BORRADOR — pendiente de revisión legal por abogado de privacy antes de publicar. Generado como punto de partida basado en estándares GDPR + LOPDGDD + LATAM + CCPA.
Política de Retención de Datos — Astrosoul Center
Última revisión: 2026-05-26 Versión: 1.0 (borrador)
Esta política describe durante cuánto tiempo conservamos cada categoría de dato personal y qué hacemos cuando ese plazo termina. Forma parte de la privacy-policy.md y desarrolla el cumplimiento del principio de limitación del plazo de conservación (Art. 5.1.e GDPR).
Es responsable del tratamiento [NOMBRE COMPLETO DEL AUTÓNOMO], NIF [NIF], domicilio [DIRECCIÓN POSTAL], contacto [EMAIL CONTACTO].
1. Principios generales
1.1 Minimización
Sólo recogemos los datos estrictamente necesarios para prestar el servicio. Cuanto menos guardamos, menos riesgo asumimos.
1.2 Limitación del plazo
Cada categoría de dato tiene un plazo máximo definido. Pasado ese plazo, los datos se eliminan o se anonimizan (según se detalla en la tabla y en la sección 4).
1.3 Confidencialidad
Mientras los datos están almacenados, aplicamos medidas técnicas y organizativas proporcionales al riesgo (cifrado en reposo, control de acceso, separación de roles).
1.4 Trazabilidad
Cualquier eliminación o anonimización se documenta en un audit log que se conserva durante 1 año como prueba del cumplimiento.
2. Tabla de retención por categoría
| Categoría de dato | Plazo máximo | Acción al expirar | Justificación |
|---|---|---|---|
| Datos de cuenta activa (email, nombre) | Mientras la cuenta esté activa | Anonimización a los 30 días tras borrado | Ejecución de contrato |
| Datos de cuenta inactiva (sin login en 24 meses) | 24 meses desde último login | Aviso + supresión a los 30 días | Minimización |
| Contraseña hash (bcrypt) | Mientras la cuenta esté activa | Borrado inmediato al eliminar cuenta | Seguridad |
| Datos de nacimiento (fecha, hora, lugar) | Mientras la cuenta esté activa | Anonimización 30 días tras borrado | Art. 9 GDPR |
| Cartas natales calculadas | Mientras la cuenta esté activa | Anonimización 30 días tras borrado | Servicio core |
| Reports generados (texto narrativo) | Mientras la cuenta esté activa | Anonimización 30 días tras borrado | Servicio core |
| Conversaciones de chat | Mientras la cuenta esté activa | Borrado opcional desde dashboard; anonimización 30 días tras borrado de cuenta | Privacidad usuario |
| Logs técnicos (errores, accesos) | 90 días | Borrado automático | Seguridad operativa |
| Audit logs de seguridad | 1 año | Borrado automático | Detección de incidentes |
| IP en logs operativos | 30 días en claro; anonimización después | Truncamiento (últimos octetos) | Minimización |
| Cookies y consentimientos | 12 meses | Re-solicitar consentimiento | ePrivacy |
| Sesiones de invitado | 24 horas | Borrado automático | Sólo necesario |
| Facturas y datos contables | 6 años desde última operación | Anonimización del titular; mantener datos fiscales mínimos | Art. 30 Código de Comercio español |
| Datos fiscales de cliente (factura) | 6 años | Conservar mientras dura la obligación legal | Art. 66 LGT |
| Datos de Stripe (cliente_id, transacciones) | 6 años (alineado con facturación) | Anonimización al alcanzar el plazo | Obligación fiscal |
| Backups cifrados | 90 días con rotación | Sobrescritura automática | Recuperación + minimización |
| Tickets de soporte | 2 años desde resolución | Borrado | Mejora del servicio |
| Logs de formulario de contacto | 6 meses | Borrado | Antispam + respuesta |
| Datos de leads (newsletter) | Hasta opt-out; revisión bases inactivas a 24 meses | Borrado | Consentimiento revocable |
| Datos para defensa de reclamaciones | Hasta prescripción legal de la acción (típicamente 5 años) | Anonimización tras prescripción | Interés legítimo |
3. Plazos por obligación legal
Algunas obligaciones legales prevalecen sobre el deseo del usuario de eliminar sus datos. Las principales en España son:
3.1 Obligaciones contables y fiscales
- Art. 30 del Código de Comercio: los empresarios conservarán los libros, correspondencia, documentación y justificantes concernientes a su negocio durante seis años.
- Art. 66 de la Ley General Tributaria: el plazo de prescripción tributaria es de cuatro años, pero combinado con el Código de Comercio efectivamente conservamos seis años.
- Reglamento de facturación (RD 1619/2012): obligación de conservar facturas durante el plazo previsto en la LGT.
3.2 Obligaciones laborales (si en el futuro hay personal)
No aplican mientras la actividad sea unipersonal.
3.3 Defensa frente a reclamaciones
Datos potencialmente útiles para defender posibles reclamaciones (logs de consentimiento, evidencia de aceptación de Términos) se conservan durante el plazo de prescripción de la acción que pudiera ejercitarse, típicamente 5 años según el Art. 1964 del Código Civil.
