Opiniones de los Expertos

PROTECCIÓN DE DATOS Y PRIVACIDAD
Opiniones de los Expertos
La protección de datos
y la privacidad
es hoy en día un tema
candente. ¿Y por qué no habría de serlo? Como prácticamente todos los días
aparecen en los medios noticias de violación de datos, no es de extrañar que
la privacidad de la información personal y empresarial esté presente en las
compañías de todo el mundo. En este libro electrónico reunimos análisis
acerca de la privacidad y protección de los datos, tanto de expertos internos
de Iron Mountain como de especialistas externos en la materia. Abordamos
una gran variedad de asuntos, desde las nuevas directrices europeas que los
responsables de gestionar la información deben conocer, hasta lo que tu
equipo de TI debe saber acerca de la conservación de datos.
PUERTO SEGURO 3 ›
Los Dictámenes en Materia de ‘Puerto Seguro’ Destacan las Discrepancias Entre las Leyes de Protección de Datos
LOS DATOS PERSONALES 5 ›
Los Datos Personales no son una Mercancía
LAS LEYES DE PRIVACIDAD DE DATOS 7 ›
¿Cómo Afectan las Nuevas Leyes de Privacidad de los Datos a los Responsables de Documentación? 5 Cosas que Necesitas Saber 8 ›
5 Cosas que tu Equipo de TI Tiene que Saber Acerca de la Privacidad de los Datos
Definición de tus Políticas de Conservación 10 ›
5 Pasos Para la Definición de tus Políticas de Conservación
CONCLUSIÓN 13 ›
2
LOS DICTÁMENES EN MATERIA DE ‘PUERTO
SEGURO’ DESTACAN LAS DISCREPANCIAS
ENTRE LAS LEYES DE PROTECCIÓN DE DATOS
MICHAEL ZURCHER | Iron Mountain
JULIAN CUNNINGHAM DAY | Linklaters
A principios de octubre de 2015, una decisión
fundamental que permitía transferir a EE.UU. los
datos personales de residentes europeos del
Espacio Económico Europeo (EEE), denominado
‘Puerto seguro’, fue invalidada por el más alto
tribunal europeo.
El Tribunal de Justicia de la Unión Europea (TJUE)
dictó una resolución histórica invalidando el
instrumento, en vigor desde 2000. El órgano
judicial llegó a la conclusión de que la decisión de
la CE no proporcionaba adecuada protección a los
datos personales en el contexto del acceso a los
mismos por parte de las agencias de inteligencia, un
asunto ventilado por el ex contratista de la National
Security Agency (NSA) estadounidense, Edward
Snowden, y el estudiante austríaco Max Schrems,
quienes presentaron una denuncia contra Facebook
ante la entidad irlandesa de protección de datos
después de las publicaciones de Snowden en 2013.
Michael Zurcher
Julian Cunningham Day
de la norma de Puerto seguro, instándolas a
implementar una solución compatible. Por su parte,
el Reino Unido ha llamado a sus empresarios a no
entrar en pánico. El así llamado Grupo de Trabajo
del Artículo 29 (que representa a todas las APD de
la Unión Europea) estableció como plazo final el mes
de enero de 2016 para encontrar una solución
alternativa adecuada a Puerto seguro. Aunque se
sigue trabajando en la formulación de un ‘Puerto
seguro 2’, la mayoría de las APD han manifestado
que las transferencias a EE.UU. deben tratarse del
mismo modo que las realizadas a la mayoría de las
demás grandes economías fuera del EEE, y han
legitimado el uso de una de las otras opciones de
transferencia disponibles.
¿Y ahora qué?
Las empresas tienen que encontrar otro mecanismo
para “exportar” (o conceder el acceso a) datos
personales, de manera legal, fuera del EEE. A
continuación abordamos las diferentes opciones.
Además, el TJUE confirmó que los organismos
nacionales de protección de datos tienen autoridad
para examinar si las transferencias de datos
personales a terceros países cumplen o no los
requisitos de la legislación europea en materia
de protección de datos.
Existen cuatro opciones básicas para
el avance de Puerto seguro.
