? | Propagar orden y registrar ciclo | Cerrar actuación |
11. Expedientes jurídicos y secreto profesional
La documentación de un expediente puede ser necesaria para acreditar instrucciones, actuaciones, resultado, comunicaciones, honorarios y responsabilidad profesional. El cierre operativo no implica borrado inmediato.
La conservación se limita a lo pertinente y permanece protegida por secreto, control de acceso y bloqueo cuando ya no se utiliza para gestionar el caso.
12. Evidencias de aceptación y documentos versionados
Las evidencias permiten demostrar qué texto se mostró, qué versión se aceptó y cuándo. Pueden incluir identificador, huella del documento, confirmaciones y metadatos técnicos proporcionados.
No se modifica una versión histórica para reflejar el texto actual. Al finalizar su plazo se suprime o conserva bloqueada conforme a las responsabilidades que pueda acreditar.
13. Cuentas inactivas y borradores
- Los borradores locales pueden eliminarse desde el navegador y no equivalen a expediente enviado.
- La caducidad de sesión no borra automáticamente un caso ya creado.
- Una cuenta sin casos puede cerrarse antes que una cuenta vinculada a obligaciones pendientes.
- Antes de una supresión de cuenta se separan facturas, aceptaciones y expedientes que deban bloquearse.
- Los avisos de inactividad no deben pedir credenciales ni exponer datos sensibles.
14. Tickets, privacidad y seguridad
Un ticket ordinario puede cerrarse cuando se resuelve y conservarse después por un periodo proporcionado. Una solicitud de derechos necesita evidencia de identidad, alcance, decisión y ejecución. Un incidente de seguridad puede requerir una conservación distinta por investigación y responsabilidad.
No se conserva indefinidamente todo el contenido por si pudiera ser útil. Se distingue mensaje, adjunto, registro técnico y evidencia final.
15. Candidaturas y afiliación
Las candidaturas se vinculan a un proceso concreto; la bolsa de talento es una finalidad separada. Las solicitudes de afiliación rechazadas no se convierten en una base comercial, aunque pueda conservarse evidencia limitada de decisión y fraude.
En afiliación activa, contrato, facturas, atribuciones y pagos siguen calendarios diferentes. La baja del Código detiene nuevas atribuciones, pero no borra obligaciones ya devengadas.
16. Conservación cautelar o legal hold
Cuando existe una reclamación, requerimiento, litigio, investigación o incidente concreto, puede suspenderse la eliminación de los datos pertinentes. La medida identifica alcance, motivo, responsable y condición de levantamiento.
No se usa una conservación cautelar genérica para guardar todo. Al desaparecer la causa se reanuda el calendario y se elimina lo que ya no tenga otra base.
17. Ejecución de una supresión
| Etapa | Control |
|---|---|
| Inventario | Localizar sistemas, proveedores, adjuntos, índices y copias afectadas |
| Autorización | Comprobar identidad, base, excepciones y datos de terceros |
| Sistemas activos | Eliminar, anonimizar o bloquear según decisión |
| Proveedores | Transmitir instrucciones y registrar respuesta |
| Copias | Marcar para no restauración ordinaria y esperar rotación segura |
| Verificación | Comprobar que enlaces, búsquedas y accesos ya no exponen el dato |
| Cierre | Responder a la persona y conservar evidencia mínima de la ejecución |
18. Copias de seguridad y restauración
Una copia se conserva para recuperación, no como archivo alternativo de consulta. Su acceso se restringe y sigue un ciclo de rotación. No es razonable editar cada copia inmutable de inmediato si el dato queda fuera de uso y desaparecerá con la rotación.
Si una restauración reintroduce datos previamente suprimidos, el procedimiento debe volver a aplicar las órdenes de borrado o bloqueo antes de reanudar la operativa.
19. Anonimización frente a seudonimización
La seudonimización sustituye identificadores, pero permite reidentificar con información separada y sigue sujeta al RGPD. La anonimización exige que la identificación no sea razonablemente posible considerando medios, coste, tiempo y combinación de datos.
Eliminar solo el nombre no anonimiza un caso si entidad, fechas, importe, localidad y hechos permiten reconocer a la persona.
20. Auditoría y revisión del calendario
- Revisión al incorporar una finalidad o categoría nueva.
- Comprobación de datos vencidos y excepciones abiertas.
