Microsoft Purview es el conjunto de herramientas de gobernanza, protección y cumplimiento de la información que Microsoft integra en el ecosistema de Microsoft 365. Dicho en claro: sirve para saber dónde está la información sensible de tu empresa, clasificarla y etiquetarla según su importancia, evitar que salga por error o de forma indebida (lo que se conoce como prevención de pérdida de datos o DLP) y aplicar reglas de conservación y cumplimiento para retener o eliminar los datos según toca. Si tu empresa trabaja con datos de clientes, contratos, información financiera o documentación confidencial —y hoy casi todas lo hacen—, Purview es la capa que se ocupa de proteger el dato en sí, no solo el dispositivo donde vive.
En este artículo te explicamos, sin tecnicismos innecesarios, qué hace Purview, sus tres grandes bloques (clasificación, prevención de fugas y retención) y para qué sirve de verdad en una pyme, con sus límites incluidos.
De dónde viene y qué problema resuelve
Durante años, la seguridad informática se centró en levantar muros alrededor de la empresa: cortafuegos, antivirus, contraseñas. El problema es que la información ya no se queda dentro de esos muros. Un documento con datos de clientes viaja por correo, se comparte en Teams, se descarga en un portátil, se copia a un USB o acaba en la nube de un particular. Proteger solo los equipos deja el dato desprotegido en el momento en que se mueve.
Microsoft Purview nace para cambiar el foco: proteger la información en sí misma, la acompañe donde la acompañe. Reúne bajo un mismo paraguas las capacidades que antes estaban dispersas (etiquetado, cifrado, control de fugas, retención) y las integra de forma nativa con Word, Excel, Outlook, SharePoint, Teams y el resto de Microsoft 365. Es una pieza que encaja de forma natural con la gestión de identidades y accesos: primero controlas quién es quién y qué puede tocar; después, con Purview, controlas qué puede hacer cada uno con la información una vez la tiene delante.
Clasificación y etiquetado: poner nombre a la información
El primer bloque de Purview responde a una pregunta básica que muchas empresas no saben contestar: ¿qué información tenemos y cuál es realmente sensible? No puedes proteger lo que no sabes que existe.
Purview permite crear etiquetas de confidencialidad —por ejemplo «Público», «Interno», «Confidencial» o «Restringido»— y aplicarlas a documentos y correos. Esa etiqueta no es un simple adorno: puede llevar aparejadas acciones automáticas, como cifrar el archivo, añadir una marca de agua, limitar quién puede abrirlo o impedir que se reenvíe fuera de la organización.
El etiquetado puede ser:
- Manual: el usuario elige la etiqueta al crear o guardar el documento. Sencillo de empezar y útil para concienciar al equipo.
- Recomendado: el sistema sugiere una etiqueta cuando detecta cierto tipo de contenido (por ejemplo, un número de cuenta o un DNI) y el usuario decide.
- Automático: Purview reconoce patrones de información sensible y aplica la etiqueta sin intervención humana. Esta opción, más potente, suele requerir licencias avanzadas.
Lo valioso aquí es que la protección viaja pegada al archivo. Un documento etiquetado como «Confidencial» y cifrado sigue estando protegido aunque alguien lo descargue, lo copie a otro equipo o lo envíe por error: sin permisos, no se abre.
La idea de fondo: etiquetar no va de burocracia, va de que la protección deje de depender de la buena voluntad de cada persona. Una vez la información está clasificada, las reglas se aplican solas.
Prevención de fugas de datos (DLP): que lo sensible no salga por error
El segundo bloque es la prevención de pérdida de datos, más conocida por sus siglas en inglés, DLP (Data Loss Prevention). Su misión es sencilla de entender: evitar que información confidencial salga de la empresa por descuido o de forma indebida.
La mayoría de las fugas de datos no son obra de un ciberdelincuente sofisticado, sino de un error humano cotidiano: alguien que adjunta el Excel equivocado, que responde a todos en lugar de a uno, que sube un contrato a una carpeta compartida sin darse cuenta de quién tiene acceso. DLP vigila precisamente esos momentos.