Las reacciones a la sentencia de parte de diferentes
países y organizaciones han sido muy variadas.
Algunas autoridades de protección de datos (APD)
han sugerido que supone la prohibición de la
mayoría de las transferencias de datos a EE.UU.;
otras se han dirigido a las empresas que han valido
OPCIÓN 2:
OPCIÓN 1:
Como ya hemos dicho, la Opción 1 es una segunda
versión de Puerto seguro. Las partes esperan
alcanzar un acuerdo a principios de 2016, pero
es poco probable que pueda alcanzarse antes
de finales de enero.
La Opción 2 consiste en adoptar Normas corporativas
vinculantes (NCV). Las NCV son un marco intragrupal
con diferentes elementos (compromisos legalmente
vinculantes, políticas, formación, auditorías, etc.) que
3
garantizan que los datos personales de los europeos
serán debidamente protegidos dentro del grupo. La
implementación de las NCV es un proceso de gran
calado, y que requiere entre 12 y 18 meses para ser
refrendados por las APD. Además, su alcance es
solamente intragrupal y no queda claro cómo
limitarían el acceso por parte de las agencias de
inteligencia de EE.UU.
La implementación de las NCV es un
proceso de gran calado que requerirá
entre 12 y 18 meses para ser
refrendados por las APD.
¿Y en el peor de los casos?
Si no se encuentra una solución viable, será
necesario repensar las soluciones para el
almacenamiento de datos. Podría resultar más
sencillo alojar los datos europeos y permitir el acceso
a los mismos solo en Europa. Esta solución es posible,
aunque implicaría un significativo cambio estructural
para muchas organizaciones. Los organismos
reguladores de la UE parecen estar dispuestos a
promover un desenlace mejor.
Puerto Seguro: Deberes
OPCIÓN 3:
La Opción 3 está centrada en Contratos modelo.
Se trata de una opción ampliamente adoptada por
empresas que operan en el EEE y que posiblemente
sea la alternativa más habitual a Puerto seguro. Esta
opción implica la formalización de mecanismos
bilaterales que podrán ser utilizados por sus afiliados,
proveedores externos u otros con quienes las
empresas deseen compartir datos. Entre los
potenciales problemas se incluye el hecho de que,
entre otras cosas, esta solución no impide el acceso
por parte de agencias de inteligencia. Además, en
algunos países se suman complicaciones adicionales
derivadas de las formalidades administrativas
(presentación y traducción de las cláusulas modelo
y legalización de la documentación relativa a la
autoridad para firmar de los directivos que
formalizan las cláusulas). Como si esto fuese
poco, según la sentencia del TJUE las APD
podrían suspender su aprobación del uso de
los Contratos modelo.
OPCIÓN 4:
La Opción 4 es, de hecho, una solución parcial
centrada en permisos excepcionales individuales
(consentimientos, necesidad contractual, etc.). Los
problemas de esta solución incluyen, entre otros:
dificultades para la obtención de un consentimiento
válido de parte de las personas afectadas y el hecho
de que otros permisos excepcionales (por ejemplo, el
procesamiento necesario para el contrato con un
particular) solamente tienen validez caso por caso.
LOS DICTÁMENES EN MATERIA DE ‘PUERTO SEGURO’
DESTACAN LAS DISCREPANCIAS ENTRE LAS LEYES DE
PROTECCIÓN DE DATOS
En este momento nos encontramos en un
período de gracia, durante el cual las
autoridades europeas y estadounidenses
intentan negociar una formulación alternativa
al Puerto seguro (hasta finales de enero de
2016), aunque lo más probable es que se decida
una prórroga. Hay que utilizar el tiempo que
queda para seleccionar una opción viable para
tu organización. Al igual que la mayoría de las
empresas multinacionales, Iron Mountain se ha
inclinado por la Opción 3 y ha ejecutado
Contratos modelo.
¿Cuáles son las implicaciones para
los Responsables de Documentación?
Los Responsables de Documentación deben
formularse las siguientes preguntas:
• ¿En qué medida mi organización depende de
proveedores externos de EE.UU. para el
procesamiento de registros/datos de la UE?
