Cualquier sistema de soporte (mesa de ayuda, ticketing, helpdesk) trata datos personales por necesidad operativa. Saber qué datos recoge, con qué base legal y cuánto se conservan ayuda al usuario a entender sus derechos.
Datos típicos que recoge un sistema de soporte
- Identificación: nombre, email, teléfono.
- Comunicaciones: contenido de mensajes (texto, adjuntos, capturas) que el usuario envía para abrir o avanzar un ticket.
- Metadatos: IP de la conexión, fecha/hora, navegador, dispositivo (a veces).
- Identificadores técnicos: IDs de cuentas en plataformas asociadas (LMS, CMS, ERP) si el ticket lo requiere.
- Histórico: estados, asignación, cambios de prioridad, tiempos de respuesta.
Bases legales típicas
Según el RGPD, todo tratamiento debe tener una base legal. Las habituales en soporte son:
- Ejecución de contrato (art. 6.1.b): cuando el soporte forma parte de un servicio contratado, los datos necesarios para prestarlo entran bajo esta base.
- Interés legítimo (art. 6.1.f): cuando el soporte se presta sin contrato directo (ej. consulta de un usuario final de una plataforma cuyo cliente es otra empresa). El interés debe ponderarse contra los derechos del afectado.
- Consentimiento (art. 6.1.a): para usos no estrictamente necesarios (por ejemplo, mejorar el servicio mediante encuestas).
- Obligación legal (art. 6.1.c): cuando hay obligación de conservar logs o registros (facturación, normativa sectorial).
Plazos típicos de conservación
Los plazos varían según jurisdicción y tipo de dato. Como referencia general:
- Tickets cerrados: entre 2 y 6 años, alineado con plazos contables y de prescripción de acciones legales.
- Comunicaciones operativas (mensajes, emails de soporte): mismos plazos que los tickets.
- Datos de facturación asociados: 6 años en España, 10 años en Portugal (legislación contable).
- Logs de acceso técnico: 6–12 meses, lo necesario para auditoría y seguridad.
Tras el plazo, los datos deben anonimizarse o suprimirse.
Quién puede ver los tickets
En un sistema bien configurado, los datos personales solo son accesibles para:
- El propio usuario que abrió el ticket.
- El equipo de soporte autorizado.
- Administradores del sistema con propósito explícito (auditoría, resolución de incidencias).
Cualquier acceso adicional debe documentarse y justificarse.
Comunicaciones a terceros
Algunos sistemas de soporte envían datos a terceros para funcionar:
- Proveedores de email (Gmail, Brevo, Mailgun…) cuando el ticket viaja por correo.
- Plataformas de mensajería (WhatsApp, Telegram, Slack) cuando se atiende por esos canales.
- Proveedores de hosting (Google Cloud, AWS) que almacenan los datos físicamente.
- Herramientas de IA si se usan para clasificación o sugerencia de respuestas.
Cada uno de estos terceros debe tener firmado un Data Processing Agreement (DPA) con el responsable del tratamiento.
Derechos del usuario
Los derechos del RGPD aplican plenamente sobre los datos del sistema de soporte. Ver Derechos RGPD: acceso, rectificación, supresión, portabilidad.
Hay una excepción habitual: si los datos están bajo obligación legal de conservación (facturación), el derecho de supresión queda limitado hasta que prescriba esa obligación.