AdministraciónDatos y cumplimiento

API y retención de datos

Aprende cómo las APIs de Anthropic y sus funciones asociadas retienen datos, incluyendo información sobre la retención cero de datos (ZDR) y el acceso a la API preparado para HIPAA.

La información sobre las políticas estándar de retención de Anthropic se encuentra en la política de retención de datos comerciales de Anthropic y en la política de retención de datos de consumidores.

Anthropic ofrece dos modalidades de manejo de datos para la API de Claude:

"Zero data retention" (retención cero de datos), o ZDR: Los datos del cliente no se almacenan en reposo después de que se devuelve la respuesta de la API, excepto cuando sea necesario para cumplir con la ley o combatir el uso indebido.
Preparación para HIPAA: Para organizaciones que manejan información de salud protegida (PHI), Anthropic ofrece acceso a la API preparado para HIPAA con un Acuerdo de Asociado Comercial (BAA) firmado. Consulta Preparación para HIPAA.

Enfoque de Anthropic sobre la retención de datos

Diferentes APIs y funciones tienen diferentes necesidades de almacenamiento y retención. Cuando una API o función no requiere el almacenamiento de los prompts o respuestas del cliente, puede ser elegible para ZDR. Cuando una API o función necesariamente requiere el almacenamiento de los prompts o respuestas del cliente, Anthropic diseña para la menor huella de retención posible. Para estas funciones:

Los datos retenidos nunca se utilizan para el entrenamiento de modelos sin tu permiso expreso.
Solo se retiene lo que es técnicamente necesario para que la API y la función operen. El contenido de las conversaciones (tus prompts y las salidas de Claude) nunca se retiene a menos que se indique explícitamente.
Los datos se purgan en el TTL más corto posible, y Anthropic busca dar a los clientes control sobre cuánto tiempo se retienen los datos. Lo que se conserva, y la duración de la retención cuando aplica un TTL específico, está documentado en la página de cada función.

Los datos accesibles a través de la API de Cumplimiento siguen su propio modelo de retención. El Feed de Actividad retiene datos durante 6 años. El contenido de chats, archivos y proyectos de claude.ai sigue la política de retención de tu organización, configurada en claude.ai > Configuración de la organización > Datos y privacidad.

En la tabla de elegibilidad de funciones, algunas funciones están marcadas como "Sí (con condiciones)" en la columna de elegibilidad para ZDR. Si tu organización tiene un acuerdo de ZDR, puedes usar estas funciones con la confianza de que lo que Anthropic retiene es limitado y es necesario para un rendimiento óptimo.

Alcance de la retención cero de datos (ZDR)

Qué cubre ZDR

Ciertas APIs de Claude: ZDR aplica a las APIs de Mensajes y Conteo de Tokens de Claude. Claude Fable 5 y Claude Mythos 5 no están disponibles bajo ZDR; consulta Requisitos de retención de datos específicos por modelo.
Claude Code: ZDR aplica cuando se usa con claves de API de organización Comercial o a través de Claude Enterprise (consulta la documentación de ZDR de Claude Code)

Qué NO cubre ZDR

Consola y Workbench: Cualquier uso en la Consola o Workbench
Agentes Gestionados de Claude: Los Agentes Gestionados de Claude son un recurso con estado. Puedes eliminar las transcripciones de sesión, pero no hay eliminación automática.
Productos de consumidor de Claude: Planes Free, Pro o Max de Claude, incluyendo cuando los clientes en esos planes usan las aplicaciones web, de escritorio o móviles de Claude, o Claude Code
Claude Teams y Claude Enterprise: Las interfaces de producto de Claude Teams y Claude Enterprise no son elegibles para ZDR, excepto Claude Code cuando se usa a través de Claude Enterprise con ZDR habilitado para la organización. Para otras interfaces de producto, solo las claves de API de organización Comercial son elegibles para ZDR.
Integraciones de terceros: Los datos procesados por sitios web, herramientas u otras integraciones de terceros no son elegibles para ZDR, aunque algunos pueden tener ofertas similares. Al usar servicios externos junto con la API de Claude, asegúrate de revisar las prácticas de manejo de datos de esos servicios.

Para obtener la información más actualizada sobre qué productos y funciones son elegibles para ZDR, consulta los términos de tu contrato o contacta a tu representante de cuenta de Anthropic.