- Muestreo de supresiones y propagación a proveedores.
- Control de accesos a información bloqueada.
- Revisión de copias y restauraciones.
- Actualización ante cambios legales o contractuales.
- Registro de incidencias y medidas correctoras.
21. Caducidad técnica, conservación y bloqueo no son lo mismo
Una caducidad técnica limita cuánto tiempo funciona una sesión, código, cookie, caché o enlace. No determina por sí sola la eliminación del dato principal al que daba acceso. Por ejemplo, que caduque un enlace de descarga impide reutilizar ese enlace, pero el documento del expediente puede seguir conservándose bajo su finalidad jurídica.
La conservación describe cuánto tiempo permanece una categoría para una finalidad válida. El bloqueo se aplica cuando el uso ordinario debe cesar, pero la información tiene que reservarse para jueces, tribunales, Ministerio Fiscal, administraciones competentes o exigencia de responsabilidades durante el plazo aplicable.
Esta distinción evita dos errores: afirmar que un dato se ha borrado porque caducó un token, o mantenerlo operativo durante años alegando una obligación que solo permitiría conservarlo bloqueado.
22. Plazos técnicos comprobados en la Plataforma
| Artefacto o dato | Plazo observado | Qué ocurre al vencer | Qué no implica |
|---|---|---|---|
| Borrador de caso invitado y archivos locales | Caducidad lógica máxima de 12 horas | El navegador invalida el contexto y purga el borrador asociado cuando se procesa la caducidad | No borra un expediente ya enviado |
| Borrador de reclamación aérea | Caducidad lógica máxima de 12 horas | Se elimina de sessionStorage al detectarse vencido | No afecta a un caso ya creado |
| Borrador de solicitud de afiliación | Durante la sesión del navegador | Desaparece al terminar o limpiar la sesión, o al completar el flujo | No elimina la solicitud ya enviada |
| Código de verificación de email | 10 minutos | Deja de ser válido | No borra la cuenta ni el registro antifraude aplicable |
| Contexto firmado de verificación de email | 45 minutos | Deja de poder utilizarse para continuar esa verificación | No equivale a conservar el código durante 45 minutos |
| Token de subida de adjuntos de ticket | 30 minutos | Se invalida o limpia el artefacto efímero | No elimina automáticamente un adjunto ya cargado |
| Enlace firmado de documento para visualización | 60 segundos por defecto en el flujo auditado | La URL temporal deja de autorizar la descarga | No elimina el objeto privado de origen |
| Instantánea de precomprobación aérea | 12 horas | Deja de ser utilizable para crear el caso desde esa evidencia | No sustituye el expediente definitivo |
| Caché operativa de precomprobación aérea | 24 horas por defecto | La entrada deja de ser servida como vigente | No es el plazo de la documentación aportada por un cliente |
| Atribución de afiliado en navegador | Hasta 90 días | La cookie deja de acreditar por sí sola una visita dentro de la ventana | No elimina la evidencia contractual o económica ya generada |
| Preferencia de cookies | Hasta 180 días o hasta revocación/cambio de versión | Debe renovarse, sustituirse o eliminarse según el evento | No prolonga las cookies de terceros más allá de su régimen propio |
| Historial minimizado de accesos | 180 días | Las filas vencidas son elegibles para eliminación mediante el mecanismo previsto | No conserva IP ni agente de usuario en claro |
23. Referencias jurídicas que pueden determinar el plazo
No se elige siempre el número mayor por comodidad. Se identifica qué documento está sujeto a qué obligación, desde qué fecha se computa y si el plazo ha sido interrumpido. Cuando una factura y un mensaje operativo pertenecen al mismo caso, pueden tener calendarios distintos.
