Automatizar la destrucción segura de datos

El RGPD establece el principio de limitación del plazo de conservación (artículo 5.1.e): no puedes guardar datos personales más tiempo del necesario. Pero la mayoría de PYMEs acumulan datos de clientes inactivos, CVs de hace 5 años, emails de leads que nunca compraron y bases de datos de campañas pasadas. Automatizar la destrucción segura de datos te protege de multas y reduce tu superficie de riesgo.

Según la AEPD (2024), la conservación excesiva de datos es la segunda infracción más frecuente del RGPD después de la falta de consentimiento. Según IBM (2024), las empresas que eliminan datos innecesarios reducen el impacto de una brecha de datos un 30% (menos datos expuestos).

¿Cuántos datos de personas que ya no son tus clientes sigues almacenando?

Plazos de conservación por tipo de dato

Tipo de dato	Plazo legal	Base legal	Acción al vencer
Facturas y contabilidad	6 años	Código de Comercio	Destruir o anonimizar
Contratos	5 años tras extinción	CC art. 1964	Destruir
CVs de candidatos	2 años máximo	RGPD	Destruir
Datos de clientes activos	Mientras dure la relación	Ejecución contrato	Destruir al finalizar
Email marketing (inactivos)	2 años sin actividad	LSSI	Eliminar de lista
CCTV (videovigilancia)	30 días máximo	LOPDGDD	Borrar automático
Datos de leads no convertidos	1-2 años	Interés legítimo	Destruir

Automatizar la destrucción

Proceso	Herramienta	Automatización
Eliminar contactos inactivos del CRM	HubSpot + Make	Si inactivo 2 años → eliminar + log
Borrar CVs antiguos	Google Drive + Apps Script	Si fecha > 2 años → papelera + notificación
Limpiar listas de email	Brevo	Eliminar bounces + inactivos 6 meses
CCTV	NVR configuración	Sobrescritura automática 30 días
Backup: eliminar copias antiguas	Backblaze / Time Machine	Retención configurable
Documentos físicos	Servicio de destrucción certificada	Trimestral

Según McKinsey (2024), las empresas que automatizan la destrucción de datos reducen su riesgo de brecha un 25% y sus costes de almacenamiento un 15%.

Flujo automatizado con Make

1. Cada lunes a las 8:00 → Make consulta el CRM
2. Filtra contactos sin actividad en 24 meses
3. Exporta datos para log de destrucción (evidencia RGPD)
4. Elimina los contactos del CRM
5. Elimina de listas de email marketing
6. Envía informe al responsable

Según Zapier (2024), las automatizaciones de limpieza de datos se ejecutan en menos de 5 minutos y eliminan la necesidad de revisión manual trimestral.

Destrucción segura: no basta con borrar

Según INCIBE (2024), “borrar” un archivo no lo destruye realmente. Para destrucción segura:

• Digital: sobrescritura múltiple (herramientas como Eraser, DBAN) o cifrado previo + eliminar clave
• Físico: destructora de documentos (nivel P-4 para datos personales)
• Discos duros: borrado seguro certificado o destrucción física
• Cloud: verificar que el proveedor elimina datos definitivamente tras cancelación

Consulta nuestra guía de plan de seguridad de la información para integrar la destrucción en tu SGSI.

Proveedores de destrucción certificada

Según INCIBE (2024), los proveedores de destrucción certificada emiten un certificado con:

• Fecha de la destrucción
• Método utilizado (trituración, desmagnetización, sobrescritura)
• Normativa cumplida (DIN 66399, EN 15713)
• Identificación del material destruido

Estudios del sector indican que una parte significativa de las brechas de datos provienen de documentos físicos mal gestionados. La destrucción certificada cuesta entre 50 y 150 EUR por recogida para una PYME media.

Calendario de destrucción tipo

Frecuencia	Datos a revisar	Acción
Mensual	Papelera CRM, emails spam	Vaciar definitivamente
Trimestral	CVs antiguos, leads inactivos	Destruir si superan plazo
Anual	Documentos contables (>6 años)	Destruir o archivar
Al finalizar relación	Datos del cliente sin obligación legal	Destruir o anonimizar

Según la AEPD (2024), documentar este calendario demuestra responsabilidad proactiva (accountability) y se valora positivamente en inspecciones.

Datos vs. documentos: diferencias clave

Según la AEPD (2024):

• Datos digitales: requieren sobrescritura segura o cifrado + borrado de clave
• Documentos físicos: requieren trituración (nivel P-4 mínimo para datos personales)
• Dispositivos: discos duros, USBs, teléfonos requieren borrado certificado o destrucción física
• Cloud: verificar ToS del proveedor, solicitar certificado de borrado

Estudios del sector indican que una parte significativa de los discos duros usados vendidos en eBay contienen datos recuperables del propietario anterior.

Impacto legal de la destrucción inadecuada

Según la AEPD (2024), casos reales de sanciones:

• Empresa que tiró documentos con datos personales al contenedor: 5.000 EUR
• Clínica que vendió un ordenador sin borrar historial de pacientes: 60.000 EUR
• Empresa que no borró datos de ex-empleados de herramientas cloud: 20.000 EUR

Preguntas frecuentes

¿Necesito documentar la destrucción? Sí. El RGPD exige responsabilidad proactiva (accountability). Mantén un log: qué se destruyó, cuándo, cómo y quién lo autorizó. Consulta nuestra guía de registro de tratamiento.

¿Puedo anonimizar en vez de destruir? Sí. La anonimización irreversible es una alternativa válida al borrado. Los datos anonimizados dejan de ser datos personales y no están sujetos al RGPD.

¿Qué pasa si un cliente pide borrado y tengo obligación legal de conservar? La obligación legal prevalece. Puedes retener datos de facturación 6 años aunque el cliente pida borrado. Pero debes eliminar todo lo que no sea legalmente necesario.

¿Los servicios de destrucción certificada son caros? Desde 50-100 EUR por recogida (contenedor de documentos). Para PYMEs, 1-2 recogidas al año es suficiente.

---

¿Acumulas datos que ya no necesitas y te expones a multas del RGPD? Agenda una consulta gratuita y te automatizamos la destrucción segura de datos para cumplir sin esfuerzo.