Política de Retención y Eliminación de Datos

Plazos de conservación por categoría de dato y procedimientos de eliminación. Complementa la Política de Privacidad.

Versión RETENTION-v1.0 · Vigente desde 2026-06-01

Documentos relacionados

Principios

- Minimización: conservar solo lo necesario.
- Plazos definidos por categoría.
- Eliminación segura o anonimización al vencer el plazo.
- Excepciones por obligación legal, litigio o solicitud ARCO pendiente.

Tabla de retención

Categoría	Ubicación	Plazo activo	Eliminación
Cuenta de usuario	Base de datos (User)	Mientras activa	30 días tras solicitud de baja; luego anonimización salvo obligación legal
Sesión / cookies	Navegador / servidor	Sesión o según Política de Cookies	Expiración automática
Pedido álbum	BD + R2	10 años datos de facturación; contenido digital según abajo	Anonimizar comprador tras plazo fiscal si se solicita supresión
Pedido impresión	BD + archivos lab	10 años metadatos; archivos impresión 15 días	Cron cleanup-expired-albums / tags FILES_DELETED
Preventa escolar	BD (PreCompraOrder)	Ciclo lectivo + 12 meses	Archivar o anonimizar
Fotos originales	R2 (Photo.originalKey)	45 días desde publicación del álbum	Cron cleanup-expired-albums: borrado R2 + BD
Previews / watermarks	R2	Mismo que foto	Mismo cron
ZIP descarga	R2 + ZipGenerationJob	Según expiresAt del job (orientativo: 7–30 días)	Cron cleanup-zip-jobs
Selfie interés álbum	R2 + AlbumInterest	90 días o fin de álbum (lo primero)	Cron biometric-cleanup
Plantilla facial (Rekognition)	AWS + AlbumInterest.faceId	Mismo que selfie	deleteFace() en cleanup / revocación
Selfie menor preventa	R2 (SubjectSelfie)	90 días o cierre preventa/canje	Procedimiento de expiración programada
Selfie álbum oculto	R2 + HiddenAlbumAttempt	Según selfieExpiresAt del álbum	Cron / expiración
Padrón escolar	Student, StudentEnrollment, AlbumStudentRosterEntry	Ciclo lectivo + 12 meses	Procedimiento manual o cron institucional
Import CSV auditoría	StudentRosterImportRow	24 meses	Anonimizar rawRowJson
Marketing opt-in	User.marketingOptIn*	Hasta baja + 2 años prueba de consentimiento	unsubscribedAt
Solicitudes ARCO	PrivacyRequest	5 años	Archivo
Consentimientos legales	Registro de aceptaciones	10 años	Archivo probatorio

Procedimientos de eliminación

Solicitud del titular (ARCO supresión):
1. Recepción vía /privacidad/solicitud
2. Verificación de identidad
3. Ejecución en plazo orientativo: 15 días hábiles (supresión simple) a 30 días (casos complejos)
4. Comunicación al titular
5. Registro en PrivacyRequest

Revocación biométrica: automática vía API revoke-face-consent o /delete-biometric — plazo máximo 72 h hábiles.

Eliminación por abandono de cuenta: tras 24 meses de inactividad, aviso por email → 30 días → anonimización si no hay pedidos pendientes ni obligación legal.

Copias de seguridad

Los backups pueden conservar datos eliminados hasta 90 días adicionales; luego se rotan sin restauración activa salvo desastre.

Responsables internos

Definir roles: DPO / responsable de privacidad, operaciones (crons), soporte (ARCO).

Revisión

Esta política se revisa al menos anualmente o ante cambios materiales del producto.

← Volver a Política de Privacidad