Con políticas DLP, Purview puede detectar cuándo un correo o un archivo contiene información sensible —tarjetas de crédito, datos de salud, números de identificación, información marcada como confidencial— y actuar en consecuencia:
- Avisar al usuario con un mensaje antes de enviar, para que reconsidere.
- Bloquear la acción si vulnera una política (por ejemplo, enviar datos bancarios de clientes fuera de la empresa).
- Registrar el evento para que el responsable de seguridad tenga trazabilidad de lo ocurrido.
Estas reglas se aplican de forma coherente en correo, en los documentos de SharePoint y OneDrive, en Teams e incluso en los propios equipos. La gracia es que no depende de que cada persona recuerde la política: el sistema la aplica en el momento justo. Aun así, conviene ser realista: una configuración demasiado agresiva genera falsos positivos y frustra al equipo, mientras que una demasiado laxa no protege. El equilibrio se afina con el tiempo y con criterio, y forma parte de una estrategia de seguridad más amplia, no de un interruptor que se enciende y se olvida.
Retención y cumplimiento: conservar (y borrar) lo que toca
El tercer bloque tiene que ver con el ciclo de vida de la información: cuánto tiempo debes guardar cada dato y cuándo conviene eliminarlo. Y aquí hay dos riesgos opuestos. Guardar de más (documentación caducada, datos personales que ya no deberías conservar) te expone a incumplimientos y a un almacenamiento desordenado. Guardar de menos —borrar algo que la ley o un contrato te obligaban a conservar— también es un problema.
Purview permite definir políticas y etiquetas de retención que automatizan esta gestión: conservar ciertos documentos durante un número determinado de años, eliminar automáticamente lo que ya cumplió su plazo o retener información relacionada con un asunto concreto (por ejemplo, ante un litigio) para que no se pueda borrar mientras esté en curso.
Esto conecta directamente con obligaciones normativas. En materia de protección de datos, el RGPD establece principios como la limitación del plazo de conservación: no debes guardar datos personales más tiempo del necesario. Purview aporta herramientas que ayudan a localizar, clasificar y gestionar esos datos con esos plazos en mente. Ahora bien, seamos honestos: ninguna herramienta te «pone en cumplimiento» por sí sola. El RGPD y otras normativas exigen decisiones jurídicas y organizativas —qué se conserva, con qué base legal, durante cuánto— que un software no toma por ti. Purview es un apoyo muy valioso dentro de una estrategia de cumplimiento, no un sustituto del asesoramiento especializado. Si tienes dudas sobre plazos concretos o bases legales, lo prudente es confirmarlas con quien lleve la parte jurídica.
¿Para qué sirve Purview en una pyme?
Es fácil pensar que todo esto es «cosa de grandes empresas». No lo es. Una pyme suele manejar exactamente el mismo tipo de información sensible que una gran compañía —datos de clientes, nóminas, contratos, información financiera— pero con menos gente para protegerla y, a menudo, sin nadie dedicado a seguridad a tiempo completo. Ahí es donde una capa que aplica reglas de forma automática marca la diferencia.
En la práctica, para una pyme Purview sirve para:
- Saber qué información tienes y dónde: dejar de operar «a ciegas» respecto a tus datos sensibles.
- Reducir el riesgo del error humano: que el envío equivocado se avise o se bloquee antes de que sea un problema.
- Ordenar la conservación de documentos: guardar lo que hay que guardar y borrar lo que ya no toca, sin depender de la memoria de nadie.
- Apoyar el cumplimiento del RGPD y otras obligaciones, con trazabilidad de qué se hace con cada dato.
- Proteger la información también fuera de la oficina: con equipos en movilidad y trabajo híbrido, el dato viaja, y la protección viaja con él.
La recomendación sensata para una pyme no es activarlo todo el primer día. Es empezar por lo esencial —unas pocas etiquetas claras y un par de políticas DLP para lo más crítico— y crecer desde ahí a medida que el equipo se acostumbra. Sobredimensionar el proyecto suele acabar en reglas que nadie entiende y que se terminan desactivando.