• ¿Sobre qué base exporta mi organización sus
datos a dichos proveedores de EE.UU.?
• ¿Sobre qué base estos proveedores europeos
exportan sus datos a esos subcontratistas
estadounidenses?
• ¿Tenemos mecanismos de contratación que
garanticen el cumplimiento normativo en
todos los eslabones de la cadena de
suministro?
• ¿Hemos notificado a nuestras contrapartes de
compras y cumplimiento normativo los
potenciales problemas/cambios en materia de
proveedores?
4
LOS DATOS
PERSONALES NO SON
UNA MERCANCÍA
STEWART DRESNER | privacylaws.com
La batalla, que se libra desde hace ya cuatro años,
sobre la redacción de la nueva Directiva de
Protección de Datos de la Unión Europea acabó, en
gran medida, en diciembre de 2015. En consecuencia,
es momento de pasar desde la retórica de las partes
enfrentadas a la planificación para su
implementación.
Datos personales: la savia
de la vida moderna
Las empresas prefieren un único régimen jurídico
para los datos personales vigente en toda Europa.
Sin embargo, el documento final acordado se sitúa
en un nivel incómodamente alto para numerosas
empresas. El mes pasado, Paul Nemitz, Director de
Derechos Fundamentales y Ciudadanía de la
Comisión Europea, expresó una poco habitual
felicitación a una empresa específica por sus
prácticas de privacidad. Declaró: “Los datos
personales no son una mercancía. Son la savia de
la vida moderna en el siglo XXI. En la historia y la
cultura europea, la persona no es un objeto... Los
datos personales son como una bolsa de valores.
Si desaparece la confianza, el valor de una empresa
baja. Apple destaca en datos y cifrado, y es la mayor
empresa mundial por valor bursátil”. De este modo
quiso demostrar que el respeto por los datos
personales es compatible con el éxito comercial.
Para quien prefiera no sumergirse en el documento
de 209 páginas, aquí presentamos algunos de los
puntos estratégicos de la Directiva más importantes
para tu organización:
A la gente le preocupa lo que ocurre con sus datos
personales. Esto puede conllevar desconfianza hacia
las empresas y los gobiernos que poseen y procesan
estos datos. En EE.UU., las violaciones de datos han
sido el principal foco de atención para empresas y
particulares, y combatidas por las legislaciones de
los estados, empezando por California. Sin embargo,
en Europa se pone el énfasis en los derechos
individuales, lo que supone pesadas obligaciones
legales para las empresas.
Consentimiento inequívoco para
la recogida de datos personales
Hoy en día, los arraigados derechos de acceso y
corrección han sido muy ampliados para incluir el
“consentimiento inequívoco” para el uso de los datos
de una persona y un derecho a la portabilidad de los
datos. Esto implica que, por ejemplo, los particulares
tendrán derecho de transferir los registros de sus
dispositivos móviles de un proveedor para obtener
un presupuesto de otro.
Un caso que ilustra el problema del consentimiento
inequívoco es la actual batalla legal entre Facebook y
la Comisión para la Protección de la Privacidad de
Bélgica, en virtud de la cual un tribunal belga impuso
una multa de 250.000 euros diarios que deberán
pagarse a la Comisión Europea. La posición de
la APD belga se ha ganado el apoyo de otros
organismos reguladores de la privacidad, como
los de Francia, España y Países Bajos.
5
Facebook fue sancionada con una
multa de 250.000 euros diarios por
vulnerar las leyes de privacidad
belgas.
El tribunal belga dictaminó que la práctica de
Facebook de insertar cookies en dispositivos de
usuarios no registrados en Facebook que visitaban
Facebook vulneraba las leyes de protección de
datos belgas. Según Facebook, dichas cookies eran
necesarias por motivos de seguridad. En tanto que
los usuarios con cuentas de Facebook podrían
mostrarse más propensos a entender este proceso,
los visitantes de Facebook que no tienen cuenta
posiblemente no comprenden las implicaciones
que pueda tener su visita. La política de privacidad
relevante para ellos está en la página 10 de una
política de 10 páginas. Según el procedimiento de
Facebook, incluso el hacer clic en un botón “Me
gusta” de Facebook o elegir una opción de idioma
se considera una inclusión voluntaria (opt-in).
