Saltar al contenido principal
Acceso anticipado — Solicita tu plan con 30% de descuento al lanzamiento
PrivacTech
← Blog

8 de mayo de 2026

¿Cuánto tiempo puedes conservar datos de clientes? — Ley 21.719

```html

¿Cuánto tiempo puedes conservar datos de clientes? — Ley 21.719

La Ley 21.719 es clara: no puedes guardar datos personales indefinidamente. El artículo 17 establece el principio de limitación del plazo, que obliga a las empresas a eliminar la información cuando ya no es necesaria para el propósito original. Pero aquí está el problema: ¿cuánto es "ya no es necesaria"? ¿Seis meses, un año, cinco años? Sin una política clara de retención, muchas PyMEs terminan acumulando datos de clientes, empleados y transacciones sin saber cuándo deben borrarlos. Esto no solo viola la ley, sino que expone tus datos a riesgos innecesarios.

Los plazos recomendados según el tipo de dato

La ley no fija plazos exactos porque dependen del contexto legal y empresarial. Pero existen estándares basados en obligaciones tributarias, laborales y comerciales:

  • Datos tributarios: 6 años (según el Código Tributario). Si tienes facturas, recibos o antecedentes de clientes para fines fiscales, debes guardarlos mínimo 6 años desde el término del ejercicio.
  • Datos laborales: 5 años después de término del contrato. Nóminas, evaluaciones, registros de asistencia y comunicaciones laborales deben conservarse ese plazo.
  • Datos contractuales: Según la prescripción de la acción legal. Para contratos civiles son generalmente 3 años; para comerciales, 4 años. Después de ese plazo, puedes eliminarlos.
  • Logs de acceso y auditoría: 90 días es un estándar razonable, aunque algunos sistemas requieren mayor retención según el sector (financiero, salud).
  • Datos de marketing: Solo mientras el cliente no se haya dado de baja. Si alguien te pide dejar de recibir correos, elimina sus datos en 30 días máximo.

Lo crucial es que estos plazos son mínimos legales, no máximos. Una vez cumplido el objetivo, tienes la obligación de borrar, no el derecho de guardar.

Cómo implementar una política de retención de datos

Una política funcional tiene estos componentes:

1. Mapea tus datos

Lista todos los tipos de datos que recopilas: clientes, empleados, proveedores, visitantes web, transacciones. Para cada uno, identifica:

  • Dónde se almacena (CRM, correo, servidores, carpetas compartidas)
  • Por qué lo necesitas (obligación legal, operación del negocio)
  • Cuál es el plazo máximo de retención

2. Define responsables y procedimientos

Asigna a alguien que revise regularmente la retención de datos. Establece un calendario: cada trimestre para datos de marketing, cada año para datos administrativos. Sin responsable, la política es letra muerta.

3. Automatiza cuando sea posible

Configura tu sistema para eliminar datos automáticamente después del plazo. Muchas herramientas CRM y plataformas permiten esto. Registra cada eliminación con fecha y motivo.

¿Eliminar o anonimizar? El dilema de los backups

Aquí viene el nudo: eliminar datos es más que presionar "borrar". Los backups automáticos persisten incluso después de que creas haber eliminado algo. La ley exige que los datos se eliminen de manera que resulte irrecuperable. Esto significa:

  • Eliminación física: Borrar del servidor principal y de todos los backups. Si guardas backup en la nube, asegúrate que también se elimine allá.
  • Anonimización como alternativa: Si necesitas conservar información estadística, anonimiza los datos (separa identifiers personales del resto). Datos verdaderamente anonimizados ya no son datos personales según la ley.
  • Cifrado de datos antiguos: Si no puedes eliminar aún (ej: mientras se resuelve una demanda), al menos cifra los datos para minimizar riesgos.

El problema de muchas empresas es que eliminan del sistema activo pero los datos quedan en backups viejos. Tienes que documentar dónde guardas backups y establecer un ciclo de eliminación también para ellos.

Documenta el ciclo de vida de cada dato

La ley exige que demuestres cumplimiento. Crea un registro que incluya:

  • Fecha de recopilación del dato
  • Propósito original
  • Plazo de retención aplicable
  • Fecha de eliminación o anonimización
  • Método usado (borrado de servidor, destrucción de backup, etc.)

Este documento es tu mejor defensa ante una auditoría o reclamo. Sin él, es difícil probar que cumpliste con la ley.

La realidad: muchos datos nunca se eliminan

Según estudios de compliance, el 60% de las empresas pequeñas no tiene una política de retención formal. Guardan datos "por si acaso", sin revisar nunca si todavía los necesitan. Esto aumenta el riesgo de brechas de seguridad y sanciones de la Superintendencia de Protección de Datos. Además, cada dato adicional que retienes es un punto de exposición más en caso de ciberataque.

Conclusión: es más fácil de lo que parece

Implementar una política de retención no requiere ser abogado. Necesitas claridad sobre qué datos tienes, cuánto tiempo deben estar, y un proceso para eliminarlos cuando llegue el momento. La Ley 21.719 lo exige; hacerlo bien reduce riesgos legales, de seguridad y de reputación.

Si gestionar manualmente los plazos de retención se siente abrumador, PrivacTech te ayuda a documentar el ciclo de vida de tus datos y crear políticas de retención automáticas según tu sector. Completa tu análisis de protección de datos gratis en privactech.com y empieza hoy mismo a cumplir la ley sin complicaciones.

```