Retention policies en M365: conservar o eliminar, ¿quién decide?

Algunos datos hay que conservarlos obligatoriamente (obligaciones fiscales), otros hay que eliminarlos sin falta (GDPR). Las retention policies lo gestionan de forma automática — si las configuras bien.

Las retention policies en Microsoft Purview determinan cuánto tiempo permanece el contenido en M365. Sin policies, todo se conserva indefinidamente — lo que suele ser incompatible con el GDPR y costoso en almacenamiento.

Categorías de policies

• Retain: el contenido no puede eliminarse; se conserva durante un mínimo de X años.
• Delete: el contenido se elimina automáticamente tras X años.
• Retain then delete: se conserva X años y después se elimina. La más utilizada.

Ejemplos para pymes

• Correo electrónico: 7 años retain then delete (se ajusta a la obligación fiscal de conservación).
• Chat de Teams: 2 años retain then delete (se ajusta a las directrices ISO/GDPR).
• Sitios de SharePoint para proyectos de clientes: 5 años tras el cierre del proyecto.
• OneDrive de exempleados: 90 días tras el offboarding (se ajusta a la regla de 30 días + archivo).

Licencia

La retention básica está incluida en Business Premium. La avanzada (aplicación automática mediante machine learning) requiere E5. Para pymes, la versión básica es más que suficiente.

Riesgos

• Las políticas de eliminación demasiado agresivas pueden impedir una legal hold en caso de litigio.
• Las políticas de conservación demasiado prolongadas pueden convertirse en un problema de GDPR (retención excesiva de datos personales).
• Las policies tardan entre 1 y 7 días en activarse en todo el tenant — pruébalas primero en un ámbito reducido.

Véase también: plazos de conservación del expediente de personal, pilar de cumplimiento GDPR.