Retention schedule: definición
Un retention schedule, conocido en español como calendario de retención de datos o programa de retención, es un registro formal de los plazos de conservación y de las normas de eliminación o archivo aplicables a categorías definidas de información. En la gestión de datos personales y de material de vídeo o fotográfico, actúa como prueba de cumplimiento del principio de limitación del plazo de conservación establecido en el artículo 5, apartado 1, letra e) del RGPD, así como del principio de minimización de datos. Esta definición está consolidada en los estándares de gestión documental y de la información, entre ellos la norma ISO 15489-1:2016 y su extensión para la privacidad ISO/IEC 27701:2019, que respaldan la documentación de los criterios de retención, los responsables designados y los mecanismos de aplicación de dichas normas.
En el contexto de la anonimización de fotografías y grabaciones de vídeo, el retention schedule describe el ciclo de vida de los archivos originales, las versiones anonimizadas (por ejemplo, tras el difuminado de rostros y matrículas), los metadatos técnicos, los archivos intermedios y los registros de procesamiento. Define cuándo el material bruto debe eliminarse de forma permanente, cuándo puede conservarse una versión anonimizada y cómo demostrar la irreversibilidad de las operaciones. Las Directrices 3/2019 del EDPB sobre dispositivos de vídeo vinculan la retención del material a la finalidad y al principio de limitación del plazo de conservación, sin establecer plazos universales: el período debe derivarse de un análisis específico y de la base jurídica aplicable.
El papel del retention schedule en la anonimización de imágenes y vídeo
En la práctica, los delegados de protección de datos (DPD) y los equipos de seguridad implementan el retention schedule como un elemento del flujo de procesamiento. Este abarca la captura del material, la transferencia a un entorno on‑premise, la detección y el difuminado de rostros o matrículas mediante modelos de aprendizaje profundo, la validación de calidad, la exportación y la eliminación. Si se desarrollan modelos de IA específicos para la detección de rostros y matrículas, el calendario de retención debe incluir también los conjuntos de datos de entrenamiento y validación, así como la política de obtención, almacenamiento y destrucción segura tras el proceso de aprendizaje.
Desde el punto de vista de las herramientas de anonimización, como los entornos on‑premise, el retention schedule diferencia entre el material original y el resultado con el desenfoque aplicado. En muchos casos, la versión anonimizada puede conservarse durante más tiempo, siempre que el proceso cumpla los criterios de anonimización establecidos en la Opinión del Grupo de Trabajo del Artículo 29 (WP216) y en la evaluación del riesgo de reidentificación.
Tecnologías e implementación de la retención
La implantación de la retención en el procesamiento de imágenes requiere mecanismos técnicos coherentes. Además de la política y del registro de actividades de tratamiento, son esenciales los sistemas automáticos de ejecución de la retención y la destrucción segura de los datos una vez vencido el plazo. A continuación se muestran los componentes más habituales en entornos on‑premise.
- Capa de almacenamiento: particiones WORM, políticas de ciclo de vida en almacenes de objetos compatibles con S3 API, prioridades de clases de almacenamiento para material original y anonimizado.
- Bases de datos y metadatos: columnas TTL, tareas cron de reconciliación, hashes irreversibles como prueba de integridad.
- Eliminación y sanitización: borrado criptográfico, sobrescritura conforme a NIST SP 800‑88 Rev. 1, registros de auditoría con identificador de caso.
- Orquestación: flujos de trabajo que vinculan la finalidad del tratamiento con la fecha de eliminación, estados de excepción y bloqueos legales.
En entornos que utilizan herramientas de difuminado de rostros y matrículas, debe tenerse en cuenta que la detección automática se limita a estas dos clases de objetos. Otros elementos de la imagen pueden requerir marcado manual y, por tanto, un ciclo de retención independiente para los archivos de trabajo y las máscaras de edición. La ausencia de procesamiento en tiempo real simplifica la aplicación de la retención, ya que las operaciones se realizan por lotes y quedan completamente registradas en el entorno del responsable.
Parámetros y métricas clave del retention schedule
Para que un retention schedule sea medible y auditable, conviene definir parámetros que puedan supervisarse técnicamente. La siguiente tabla organiza los atributos habituales y los métodos de verificación.