Este caso es un avance preliminar de lo que podría
suceder cuando entre en vigor el Reglamento de
Protección de Datos de la UE, en 2018. Las APD
pretenden que una empresa, como Facebook, que no
ha obtenido el “consentimiento inequívoco” para el
uso de los datos de una persona, cumpla tales
normas en todos los territorios de la UE, como medio
para ajustarse de manera coherente a los requisitos
del Reglamento de Protección de Datos de la UE.
El Reglamento General de Protección
de Datos entrará en vigor en 2018.
Más atención se le ha prestado al Tribunal de Justicia
de la Unión Europea. En octubre pasado se
determinó, en el caso Schrems, que el acuerdo de
Puerto seguro entre EE.UU. y la UE quedada
LOS DATOS PERSONALES NO SON UNA MERCANCÍA
invalidado como fundamento jurídico para la
transferencia de datos personales desde el Espacio
Económico Europeo a EE.UU. Como acuerdo especial
para EE.UU. basado en la autorregulación, algunos
comentaristas nunca consideraron al mecanismo
de Puerto seguro “ni seguro ni puerto”. En
consecuencia, muchas multinacionales
estadounidenses –como Salesforce– han recurrido
rápidamente a alternativas legales, como los
contratos modelo de la UE y las Normas corporativas
vinculantes.
Los servicios europeos de
almacenamiento y en la nube
ganan en atractivo
Considerando la dirección hacia la que van las
negociaciones sobre el Reglamento de Protección
de Datos de la UE, muchas empresas están
encargando el procesamiento de los datos de sus
clientes y empleados a un país de la Unión Europea.
Esta medida les supone una mayor certidumbre
acerca de un fundamento jurídico firme para el
procesamiento de datos personales. Se trata de
una sustancial oportunidad comercial para los
servicios en la nube, que ofrecen a sus clientes la
posibilidad de especificar el país en el que desean
basar el servicio. Del mismo modo, algunos servicios
en la nube tradicionalmente radicados en EE.UU.
ofrecen ahora opciones basadas en la UE. Microsoft
incluso está librando una prolongada batalla legal
en los tribunales de Nueva York, rechazando que la
ley estadounidense sea aplicable a estos servicios
basados en la UE. Un servicio de archivado radicado
en la UE es, en muchos aspectos, mucho más
atractivo que uno basado en EE.UU.
6
¿CÓMO AFECTAN LAS NUEVAS LEYES
DE PRIVACIDAD DE LOS DATOS A LOS
RESPONSABLES DE DOCUMENTACIÓN?
GAVIN SIGGERS | Iron Mountain
Últimamente, las leyes de privacidad de datos
abundan en las noticias. La proliferación de datos y
los cada vez más habituales casos de pirateo de los
mismos han colocado a la privacidad de los datos en
el candelero. Por consiguiente, muchas organizaciones
se están pensando hacia qué dirección avanzar con
sus actuales planes de privacidad, protección y
cumplimiento normativo en materia de datos. La
siguiente información está dirigida a los responsables
de gestionar la documentación y la información,
que posiblemente sean algunos de los grupos más
ignorados en este tema.
Asegúrate de tener voz en tu organización.
Las nuevas leyes de protección de datos afectarán
directamente la manera de conducir los negocios y
es imprescindible que tu Departamento Jurídico, o que
el despacho de abogados externo de tu compañía, se
familiaricen con tus procesos cotidianos de gestión de
la documentación. La tendencia general de las organizaciones es volcar todos los asuntos legales sobre abogados externos, pero estos abogados no abordarán sus
necesidades operativas empresariales desde una perspectiva de gobierno de la información. El grupo involucrado en la gestión de la información debería incorporar la cuestión de la privacidad como parte de su
cometido, y el Director de Documentación debería ser
uno de los principales protagonistas de dicho grupo.
Adopta una actitud pragmática.
estarás preguntando a dónde quiero llegar con esto. La
mayoría de la gente que habla de la protección de los
datos no se centra en activos físicos, sino en datos digitales, ya que está expuesta a ciberataques de alto perfil
que se producen prácticamente todas las semanas.
