Eliminación y anonimización de datos
1) Objetivo y área
Garantizar la eliminación/anonimización legal, segura y demostrable de los datos de los jugadores, transacciones y registros operativos en todos los sistemas (producto/cartera, KYC/AML, RG, marketing/CRM, analítica/DWH, registros/ARMH), incluidos los vendedores/proveedores y backups, teniendo en cuenta la localización por jurisdicciones.
2) Principios
1. La política antes de la práctica. La retención, los objetivos y los lugares de almacenamiento se definen antes de la recogida.
2. Minimización y separación. Almacenamiento individual para PII, tokenización en eventos.
3. Eliminación = evento con prueba. Cualquier eliminación está confirmada por el artefacto.
4. Fail-Closed. Estado/región desconocida → prohibición de operaciones con PII.
5. Backups-aware. Los backups están sujetos a las mismas reglas que los datos de combate.
6. «Anonimización en lugar de almacenamiento indefinido». Si la ley no requiere PII - traducimos en agregados.
3) Roles y RACI
DPO/Compliance (Owner): política de retoque/eliminación, excepciones, auditoría. (A)
Security/Infra - cifrado, claves, encriptación, backups/DR. (R)
Data Platform/Analytics - de-PII pipelines, agregados, DWH/DL. (R)
Product/Engineering/SRE - API de eliminación, cascadas, pruebas, observabilidad. (R)
Legal - Plazos y restricciones locales (AML/licencias). (C)
Privacy Ops/DSAR Team - desinstalaciones/parches personalizados. (R)
Vendor Manager - las obligaciones de los vendedores, la confirmación de la ejecución. (R)
Auditoría interna - muestras, CAPA. (C)
4) Taxonomía de los datos y estándar de la retención
5) Métodos técnicos
5. 1 Eliminación
En cascada lógico/físico: soft-delete → job para la eliminación física.
Crypto-borrado (crypto-shredding): destruir la clave de cifrado de segmento/tenant; se aplica a los backups/archivos.
Revocación de tokens: revocación de tokens de pago/seguimiento de proveedores.
Nullify/Mask: para campos que requieren la conservación formal de un registro (por ejemplo, contabilidad).
5. 2 Pseudonimización
Reemplaza los identificadores primarios por tokens; la tabla de coincidencias se almacena por separado con un KMS separado.
5. 3 Anonimización
Agregación/cohortado, k- anonimnost/ℓ -diversidad, binning, recorte de valores raros, privacidad diferencial en los informes.
5. 4 Enmascaramiento de registros
El agente edita la PII en la colección (e. g., correo electrónico → hash/partial), prohibición de los identificadores «crudos» en APM.
6) Ciclo de vida de eliminación
1. Desencadenante: plazo de retención, DSAR-erase, cierre de cuenta, retirada del consentimiento, finalización del contrato/fin.
2. Evaluación: ¿hay bloques legales? (AML/legal-hold/licencia).
3. Orquestación: se forma un paquete erasure por sistemas/vendedores.
4. Ejecución: cascadas, tokens revoke, crypto-wipe para archivos.
5. Validación: conciliación de registros, control de residuos (datos orphaned).
6. Artefacto: informe con hashes de lotes/claves, tiempo y volumen.
7. Reporting: KPI dashboard, revista para auditoría/regulador.
7) Zonas de especial atención
7. 1 Backups/archivos/DR
Backups en la misma región, encriptación y catalogación de claves.
Realista: la eliminación física de immutable-backup es difícil → aplicamos crypto-shredding del segmento cuando se llega a la fecha límite.
7. 2 Registros y telemetría
Política PII-libre por default; si los PII son inevitables - registros locales, tiempo corto, enmascaramiento en el agente.
7. 3 DWH/análisis
Sólo datos de-PII; si es necesario, los historiadores deben anonimizar y romper el vínculo con el PII original.
7. 4 Vendedores y proveedores
DPA/preacuerdos: plazos, mecanismos de eliminación, confirmación de ejecución (Certificate of Destruction/Erase Evidence).
7. 5 Localización por jurisdicciones
La retirada se realiza en el perímetro regional, estando prohibida la exportación de PII fuera de él; informes globales - sólo agregados.
