Borrado de información en Call Centers: Cómo cumplir conforme a la ley

Los centros de contacto (Call Centers) manejan enormes cantidades de datos sensibles: nombres, teléfonos, números de tarjeta, grabaciones de voz, entre otros. Sin una política clara de borrado seguro, estos datos pueden convertirse en un riesgo legal, financiero y reputacional. 

¿Qué normativas obligan al borrado seguro de datos en call centers?

Las leyes más estrictas en privacidad y protección de datos han incluido el borrado seguro como requisito:

Ley Federal de Protección de Datos (LFPDPPP) – México

Obliga a eliminar datos cuando hayan dejado de ser necesarios para su finalidad original. Las organizaciones deben contar con mecanismos seguros y comprobables, especialmente en sectores que operan con subcontratación de servicios de atención al cliente.

Puedes profundizar en este marco en este artículo de Delete Technology sobre la protección de datos en México.

Reglamento General de Protección de Datos (GDPR)

Aplica si atiendes clientes europeos. El artículo 17 establece el derecho al olvido, lo cual implica eliminar toda la información personal a solicitud del titular. Esta eliminación debe ser efectiva, irreversible y verificable.

CCPA/CPRA – California

El California Consumer Privacy Act otorga a los consumidores el derecho a solicitar la eliminación de su información personal. Las empresas tienen 45 días para cumplir. La ley también establece que deben informar si comparten datos con terceros.

¿Qué datos deben ser eliminados en un call center?

El volumen y diversidad de la información que se genera y almacena en un call center exige una gestión completa. Debes considerar:

• Grabaciones de llamadas y transcripciones.
• Datos personales (nombres, correos, teléfonos, direcciones).
• Información financiera o sensible (número de cuenta, tarjetas).
• Historial de tickets o interacciones.
• Logs de CRM o sistemas de gestión de llamadas.

¿Qué pasa si no borras estos datos conforme a la ley?

La omisión puede tener consecuencias graves:

• Multas millonarias por parte de autoridades como el INAI, la EDPB o la CPPA.
• Pérdida de contratos con empresas internacionales por incumplimiento de estándares.
• Riesgos de filtración de datos y afectaciones a la reputación.

Implementar técnicas como el borrado certificado permite cumplir y demostrar el cumplimiento legal.

¿Cómo implementar una política de eliminación en un call center?

1. Diseña una política de retención y eliminación

Define por cuánto tiempo conservarás los datos según su tipo y finalidad. Por ejemplo:

• Grabaciones: 90 días.
• Información de contacto: 1 año desde el último contacto.
• Datos de facturación: 5 años por obligaciones fiscales.

Aquí puedes usar como referencia esta guía completa de política de retención de datos.

2. Elige métodos validados de borrado

Aplica técnicas como:

• Borrado lógico con sobrescritura múltiple.
• Borrado criptográfico (destrucción de claves).
• Eliminación física de discos obsoletos si están fuera de servicio.

Todos estos métodos están alineados con estándares como NIST 800-88 o IEEE 2883-2022.

3. Automatiza procesos con tecnología especializada

Si usas CRM o herramientas de voz, asegúrate de que las soluciones permitan programar borrado por fecha o evento. Los sistemas deben integrar logs y alertas para auditoría. 

Puedes apoyarte con plataformas compatibles con gobernanza de datos para un control más integral.

¿Qué es el borrado seguro certificado y por qué es necesario?

El borrado certificado implica que el proceso fue:

• Ejecutado con una herramienta validada.
• Registrado con hora, medio, método y responsable.
• Verificado y documentado como irrecuperable.

Esto es vital para auditorías, solicitudes de derecho al olvido, o procesos legales. Delete Technology ofrece soluciones con trazabilidad total para este fin. Revisa cómo funciona en su artículo sobre eliminación segura en centros de datos.

¿Cómo afectan los proveedores externos al cumplimiento del borrado?

Muchas veces, los call centers subcontratan almacenamiento, CRM, grabación o IA conversacional. En esos casos, debes:

• Incluir cláusulas contractuales que exijan el cumplimiento de leyes de protección de datos.
• Asegurar que los proveedores también apliquen borrado seguro conforme a estándares internacionales.
• Solicitar evidencia periódica de los procesos de eliminación.

Esto es clave en contextos donde el call center gestiona datos para terceros, como bancos, aerolíneas o aseguradoras.

¿Cómo responder ante una solicitud de eliminación?

Cuando un cliente solicita la eliminación de sus datos debes:

1. Verificar la identidad del solicitante.
2. Localizar y eliminar toda su información en sistemas internos y backups.
3. Documentar el proceso (fecha, evidencia, método).
4. Notificar al solicitante cuando se haya completado.
5. Informar a terceros procesadores si aplica.

Esto debe realizarse dentro de los plazos legales establecidos por GDPR, CCPA o LFPDPPP.

Preguntas frecuentes

¿Debo borrar también las copias de seguridad?

Sí, aunque se permite conservar backups si están encriptados, no accesibles y se eliminan al caducar su ciclo de retención.

¿Qué software puedo usar para borrar grabaciones de voz?

Cualquier solución compatible con estándares como NIST, y que integre logs automáticos. Algunas plataformas de voz permiten vincularse a soluciones de Blancco u otras herramientas especializadas.

¿Cuántos años debo guardar los datos?

Depende del uso. No hay una regla fija. Por ejemplo, la voz puede conservarse 3 meses; la facturación, 5 años. Lo importante es definirlo y justificarlo.

¿Qué hacer si uso un proveedor como Amazon Connect o Twilio?

Debes configurar sus sistemas para cumplir los plazos de retención y asegurarte de que ejecuten borrado conforme a sus certificaciones.

Síguenos en nuestras redes sociales