Requisitos de retención de datos específicos por modelo

Claude Fable 5 y Claude Mythos 5 están designados como Modelos Cubiertos y requieren una retención de datos de 30 días. La retención cero de datos no está disponible para Claude Fable 5 ni Claude Mythos 5. Las solicitudes a cualquiera de estos modelos desde una organización cuya configuración de retención de datos no cumpla con este requisito devuelven un error 400 invalid_request_error.

Este requisito aplica en la API de Claude. Para Claude Fable 5 en Amazon Bedrock, Vertex AI y Microsoft Foundry, los requisitos de retención de datos son establecidos por cada plataforma.

Preparación para HIPAA

La API de Claude admite integraciones preparadas para HIPAA para organizaciones que manejan información de salud protegida (PHI). Con un BAA firmado y una organización habilitada para HIPAA, puedes usar las funciones de API compatibles para procesar PHI mientras respaldas el cumplimiento de HIPAA de tu organización.

Anteriormente, las organizaciones que requerían preparación para HIPAA en la API de Claude necesitaban habilitar ZDR. El acceso a la API preparado para HIPAA elimina este requisito y proporciona una base para que Anthropic habilite progresivamente funciones adicionales a medida que se auditan para la preparación para HIPAA.

Esta página cubre la preparación para HIPAA en la API de Claude. Para la Guía de Implementación de HIPAA completa que cubre Claude Enterprise y los requisitos de configuración, consulta el Centro de Confianza de Anthropic.

Primeros pasos

Para configurar el acceso a la API preparado para HIPAA:

Firma un Acuerdo de Asociado Comercial
Contacta al equipo de ventas de Anthropic para firmar un BAA que cubra el uso de la API.
Aprovisiona una organización habilitada para HIPAA
Anthropic aprovisiona una organización dedicada con controles de preparación para HIPAA habilitados. Esta organización aplica automáticamente restricciones de funciones, bloqueando las solicitudes de API que usen funciones no elegibles.
Desarrolla con funciones elegibles
Usa la tabla de elegibilidad de funciones para confirmar qué funciones son compatibles. Revisa las pautas de manejo de PHI para las funciones que requieren restricciones específicas sobre dónde puede aparecer la PHI. Para requisitos detallados de configuración y cumplimiento, consulta la Guía de Implementación de HIPAA.

La preparación para HIPAA se aplica a nivel de organización. Si necesitas tanto acceso a la API preparado para HIPAA como de propósito general, usa organizaciones separadas para cada uno.

Alcance de la preparación para HIPAA

Qué cubre la preparación para HIPAA

API de Claude: La preparación para HIPAA aplica a la API de Claude (api.anthropic.com) para las funciones elegibles listadas en la tabla de elegibilidad de funciones.

Qué NO cubre la preparación para HIPAA

Productos de consumidor de Claude: Planes Free, Pro o Max de Claude
Consola y Workbench: Uso a través de la interfaz de Claude Console
Plataformas operadas por socios: Amazon Bedrock o Vertex AI (consulta la documentación de cumplimiento de esas plataformas)
Claude Platform en AWS y Microsoft Foundry: La preparación para HIPAA no está disponible
Integraciones de terceros: Datos procesados por herramientas o servicios externos conectados a tu aplicación
Claude Code: Claude Code no está cubierto bajo la preparación para HIPAA
Funciones beta: Las funciones en beta generalmente no están cubiertas bajo el BAA a menos que estén explícitamente listadas como elegibles en la tabla de elegibilidad de funciones

Pautas de manejo de PHI

La información de salud protegida (PHI) incluye cualquier información de salud identificable individualmente. En el contexto de la API de Claude, la PHI típicamente aparece en:

Contenido de mensajes (prompts y respuestas de Claude)
Archivos adjuntos (imágenes, PDFs)
Nombres de archivos y metadatos asociados con el contenido de mensajes

No se espera que los siguientes campos contengan PHI bajo el BAA: nombres de espacios de trabajo, información del usuario (nombre, correo electrónico, número de teléfono), datos de facturación y tickets de soporte.

Restricciones de esquemas y definiciones de herramientas

Al usar salidas estructuradas o herramientas con strict: true, la API compila los esquemas JSON en gramáticas que se almacenan en caché por separado del contenido de los mensajes. Estos esquemas en caché no reciben las mismas protecciones de PHI que los prompts y las respuestas.

No incluyas PHI en las definiciones de esquemas JSON. Esta restricción aplica a:

Nombres de propiedades del esquema
Valores enum
Valores const
Expresiones regulares pattern

La información específica del paciente solo debe aparecer en el contenido de los mensajes, donde está protegida bajo las salvaguardas de HIPAA.