| Materia | Referencia general | Aplicación prudente |
|---|---|---|
| Documentación contractual y actuaciones jurídicas | Las condiciones vigentes utilizan una referencia orientativa de 5 años | Se cuenta desde el hito indicado y se adapta si existe plazo especial, interrupción o responsabilidad pendiente |
| Acciones personales sin plazo especial | 5 años desde que puede exigirse el cumplimiento | No se aplica mecánicamente a cualquier dato; sirve para valorar defensa contractual |
| Libros, correspondencia y justificantes del negocio | 6 años desde el último asiento | Afecta a documentación mercantil y contable pertinente, no a todo el expediente |
| Derechos tributarios ordinarios | 4 años en los supuestos del artículo 66 de la Ley General Tributaria | El cómputo puede variar, interrumpirse y coexistir con obligaciones mercantiles más largas |
| Bloqueo tras rectificación o supresión | Durante el plazo de prescripción de posibles responsabilidades | Sin uso ordinario ni visualización, salvo puesta a disposición legalmente prevista |
| Normativa especial | El plazo que establezca la norma sectorial aplicable | Prevalece sobre la referencia general y debe documentarse por categoría |
24. Responsabilidades dentro del ciclo de vida
| Función | Responsabilidad mínima |
|---|---|
| Responsable del tratamiento | Aprobar finalidad, plazo, base, excepciones y evidencia de cumplimiento |
| Responsable profesional | Valorar secreto, defensa, documentación del encargo y conflicto con derechos de terceros |
| Operaciones | Cerrar correctamente el hito que inicia el plazo y evitar expedientes indefinidamente activos |
| Privacidad | Coordinar derechos, bloqueos, proveedores y revisión de proporcionalidad |
| Seguridad | Preservar evidencia de incidentes y evitar que el borrado destruya una investigación legítima |
| Tecnología | Implementar caducidad, supresión, anonimización, restauración y registros sin ampliar la finalidad |
| Proveedor | Ejecutar instrucciones, informar de subencargados y confirmar devolución o supresión cuando corresponda |
25. Cierre de cuenta, anonimización e integridad del expediente
La Plataforma contempla acciones separadas para anonimizar, eliminar documentación de identidad, eliminar datos bancarios y cerrar una cuenta. No son equivalentes. La eliminación de identidad o banco exige comprobar que no existan casos activos que necesiten esos datos.
El cierre bloquea el acceso futuro, desactiva el perfil y permite limpiar información personal y documentos de identidad conforme a la decisión aplicable. Los expedientes y su historia pueden conservarse sin esos datos directos cuando sean necesarios para integridad, obligaciones o defensa.
La anonimización técnica auditada elimina campos de perfil, desvincula analítica de producto y suprime residuos no esenciales como preferencias, avisos y determinadas señales de feedback. Mantener la fila de un caso no autoriza a conservar todos sus campos originales.
26. Documentos de identidad y datos bancarios
- Son categorías de riesgo elevado y deben tener acceso especialmente restringido.
- La eliminación de identidad incluye, cuando procede, registros y objetos del almacenamiento privado asociados.
- La eliminación bancaria limpia IBAN, versión cifrada, últimos dígitos y estados de revisión cuando no existe un caso activo que lo impida.
- Una factura o justificante que deba conservarse no legitima mantener una copia completa de identidad si ya no es necesaria.
- El restablecimiento de una verificación después de anonimizar no recupera automáticamente los documentos eliminados.
- Los enlaces temporales y marcas de agua son controles de acceso, no calendarios de conservación.
27. Casos activos y solicitudes de supresión
Una solicitud puede quedar total o parcialmente bloqueada si existen expedientes activos, obligaciones pendientes o una necesidad real de defensa. La respuesta debe identificar las categorías afectadas y no utilizar la existencia de un caso para rechazar en bloque datos claramente prescindibles.
La arquitectura de solicitudes distingue resultados como ejecución completa, parcial, bloqueo por casos activos, bloqueo por conservación legal, derivación a proveedor o ausencia de actuación necesaria. Esa clasificación exige una explicación individual, no una respuesta automática genérica.
28. Solicitudes de derechos y calendario de respuesta
El registro de solicitudes establece como referencia un mes desde la recepción. El RGPD permite ampliar el plazo hasta dos meses adicionales cuando sea necesario por complejidad o número de solicitudes, informando dentro del primer mes de la prórroga y sus motivos.