4. Procedimiento de eliminación de cuenta
Cuando un usuario solicita eliminar su cuenta (desde /dashboard/profile/privacy o por email), el procedimiento es:
4.1 Decisión: anonimización en lugar de hard delete
No realizamos un borrado físico total porque hay datos que la ley obliga a conservar (facturas, registros contables). En su lugar, aplicamos anonimización:
- El registro del usuario en la base de datos pasa a un estado
is_deleted=truecon borrado lógico inmediato (soft-delete). - En 30 días naturales se ejecuta la anonimización irreversible: se reemplazan los campos identificativos (nombre, email, datos de nacimiento) por valores genéricos o
NULL, y se desligan los datos del identificador personal. - Los datos contables y fiscales obligatorios se conservan, pero sin enlace al titular: queda un "tombstone" con ID interno, fechas, importes y conceptos, sin nombre ni email recuperables.
- Cartas natales, reports y conversaciones del usuario eliminado se borran físicamente al ejecutarse la anonimización.
4.2 Por qué este enfoque
- Cumple Art. 17 GDPR (derecho de supresión): los datos personales identificativos desaparecen.
- Respeta obligación legal fiscal: los registros contables siguen disponibles ante una inspección, sin vincularse a una persona identificable.
- Es proporcional: no destruimos información cuya conservación es obligatoria, pero la desligamos del individuo en cuanto la ley lo permite.
4.3 Plazos
- 0-30 días desde la solicitud: ventana de gracia por si el usuario se arrepiente. La cuenta queda inactiva y oculta. Si en este periodo el usuario solicita restaurar, lo hacemos.
- Día 30: anonimización irreversible.
- Día 31 en adelante: sólo persisten los datos mínimos en cumplimiento legal.
4.4 Confirmación al usuario
Enviamos un email al usuario en el momento de la solicitud (confirmando recepción) y otro al ejecutarse la anonimización (confirmando finalización).
5. Caso especial: datos de menores
Si descubrimos que una cuenta corresponde a un menor de 16 años sin consentimiento parental documentado:
- Suspendemos la cuenta inmediatamente.
- Notificamos al titular del email asociado.
- Si en 30 días no se aporta el consentimiento parental, eliminamos los datos.
6. Caso especial: brecha de seguridad
En una brecha que afecte a datos personales, podemos prolongar temporalmente la retención de logs y backups que ayuden a investigar el incidente, según el Art. 33 GDPR y las indicaciones de la AEPD. La prolongación se documenta en el audit log y se levanta cuando concluya la investigación.
7. Backups y caché
7.1 Backups
Hacemos backups cifrados diarios de la base de datos. La rotación es de 90 días. Cuando un usuario solicita eliminar sus datos, los datos en backups expiran progresivamente: pasados 90 días, ningún backup contiene ya información del usuario eliminado. Documentamos esta dependencia técnica para informar al usuario en el momento de la baja.
7.2 Caché de aplicación
La caché de Postgres / Redis (cuando exista) se invalida al borrar la cuenta. Cachés de CDN (Vercel) no almacenan datos personales sensibles porque las rutas autenticadas no se cachean.
7.3 Caché RAG y embeddings
Los embeddings de la base RAG documental no contienen datos personales: vectorizan contenido técnico astrológico. No requieren tratamiento específico al borrar cuentas de usuario.
8. Datos en tránsito a sub-procesadores
Cuando enviamos datos a sub-procesadores (OpenAI, Stripe, Resend), sus propias políticas de retención aplican. Ver subprocessors.md para detalle de cada uno y los compromisos contractuales. Resumen:
- OpenAI API: según política Enterprise/API, los datos del cliente no se usan para entrenamiento y se retienen 30 días para abuse monitoring.
- Stripe: retención de datos de pago según PCI-DSS y obligaciones fiscales, alineada con la nuestra (6 años).
- Resend: logs de envío durante 90 días.
9. Datos exportados por el usuario (portabilidad)
Cuando un usuario ejerce su derecho a portabilidad (Art. 20 GDPR), exportamos sus datos en formato JSON estructurado. El paquete exportado tiene una caducidad de 30 días en nuestros servidores: pasado ese plazo, se elimina automáticamente del almacenamiento temporal aunque el usuario ya lo haya descargado.
10. Excepciones documentadas
Cualquier excepción al plazo estándar (por requerimiento judicial, investigación en curso, defensa frente a reclamaciones) se documenta en el audit log indicando:
- Motivo de la excepción.
- Categoría y volumen de datos afectados.
- Plazo previsto de la prórroga.
- Persona responsable de la decisión.
11. Revisión
Esta política se revisa al menos una vez al año o cuando cambien circunstancias relevantes (nueva normativa, nuevo sub-procesador, cambios de funcionalidad). La próxima revisión se prevé para 2027-05-26.
12. Contacto
Si tienes preguntas sobre cuánto tiempo conservamos tus datos o quieres ejercer tu derecho de supresión, escríbenos a [EMAIL CONTACTO] o por correo postal a [DIRECCIÓN POSTAL].