Resumen
La mayoría de las empresas reguladas son buenas en los archivos de apertura. Mucho menos tienen un procedimiento documentado de cierre de archivos que satisface las obligaciones de retención del RGPD, MMA y sector específico. Aquí está la guía completa: qué guardar, qué borrar y cómo probar que lo hiciste correctamente.
- Lo que el flujo de trabajo de cumplimiento necesita probar.
- Que controles y compradores de pruebas deben comprobar.
- Cómo encaja HubSecure sin sustituir el asesoramiento jurídico.
Cierre de archivos de clientes: retención, eliminación y requisitos de auditoría de datos para empresas reguladas: cómo las empresas reguladas deben cerrar los archivos de clientes correctamente: qué retener, durante cuánto tiempo, qué eliminar y cómo crear un registro listo para auditoría. Cubre…
HubSecure es relevante cuando los equipos necesitan registros de clientes seguros, recopilación de documentos, propiedad del flujo de trabajo, acceso basado en roles y evidencia lista para auditoría en un espacio de trabajo gobernado.
Cuando concluye un asunto de un cliente, el trabajo de cumplimiento no termina. Cerrar un archivo correctamente requiere: determinar qué se debe conservar y por cuánto tiempo, identificar qué se debe eliminar y cuándo, archivar los materiales correctos en el formato correcto y documentar el cierre de una manera que satisfaga una solicitud de un regulador o de un interesado años después.
Esto no es una limpieza administrativa. La OACI y los DPA europeos han adoptado medidas contra las empresas que conservan datos personales más allá de su propósito, e igualmente contra las empresas que destruyeron los registros necesarios para una investigación reglamentaria en curso. Obtener el equilibrio adecuado requiere un procedimiento documentado.
Relacionados HubSecure
Colección de documentos & guía de Vault B01 Módulo Guía de software de recopilación de documentos de comparación de Dropbox Guía de la biblioteca
Seguridad relacionada, privacidad y recursos de gobernanza
Continuar con HubSecure centro de seguridad y confianza, acuerdo de procesamiento de datos, subprocesadores, flujos de trabajo de cumplimiento, operador de IA gobernado.
Caso de uso relacionado
Esta guía pertenece al grupo Guías de Colección de Documentos Seguros. Continúe con el centro de productos para la colección de documentos segura.
El principio de limitación de almacenamiento del RGPD
Article 5(1)(e) GDPR requires that personal data is "kept in a form which permits identification of data subjects for no longer than is necessary for the purposes for which the personal data are processed." Este es el principio de limitación de almacenamiento, y se aplica a los archivos de clientes en su totalidad.
No existe un único período de retención del RGPD: el período correcto depende de su base legal para el procesamiento y de las obligaciones de retención específicas del sector que anulen el incumplimiento. La clave es documentar su período de retención para cada categoría de datos y ser capaz de justificarlo si se impugna.
La tensión que debe manejar
GDPR dice: eliminar tan pronto como ya no sea necesario. La ley AML dice: conserve los registros KYC durante 5 años después del final de la relación comercial. La ley tributaria puede decir 7 años. Los períodos de prescripción pueden requerir que los expedientes sobrevivan de 6 a 12 años para reclamos por negligencia profesional. La respuesta no es elegir uno: es retener sólo lo que cada base legal requiere, sólo durante el tiempo que cada base lo permita, con registros separados para cada categoría.
Programa de retención por categoría de datos
| Categoría de datos | Retención mínima | Base jurídica | Desencadenar |
|---|---|---|---|
| Registros AML/KYC (documentos de identificación, datos UBO) | 5 años |
AMLD Artículo 40 - Ley nacional de LMA | Desde el final de la relación comercial |
| Registros de seguimiento de las transacciones AML | 5 años |
Artículo 40 | Desde la fecha de la transacción |
| Legal matter files (solicitor) | 6 años (England/Wales) | Ley de limitación de 1980 + orientación SRA | De la conclusión de la materia |
| Conveyancing / ficheros de propiedad | 12 años |
Ley de limitación (de hecho = 12 años) | Desde la terminación de la transacción |
| Registros de asesoramiento financiero (MiFID II) | 5 años (7 años si están relacionados con las pensiones) | MiFID II Artículo 16(7) | Desde la fecha de servicio |
| Registros de las políticas de seguros | 3 a 7 años dependiendo de la jurisdicción | Ley de seguro nacional | A partir de la expiración de la política |
| Registros de pacientes de salud (UE) | 10 años (adulto); más tiempo para los menores | Derecho nacional de salud / RGPD Art.9 | De último tratamiento |
| Contabilidad / registros financieros | 7 años |
Derecho fiscal nacional | Del ejercicio financiero final |
| Contratos con clientes | 6 años |
Ley de prescripción / derecho contractual | De la expiración del contrato |
| Correo electrónico (regulado) | Seguir la retención de la materia primaria | Vinculado a la categoría de materia anterior | De la materia cerca |
| Registros de consentimiento en materia de comercialización | Duración del consentimiento + 3 años de prueba | GDPR Art.7(1) / ePrivacy | De la retirada del consentimiento o la expiración |
| Informes de denuncia | 5 años |
Directiva de denuncia (2019/1937) | Desde la fecha de cierre del informe |
El procedimiento de cierre de archivos de 8 pasos
Se concluye la cuestión de confirmación
El evento de clausura —concluida la transacción, asesoría final, caso concluido, relación terminada— debe ser registrado con una fecha. Esta fecha es el gatillo para todos los cálculos de retención posteriores. Sin una fecha cerrada registrada, no puede ejecutar un horario de retención correcto.