Sin embargo, el papel también es importante en la esfera
de la protección de datos, precisamente porque ahora es
fácil pasarlo por alto. Esto propicia potenciales amenazas
de que la documentación caiga en manos equivocadas.
Aunque las organizaciones están reduciendo su dependencia del papel, prácticamente todas lo siguen utilizando en un formato u otro. Este soporte desechable
supone un riesgo desapercibido. Es en ese soporte que
hubiésemos escrito este blog hace unos 15 años, y no
podemos olvidarlo. Es el motivo por el cual es tan
importante la destrucción de la información sensible.
Además, el papel supone un riesgo por el hecho de que
puede resultar bastante difícil de encontrar una vez que
se ha extraviado. Si no has implementado planes de
indexación y digitalización para mantener organizada tu
información, es posible que te veas en camisa de once
varas el día en que se reciba un formulario o un auto de
divulgación o de acceso a datos. Por octavo año consecutivo se ha incrementado el coste medio por documentos robados o extraviados. Estas cifras treparon desde
122 € por documento en 2014 a 133 € en 2015, según
Information Security Buzz. Cuanto más tiempo tengas un
papel sin incorporarlo a ningún plan, mayor será el
riesgo. Después de todo, muchas veces no sabrás que
algo se ha perdido sino hasta que lo necesites.
Asegúrate de conectarte con personas de tu empresa
que entiendan las operaciones y estrategias empresari- Estas cifras treparon hasta 133 € en
ales y de obtener las aportaciones de
2015, según Information Security Buzz.
estas personas. Los involucrados en el gobierno
de la información que abordan los problemas de la
Fomenta la responsabilidad por la
privacidad son los más indicados para aportar soluinformación.
ciones en un contexto más amplio que conjugue
No perder los papeles, literalmente, es tan importante
estas necesidades estratégicas y operativas.
como proteger tus datos digitales. Y tu cometido, como
responsable de gestionar la documentación, es priorizar
No te olvides del papel.
del mismo modo el papel.
El papel y la privacidad de los datos: seguramente te
7
5 COSAS QUE TU EQUIPO DE TI
TIENE QUE SABER ACERCA DE
LA PRIVACIDAD DE LOS DATOS
JOHN WOOLLEY | Iron Mountain
Con el surgimiento de las nuevas leyes de
privacidad de los datos en toda Europa, para un
responsable de TI puede resultar tentador considerar
que la cosa no va con uno. Después de todo, ¿qué
tienen que ver esas batallas contigo y tu empresa?
En una palabra: mucho. A continuación presentamos
una serie de sugerencias para que tu Departamento
de TI preste atención a la cuestión de la privacidad
de los datos.
Conoce a fondo las unidades de
1. Fully
negocio y sus funciones. Si no entiendes el
funcionamiento de tus unidades de negocio,
nunca entenderás realmente qué datos
necesitan conservarse, por qué ni durante
cuánto tiempo. Para hacerlo, haz hincapié en
la capacidad de comunicar cuáles son las
repercusiones de mantener datos a nivel de
tiempo, dinero y riesgo. Cuanto mejor
conozcas las funciones de los distintos
departamentos, más podrás influir en la
mentalidad de los altos niveles ejecutivos y en
sus aliados comerciales... Y poder controlar los
datos, antes de que los datos te controlen a ti.
las políticas de conservación de
2.Conoce
datos de tu empresa y de tu sector. Es de
atento a los cambios legislativos. 3.Estate
Es fundamental estar al día en los cambios
legislativos que afectan a tu sector en
particular y a las organizaciones en general.