Manejo de errores de HIPAA

Tu BAA firmado es la fuente oficial de verdad sobre qué funciones están cubiertas. La API también aplica estas restricciones automáticamente: cuando una organización habilitada para HIPAA envía una solicitud que incluye una función no elegible, la API devuelve un error 400 para prevenir el uso accidental de funciones no cubiertas por tu BAA:

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

El mensaje de error lista las funciones no elegibles detectadas en la solicitud. Elimina estas funciones de tu solicitud y vuelve a intentarlo.

Elegibilidad de funciones

La siguiente tabla lista qué funciones de la API de Claude son elegibles para los acuerdos de ZDR y preparación para HIPAA. Para organizaciones habilitadas para HIPAA, las funciones marcadas como "No" en la columna de HIPAA se bloquean automáticamente, y las solicitudes que las incluyen devuelven un error 400.

Función	Endpoint	Elegible para ZDR	Elegible para HIPAA	Detalles
API de Mensajes	`/v1/messages`	Sí	Sí	Llamadas estándar a la API para generar respuestas de Claude.
Conteo de tokens	`/v1/messages/count_tokens`	Sí	Sí	Cuenta tokens antes de enviar solicitudes.
Búsqueda web	`/v1/messages` (con herramienta `web_search`)

¹ El filtrado dinámico no es elegible para ZDR ni HIPAA.

² Aunque la obtención web es elegible para ZDR, los editores de sitios web pueden retener datos de solicitudes (como URLs obtenidas y metadatos de solicitudes) según sus propias políticas.

³ La PHI no debe incluirse en las definiciones de esquemas JSON. Consulta las pautas de manejo de PHI.

Limitaciones y exclusiones

CORS no compatible con ZDR

Cross-Origin Resource Sharing (CORS) no es compatible para organizaciones con acuerdos de ZDR. Si necesitas hacer llamadas a la API desde aplicaciones basadas en navegador, debes:

Usar un servidor proxy de backend para hacer llamadas a la API en nombre de tu frontend
Implementar tu propio manejo de CORS en el servidor proxy
Nunca exponer claves de API directamente en JavaScript del navegador

Retención de datos por violaciones de políticas y cuando lo exija la ley

Incluso con acuerdos de ZDR o HIPAA vigentes, Anthropic puede retener datos cuando lo exija la ley o para combatir violaciones de la Política de Uso y usos maliciosos de la plataforma de Anthropic. Como resultado, si un chat o sesión es marcado por dicha violación, Anthropic puede retener las entradas y salidas hasta por 2 años.

Preguntas frecuentes

Recursos relacionados

Was this page helpful?

AdministraciónDatos y cumplimiento

API y retención de datos

Aprende cómo las APIs de Anthropic y sus funciones asociadas retienen datos, incluyendo información sobre la retención cero de datos (ZDR) y el acceso a la API preparado para HIPAA.

Anthropic ofrece dos modalidades de manejo de datos para la API de Claude:

"Zero data retention" (retención cero de datos), o ZDR: Los datos del cliente no se almacenan en reposo después de que se devuelve la respuesta de la API, excepto cuando sea necesario para cumplir con la ley o combatir el uso indebido.
Preparación para HIPAA: Para organizaciones que manejan información de salud protegida (PHI), Anthropic ofrece acceso a la API preparado para HIPAA con un Acuerdo de Asociado Comercial (BAA) firmado. Consulta Preparación para HIPAA.

Enfoque de Anthropic sobre la retención de datos

Los datos retenidos nunca se utilizan para el entrenamiento de modelos sin tu permiso expreso.
Solo se retiene lo que es técnicamente necesario para que la API y la función operen. El contenido de las conversaciones (tus prompts y las salidas de Claude) nunca se retiene a menos que se indique explícitamente.
Los datos se purgan en el TTL más corto posible, y Anthropic busca dar a los clientes control sobre cuánto tiempo se retienen los datos. Lo que se conserva, y la duración de la retención cuando aplica un TTL específico, está documentado en la página de cada función.

