Cuánto tiempo guardar cuentas de email en una empresa

No hay un número mágico para todos los buzones

Muchas empresas quieren una contestación simple para decidir cuánto tiempo guardar cuentas y direcciones de email. El problema es que casi nunca existe una sola cifra correcta para todo. Borrar demasiado rápido puede dejarte sin evidencia útil. Guardarlo todo para siempre también te crea costo, desorden y más exposición cuando llega una auditoría, una disputa o una reclamación.

La respuesta que mejor aguanta preguntas no suele ser “7 años para todo” ni “borra cuando la persona se va”. Lo razonable es evaluar el rol que tuvo cada usuario, el tipo de información que recibía y si ese buzón puede estar ligado a cumplimiento, disputas, reclamaciones, auditorías o evidencia relevante.

Como norma práctica, 7 años puede funcionar para cuentas críticas cuando no aplica una obligación más larga y la empresa todavía no tiene una matriz de retención más sofisticada. Aun así, esa cifra debe verse como una regla operacional, no como una ley universal.

---

No hay un número mágico para todos los buzones

No toda cuenta de email tiene el mismo riesgo. Un buzón de coordinación diaria no pesa igual que uno de recursos humanos, finanzas, cumplimiento, cobros, contratos o dirección ejecutiva. Tampoco es lo mismo una cuenta individual que una dirección funcional como billing@, claims@, rrhh@ o legal@.

Lo que importa no es solo la dirección, sino lo que entraba y salía por ahí. Si por ese buzón llegaban quejas formales, avisos de incumplimiento, reclamaciones de clientes, documentos contributivos, decisiones laborales, investigaciones internas, cambios contractuales o comunicaciones regulatorias, ese correo puede tener valor probatorio aunque en el día a día parezca un inbox más.

Lo que conviene mirar primero

• Rol del usuario: si aprobaba, negociaba, notificaba o recibía asuntos con efecto legal, laboral, contributivo o contractual.
• Tipo de información: si por esa cuenta entraban reclamaciones, disputas, auditorías, advertencias, pagos, nómina, acciones disciplinarias o temas regulatorios.
• Canal oficial: si la dirección era un punto de contacto formal para clientes, suplidores, empleados o agencias.
• Valor como evidencia: si el buzón ayuda a demostrar qué se supo, cuándo se supo y quién actuó.
• Riesgo activo: si hay litigio, querella, auditoría, investigación o una posible reclamación pendiente.
• Duplicación real: si el contenido ya está preservado de forma completa y confiable en otro sistema.

Una empresa pequeña puede resolver esto con una tabla básica y un criterio escrito. Una empresa más grande normalmente necesita una matriz por función, riesgo, término de conservación y excepción por “legal hold”. En ambos casos, lo importante es que la decisión no salga del momento ni de la memoria de una sola persona.

Qué cuentas sí merecen conservación o “backup”

La forma más defendible de decidir qué conservar es por función y riesgo, no por intuición. La pregunta útil no es “¿de quién era esta cuenta?”, sino “¿qué papel jugaba y qué tipo de data podía recibir?”.

Por regla general, vale la pena revisar con más cuidado cuentas de recursos humanos, nómina, cobros, cumplimiento, dirección, servicio al cliente con escalaciones, contratos, reclamaciones, seguridad, compras y operaciones críticas. También conviene revisar cuentas de ex empleados que manejaban relaciones sensitivas con clientes grandes, suplidores clave, agencias o asesores externos.

Un error común es pensar que basta con conservar la dirección de correo. A veces eso no resuelve nada. Cuando el valor está en la evidencia, puede hacer falta conservar el buzón, mensajes, adjuntos, fechas y contexto. Ahí es donde un buen archivo o “backup” hace diferencia.

Señales de que una cuenta no debe borrarse rápido

• Recibía reclamaciones o disputas de clientes
• Participaba en decisiones de empleo o disciplina
• Se usaba para aprobaciones contractuales o financieras
• Era un canal oficial publicado al público
• Está vinculada a una auditoría o investigación
• Puede contener evidencia útil para una controversia futura

Cuándo 7 años sí funciona como regla práctica

Siete años puede ser una regla interna razonable para cuentas críticas cuando la empresa busca un estándar conservador y fácil de administrar. No porque toda ley diga 7 años, sino porque ese término cubre bastante terreno frente a varias obligaciones documentales comunes y reduce el riesgo de quedarte corto con información importante.

Aun así, usar 7 años para todo sería un error. Algunas cuentas de bajo riesgo no necesitan ese tiempo. Otras pueden requerir más, dependiendo de la industria, una obligación específica, un contrato, una investigación o un pleito pendiente. La clave está en separar cuentas ordinarias de cuentas críticas.

También conviene no mezclar conceptos. Un “backup” ayuda con recuperación operacional. Una política de retención define qué se guarda, por cuánto tiempo, con qué criterio y qué se suspende cuando aparece una reclamación o un deber de preservación. Se parecen, pero no son lo mismo.