La Unión Europea ha aprobado significativos
cambios en las leyes de datos, dirigidos a que
los particulares puedan volver a controlar sus
datos. Según los expertos, esta situación
representa el mayor sacudón en las normas
de privacidad de los últimos 20 años. En virtud
de este nuevo instrumento (que entrará en
vigor en 2018), las empresas podrían
exponerse a multas de hasta el 4% de su
facturación global durante el proceso de
obtención de medios de prueba en medios
fundamental importancia entender cuáles son
las necesidades y obligaciones de tu
organización en términos de cumplimiento
normativo. Ten presentes las leyes que rigen
la prescripción extintiva, contratos generales y
otras cuestiones legales. En mi próximo blog
se presentará más información acerca de este
tema.
electrónicos (“e-Discovery”). A continuación
exponemos algunas otras maneras en las que
este proceso puede cambiar la manera en que
las organizaciones abordan la privacidad de
los datos:
Las firmas tecnológicas estarán
obligadas a comunicar a las
autoridades reguladoras cualquier
vulneración seria en sus sistemas
de datos en un plazo de 72 horas.
8
El derecho de los consumidores a ser
olvidados se extenderá más allá de los
motores de búsqueda para incluir todos los
aspectos de su historial en Internet. Ejemplo:
un usuario podrá exigir la eliminación de su
perfil de Twitter.
pueden archivarse para su almacenamiento
a largo plazo. Mantén una copia fácilmente
accesible en línea, con lo suficiente para
cumplir los requisitos y, al mismo tiempo,
reducir la exposición a clientes/empleados.
De este modo te asegurarás de no resultar
demasiado afectado por una vulneración (y
que tus clientes y empleados se mantengan
protegidos). Se trata de conseguir un
equilibrio entre los requisitos legales y la
latencia de recuperación de la copia fuera de
línea completa. Si te preocupa la gestión de la
información archivada en cintas porque
careces de recursos internos y/o deseas
centrarte en tus actividades específicas,
considera contratar a un proveedor que pueda
ofrecer un servicio de cintas gestionado.
Los consumidores tienen derecho a transferir
sus datos de una empresa a otra. Ejemplo: Un
consumidor podrá solicitar que la totalidad o
parte de sus datos relacionados con compras
por Internet le sean enviados, de modo que
sus preferencias personales puedan ser
utilizadas por el nuevo comerciante de su
preferencia.
Las empresas que manejan significativos
volúmenes de datos tendrán que contratar a
un responsable de protección de datos.
Stewart Room, Director de Privacidad de
Datos en PwC, explica que: “La escala y
alcance de los cambios implementados por la
UE en las normas de privacidad supondrán
retos sin precedentes para las empresas y
para toda entidad que utilice y mantenga
datos personales de europeos tanto dentro
como fuera de la UE” — BBC
qué información es necesario
4.Reconsidera
mantener, y cómo. Algunos datos tienen que
ser mantenidos en línea, en tanto que otros
5 COSAS QUE TU EQUIPO DE TI TIENE QUE SABER
ACERCA DE LA PRIVACIDAD DE LOS DATOS
a los empleados y clientes.
5.Prioriza
Averigua cuántos datos personales mantiene
tu organización sobre sus empleados y
clientes y cuáles son las prácticas actuales
relativas a esta información. Estructura las
contraseñas y servidores de seguridad de tu
organización e impón el cumplimiento de las
buenas prácticas en materia de privacidad de
datos. También resultará conveniente acudir a
los altos directivos de la organización para que
apoyen tu política de privacidad de datos, y
mantenerlos informados sobre el particular.
9
5 PASOS PARA LA DEFINICIÓN DE
TUS POLÍTICAS DE CONSERVACIÓN
JOHN WOOLLEY | Iron Mountain
Tengo una opinión tajante acerca de por qué las
organizaciones continúan almacenando tantos datos
no estructurados. Muchos profesionales informáticos
sencillamente no tienen tiempo para dedicar a la
cuestión de buenas prácticas de conservación, ni
tampoco han recibido una orientación sólida por
parte de sus empresas... salvo que se haya hecho una
significativa inversión en un equipo de cumplimiento
normativo.
El peligro surge cuando la ausencia de políticas
conlleva la decisión predeterminada de mantener
todos los datos para siempre. En tal caso, las
soluciones de almacenamiento y copia de seguridad
se convierten en una pesada carga financiera para la
organización.
¿Cómo empezar a definir las políticas de
conservación? Recomendamos seguir estos cinco
pasos:
1.