Alcance de la retención cero de datos (ZDR)

Qué cubre ZDR

Ciertas APIs de Claude: ZDR aplica a las APIs de Mensajes y Conteo de Tokens de Claude. Claude Fable 5 y Claude Mythos 5 no están disponibles bajo ZDR; consulta Requisitos de retención de datos específicos por modelo.
Claude Code: ZDR aplica cuando se usa con claves de API de organización Comercial o a través de Claude Enterprise (consulta la documentación de ZDR de Claude Code)

Qué NO cubre ZDR

Consola y Workbench: Cualquier uso en la Consola o Workbench
Agentes Gestionados de Claude: Los Agentes Gestionados de Claude son un recurso con estado. Puedes eliminar las transcripciones de sesión, pero no hay eliminación automática.
Productos de consumidor de Claude: Planes Free, Pro o Max de Claude, incluyendo cuando los clientes en esos planes usan las aplicaciones web, de escritorio o móviles de Claude, o Claude Code
Claude Teams y Claude Enterprise: Las interfaces de producto de Claude Teams y Claude Enterprise no son elegibles para ZDR, excepto Claude Code cuando se usa a través de Claude Enterprise con ZDR habilitado para la organización. Para otras interfaces de producto, solo las claves de API de organización Comercial son elegibles para ZDR.
Integraciones de terceros: Los datos procesados por sitios web, herramientas u otras integraciones de terceros no son elegibles para ZDR, aunque algunos pueden tener ofertas similares. Al usar servicios externos junto con la API de Claude, asegúrate de revisar las prácticas de manejo de datos de esos servicios.

Para obtener la información más actualizada sobre qué productos y funciones son elegibles para ZDR, consulta los términos de tu contrato o contacta a tu representante de cuenta de Anthropic.

Requisitos de retención de datos específicos por modelo

Este requisito aplica en la API de Claude. Para Claude Fable 5 en Amazon Bedrock, Vertex AI y Microsoft Foundry, los requisitos de retención de datos son establecidos por cada plataforma.

Preparación para HIPAA

Primeros pasos

Para configurar el acceso a la API preparado para HIPAA:

Firma un Acuerdo de Asociado Comercial
Contacta al equipo de ventas de Anthropic para firmar un BAA que cubra el uso de la API.
Aprovisiona una organización habilitada para HIPAA
Anthropic aprovisiona una organización dedicada con controles de preparación para HIPAA habilitados. Esta organización aplica automáticamente restricciones de funciones, bloqueando las solicitudes de API que usen funciones no elegibles.
Desarrolla con funciones elegibles
Usa la tabla de elegibilidad de funciones para confirmar qué funciones son compatibles. Revisa las pautas de manejo de PHI para las funciones que requieren restricciones específicas sobre dónde puede aparecer la PHI. Para requisitos detallados de configuración y cumplimiento, consulta la Guía de Implementación de HIPAA.

La preparación para HIPAA se aplica a nivel de organización. Si necesitas tanto acceso a la API preparado para HIPAA como de propósito general, usa organizaciones separadas para cada uno.

Alcance de la preparación para HIPAA

Qué cubre la preparación para HIPAA

API de Claude: La preparación para HIPAA aplica a la API de Claude (api.anthropic.com) para las funciones elegibles listadas en la tabla de elegibilidad de funciones.

Qué NO cubre la preparación para HIPAA

Productos de consumidor de Claude: Planes Free, Pro o Max de Claude
Consola y Workbench: Uso a través de la interfaz de Claude Console
Plataformas operadas por socios: Amazon Bedrock o Vertex AI (consulta la documentación de cumplimiento de esas plataformas)
Claude Platform en AWS y Microsoft Foundry: La preparación para HIPAA no está disponible
Integraciones de terceros: Datos procesados por herramientas o servicios externos conectados a tu aplicación
Claude Code: Claude Code no está cubierto bajo la preparación para HIPAA
Funciones beta: Las funciones en beta generalmente no están cubiertas bajo el BAA a menos que estén explícitamente listadas como elegibles en la tabla de elegibilidad de funciones

Pautas de manejo de PHI

La información de salud protegida (PHI) incluye cualquier información de salud identificable individualmente. En el contexto de la API de Claude, la PHI típicamente aparece en:

Contenido de mensajes (prompts y respuestas de Claude)
Archivos adjuntos (imágenes, PDFs)
Nombres de archivos y metadatos asociados con el contenido de mensajes

Restricciones de esquemas y definiciones de herramientas

No incluyas PHI en las definiciones de esquemas JSON. Esta restricción aplica a:

Nombres de propiedades del esquema
Valores enum
Valores const
Expresiones regulares pattern

La información específica del paciente solo debe aparecer en el contenido de los mensajes, donde está protegida bajo las salvaguardas de HIPAA.

