Registro de auditoría para redacción: ¿qué registrar, por qué y durante cuánto tiempo?

Un auditor aparece y pregunta: "muéstrame cómo habéis anonimizado los datos del cliente para el informe X." Sin un registro de auditoría, te quedas sin respuesta. Aquí te explicamos qué debes registrar.

En la redacción automatizada o a gran escala, un registro de auditoría es mucho más que un complemento deseable: es tu defensa ante reclamaciones GDPR y auditorías ISO.

Qué registrar por cada acción de redacción

• El usuario que realizó la redacción.
• Fecha y hora.
• Archivo original (nombre + hash).
• Archivo redactado (nombre + hash).
• Patrones aplicados o regiones manuales (resumen, no el texto original).
• Número de coincidencias redactadas.
• Motivo de la redacción (texto libre opcional).
• Opcionalmente: quién recibió el documento resultante.

Qué NO registrar

• El texto original que fue redactado — eso anularía todo el propósito del ejercicio.
• Imágenes del contenido redactado.

Período de conservación

• Para fines de ISO 27001: mínimo 3 años.
• Para la responsabilidad proactiva del GDPR: entre 3 y 5 años según el contexto.
• Más tiempo si la redacción afecta a documentos fiscales (7 años).

Almacenamiento

Registro centralizado con acceso restringido. No dentro del propio PDF (sería una contradicción en sí misma), sino en una base de datos o archivo de registro con control de acceso.

Verificación

Muestreo periódico: selecciona el 10 % de las redacciones recientes, abre la entrada del registro y compárala con el archivo: ¿coincide lo que se ha registrado?

Herramientas: nuestro plan PDF Redact Business genera un registro de auditoría que recoge, por cada redacción, todo lo necesario para fines ISO. Consulta también la guía completa de redacción.