Ir al contenido
SGSI.online

ISO 27701:2025 Control A.1.4.8: Retención

El control A.1.4.8 exige que las organizaciones no conserven la información de identificación personal (IIP) durante más tiempo del necesario para los fines para los que se procesa. La gestión de la retención de datos es una de las áreas de cumplimiento de la privacidad que se auditan con mayor frecuencia.

Autor
Max Edwards
Actualizado en marzo 27, 2026
Estrellas 4 / 5

¿Qué requiere el control A.1.4.8?

La organización no conservará la información de identificación personal durante más tiempo del necesario para los fines para los que se procesa dicha información.

Este control se encuentra dentro del minimización de PII objetivo (A.1.4) y aborda la dimensión temporal de la minimización de datos. Mientras A.1.4.2 Limitar la recopilación limita lo que recopilas y A.1.4.3 Limitar el procesamiento A.1.4.8 limita lo que puedes hacer con él, y A.1.4.8 limita cuánto tiempo lo conservas. En conjunto, estos controles conforman un marco de minimización completo.

¿Qué dicen las directrices de implementación?

El Anexo B (sección B.1.4.8) proporciona la siguiente orientación:

  • Definir períodos de retención — Para cada categoría de información personal identificable (PII), defina períodos de retención en función de la finalidad del tratamiento y de los requisitos legales aplicables (como la retención de registros fiscales, la legislación laboral o las normativas específicas del sector).
  • Implementar calendarios de retención — Crear y mantener calendarios de retención formales que especifiquen el período de retención, el evento desencadenante (por ejemplo, fin del contrato, fin del servicio) y la acción que se debe tomar al vencimiento (eliminación o anonimización).
  • Revise periódicamente la información personal identificable almacenada. — Revise periódicamente la información personal identificable almacenada comparándola con los calendarios de retención para identificar los datos que deberían haberse eliminado o que se están acercando a su límite de retención.
  • Comunicar los períodos de retención — Informar a los responsables de la información de identificación personal (PII) sobre los períodos de retención de sus datos, normalmente a través de avisos de privacidad, que respalden los requisitos de transparencia de A.1.3.3 Información para los responsables de PII

La gestión de la retención de datos no es una tarea que se realiza una sola vez. Requiere una gobernanza continua para garantizar que se cumplan los plazos, se justifiquen las excepciones y se incluyan nuevas categorías de información personal identificable (PII) a medida que evolucionan las actividades de procesamiento.

¿Cómo se relaciona esto con el RGPD?

El control A.1.4.8 se corresponde con lo siguiente: GDPR disposiciones de transparencia:

  • Artículo 13 (2) (a) — Requiere que el responsable del tratamiento informe a los interesados ​​sobre el período durante el cual se almacenarán los datos personales, o los criterios utilizados para determinar dicho período, en el momento de la recopilación.
  • Artículo 14 (2) (a) — El mismo requisito para los datos obtenidos indirectamente (no del interesado).

La función GDPR El principio de limitación del almacenamiento del artículo 5(1)(e) es el principal fundamento de este control, y las disposiciones de transparencia respaldan el requisito de comunicar los períodos de retención a las personas.

¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?

Este control apoya directamente el ISO 29100, principio de Limitación del uso, la retención y la divulgación, que exige que la información de identificación personal (IIP) se conserve solo durante el tiempo necesario para cumplir con los fines establecidos. El principio también exige que los períodos de retención se definan en función del propósito aplicable y se comuniquen a los titulares de la IIP.



ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Gestione todo su cumplimiento, todo en un solo lugar

ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.

Reserva tu demostración


¿Qué tipo de evidencia esperan los auditores?

Al evaluar el cumplimiento de A.1.4.8, los auditores generalmente buscarán lo siguiente:

  • Calendario de retención — Un documento formal que enumere cada categoría de información de identificación personal (PII), su período de retención definido, el evento desencadenante, la base legal para el período (si corresponde) y la acción de eliminación.
  • Revisar registros — Evidencia de revisiones periódicas de la información personal identificable almacenada según el calendario de retención, con resultados documentados y cualquier acción correctiva.
  • Evidencia de eliminación — Registros que muestran que la información de identificación personal (PII) se eliminó cuando expiró su período de retención, vinculados a A.1.4.9 Eliminación procedimientos
  • Registro de excepciones — Documentación de cualquier información de identificación personal (IIP) retenida más allá de su período previsto, con su justificación (por ejemplo, retención legal, disputa en curso, investigación regulatoria).
  • Contenido del aviso de privacidad — Evidencia de que los períodos o criterios de retención se comunican a los titulares de información personal identificable a través de avisos de privacidad.
  • Configuraciones del sistema — Configuraciones técnicas que imponen o admiten períodos de retención (autoarchivo, autoeliminación, indicadores de caducidad)

¿Cuáles son los controles relacionados?

Control Relación
A.1.4.6 Desidentificación y eliminación Define qué sucede con la información de identificación personal (PII) cuando expira el período de retención.
A.1.4.9 Eliminación Proporciona los métodos de eliminación segura que se utilizan al final del período de retención.
A.1.4.7 Archivos temporales Los archivos temporales tienen sus propios requisitos de retención a corto plazo.
A.1.4.5 Objetivos de minimización de la información personal identificable Los cronogramas de retención implementan la dimensión temporal de los objetivos de minimización.
A.1.2.2 Identificar y documentar el propósito Los períodos de retención se derivan de los fines de procesamiento documentados.
A.1.3.3 Determinación de la información para los principales responsables de PII Los períodos de retención deben comunicarse a las personas.

¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?

En la edición de 2019, la retención se abordó bajo la Cláusula 7.4.7 (retención). El control de 2025 tiene el mismo requisito central. La reestructurada anexo AEl formato /B separa más claramente la declaración de control de la guía de implementación. La guía ahora hace mayor hincapié en comunicar los períodos de retención a los responsables de la información personal identificable (PII), reforzando el vínculo entre la gestión de la retención y las obligaciones de transparencia. Véase el Tabla de correspondencias del Anexo F para el mapeo completo.



Encuentre su confianza en cumplimiento con ISMS.online

Comience fácilmente con una demostración personal del producto

Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.

Reserva tu demostración


¿Por qué elegir SGSI.online ¿Para gestionar la retención de información de identificación personal?

SGSI.online Hace que la gestión de la retención sea práctica, coherente y esté preparada para auditorías:

  • Creador de cronogramas de retención — Cree calendarios de retención formales con categorías, períodos, eventos desencadenantes, bases legales y acciones de eliminación, todo en un formato estructurado y con capacidad de búsqueda.
  • Alertas automáticas de caducidad — Reciba notificaciones cuando la información de identificación personal se acerque o alcance su límite de retención, lo que reduce el riesgo de retención excesiva.
  • Gestión del ciclo de revisión — Programar revisiones periódicas de retención con asignación de tareas, seguimiento de la finalización y resultados documentados.
  • Gestión de excepciones — Documentar y realizar un seguimiento de las excepciones de retención (retenciones legales, requisitos reglamentarios) con flujos de trabajo de aprobación y extensiones con límite de tiempo.
  • Integración del aviso de privacidad — Vincula los períodos de retención a tus avisos de privacidad para que los cambios en los calendarios de retención se reflejen en las comunicaciones dirigidas a los titulares de datos personales.
  • Cadena de eliminación — Vincular los cronogramas de retención con los procedimientos de eliminación según A.1.4.9 Eliminación, creando un recorrido del ciclo de vida de principio a fin

Preguntas Frecuentes

¿Cómo se determina el período de retención adecuado para cada categoría de información de identificación personal (PII)?

Comience por la finalidad del tratamiento: ¿cuánto tiempo se necesita realmente la información personal para cumplir con dicha finalidad? A continuación, verifique si existen requisitos legales o reglamentarios de conservación que puedan establecer un periodo mínimo (por ejemplo, registros fiscales, laborales o financieros). El periodo de conservación debe ser el mayor entre el periodo previsto para la finalidad y el mínimo legal, pero no superior. En ausencia de requisitos legales, solo se aplicará el periodo previsto para la finalidad. Documente la justificación de cada periodo de conservación.

¿Qué desencadena el inicio de un período de retención?

El desencadenante depende del contexto de procesamiento. Algunos desencadenantes comunes son: el fin de la relación con el cliente, la finalización de una transacción, la expiración de un contrato, la rescisión del contrato laboral, la última interacción con el individuo o la fecha en que se recopiló la información personal. El desencadenante debe estar claramente definido en el calendario de retención para que la fecha de expiración pueda calcularse sin ambigüedad.

¿Pueden variar los períodos de retención para la misma información de identificación personal utilizada para diferentes fines?

Sí. Un mismo campo de información personal identificable (PII) puede tener diferentes periodos de retención según su finalidad. Por ejemplo, la dirección de correo electrónico de un cliente podría conservarse durante 12 meses tras la finalización de la relación comercial para el seguimiento del servicio, pero durante 6 años para fines de registro financiero. El periodo más largo aplicable determina cuándo se puede eliminar la PII, pero el procesamiento para cada finalidad debe cesar cuando expire su periodo de retención.

Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para las evidencias específicas que los auditores esperan en cuanto a la calidad de los datos y los controles de minimización.

Registre este control en su Declaración de aplicabilidad con su justificación de su aplicabilidad.

Max Edwards

Max trabaja como parte del equipo de marketing en línea de ISMS.online y se asegura de que nuestro sitio web esté actualizado con contenido útil e información sobre todo lo relacionado con ISO 27001, 27002 y su cumplimiento.

Hacer un recorrido virtual

Comience ahora su demostración interactiva gratuita de 2 minutos y vea
¡ISMS.online en acción!

Pruébalo ahora
Panel de control de la plataforma completo en Mint

Somos líderes en nuestro campo

Estrellas 4 / 5
Los usuarios nos aman
Líder - Primavera 2026
Empresa de alto rendimiento - Primavera de 2026 (Pequeñas empresas del Reino Unido)
Líder regional - Primavera de 2026 UE
Líder regional - Primavera de 2026 EMEA
Líder regional - Primavera de 2026 Reino Unido
Alto rendimiento - Primavera de 2026 Mercado medio EMEA

"ISMS.Online, la herramienta líder para el cumplimiento normativo"

—Jim M.

"Hace que las auditorías externas sean muy sencillas y conecta todos los aspectos de su SGSI sin problemas"

— Karen C.

"Solución innovadora para la gestión de acreditaciones ISO y otras"

— Ben H.