8) API/eventos y modelo de datos
Eventos (mínimo):- `retention_due_detected`, `erasure_job_started`, `erasure_job_completed`, `crypto_shred_done`, `vendor_erasure_ack_received`, `erase_validation_failed`, `dsar_erase_linked`, `audit_artifact_saved`.
erasure_job {
id, subject_id_hash scope{cohort partition}, trigger{retention dsar contract_end consent_withdrawn},
market, region, systems[], vendors[],
started_at_utc, completed_at_utc, status{ok partial failed},
method{cascade crypto_shred nullify token_revoke},
counts{records, tables, bytes}, checksum{before, after},
keys_destroyed[{kms_key_id, destroyed_at_utc, evidence_id}],
validation{orphan_scan:passed failed, sample_checks[]},
linked_cases{dsar_case_id?}, owner, approvers{dpo, security}, audit_artifacts[]
}9) Control y observabilidad
Erasure Coverage es una fracción de los sistemas cubiertos por la eliminación automática.
Time-to-Erase es la mediana de tiempo desde el disparador hasta la finalización.
Orphaned Data Rate son registros «huérfanos» descubiertos.
Backup Crypto-Shred SLA - llaves destruidas a tiempo.
Vendor Ack Rate es la proporción de confirmaciones de las distancias de los vendedores a tiempo.
DSAR Erase SLA - Cumplir con los plazos para las eliminaciones personalizadas.
Auditability Score - Presencia de artefactos por muestreo.
10) Hojas de cheques
A) Política y diseño
- El Registro de Retenciones por Categoría/Mercado ha sido aprobado por Legal/DPO.
- Mapa de sistemas/vendedores que indica PII/regiones/claves.
- Métodos definidos: cascada/cripto-wipe/de-PII para análisis.
- DPA/contratos actualizados (SLA de eliminación, confirmaciones).
B) Técnicas y operaciones
- La API de eliminación y el orquestador de trabajos están habilitados.
- Los registros/agentes libres de PII enmascaran campos sensibles.
- Los backups están encriptados, las llaves segmentadas por mercados.
- Autotestas: DSAR-erase, cron retencion, orphan-scan.
- Panel de control KPI/alerta.
C) Auditoría y mejoras
- Muestras trimestrales de sistemas/vendedores con artefactos de eliminación.
- Prueba de DR/recuperación teniendo en cuenta segmentos remotos.
- CAPA sobre residuos/irregularidades encontrados.
11) Plantillas (inserciones rápidas)
A) Cláusula con vendedor (eliminación/retención)
B) Solución de anonimato (forma interna)
C) Respuesta al usuario (se ha completado la eliminación DSAR)
12) Errores frecuentes y prevención
Eliminación de la base de datos de combate, pero no de los soportes. → Crypto-shredding y el registro de claves.
PII en los logs/ARM. → Enmascaramiento en el agente, retén corto.
Registros huérfanos (servicios cruzados). → escaneos Orphan y cascadas contratadas.
DWH con colas PII → De-PII pipelines antes de la exportación, prohibición de los identificadores crudos.
Sin artefactos → Generación obligatoria de informes y almacenamiento WORM.
Vendor no eliminó → SLA y sanciones/hold pagos antes de la confirmación.
13) Plan de implementación de 30 días
Semana 1
1. Aprobar el registro de retenciones y la matriz de métodos (cascada/cripto/de-PII).
2. Hacer un mapa de los sistemas/vendedores/llaves, marcar los perímetros regionales.
3. Especificar el modelo de artefactos y el dashboard KPI.
Semana 2
4) Implementar el orquestador de borrados, API y eventos; conectar enlaces DSAR.
5) Incluir el enmascaramiento de los registros y las reglas «PII-free by default».
6) Personalizar crypto-shred para backups, segmentación de KMS por mercado.
Semana 3
7) Transportador de De-PII para DWH (cohortes/k-anonimato/binning).
8) Eliminaciones piloto: 20 casos DSAR + 2 lotes por retención; cerrar CAPA.
9) Actualizar el DPA con proveedores clave (SLA/confirmaciones).
Semana 4
10) Lanzamiento completo; ejecutar dashboard y alertas (Time-to-Erase, Vendor Ack).
11) Prueba de DR con un segmento de claves remotas.
12) Plan v1. 1: diff. privacidad en los informes, auto-orphan-escaneos programados.
14) Secciones interrelacionadas
GDPR: gestión del consentimiento de los usuarios
Política de cookies y sistema CMP
Privacidad por Diseño: Principios de Diseño
Localización de datos por jurisdicciones
DSAR: solicitudes de datos de los usuarios
Encriptación en Tránsito/En, KMS/BYOK/HYOK
Dashboard de cumplimiento y monitoreo/Auditoría interna y externa