Lo que no conviene hacer

• Borrar automáticamente la cuenta de un ex empleado sin revisar su rol
• Guardar todos los buzones para siempre “por si acaso”
• Decidir sin dejar evidencia escrita del criterio usado
• Asumir que archivar solo la dirección resuelve el problema
• Mantener borrado rutinario cuando ya hay disputa, querella o auditoría

Lo más útil es una política que aguante preguntas

Una política práctica no tiene que ser fancy. Debe contestar cuatro cosas: qué cuentas entran, por qué entran, cuánto tiempo se conservan y qué evento detiene la eliminación. Si además documenta quién aprobó cada excepción, mejor.

Para muchas empresas, una fórmula sensata es esta: conservar por hasta 7 años las cuentas o direcciones que la organización identifique como críticas por el rol del usuario, el tipo de información recibida y la posibilidad de reclamaciones, disputas, auditorías o evidencia relevante. Luego, aplicar términos especiales cuando una ley, un regulador, un contrato o un “hold” lo exijan.

La mejor política no es la más larga. Es la que puede explicarse con calma cuando alguien pregunte por qué ese buzón se guardó, por qué otro se eliminó y cómo se protegió la información que sí importaba.

---

Preguntas frecuentes

Q1. ¿Guardar solo la dirección de email es suficiente?
A1. No siempre. Si el valor está en la evidencia de lo recibido, enviado, aprobado o notificado, puede hacer falta conservar el buzón, sus mensajes, adjuntos y metadatos, no solo la dirección.

Q2. ¿Qué pasa con las cuentas de ex empleados?
A2. No conviene borrarlas en automático. Primero se revisa el rol que tuvo la persona, el tipo de información que manejaba, si hay reclamaciones o auditorías, y si el contenido quedó realmente preservado en otro sistema.

Q3. ¿Si hay una reclamación o auditoría puedo seguir con el borrado normal?
A3. Ese suele ser el momento de parar y evaluar. Cuando una disputa, investigación o litigio es razonablemente previsible, la organización debe considerar preservar la información relevante y validar el paso siguiente con asesoría legal o de cumplimiento.

---

Enlaces externos útiles

• <a href="https://www.ftc.gov/legal-library/browse/rules/disposal-consumer-report-information-records" rel="nofollow noopener noreferrer">FTC, Disposal of Consumer Report Information and Records</a>
• <a href="https://csrc.nist.gov/pubs/sp/800/88/r2/final" rel="nofollow noopener noreferrer">NIST, SP 800-88 Rev. 2, Guidelines for Media Sanitization</a>
• <a href="https://www.sec.gov/rules-regulations/2001/10/books-records-requirements-brokers-dealers-under-securities-exchange-act-1934" rel="nofollow noopener noreferrer">SEC, Books and Records Requirements for Brokers and Dealers</a>

---

Referencias

• Internal Revenue Service, “How Long Should I Keep Records?” (2025). <a href="https://www.irs.gov/businesses/small-businesses-self-employed/how-long-should-i-keep-records" rel="nofollow noopener noreferrer">https://www.irs.gov/businesses/small-businesses-self-employed/how-long-should-i-keep-records</a>. Apoya que ciertos récords contributivos pueden requerir 3, 4, 6 o 7 años, y en algunos casos más tiempo.
• U.S. Equal Employment Opportunity Commission, “Recordkeeping Requirements” (consulta abril 2026). <a href="https://www.eeoc.gov/employers/recordkeeping-requirements" rel="nofollow noopener noreferrer">https://www.eeoc.gov/employers/recordkeeping-requirements</a>. Apoya mínimos de 1 año para varios récords de empleo y retención hasta la disposición final cuando hay un cargo.
• Electronic Code of Federal Regulations, “29 CFR Part 516, Records to Be Kept by Employers” (consulta abril 2026). <a href="https://www.ecfr.gov/current/title-29/subtitle-B/chapter-V/subchapter-A/part-516" rel="nofollow noopener noreferrer">https://www.ecfr.gov/current/title-29/subtitle-B/chapter-V/subchapter-A/part-516</a>. Apoya mínimos de 3 años para ciertos récords de nómina y 2 años para varios récords suplementarios.
• Legal Information Institute, Cornell Law School, “Rule 37, Federal Rules of Civil Procedure” (consulta abril 2026). <a href="https://www.law.cornell.edu/rules/frcp/rule_37" rel="nofollow noopener noreferrer">https://www.law.cornell.edu/rules/frcp/rule_37</a>. Apoya la importancia de preservar información electrónica relevante cuando el litigio es razonablemente previsible.
• U.S. Department of Health and Human Services, “Summary of the HIPAA Security Rule” (2024). <a href="https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html" rel="nofollow noopener noreferrer">https://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.html</a>. Apoya que ciertas entidades reguladas deben conservar documentación HIPAA por 6 años.
• FINRA, “Books and Records” (consulta abril 2026). <a href="https://www.finra.org/rules-guidance/key-topics/books-records" rel="nofollow noopener noreferrer">https://www.finra.org/rules-guidance/key-topics/books-records</a>. Apoya que en el sector financiero existen reglas y términos específicos de conservación, incluyendo periodos de 6 años en varios casos.

Descargo de responsabilidad

Este contenido es educativo y operacional. No sustituye asesoría legal, contributiva, laboral ni regulatoria para su caso específico. Si su empresa ya enfrenta una reclamación, auditoría, investigación o disputa, conviene validar la retención y preservación aplicable con asesoría competente antes de eliminar cuentas o buzones.