La verificación de identidad debe ser proporcionada. El plazo no se utiliza para demorar sin causa una actuación sencilla. Si intervienen proveedores, el seguimiento queda registrado y no desplaza la responsabilidad de responder.
| Estado de solicitud | Qué significa |
|---|---|
| Recibida | Existe referencia y comienza la gestión |
| Identidad pendiente | Falta comprobación proporcionada antes de revelar o eliminar |
| En revisión | Se están localizando datos, bases, plazos y terceros |
| Acción requerida | Debe ejecutarse rectificación, anonimización, supresión u otra medida |
| Proveedor pendiente | Una parte requiere actuación o confirmación externa |
| Parcialmente ejecutada | Se atendió una parte y otra permanece limitada con explicación |
| Bloqueada | Existe causa concreta de caso activo o conservación legal |
| Completada o cerrada | La actuación y respuesta han quedado registradas |
29. Datos descargados, exportados o conservados en el dispositivo
Cuando una persona descarga un contrato, justificante o exportación, la copia queda fuera del control técnico directo de SINPLEITOS. La Plataforma puede invalidar enlaces futuros, pero no borrar archivos ya guardados en un dispositivo ajeno.
El usuario debe proteger sus descargas y evitar dispositivos compartidos. En equipos del personal, los archivos no deben mantenerse en carpetas personales más allá de la tarea autorizada. Siempre que el documento pueda regenerarse desde la fuente de verdad, la copia operativa se considera prescindible.
Las exportaciones selladas o PDF regenerables no sustituyen la conservación de los eventos y documentos fuente necesarios para demostrar integridad.
30. Índices, cachés, colas y sistemas derivados
- Una supresión debe contemplar búsquedas, índices, miniaturas, cachés y colas que puedan seguir mostrando el dato.
- Las cachés operativas usan su propia caducidad y no deben convertirse en archivo permanente.
- Los trabajos pendientes deben comprobar que una orden antigua no reintroduzca información ya eliminada.
- Los identificadores seudónimos siguen siendo datos personales mientras exista una clave o medio razonable de enlace.
- Las métricas agregadas pueden conservarse si la anonimización es efectiva y no permiten reconstruir a la persona.
- Una integración retirada debe incluir revocación de credenciales, exportación necesaria y supresión o devolución documentada.
31. Evidencia de ejecución y cadena de custodia
La prueba de una supresión no debe conservar una copia del dato eliminado. Puede bastar una referencia, categoría, fecha, actor, decisión, sistemas alcanzados y resultado. Los registros de seguridad y aceptaciones se consideran evidencia crítica y no se reescriben para aparentar que nunca existió la actuación.
Los archivos regenerables, como determinados PDF de resumen o exportaciones, no son copias de seguridad materiales. La fuente de verdad y sus metadatos deben permitir reconstruirlos sin alterar el contenido histórico.
32. Controles existentes y límites constatados
La auditoría de código identifica caducidades lógicas, eliminación de eventos de acceso vencidos, limpieza de artefactos efímeros de tickets, acciones administrativas de anonimización y borrado, metadatos de retención en tickets y un registro específico de solicitudes RGPD.
La existencia de una función de limpieza no demuestra por sí sola que se ejecute con la frecuencia prevista en todos los entornos. La evidencia operativa debe incluir ejecución programada, resultado, errores y revisión. Por eso esta política distingue capacidad implementada de cumplimiento periódico verificado.
Los plazos sin automatización completa requieren revisión manual y no deben presentarse como borrado automático. La mejora del sistema debe priorizar inventario, ejecución reproducible, alertas de vencimiento y verificación posterior.
33. Revisión anual y cambios materiales
- Comparar el calendario público con código, base de datos, proveedores y contratos.
- Verificar una muestra de borrados, bloqueos, restauraciones y derechos.
- Revisar plazos legales, interrupciones y nuevas verticales.
- Comprobar que las capas de privacidad enlazan la versión vigente.
- Identificar funciones de limpieza sin evidencia de ejecución.
- Actualizar la referencia y el historial ante un cambio material.
- Publicar limitaciones pendientes en lugar de declarar automatización inexistente.
Documentos relacionados
Fuentes normativas y criterios de referencia
Estas fuentes se facilitan para permitir la comprobación del marco utilizado. La versión consolidada y aplicable en cada momento prevalece sobre esta síntesis.
- RGPD, principios de limitación del plazo, minimización, responsabilidad y derechos
- Comité Europeo de Protección de Datos: conservación para pequeñas organizaciones
- AEPD: mínimo plazo y mínima accesibilidad por defecto
- Ley Orgánica 3/2018
- Código de Comercio, artículo 30: documentación y justificantes mercantiles
- Ley General Tributaria, artículos 66 y siguientes
- Ley 42/2015 y artículo 1964 del Código Civil sobre acciones personales