Una advertencia honesta sobre licencias y puesta en marcha
Conviene decirlo con claridad: Purview no es un único producto que «se enciende», sino una familia de capacidades, y no todas están incluidas en todos los planes de Microsoft 365. Las funciones básicas de etiquetado y algunas políticas están disponibles en planes intermedios; las capacidades más avanzadas (DLP completo, etiquetado automático, gestión de riesgos internos) requieren licencias superiores como Microsoft 365 E5 o complementos concretos. Antes de planificar nada, lo primero es revisar qué cubre tu licenciamiento actual para no llevarse sorpresas.
Y, sobre todo, Purview no funciona bien «por defecto»: requiere definir qué es sensible para tu empresa, qué etiquetas tienen sentido, qué políticas aplicar y cómo comunicarlo al equipo. Una implantación apresurada, con reglas mal calibradas, genera más ruido que protección. Por eso este tipo de proyecto se aborda mejor con acompañamiento: alguien que dimensione lo que necesitas de verdad, lo configure con criterio y forme a tu gente para que las reglas se cumplan sin fricción.
Cómo lo abordamos en 3L Systems
Como partner de Microsoft desde 2003, en 3L Systems ayudamos a pymes a sacar partido a Microsoft 365 sin sobredimensionar. Con Purview, nuestro enfoque es pragmático: partimos de un diagnóstico de qué información sensible manejas y qué te exige tu normativa, revisamos tu licenciamiento actual, definimos un esquema de etiquetas y políticas ajustado a tu realidad —ni de más, ni de menos— y formamos a tu equipo para que la protección se sostenga en el tiempo. Todo ello dentro de una visión de seguridad de identidades y accesos y de protección del puesto de trabajo, porque proteger la información va de capas que se complementan, no de una herramienta suelta.
Si quieres entender mejor la base sobre la que se apoya Purview, te puede interesar nuestro artículo sobre el ecosistema de Microsoft y nuestra página de Microsoft 365, donde encaja de forma natural.
Preguntas frecuentes
¿Qué es Microsoft Purview en pocas palabras?
Es el conjunto de herramientas de gobernanza, protección y cumplimiento de la información dentro de Microsoft 365. Sirve para clasificar y etiquetar los datos según su sensibilidad, evitar que la información confidencial salga por error (prevención de pérdida de datos o DLP) y aplicar políticas de retención para cumplir con la normativa. En la práctica, ayuda a saber dónde está la información sensible de tu empresa y a controlarla.
¿Purview está incluido en Microsoft 365?
Parte de las capacidades sí están disponibles en los planes de Microsoft 365, pero las funciones más avanzadas (DLP completo, etiquetas automáticas, gestión de riesgos internos) requieren licencias superiores como Microsoft 365 E5 o complementos específicos. Qué necesitas exactamente depende de tu plan y de las funciones que quieras activar; conviene revisar tu licenciamiento antes de dar nada por hecho.
¿Purview sirve para cumplir el RGPD?
Aporta herramientas que ayudan: localizar datos personales, clasificarlos, controlar su acceso y aplicar plazos de conservación. Pero es un apoyo, no una garantía automática de cumplimiento. El RGPD exige medidas organizativas y jurídicas que van más allá del software, así que lo prudente es apoyarse en asesoramiento especializado y usar Purview como parte de esa estrategia, no como sustituto.
¿Qué diferencia hay entre Purview y un antivirus?
Un antivirus protege los equipos frente a software malicioso; Purview protege la información en sí. Un antivirus no sabe si un documento contiene datos confidenciales ni impide que alguien lo envíe por error; Purview sí lo clasifica y puede bloquear o avisar en esos casos. Son capas complementarias dentro de una estrategia de seguridad más amplia.
¿Una pyme pequeña necesita Microsoft Purview?
No todas las empresas necesitan el mismo nivel, pero una pyme que maneja datos personales, información financiera o documentación sensible sí se beneficia de clasificar y proteger esa información, aunque empiece por lo esencial. Lo sensato es dimensionar: activar primero las etiquetas y políticas básicas y crecer desde ahí. Un partner puede ayudarte a decidir qué activar sin sobredimensionar el proyecto.