Establece políticas de conservación de
referencia a nivel global. Empieza por
establecer una norma básica (mínima, o de
referencia) para la conservación. Si tu
organización es multinacional, tendrás que
ÍTICAS
RO DE
GIST
IM
RE
N
CI
ÓN
OS
EST
PU
OS
I O NE
AC
S
LIMIT
OL
FU
CUMENT
P
conocer la potencial aplicabilidad global de
determinados tipos de registros. Tus políticas
deben incorporar un grado de flexibilidad que
permita a diferentes países ejercitar su
discreción para ampliar o prorrogar los
DO
períodos de conservación básicos, sobre la
base de necesidades legales o comerciales
válidas.
a los registros contables y fiscales.
2.Accede
Los gobiernos imponen un requisito legal para
proteger sus posibilidades de recaudar
impuestos. Para ello, deben tener acceso a
registros contables para indagarlos durante
auditorías tributarias. Por consiguiente, los
registros contables y fiscales son el principal
objetivo de la conservación de registros.
Prácticamente todos los países han
promulgado leyes que obligan a la
conservación de libros mayores y diarios, así
como otros libros contables, y documentación
adicional, como cupones, balances, registros
de compraventa de bienes e inventarios de
existencias. Estos requisitos se encuentran
en los códigos mercantiles y/o tributarios.
Normalmente, el período de conservación
es de 5 a 10 años; sin embargo, ello no es
aplicable a todos los sistemas y datos
englobados en los registros contables, tanto
estructurados como no.
Por último, hay que tener en cuenta que hasta
la fecha no he conocido ningún departamento
de contabilidad que esté dispuesto a borrar
datos de un sistema financiero. Es importante
recordarlo cuando están implicados archivos
derivados de copias de seguridad.
las repercusiones de la
3.Conoce
documentación legal general/corporativa.
Después de los registros contables, la
documentación legal general/corporativa es
el objetivo más frecuente de las leyes de
conservación de datos.
10
Normalmente, los requisitos tocantes a esta
documentación suelen aparecer en las leyes
de sociedades o en los códigos mercantiles
de los países en los que operan las
organizaciones. Además, lo habitual es que
sean de aplicación a todas las empresas
radicadas en el país, incluyendo las unidades
de corporaciones multinacionales de
propiedad extranjera.
Aunque varía en cobertura y especificidad,
esta legislación obliga a la conservación de
registros tales como libros de actas, estatutos,
registros de accionistas, estados financieros,
poderes y otros documentos que sirvan como
prueba del estado jurídico y de la propiedad
de la sociedad.
Algunos países tienen leyes específicas en
materia de conservación de registros, en tanto
que en otros la legislación reviste un carácter
más general. Los períodos de conservación
pueden variar desde 3 años hasta permanente.
La media es de 10 años.
El período medio de conservación es
de 10 años.
E
n este caso, la intención es el mantenimiento
de registros de empresas cerradas durante el
período concursal y de pago a los acreedores,
u otra distribución legal de activos.
los estatutos de limitaciones.
4.Cumple
Los estatutos de limitaciones –o períodos
de prescripción, como se denominan en los
países de derecho civil– son un importante
factor en el establecimiento de los períodos
de conservación de registros comerciales.
Estas leyes no constituyen requisitos de
conservación de registros, sino que
simplemente especifican durante cuánto
5 PASOS PARA LA DEFINICIÓN DE TUS POLÍTICAS
DE CONSERVACIÓN
tiempo las partes pueden demandar, o ser
demandadas, con respecto a determinado
asunto.
Las multinacionales tienen un gran interés
en la conservación de tales registros, ya que
pueden ser necesarios para emprender
acciones legales contra otras partes, o bien
defenderse contra demandas de terceros.
Estos registros pueden definir y limitar los
riesgos y responsabilidades en lo tocante a
conservación. Las siguientes cuestiones son
las más relevantes en materia de
conservación de registros:
C
ontratos generales:
Los requisitos de conservación van desde un
año desde la detección de la vulneración (en
China) hasta una media de seis años desde la
última fecha en que tuvo lugar una actuación
(en el Reino Unido).
