Volver al blog
5 min de lecturaLaw & Regulationprivacygdprcompliancedataarchitecture

La Limitación del Plazo de Conservación Es la Frontera de Fiscalización de 2026 para la Analítica

Los reguladores dejaron de preguntar si recopilaste datos de forma lícita y empezaron a preguntar cuándo los borraste. Tras la multa de 42 M€ de la CNIL a Free y el barrido de supresión de la EDPB, la retención de la analítica es el objetivo de la auditoría.

Izac CavalheiroFounder

La pregunta costosa del RGPD solía ser ¿tienes una base lícita para recopilar esto?. En 2026 pasó a ser ¿por qué sigue esto en tu base de datos?. Dos actuaciones de fiscalización movieron la retención de una nota al pie documental a la primera línea, y los sistemas de analítica están justo en el radio de impacto.

Dos resoluciones que cambiaron el objetivo

El 13 de enero de 2026, la CNIL multó a Free Mobile con 27 millones de euros y a Free con 15 millones. La mayor parte de la cobertura se centró en la brecha de 2024 que expuso 24 millones de contratos de abonados, pero la resolución también citó directamente el Artículo 5(1)(e) — limitación del plazo de conservación. Free Mobile había conservado datos de 2,8 millones de contratos cancelados desde hacía más de diez años sin justificación. Los datos no se recopilaron de forma ilícita. Se conservaron de forma ilícita.

Un mes después, la EDPB publicó los resultados de su acción coordinada de fiscalización de 2025. Treinta y dos autoridades de protección de datos auditaron a 764 responsables sobre prácticas de supresión y hallaron dos fallos sistémicos: ausencia de clasificación interna de datos y ausencia de supresión automatizada en los propios sistemas informáticos. Una política de retención documentada que nada hace cumplir técnicamente se trató como factor agravante, no atenuante.

La señal es inequívoca. Ahora los reguladores presuponen que la recopilación ocurrió; auditan la supresión.

Por qué la analítica es el lugar evidente donde mirar

La limitación del plazo de conservación del Artículo 5(1)(e) dice que los datos personales no pueden conservarse en forma identificable más tiempo del que exige la finalidad. La mayoría de las stacks de analítica incumplen esto en silencio.

Una tabla de eventos típica almacena una fila por interacción vinculada a un identificador estable — un ID de cookie, un ID de dispositivo, un correo con hash — con una marca de tiempo y sin expiración. El esquema está diseñado para guardarlo todo para siempre, de modo que "quizá queramos consultarlo más tarde" siga siendo posible. Eso es precisamente la retención por si acaso que la CNIL sancionó.

El problema se agrava porque es el identificador lo que convierte una fila en dato personal. Mientras user_id = a91f... pueda relacionarse con una persona a lo largo de meses de eventos, cada una de esas filas está dentro del alcance, cada una está sujeta a solicitudes de acceso y supresión, y cada una es un pasivo en una brecha. La retención no es un coste de almacenamiento. Es exposición medida en tiempo.

Minimizar en la escritura supera a borrar en la lectura

La solución duradera no es un mejor cron job que pode filas antiguas. Es un modelo de datos donde la forma identificable nunca persiste de entrada.

El modelo de identidad de Monoid se construye en torno a esto. Un visitante se representa solo mediante un hash diario:

SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

La IP y el User-Agent en bruto existen solo en la memoria del Worker el tiempo justo para calcular ese hash; D1 almacena el hash, nunca los valores en bruto. Como la fecha es una entrada, el hash del mismo visitante cambia cada medianoche. No hay identificador estable entre días que retener, así que el perfil entre sesiones que persigue la limitación del plazo de conservación no puede acumularse — no por política, sino por construcción.

Esto es minimización de datos en la escritura. No borras el vínculo más tarde porque nunca lo escribiste. Una solicitud de supresión se vuelve trivial cuando no hay una clave duradera contra la que borrar.

Una retención que realmente puedes demostrar

La limitación del plazo de conservación aún necesita un límite externo, y uno defendible es corto y aplicado, no largo y aspiracional. Monoid conserva los datos de páginas vistas durante un máximo de 730 días. Dos años son un techo deliberado para el análisis de tendencias, y la purga es una operación real sobre la tabla, no una línea en un PDF de política. El hallazgo de la EDPB fue que las políticas sin aplicación son la brecha que explotan las investigaciones; una retención que de verdad se ejecuta la cierra.

La combinación importa más que cualquiera de las mitades. Los hashes que rotan a diario hacen que los datos ya tengan forma agregada antes incluso de que la retención aplique. La purga a 730 días hace que incluso esa señal agregada tenga un final firme y demostrable.

Cómo evaluar cualquier analítica de la que dependes

Sea cual sea la analítica detrás de tu sitio, tres comprobaciones se corresponden directamente con lo que auditaron los reguladores:

  • Encuentra cada campo que vincule un registro a una persona a lo largo del tiempo. Un ID de usuario estable, un valor persistente de cookie, una IP en bruto, un fingerprint. Cada uno convierte un registro de eventos en un perfil retenido — así que pregunta si la analítica que usas almacena alguno de ellos siquiera.
  • Pregunta cuándo se aplica la retención: en la ingesta o en una revisión trimestral. La minimización que ocurre a medida que se escriben los datos supera a un trabajo de supresión que alguien tiene que recordar ejecutar. La respuesta más sólida es un modelo en el que la forma identificable nunca se almacenó de entrada.
  • Pregunta si la supresión es demostrable. Si un proveedor no puede señalar un límite firme de retención que de verdad se ejecuta, tiene una política, no un control — y el barrido de la EDPB acaba de decirte cuál de los dos se multa.

Los datos más baratos de defender en una auditoría son los datos que nunca conservaste en forma identificable. La limitación del plazo de conservación ya no es una cláusula que parafrasear en una política de privacidad; es lo que medirá la próxima investigación, y la arquitectura que responde a ello es la que nunca tuvo un perfil que borrar.

Fuentes

Related posts

5 min de lecturaLaw & Regulation

¿Cuándo Es un Hash un Dato Personal? La Sentencia SRB del TJUE y la Identidad en Analítica

La sentencia EDPS v SRB del TJUE convirtió la identificabilidad en una prueba relativa y contextual. Esto es lo que significa para la analítica basada en hash, y por qué un hash con salt que rota a diario sobrevive tanto a la lectura del tribunal como a la más estricta del EDPB.

Leer más
4 min de lecturaLaw & Regulation

El Digital Omnibus quiere eximir del consentimiento a la analítica first-party

El Digital Omnibus de la UE, de noviembre de 2025, propone eximir del consentimiento la medición de audiencia first-party y de uso interno. Es el modelo que la analítica sin cookies ya ejecuta.

Leer más
5 min de lecturaLaw & Regulation

Consent Mode v2 y el Fin de Google Signals en Junio de 2026

El 15 de junio de 2026, ad_storage pasa a ser el único control sobre los datos publicitarios en el stack de Google. Esto es lo que cambia el fin de Google Signals para los desarrolladores — y por qué toda esa maquinaria es algo que la analítica sin cookies nunca tuvo que construir.

Leer más

Comments

Loading comments…