Política pública de conservación de datos
Plazos por categoría, acción al vencer y bases legales (RGPD art. 5.1.e).
Política pública de conservación de datos — LexIAs
Marco: RGPD art. 5.1.e (limitación del plazo de conservación) · art. 13.2.a (información al interesado). Versión: 1.0 — mayo 2026 Próxima revisión: anual. Responsable: Titular de LexIAs.
Este documento es público y debe enlazarse desde la política de privacidad y el aviso legal de la web.
1. Principio rector
LexIAs conserva los datos personales únicamente durante el tiempo necesario para la finalidad para la que fueron recogidos, ampliado por los plazos legales aplicables al ejercicio del derecho de defensa y a las obligaciones contables, fiscales y deontológicas del despacho.
Cuando los plazos vencen, los datos se suprimen o se anonimizan irreversiblemente.
2. Tabla de plazos por categoría
| Categoría | Plazo de conservación | Base | Acción al vencer |
|---|---|---|---|
| Mensajes entrantes (email, WhatsApp, Outlook) — caso activo | Vigencia del expediente | Ejecución contrato (6.1.b) | — |
| Mensajes entrantes — caso cerrado | 6 años desde el cierre | Art. 30 C. Comercio + plazo prescripción civil ordinaria (art. 1964 CC) | Borrado automático |
| Adjuntos originales (PDF, imágenes, audio) | No se almacenan — sólo el texto extraído | Minimización (5.1.c) | N/A |
| Texto extraído de adjuntos | Igual que el mensaje al que pertenecen | — | Borrado en cascada |
| Expedientes (cases) y sus documentos | 6 años desde el cierre | Idem | Borrado automático |
| Clientes (fichas) sin actividad reciente | 6 años desde el último mensaje/expediente | Idem | Anonimización (nombre → "Cliente histórico"; PII cifrada → null) |
| Borradores de respuesta generados por IA | Igual que el mensaje | — | Borrado en cascada |
| Resúmenes IA de expediente | Igual que el expediente | — | Borrado en cascada |
| Conversaciones del chat con asistente IA | 2 años desde la última interacción | Mejora del servicio + soporte | Borrado automático |
Bitácora de uso de IA (ai_usage_log) |
2 años | Facturación + análisis de coste | Borrado automático |
Bitácora de acceso a datos (data_access_log) |
365 días (M-3 DPIA) | Detección de accesos indebidos | Purga programada (_retention_purge_task) |
Bitácora de visitas a páginas (user_page_visits) |
90 días | Métricas de UX | Purga programada |
| Recordatorios cumplidos | 90 días tras envío | — | Borrado automático |
| Notificaciones push enviadas | 30 días | — | Borrado automático |
| Sesiones de videollamada (Whereby) | 2 años (metadata) | Trazabilidad facturación | Borrado automático |
| Cuenta de usuario inactiva | 3 años sin login | Ejecución contrato | Aviso a los 30 m antes + borrado tras 3ª no-respuesta |
| Tokens OAuth (Gmail, Outlook) | Hasta revocación o cierre de cuenta | Ejecución contrato | Borrado al revocar |
| Sesiones / cookies de sesión | Configurable por usuario (10 s – 30 min de inactividad) | Seguridad | Cierre automático |
| Tokens de invitación | 24 h | Seguridad | Caducidad automática |
| Tokens de recuperación de contraseña | 1 h | Seguridad | Caducidad automática |
Solicitudes de acceso (/solicitar-acceso) |
2 años desde envío | Gestión comercial | Borrado automático |
| Incidentes de seguridad | 5 años desde cierre | Art. 33.5 RGPD | Conservación obligatoria |
| Actas de prueba de restauración | 5 años | Trazabilidad ENS | — |
| Datos contables y facturas del propio LexIAs como prestador | 6 años | Art. 30 C. Comercio | — |
3. Excepciones al borrado
Se conservan más allá del plazo:
- Mensajes con riesgo P0/P1 vinculados a un litigio en curso o por iniciar: hasta 1 año tras la firmeza de la sentencia.
- Mensajes objeto de un requerimiento judicial o policial notificado al despacho: hasta el cumplimiento del requerimiento.
- Datos sujetos a obligación legal específica (p. ej., prevención de blanqueo, art. 25 Ley 10/2010): plazos sectoriales aplicables.
En cualquiera de estos casos, el despacho debe documentar la base de la conservación ampliada en la ficha del cliente / expediente.
4. Mecanismos técnicos
- Tarea programada
_retention_purge_task(enapp/scheduler.py) ejecuta diariamente las purgas anteriores. - Borrado por cascada SQLAlchemy asegura que al eliminar un cliente o caso se eliminan también mensajes, clasificaciones y documentos asociados.
- Anonimización: los campos
EncryptedStringse sobreescriben conNULL; los nombres se sustituyen por etiquetas genéricas; los IDs se mantienen para integridad referencial. - Verificación: log mensual del número de filas purgadas en cada categoría (visible en
/admin/stats).
5. Derechos del interesado
El cliente final puede solicitar en cualquier momento:
- Acceso y portabilidad de sus datos (art. 15 y 20 RGPD): el despacho dispone del botón "Descargar mis datos" en su panel de configuración (
/me/export) y puede entregar al cliente la sección que le corresponde. - Supresión anticipada (art. 17): a través del despacho responsable. LexIAs proporciona la herramienta de borrado en cascada en
Configuración → Clientes → Eliminar cliente. - Oposición y limitación: a través del despacho.
Para más detalle, ver legal/rights_workflow.md (procedimiento interno) y la página pública /derechos-rgpd.
6. Histórico de cambios
| Versión | Fecha | Cambio |
|---|---|---|
| 1.0 | 2026-05 | Publicación inicial |
Última revisión del documento: 2026-05-03 · Volver al aviso de privacidad · Ejercer mis derechos RGPD