Manejo de errores de HIPAA

{
  "type": "error",
  "error": {
    "type": "invalid_request_error",
    "message": "The requested features are not available for HIPAA-regulated organizations without Zero Data Retention: code_execution."
  }
}

El mensaje de error lista las funciones no elegibles detectadas en la solicitud. Elimina estas funciones de tu solicitud y vuelve a intentarlo.

Elegibilidad de funciones

Función	Endpoint	Elegible para ZDR	Elegible para HIPAA	Detalles
API de Mensajes	`/v1/messages`	Sí	Sí	Llamadas estándar a la API para generar respuestas de Claude.
Conteo de tokens	`/v1/messages/count_tokens`	Sí	Sí	Cuenta tokens antes de enviar solicitudes.
Búsqueda web	`/v1/messages` (con herramienta `web_search`)

¹ El filtrado dinámico no es elegible para ZDR ni HIPAA.

² Aunque la obtención web es elegible para ZDR, los editores de sitios web pueden retener datos de solicitudes (como URLs obtenidas y metadatos de solicitudes) según sus propias políticas.

³ La PHI no debe incluirse en las definiciones de esquemas JSON. Consulta las pautas de manejo de PHI.

Limitaciones y exclusiones

CORS no compatible con ZDR

Cross-Origin Resource Sharing (CORS) no es compatible para organizaciones con acuerdos de ZDR. Si necesitas hacer llamadas a la API desde aplicaciones basadas en navegador, debes:

Usar un servidor proxy de backend para hacer llamadas a la API en nombre de tu frontend
Implementar tu propio manejo de CORS en el servidor proxy
Nunca exponer claves de API directamente en JavaScript del navegador

Retención de datos por violaciones de políticas y cuando lo exija la ley

Preguntas frecuentes

Recursos relacionados

Was this page helpful?

Enfoque de Anthropic sobre la retención de datos

Alcance de la retención cero de datos (ZDR)

Requisitos de retención de datos específicos por modelo

Preparación para HIPAA

Primeros pasos

Alcance de la preparación para HIPAA

Pautas de manejo de PHI

Restricciones de esquemas y definiciones de herramientas

Manejo de errores de HIPAA

Elegibilidad de funciones

Limitaciones y exclusiones

CORS no compatible con ZDR

Retención de datos por violaciones de políticas y cuando lo exija la ley

Preguntas frecuentes

¿Cómo sé si mi organización tiene acuerdos de ZDR?

¿Puedo usar funciones elegibles para ZDR (con condiciones) bajo mi acuerdo de ZDR?

¿Qué sucede si uso una función marcada como "No" bajo ZDR?

¿Puedo solicitar la eliminación de datos de funciones que no son elegibles para ZDR?

¿En qué se diferencia la preparación para HIPAA de ZDR?

¿Todavía necesito ZDR si tengo preparación para HIPAA?

¿Qué sucede si uso una función no elegible bajo HIPAA?

Recursos relacionados

Enfoque de Anthropic sobre la retención de datos

Alcance de la retención cero de datos (ZDR)

Requisitos de retención de datos específicos por modelo

Preparación para HIPAA

Primeros pasos

Alcance de la preparación para HIPAA

Pautas de manejo de PHI

Restricciones de esquemas y definiciones de herramientas

Manejo de errores de HIPAA

Elegibilidad de funciones

Limitaciones y exclusiones

CORS no compatible con ZDR

Retención de datos por violaciones de políticas y cuando lo exija la ley

Preguntas frecuentes

¿Cómo sé si mi organización tiene acuerdos de ZDR?

¿Puedo usar funciones elegibles para ZDR (con condiciones) bajo mi acuerdo de ZDR?

¿Qué sucede si uso una función marcada como "No" bajo ZDR?

¿Puedo solicitar la eliminación de datos de funciones que no son elegibles para ZDR?

¿En qué se diferencia la preparación para HIPAA de ZDR?

¿Todavía necesito ZDR si tengo preparación para HIPAA?

¿Qué sucede si uso una función no elegible bajo HIPAA?

Recursos relacionados

¿Puedo usar la misma organización para cargas de trabajo HIPAA y no HIPAA?

¿Cómo solicito acceso a la API preparado para HIPAA?

¿Esto aplica a Amazon Bedrock o Vertex AI?

¿Claude Platform en AWS es elegible para ZDR o preparación para HIPAA?

¿Claude Code es elegible para ZDR?

¿Claude for Excel admite ZDR?

¿Cómo solicito ZDR?