F
iscalidad:
Los requisitos de conservación fluctúan desde
una media de 5 años en Brasil y Alemania,
hasta 10 años, en los casos en los que los
contribuyentes omiten declarar, o presentan
una declaración falsa con el objetivo de evadir
impuestos en Tailandia.
Responsabilidad por producto:
Los requisitos de conservación van desde
los 3 años desde el momento en que el
demandante toma conocimiento de los daños
(Finlandia) hasta 30 años en casos en que los
defectos de un producto han sido ocultados
de manera fraudulenta por el vendedor
(Alemania).
Lesiones:
Los requisitos de conservación van desde los
3 años desde la fecha en que se produjo la
causa de la actuación (Irlanda) hasta los 20
años desde la incidencia que provocó las
lesiones (Países Bajos). Una vez estudiados
los instrumentos legales relevantes, los
Responsables de Documentación de las
empresas multinacionales deberían colaborar
con sus asesores jurídicos para incorporarlos
a las políticas en materia de conservación de
cobertura global.
11
ONES
I
C
N
U
CIO/F
O
G
E
DE N
S
E
DAD
I
N
U
la evaluación de las funciones
5.Incorpora
de la unidad de negocio.
Una vez determinada la base de referencia,
con la debida consideración de la protección
legal, podrás empezar a profundizarte en el
resto de las unidades de negocio. Además, el
análisis jurídico debería estar definido por las
funciones empresariales. Se trata de:
• Gestión medioambiental / Gestión
de instalaciones y bienes raíces
• Recursos Humanos
• Salud y seguridad de los trabajadores
• Seguros/Gestión de riesgos
• Propiedad intelectual (patentes, derechos
de autor y marcas comerciales)
• Fabricación
• Nóminas/Administración de remuneraciones,
pagas y salarios
• Gestión de bienes raíces/terrenos,
Compras/abastecimiento
• Control de calidad
• Asuntos reglamentarios
• Investigación y desarrollo
• Ventas/Marketing
• Seguridad
• Relaciones con los accionistas
5 PASOS PARA LA DEFINICIÓN DE TUS POLÍTICAS DE
CONSERVACIÓN
Una vez implementadas las medidas de conservación
deberías considerar una sólida política de
automatización de la eliminación de datos que estén
en línea o archivados, a menos que dispongas de un
proveedor como Iron Mountain que gestione el ciclo
de vida en tu lugar.
Considera las repercusiones de tener implementadas
las políticas de conservación adecuadas, las
herramientas correctas para el movimiento de datos,
la posibilidad de incorporar funciones de búsqueda y
el soporte de mejor calidad-precio para el
almacenamiento de datos. ¿En qué medida esto
aliviaría los continuos problemas de almacenamiento,
copia de seguridad y recuperación de desastres?
12
Los cambios en las leyes de privacidad de datos afectan a diversas
funciones empresariales de una gran variedad de sectores. Tanto si
estás elaborando las políticas de conservación de tu departamento de
TI como adecuando sus actividades a los requisitos legales, esperamos
que esta guía te haya resultado útil.
Consulta más Información….
Visita Nuestra Zona Privacidad
y Protección de Datos.
VER
IRON MOUNTAIN. En Iron Mountain Incorporated (NYSE: IRM) prestamos servicios de gestión de la información que ayudan a las
empresas a reducir los costes, los riesgos y las ineficiencias de la gestión de sus datos físicos y digitales. Iron
Mountain, fundado en 1951, gestiona miles de millones de activos de información, como datos de archivo y copias
de seguridad, documentos electrónicos, digitalización de documentos, documentos de empresas, servicios de
destrucción segura y mucho más, para organizaciones de todo el mundo. Visita el sitio web de la empresa en www.ironmountain.es para
obtener más información.
©2015 Iron Mountain Incorporated. Reservados todos los derechos. Iron Mountain y el logotipo de la montaña son marcas registradas de Iron Mountain
Incorporated en el Reino Unido y en otros países. Todas las demás marcas comerciales y registradas pertenecen a sus respectivos propietarios
900 22 23 24 | Ironmountain.es