Atributo | Descripción | Verificación
|
|---|---|---|
Categoría de datos | Vídeo bruto, fotogramas intermedios, resultado anonimizado, metadatos, logs | Registro de actividades, estructura de directorios |
Base jurídica | Justificación de la finalidad y del plazo de conservación | DPIA, cláusulas informativas |
Plazo de retención | Duración definida para cada categoría y finalidad | Política de retención vinculada al ROPA |
Purge latency | Tiempo desde el vencimiento hasta la eliminación definitiva | Métricas de las tareas de borrado |
Sanitización de soportes | Método de destrucción de datos tras la retención | Procedimientos conformes a NIST SP 800‑88 |
Excepciones | Litigation hold, notificaciones de incidentes | Registro de excepciones con base legal |
Prueba de eliminación | Informes y hashes de verificación de archivos | Registros de auditoría, sellos de tiempo |
La estimación de la capacidad de almacenamiento puede basarse en un modelo sencillo. Las variables incluyen, entre otras, el volumen de entrada de datos y el período de retención.
capacidad_estimada = (flujo_MB_por_día × período_retención_en_días × factor_replicación) ÷ factor_compresión
Estos parámetros ayudan a diseñar políticas de clases de almacenamiento y umbrales de archivado o eliminación automática, sin imponer plazos arbitrarios.
Retos y limitaciones legales
En la Unión Europea no existe un plazo único y rígido de retención para las grabaciones. El RGPD exige que el período sea el más corto posible en relación con la finalidad del tratamiento. El EDPB, en sus Directrices 3/2019 sobre dispositivos de vídeo, subraya que la retención debe estar justificada y ser proporcional al riesgo. No obstante, la normativa sectorial puede establecer límites específicos. En Polonia, el Código Laboral dispone que las grabaciones de videovigilancia del empleador no deben conservarse más de tres meses, salvo que constituyan prueba en un procedimiento, en cuyo caso el plazo se amplía hasta la finalización firme del asunto (art. 22[2] §3).
El estatus de las matrículas como datos personales se interpreta de forma diversa a nivel nacional. Las autoridades de control y la jurisprudencia tienden a considerarlas datos personales cuando existe una posibilidad real de vincularlas a una persona. El retention schedule debe tener en cuenta esta divergencia, adoptando un enfoque prudente y documentado en la DPIA, especialmente en el caso de grabaciones en espacios públicos.
Ejemplos de aplicación en la práctica del DPD
Antes de implementar reglas concretas, conviene analizar los flujos de datos y los riesgos. Los siguientes escenarios ilustran decisiones habituales de retención en proyectos de anonimización de imágenes.
- Videovigilancia en el entorno laboral: el material bruto se utiliza para garantizar la seguridad. El retention schedule lo vincula al límite sectorial del Código Laboral. Las versiones anonimizadas, preparadas para su cesión a contratistas o para fines formativos, pueden conservarse durante más tiempo, siempre que el proceso de difuminado elimine la posibilidad de identificación y no existan medios razonables de reidentificación.
- Proyectos probatorios: si un fragmento de la grabación constituye prueba en un procedimiento, el calendario de retención activa una excepción con bloqueo de eliminación hasta la finalización del caso. Para la cesión a terceros se utiliza una versión anonimizada y en los contratos de encargo se define el plazo de eliminación por parte del destinatario.
- Entrenamiento de modelos de detección de rostros y matrículas: los conjuntos de entrenamiento que contienen imágenes requieren plazos de retención claros y documentación de la base jurídica. Tras el entrenamiento, los datos se eliminan conforme a NIST SP 800‑88 y solo permanecen los pesos del modelo, que por lo general no constituyen datos personales.
- Operaciones on‑premise: el retention schedule diferencia entre el material de entrada, los archivos intermedios del editor manual y el resultado final. La herramienta no mantiene registros de detecciones que contengan datos personales, lo que limita el alcance de las categorías sujetas a retención a nivel de la aplicación. El control total de la eliminación permanece en manos del responsable.
Referencias normativas y fuentes
- RGPD - art. 5, apartado 1, letra e), principio de limitación del plazo de conservación. Texto del reglamento: EUR‑Lex, 2016, https://eur-lex.europa.eu/eli/reg/2016/679/oj.
- EDPB, Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo, versión adoptada el 29.01.2020, enlace.
- ISO 15489‑1:2016, Information and documentation - Records management - Part 1: Concepts and principles. International Organization for Standardization, 2016, https://www.iso.org/standard/62542.html.
- ISO/IEC 27701:2019, Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. ISO/IEC, 2019, https://www.iso.org/standard/71670.html.
- NIST SP 800‑88 Rev. 1, Guidelines for Media Sanitization, December 2014, https://csrc.nist.gov/publications/detail/sp/800-88/rev-1/final.
- Código Laboral de Polonia, art. 22[2] §3 - retención de grabaciones de videovigilancia del empleador. Texto consolidado: Dz.U. 2023 poz. 1465, ISAP.
- Grupo de Trabajo del Artículo 29, Opinión 05/2014 sobre técnicas de anonimización (WP216), 10.04.2014, enlace.