Categorizar todos los contenidos de archivo por período de retención
Separa el archivo en categorías según tu horario de retención. Un solo archivo cliente puede contener registros AML (5yr), correspondencia legal (6yr), contratos firmados (6yr), y registros de consentimiento de marketing (3yr). Cada categoría tiene su propia fecha de eliminación — no todos siguen el período más largo.
Devuelva los originales al cliente
Los documentos originales del cliente — escrituras, certificados, acuerdos firmados originales— deben ser devueltos (o ofrecidos para su devolución) al cierre de archivos. Confirme la recepción. Sus copias pueden ser retenidas para el período aplicable.
Archivo de materiales retenidos de forma segura
Mover materiales retenidos a un archivo seguro con acceso restringido al personal autorizado solamente. Para los archivos digitales, asegúrese de que el archivo está encriptado, conectado con el acceso y no puede ser modificado (para la integridad). Para archivos físicos, almacenamiento bloqueado y resistente al fuego con un registro de acceso.
Establecer recordatorios automáticos de eliminación
Inicie la fecha de eliminación de cada categoría de archivo en su sistema. La eliminación debe ser programada — no sucederá de otra manera. La mayoría de las empresas encuentran que los recordatorios automatizados (90 días antes de que la eliminación sea debida) permiten tiempo para un control de retención legal final antes de la destrucción.
Comprobación legal antes de la supresión
Antes de cualquier supresión programada, compruebe si se aplica una retención legal - litigio pendiente, investigación reglamentaria, solicitud de acceso sujeto que cubre el archivo, o una reclamación pendiente de seguro. Si se aplica una suspensión, deleción de pausa y documente por qué. Una retención legal no extiende el período de retención indefinidamente; lo detiene hasta que se levante la bodega.
Eliminar y documentar de forma segura
La eliminación de los registros digitales debe ser una verdadera borrada —sobreescritura, borrado criptográfico o eliminación verificada— que no se mueva a la basura. Para registros físicos, trituración cruzada o destrucción certificada. En ambos casos, crear un certificado de destrucción: lo que fue destruido, cuando, por quién, y por qué método.
Cerrar el registro de la materia - no la ruta de la auditoría
El registro de la materia en su CRM debe estar cerrado, con el calendario de retención y certificados de eliminación adjuntos. La trayectoria de auditoría de la materia existente — fechas, partes, servicios proporcionados— se puede conservar en forma mínima (sin datos personales más allá de lo que se requiere) mientras sea necesario para la continuidad de las operaciones, la gestión del período de limitación y los propósitos de indemnización profesionales. Esto es distinto de retener el archivo sustantivo.
Derechos del interesado y ficheros cerrados del RGPD
Cerrar un archivo no extingue los derechos de un sujeto de datos. Un cliente puede presentar una Solicitud de Acceso a Asunto (SAR) por un asunto que concluyó hace 3 años. Usted debe ser capaz de localizar los registros retenidos, redactar datos personales de terceros, y responder dentro de 30 días.
También pueden solicitar el borrado. Borrar las solicitudes de un cliente cuyo archivo está en el período de retención se puede rechazar generalmente si usted tiene una obligación legal de retener los datos (Artículo 17(3)(b))), pero debe decirles esto, y decirles cuando se produzca la eliminación.
Mantenga un índice de materia incluso después de que el contenido de archivo se elimina. El índice debe registrar: referencia de materia, nombre del cliente, tipo de materia, fecha cercana y fecha final de retención. Esto le permite responder a SARs y confirmar la eliminación sin volver a abrir el archivo en sí.
Programación de retención y eliminación automatizada
HubSecure El módulo Vault aplica automáticamente su programa de retención: cada categoría de documento obtiene su propia fecha de eliminación, pausas de retención legal se ejecutan automáticamente y se generan y almacenan certificados de destrucción. Sin hojas de cálculo, sin falta de plazos de eliminación.